Recommandé pour vous
Les dangers que représentent les cybermenaces pour la propriété intellectuelle, les dossiers des clients et la productivité sont bien identifiés. En revanche, un aspect moins abordé concerne les implications de ces menaces pour la sécurité. Une cyberattaque contre votre système de commande industrielle (ICS) peut endommager les actifs physiques, dégrader les recettes, blesser les personnels ou provoquer de graves dommages environnementaux.
Si vous effectuez actuellement votre transformation numérique, que ce soit à travers un processus géré ou dans le cadre d’une évolution progressive, pensez à la gestion des risques inhérents concernant la sécurité et la sûreté.
Une approche mûrement réfléchie de la sécurité améliorera la collecte, l’analyse et la diffusion des informations. Elle réduira au minimum les interruptions et frustrations en lien avec la sécurité, et elle contribuera à protéger votre entreprise.
Identifiez vos risques
Aujourd’hui, les normes relatives à la sûreté et la sécurité identifient déjà le lien entre les risques concernant ces deux facettes.
La norme sur la cybersécurité ISA/CEI 62443-1-1 stipule que les violations de la sécurité peuvent avoir des conséquences allant au-delà de la compromission d’informations. Selon cette norme : « La perte potentielle de vies ou de production, les dommages environnementaux, la violation de réglementations et la compromission de la sécurité opérationnelle sont des conséquences nettement plus graves. Elles peuvent avoir des ramifications au-delà de l’organisation ciblée ; elles peuvent porter gravement atteinte à l’infrastructure de la région ou de la nation hôte. »
La norme de sécurité fonctionnelle CEI 61508-1 spécifie que les dangers associés aux équipements et systèmes de commande doivent être déterminés dans toutes les circonstances raisonnablement prévisibles. Selon cette norme : « Il faut inclure tous les problèmes de facteur humain et porter une attention particulière aux modes de fonctionnement anormaux ou peu fréquents des équipements commandés (EUC). Si l’analyse des risques identifie une action malveillante ou non autorisée constituant une menace pour la sécurité comme raisonnablement prévisible, une analyse des menaces pour la sécurité doit être réalisée. »
La sécurité, comme la sûreté, traite les problèmes sur la base de la gestion du risque, en s’appuyant sur une évaluation continue et sur des éléments de référence pour garantir que votre gestion prend en compte un certain seuil de risque. Votre niveau du risque acceptable variera selon le secteur et les conséquences possibles.
En considérant que la majorité des cyberattaques reposent sur le simple fait qu’un intrus trouve une cible vulnérable, au lieu de viser spécifiquement un secteur ou une entreprise de renom, une cyberattaque est une circonstance prévisible dans quasiment tous les secteurs. L’évaluation de vos risques touchant à la cybersécurité, la détermination de votre niveau de risque acceptable et l’atténuation des risques identifiés afin de les rendre acceptables constituent désormais les mesures « raisonnables » de base nécessaires pour protéger les personnes contre les utilisations abusives et les actions malveillantes ou non autorisées prévisibles.
Comme pour la sûreté, le fait d’ignorer la cybersécurité et les risques associés revient à penser à tort que « si je ne connais pas le risque, ma responsabilité ne peut pas être engagée ». Cette position n’est pas acceptable, que ce soit du point de vue de l’éthique ou de la conformité, en particulier lorsque des vies sont en jeu.
Traitez collectivement les risques
Certains ont utilisé les risques potentiels des technologies connectées en tant qu’argument contre la modernisation. Néanmoins, il est important de reconnaître que ne rien faire n’est pas une solution. En conservant les systèmes hérités trop longtemps, non seulement vous vous privez d’informations utiles et d’autres avantages de l’IIoT, mais il manque aussi souvent à ces systèmes les mesures de sécurité des systèmes modernes, de sorte que cela augmente leur vulnérabilité au lieu de la réduire.
La meilleure approche consiste à profiter au mieux de la transformation numérique, tout en contribuant simultanément à la sûreté et à la sécurité. Ce faisant, ayez certains aspects clés à l’esprit.
Par exemple, de nombreuses pratiques de sécurité existent depuis longtemps dans le domaine informatique, mais constituent une nouveauté pour les technologies de production. Par ailleurs, même si nombre d’étapes d’atténuation sont comparables, leur application diffère sensiblement au niveau des bureaux et dans l’atelier.
Dans un environnement de fabrication, la cybersécurité et les risques pour la sûreté doivent faire partie intégrante de la gestion des risques et du processus de gestion des changements (MOC). D’autre part, les professionnels EHS doivent être associés à la gestion des processus et à celle de la conformité normative et réglementaire.
L’industrie est entrée dans une nouvelle ère. Les avantages de l’Industrie 4.0 sont assurément supérieurs aux risques accrus qu’elle introduit. D’autre part, en comprenant les risques et en les limitant dans le cadre de vos initiatives numériques, vous pouvez développer vos opérations tout en contribuant à protéger vos biens les plus précieux.
Pour en savoir plus sur la sécurité industrielle, cliquez ici.
Steve Ludwig est responsable des programmes commerciaux relatifs à la sûreté pour Rockwell Automation, la plus grande entreprise au monde spécialisée dans les solutions d’automatisation et d’information industrielles. Rockwell Automation est un membre fondateur de l’ISA Global Cybersecurity Alliance et a reçu de multiples certifications ISA/CEI 62443.
Publié 27 avril 2020
