Torben Griebe, vous vous êtes intéressé de près à la sécurité OT. En particulier sur la norme CEI 62443. Qu'est-ce que la sécurité OT et que traite cette norme ?
Torben Griebe : La sécurité OT s'occupe de la sécurité dans ce que l'on appelle l'espace cyber-physique. Par rapport à l'informatique, où toutes les actions sont purement numériques, l'OT a des répercussions sur les processus physiques par la commande d'actionneurs.
La norme tient compte de cet état de fait. Elle sert de guide pour mettre en place, exploiter et développer des systèmes OT en toute sécurité.
De quoi faut-il tenir compte pour les fabricants et pour les utilisateurs ?
Torben Griebe : Le fabricant doit concevoir et développer les systèmes OT de manière à ce qu'ils puissent être exploités en toute sécurité. L'utilisateur ou l'exploitant des systèmes a ensuite toujours la responsabilité d'exploiter effectivement les systèmes en toute sécurité. La CEI 62443 offre ici une aide détaillée aux deux parties.
Quels sont les défis et les points à prendre en compte ?
Torben Griebe : Si l'on entre en contact avec le sujet pour la première fois, les exigences peuvent sembler un peu écrasantes. Dans ce cas, je recommande d'appliquer la norme à un petit secteur de l'entreprise.
Existe-t-il d'autres normes pertinentes pour les fabricants et utilisateurs industriels ?
Torben Griebe : Le BSI donne par exemple des recommandations pour l'exploitation de l'informatique industrielle dans le compendium IT-Grundschutz. Le NIST américain donne également des recommandations correspondantes dans la norme SP 800-82.
Dans quelle mesure le thème de la sécurité OT est-il déjà sur le radar des entreprises industrielles ?
Torben Griebe : D'après mon expérience, ce n'est malheureusement pas encore assez fort. Mais les entreprises s'y intéressent de plus en plus. Je m'attends également à une tendance positive dans un avenir proche, notamment en raison des nouvelles réglementations, comme par exemple le règlement européen sur les machines qui, pour la première fois, impose explicitement des exigences de cybersécurité aux produits de machines.
Quelles sont les principales différences entre la sécurité informatique et la sécurité informatique ?
Torben Griebe : Dans l'IT, la confidentialité et l'intégrité des informations ont la priorité absolue. L'exigence de disponibilité ne vient normalement qu'ensuite.
Dans l'OT, la priorité est inversée. La disponibilité y a généralement la priorité la plus élevée.
En tant qu'entreprise intéressée, par où ou comment commence-t-on idéalement dans ce domaine ?
Torben Griebe : Si l'on souhaite vraiment partir de zéro, je recommande, comme je l'ai déjà mentionné, de se limiter dans un premier temps à un segment partiel de l'entreprise lors de l'introduction de la norme. Une analyse des risques orientée vers l'entreprise aide à faire ce choix.
Avec l'expérience, le champ d'application peut ensuite être étendu à d'autres domaines.
En guise de conclusion : Quels sont les trois conseils que vous donnez aux lecteurs ?
Torben Griebe :
- Démarrez étape par étape. Mettre toute l'entreprise aux normes en une seule fois peut faire échouer le projet.
- Procédez en fonction des risques. Une analyse des risques axée sur l'entreprise permet d'identifier un premier domaine d'application et aide à planifier et à mettre en œuvre efficacement les mesures de sécurité.
- Veillez à ce que les mesures de cybersécurité choisies soient également acceptées par les utilisateurs. De bonnes mesures de cybersécurité devraient simplifier le travail quotidien, et non le rendre plus difficile.
