Les enjeux liés à la cybersécurité sont de plus en plus présents dans tous les secteurs, dont l’industrie et en particulier l’industrie 4.0. L’essor de la numérisation, de l’automatisation, du recours à la data et aux logiciels multiplie en effet les risques d’intrusion et le besoin d’assurer en amont la fiabilité et la sûreté des données et systèmes informatiques.
Les attaques contre les sous-traitants d’Airbus, Renault et Pierre Fabre (plusieurs usines à l’arrêt) ou encore contre l’éditeur SolarWinds montrent à quel point une réponse aussi bien globale que locale est nécessaire. « Aucun établissement ne doit être orphelin en matière de cybersécurité, rappelle Yves Verhoeven, le sous-directeur stratégie l’Agence nationale de la sécurité des systèmes d’information (Anssi), à l’Usine Nouvelle.
Comme le souligne cet article, “dans le concept d’usine du futur, la cybersécurité couvre la protection des systèmes industriels (SCADA, API, PLC, SIS, bus de terrain, etc.) tout comme celle du système d’information industriel (SII), des logiciels aux postes de travail, en passant par les équipements réseau”.
Pour mieux comprendre les enjeux et cybermenaces, vous pouvez consulter les ressources suivantes :
- Protéger l’industrie 4.0 des cybermenaces : un enjeu majeur (Thales Group)
- Enjeux et solutions de la cybersécurité industrielle (Orange Cyberdéfense)
- Cybersécurité industrielle : 6 mois pour sécuriser une usine (Industrie-Techno.com)
- (Webinar en anglais): Applying Future Aviation Software & Cyber-Security Best Practices Today, for Tomorrow (SAE International)
Dans ce contexte, le rôle des ingénieurs doit évoluer en intégrant en amont les contraintes et exigences de sécurité, et ce directement au niveau de la conception des équipements électroniques et logiciels.
Comment pallier les vulnérabilités potentielles et assurer la sécurité des développements le plus tôt possible ? C’est l’un des défis des mois et années à venir.
Si jusqu’alors, l’aéronautique et la Défense étaient les grands demandeurs de cette approche, on retrouve désormais ces exigences dans toutes les branches industrielles. Loin d’être anecdotique, il s’agit bien d’une vague de fond.
Plusieurs approches sont possibles. Le recours à des ingénieurs cybersécurité est la 1ère option, bien sûr ; mais il est également important de s’entourer d’architectes systèmes dotés d’une forte sensibilité à ces problématiques, afin de limiter le risque de se faire pirater ou de concevoir des produits qui pourront être hackés par la suite.
D’après ce guide consacré à la cybersécurité des systèmes industriels, plusieurs acteurs sont responsables de la conception d’une architecture sécurisée :
“1- les bureaux d’étude de l’ingénierie système, l’équipementier et intégrateur, de façon à constituer une équipe comportant un ou plusieurs experts cybersécurité en réalisation ;
2- des experts en automatisme et sûreté de fonctionnement, en support ;
3- le chef de projet technique et le responsable de la cybersécurité (ou à défaut le responsable métier), en approbation des livrables d’étude ;
4- les responsables locaux ayant une connaissance approfondie du système existant”
Au-delà des experts métiers, c’est la conception elle-même qui est amenée à évoluer. De nouvelles contraintes et exigences sont à prendre en compte pour aboutir à des conceptions toujours plus sécurisées et viser une convergence IT/OT qui pouvait faire défaut jusque-là.
Cela conduit également à réfléchir à des questions comme celle du recours aux FPGA, ces circuits logiques programmables qui permettent de s’affranchir partiellement des logiciels et semblent limiter le risque d’intrusions indésirables. “
Ce dernier point est à tempérer par la découverte de vulnérabilités propres (lire à ce sujet cet article sur les FPGA de Xilinx) : “si les FPGA ne sont pas vraiment exposés aux attaques par observation (étant reprogrammables, un attaquant n’obtiendrait que l’architecture du FPGA lui-même et non la logique propriétaire qu’il contient), ou de sur-production (le code peut être déployé chez le client, le partenaire ne le voit donc jamais), ils sont en revanche vulnérables à d’autres types d’attaques”. De nouvelles approches ont toutefois été implémentées pour un chiffrement plus sécurisé.
Le groupe Ametra est particulièrement attentif à ces exigences pointues en matière de cybersécurité et à ce que ses enjeux représentent pour l’ensemble de la filière industrielle et les ingénieurs impliqués. Pour en savoir plus sur nos métiers et nos valeurs, rendez-vous dès maintenant sur notre site officiel. N’oubliez pas non plus de nous suivre sur LinkedIn pour plus d’actualités sectorielles !