La cybersécurité industrielle pose-t-elle des défis spécifiques ?
La création de valeur des entreprises industrielles dépend beaucoup plus de ce que l'on appelle la "technologie opérationnelle" (OT) que dans d'autres secteurs. Avec la progression de la numérisation, l'IT et l'OT, deux mondes historiquement différents, convergent. Dans le cadre de cette évolution, les défis de cybersécurité connus de l'IT deviennent de plus en plus pertinents pour l'OT. Mais ils se heurtent ici à d'autres conditions-cadres.
Dans quelle mesure ?
Contrairement à l'informatique classique, qui se concentre sur le traitement des données, l'OT mesure, surveille et contrôle les installations et les processus industriels. Comme ces derniers ont des cycles de vie beaucoup plus longs (10 à 40 ans) que les appareils informatiques, ils ne sont généralement pas à un niveau de sécurité suffisant pour faire face aux menaces numériques actuelles. De plus, ils ne peuvent souvent pas être sécurisés, mais sont tout de même intégrés dans le réseau de l'entreprise.
En raison des points faibles, des menaces et des possibilités de protection spécifiques, les mesures de sécurité dans certains domaines diffèrent considérablement de la sécurité informatique. Cela nécessite des connaissances spécialisées appropriées.
Cela semble très exigeant. Comment peut-on malgré tout garantir la cybersécurité dans les entreprises industrielles ?
C'est vrai. De nombreuses PME sont tout à fait conscientes qu'elles doivent faire quelque chose dans le domaine de la sécurité, mais elles ne savent pas vraiment comment s'y prendre. En raison du savoir-faire nécessaire, il est difficile pour elles de relever entièrement ces défis seules. Il peut alors être recommandé de faire appel à des partenaires externes. Par exemple, pour certaines mesures qui sont importantes pour atteindre le niveau de sécurité souhaité. Cela vaut en particulier pour le fonctionnement propre de l'infrastructure informatique, y compris les applications, ainsi que pour la surveillance des anomalies.
Le choix d'un partenaire approprié est toujours une affaire individuelle et un soutien externe par des conseillers indépendants ou par des échanges au sein du réseau peut mener au but. Toutefois, la cybersécurité ne peut pas être simplement déléguée. En fin de compte, elle reste toujours une tâche de l'entreprise dans son ensemble.
Qui doit s'occuper de la cybersécurité dans l'entreprise ?
La responsabilité principale incombe à la direction, qui doit veiller à remplir toutes les obligations de diligence, y compris en matière de cybersécurité, et à réduire les risques numériques à un niveau supportable pour l'entreprise. Pour cela, elle doit mettre à disposition des ressources financières et humaines suffisantes et donner les mandats correspondants. Mais en fin de compte, le sujet concerne tout le monde dans l'entreprise : chaque collaborateur doit contribuer à la sécurité et à la résilience globale de l'entreprise en adoptant un comportement adéquat dans son environnement.
Comment faut-il se représenter la chose ?
La cybersécurité est comme un sport d'équipe, dans lequel on ne peut réussir qu'ensemble. C'est pourquoi les collaborateurs doivent être formés et avoir l'occasion d'améliorer continuellement leurs compétences numériques. La culture d'entreprise joue un rôle décisif lorsqu'il s'agit par exemple de savoir si les attaques dites d'"ingénierie sociale" sont efficaces.
Y a-t-il des points faibles typiques dans les entreprises industrielles ?
En ce qui concerne les portes d'entrée potentielles, les entreprises industrielles se distinguent peu des autres branches. Outre le moyen de communication numéro un, le courrier électronique, il s'agit de l'accès aux applications et aux systèmes de l'entreprise. Dans le domaine du parc de machines, on peut citer l'accès à distance du personnel d'assistance. Mais l'accès local au parc de machines avec des appareils tiers (p. ex. ordinateurs portables de partenaires de support, lecteurs de données USB, etc. D'où l'importance d'inclure non seulement les fournisseurs, mais aussi les entreprises partenaires dans les analyses de sécurité.
Est-il possible d'éliminer tous les risques dans des systèmes complexes ?
Non, quelle que soit la complexité du système, les risques ne peuvent jamais être totalement éliminés. L'essentiel est de connaître les risques, de les évaluer correctement et de prendre, dans la mesure du possible, les mesures les plus efficaces et les plus efficientes pour les réduire. Certains risques peuvent également être transférés à une cyber-assurance.
Compte tenu du risque résiduel, il est essentiel de bien se préparer à une cyber-attaque potentielle afin de s'en sortir le moins mal possible.
Qu'est-ce que cela signifie exactement ?
Plus vite on découvre un incident, plus vite on peut y réagir de manière ciblée. Dans l'idéal, une entreprise peut s'appuyer sur des procédures d'urgence bien rodées et est alors en mesure d'informer de manière transparente et en temps réel aussi bien les personnes internes que les personnes externes. Il est important de garder son calme et de ne pas prendre de décisions hâtives ou de laisser traîner l'affaire.
Nous recommandons de demander l'aide de partenaires qui ont l'expérience de tels incidents ! Ce recours à des spécialistes appropriés devrait également être réglé lors de la préparation et faire partie intégrante de la gestion d'urgence.
Que conseillez-vous aux entreprises qui souhaitent optimiser la cybersécurité dans leur entreprise ?
Il existe des "low hanging fruits" sur lesquels les entreprises peuvent agir avec relativement peu d'efforts. Il s'agit par exemple de mesures de sécurité telles que DMARC, DKIM et SPF pour la messagerie électronique, les filtres DNS, l'authentification à deux facteurs, la limitation des droits d'accès au strict nécessaire et l'application des correctifs de sécurité disponibles. Il est bien sûr également essentiel de disposer d'une sauvegarde de données efficace.
Trois conseils pour les entreprises
- Protégez vos identités numériques.
- Actualisez régulièrement vos applications, systèmes et processus, en particulier ceux qui sont reliés au monde extérieur, y compris les canaux de communication (p. ex. e-mail, messagerie instantanée, etc.).
- Établissez une culture d'entreprise moderne et formez continuellement votre organisation.
L'entretien avec les deux experts a été réalisé par Gabriela Schreiber, rédactrice chez Swissmem.