Au cœur de la transformation numérique, la connexion des systèmes SCADA est à double tranchant. En s’ouvrant au monde extérieur, ils deviennent plus vulnérables. Pour y faire face, les industriels n’ont plus le choix : il faut passer à l’action.
Une interview parue en exclusivité dans les pages de Global Security Mag n°47 (juin 2019).
Quels sont les principaux défis et enjeux inhérents aujourd'hui aux systèmes SCADA ?
Les systèmes SCADA sont aujourd’hui au cœur d’une profonde mutation avec la transformation numérique. Malgré les promesses de l’industrie du futur, la médiatisation des cyberattaques impactant ces systèmes témoigne de leur faible niveau de cybersécurité. Le principal défi du monde industriel en la matière est aujourd’hui l’action. La question n'est pas de savoir s’il faut se protéger, mais comment.
Malgré les promesses de l’industrie du futur, la médiatisation des cyberattaques impactant ces systèmes témoigne de leur faible niveau de cybersécurité.
Pour les entreprises ayant déjà entamé leur transformation numérique, elles devront redéfinir leurs procédures de déploiement pour y intégrer la cybersécurité. L’enjeu étant ici d’inclure de manière fluide les différentes phases de déploiement de solutions de protection, dans le planning des infrastructures opérationnelles. Une intégration d’autant plus difficile que les systèmes OT (des ICS au SCADA, sans confondre les deux) n’ont pas les mêmes contraintes que les systèmes d’information classiques (IT). Les autres entreprises auront la possibilité d’appréhender leur transformation numérique sous le prisme du cybersecurity-by-design. Une intégration plus efficace des solutions de protection est ici au cœur des enjeux.
Quelles sont les clés, selon vous, pour sécuriser de tels systèmes ?
À côté de l’intégration de la cybersécurité dans la planification des déploiements, la sensibilisation des équipes constitue la seconde clé fondamentale pour sécuriser efficacement les systèmes SCADA. Elle doit s’appréhender sous l’angle de la communication et du partage d'expériences entre les équipes IT et OT. En effet, d'un côté, la singularité des systèmes SCADA, de par la conception des installations ou de leurs opérations, requiert la connaissance des techniciens, opérateurs et responsables de production. De l'autre côté, la cybersécurité est traditionnellement sous la responsabilité d'une équipe du réseau bureautique. C’est donc dans le dialogue et la compréhension des deux approches que l’on va trouver l’une des principales clés de réussite de la sécurisation des installations industrielles.
Pour répondre à cette problématique, certains de nos clients ont créé une équipe dédiée qui assure une gouvernance globale de la sécurité des réseaux industriels. Cela se traduit concrètement par la nomination d’un référent de Sécurité industrielle, responsable de la cohabitation de la sécurité et de la sûreté au sein de l’entreprise. Charge à lui d’anticiper les obligations réglementaires, de planifier et de défendre les budgets nécessaires, de s’entourer d’une équipe pluridisciplinaire et d’animer dans le temps une démarche de sécurisation du système industriel.
De quelle manière accompagnez-vous les entreprises dans cette démarche et comment votre offre est-elle amenée à évoluer dans ce domaine ?
En tant qu’éditeur de solutions de cybersécurité, nous sommes sollicités relativement tard dans la phase de transformation. En effet, la sensibilisation des intervenants, la formation des opérateurs et souvent la réflexion autour du projet sont déjà finalisées. Nous intervenons au moment de la sélection de la solution où l'on peut encore heureusement échanger et surtout accompagner les équipes opérationnelles pour leur proposer des produits et des solutions adaptés à leurs problématiques. Au sein de Stormshield, cela se traduit par une offre verticale complète, allant de la protection des infrastructures OT et IT jusqu’au système de supervision de l’entreprise. Pour améliorer toujours plus notre connaissance du secteur, nous nous appuyons sur un écosystème industriel fort composé d’experts constructeurs et de partenaires technologiques. Face aux enjeux importants, nous avons décidé en 2017 de monter une cellule dédiée aux clients industriels, afin de répondre encore mieux au besoin de convergence des deux mondes.
Grâce au travail de notre équipe de R&D dédiée, nous avons pu avancer sur des études de vulnérabilités poussées et ainsi développer de nouvelles fonctionnalités actives pour garantir sécurité et disponibilité. Notre prochain défi : créer des formations à destination du monde industriel pour familiariser les publics à nos produits.
