Cybersécurité industrielle : sécuriser la chaîne de valeur, créer la confiance

Sécurisation de la supply chain industrielle, mise en conformité à NIS2, apports de la cybersécurité aux métiers... À l’occasion de la journée CFI (Cybersecurity for Industry) du Forum INCYBER, de nombreux thèmes ont été traités lors des tables rondes. En voici une synthèse.

La sécurisation de la supply chain industrielle occupe, encore et toujours, les esprits. Une supply chain toujours plus ciblée par les cybercriminels. Selon une étude menée en 2023 par SecurityScorecard et le cabinet Cyentia Institute, 98 % des organisations dans le monde entretiennent en effet des relations de prestation avec au moins un tiers ayant subi une atteinte à la sécurité au cours des deux dernières années.

Cette « supply chain » industrielle a beaucoup évolué ces dernières années. Nous sommes ainsi passés d’un terme désignant une chaîne d’acteurs allant de la fabrication à la livraison, en passant par le client final, à un concept beaucoup plus large : « Aujourd’hui, l’enjeu est d’identifier et de réduire les risques provenant d’un écosystème tiers très complexe (troisièmes, quatrièmes parties et plus), agissant sur nos données ou nos systèmes. En raison de l’évolution des menaces et de l’interconnexion des systèmes, il n’y a plus de limites de périmètre », déclare Lucile Coupez, en charge de la gouvernance sécurité groupe et de la gestion des risques des tiers chez EssilorLuxottica, qui précise que ce sujet est géré dans les instances de gouvernance du groupe.

Pour sécuriser la supply chain industrielle, les différents départements de l’entreprise doivent instaurer une solide collaboration, notamment avec les achats. « Sécuriser la supply chain est un travail collaboratif et étroit entre le département sûreté et celui des achats, ce dernier étant responsable de sa relation avec les fournisseurs. C’est un binôme complémentaire et essentiel pour renforcer la résilience de la supply chain », commente Élise Babelaere, Coordinateur sûreté de la supply chain chez Airbus.Par ailleurs, il est essentiel de déployer une approche de security by design dès les phases d’appel d’offres : « Chaque fournisseur devant apporter la preuve de son niveau de maturité avant sélection finale. Des exigences contractuelles spécifiques à la sûreté sont également nécessaires, ainsi que la mise en œuvre d’audits », note-t-elle.

Un avis que partage Samuel Braure, Regional cybersecurity manager chez Schneider Electric : « La qualification et la priorisation des risques pour déterminer ce qu’il faut protéger et à quel endroit constituent une étape essentielle ». Il insiste sur la nécessité de dépasser les approches isolées : « Il s’agit également d’abandonner une posture de cybersécurité individuelle au profit d’une démarche collective, fondée sur une approche écosystémique. »
Il souligne que la cybersécurité doit être intégrée « à chaque étape du cycle de vie des produits », en accordant une attention particulière à la sécurisation des opérations, notamment face aux menaces visant la supply chain. Enfin, il voit dans l’adoption de certifications internationales comme l’IEC 62443 « un levier majeur pour renforcer cette dynamique ».

Mise en conformité à NIS2 : une étape décisive

La mise en conformité à la directive NIS2 a également été un sujet de discussion. Cette directive européenne vise à renforcer le niveau de cybersécurité du marché intérieur européen et des administrations pour se protéger des menaces, notamment contre la « menace systémique » qui inclut les menaces liées à la cybercriminalité. Depuis plusieurs années, cette dernière se détourne quelque peu des grandes entreprises pour cibler les collectivités et les PME.

Les entités concernées par NIS2 devront respecter un certain nombre d’obligations : se déclarer auprès de l’autorité nationale et tenir à jour les informations déclarées, notifier les incidents de cybersécurité et mettre en œuvre des mesures de cybersécurité. Il s’agit ici de mesures d’hygiène de base sur des thématiques classiques de la cybersécurité : gestion des incidents / réponse, sécurité de la chaîne d’approvisionnement, sécurité des réseaux et des systèmes d’information, résilience / gestion de crise.

« Pour aborder la problématique de la sécurisation des systèmes, il faut mettre de côté les présupposés de type ‘Mon OT n’est pas lié à mon IT’. C’est de moins en moins vrai, car l’OT est toujours plus numérisé, notamment avec de nombreux capteurs de température filaires devenus sans fil et donc connectés à l’extérieur », analyse Florian Lemoine, Chargé de mission l’Anssi, qui préconise de cartographier, classifier, prioriser et appliquer les principes d’hygiène de base, notamment en cloisonnant.

En attendant la publication du référentiel d’exigences de sécurité applicables aux entités soumises à NIS2, l’Anssi met à disposition un certain nombre d’outils et de guides sur son site, notamment un corpus de guides permettant de classifier ses SI industriels et de déployer des mesures techniques de sécurisation. Pour les entités qui découvrent la cybersécurité, l’Anssi met à disposition des services tels que MonEspaceNIS2, qui permet de retrouver toutes les informations au fur et à mesure de l’avancée de la transposition, et MonAideCyber pour être accompagné.

Résilience, innovation, processus… Quels apports de la cybersécurité aux métiers ?

Lors des tables rondes organisées pendant la journée Cybersecurity for Industry (CFI), les intervenants ont également débattu de la manière de faire de la cybersécurité non plus une contrainte, mais un levier de création de valeur. « Nous avons développé un dispositif de supervision réseau sur un système de sécurité dédié à des centrales. Grâce à ce système, nous avons à notre disposition toutes les métriques réseau, mais aussi toutes les métriques métier. Nous pouvons ainsi apporter aux business units des solutions à une échelle de temps très fine, pour les opérations de maintenance prédictive par exemple », témoigne Pierre-Marie Lore, Directeur Cybersécurité chez Framatome I&C.

Pour Thierry Manciot, Head of Cyber Security for Network and Manufacturing & Supply chez Sanofi, la cybersécurité apporte aux métiers son lot de bénéfices quand elle s’engage dans une approche par la chaîne de valeur. « En termes de performances et d’innovation, la cybersécurité peut apporter de la résilience aux chaînes de valeur. Nous sommes en train de développer une démarche de chaîne de valeur produit, les produits étant les médicaments dans notre domaine », analyse Thierry Manciot. Cela consiste à modéliser la chaîne de valeur de bout en bout, avec la volonté d’identifier tous les maillons (systèmes, assets, fournisseurs…). « Si l’un d’entre eux est attaqué, la chaîne complète peut-être impactée. La cybersécurité apporte la protection du cycle de vie et des systèmes, mais aussi le volet recovery / restauration et la gestion de crise », ajoute-t-il.

Finalement, selon Dimitri Van Zantvliet, CISO de Dutch Railways, quand la cybersécurité parvient à se transformer en un véritable levier pour optimiser les processus, renforcer la résilience et stimuler l’innovation, ses apports sont d’ordre stratégique : « Innover, c’est aussi instaurer la confiance. Aujourd’hui, la confiance est devenue le véritable nouvel or. Ce n’est plus la donnée en elle-même qui a cette valeur stratégique, mais la confiance qu’on accorde à ceux qui la traitent », déclare-t-il.Dans les activités B2C comme B2B, les entreprises gagnent cette confiance en démontrant qu’elles savent sécuriser les échanges et les informations personnelles. « Finalement, les clients et partenaires acceptent de ‘laisser leur carte de visite’, c’est-à-dire de partager leurs données, parce qu’ils sont convaincus que celles-ci seront utilisées de manière responsable et sécurisée. La sécurité est essentielle, mais elle ne suffit plus : c’est la confiance qui fait la différence », conclut-il.