Si l’industrie se numérise, il faudra aussi qu’elle se sécurise


Le secteur industriel s’automatise de plus en plus pour gagner en compétitivité. Cette numérisation doit intégrer les principes de sécurité pour ne pas mettre en danger sa production et son environnement. Fort de l’expérience d’Orange Cyberdefense, état des lieux de la cybersécurité dans ce domaine stratégique.

Un secteur de plus en plus robotisé… et numérisé

L’industrie est présente dans tous les pans de l’économie : la santé, les transports, l’énergie, les bâtiments, le traitement de l’eau… Elle structure l’ensemble de la société et s’appuie sur des processus de production qui impliquent souvent des équipements lourds et des investissements sur le long terme. Ces métiers exigent une expertise acquise au long de plusieurs décennies de pratique, aujourd’hui bouleversées par l’intensification de la numérisation.

Selon la Fédération Internationale de la Robotique (IFR), les ventes de robots industriels progresseront en moyenne de 14% par an dans le monde entre 2019 et 2021. Pour la seule année 2018, les entreprises industrielles ont acquis quelques 421 000 nouveaux robots. Cela représente une hausse de 10% par rapport à 2017, qui fut déjà un millésime record avec + 30% comparé à 2016. Un pays comme la France compte 137 robots pour 10 000 employés ; ils sont 710 en Corée du Sud.

Etat des lieux des vulnérabilités constatées par les auditeurs d’Orange Cyberdefense

C’est dans ce contexte que les experts d’Orange Cyberdefense sont intervenus depuis 2013 au sein des entreprises, d’abord des grands groupes et de plus en plus des ETI et des PME, pour accompagner la sécurisation de la transformation numérique de ces organisations en pleine mutation. Cette expérience concrète permet d’établir une photographie de l’état de la prise en compte de la cybersécurité chez les professionnels de l’industrie.

Si l’on devait établir, par la fréquence des faits constatés lors de ces centaines d’audits réalisés chaque année, un palmarès des vulnérabilités identifiées en matière de sécurité numérique, la première place serait occupée par le manque d’hygiène informatique sur les SI industriels autour des éléments essentiels notamment : l’absence d’ authentification des acteurs, le manque de gestion des droits, l’absence de segmentation des environnements et même  l’existence de réseaux dits «  plats ».

L’absence de durcissement des systèmes d’information qui persistent trop souvent à utiliser des solutions basiques sans précautions particulières.

De plus, la gestion des modalités de pilotage des interfaces Homme/Machine (IHM) laisse encore trop souvent à désirer. La connexion en continu desdites IHM est généralement la règle, ce sans véritable réflexion sur l’encadrement de ces pratiques lorsque celles-ci sont accessibles à distance.

Le deuxième point de faiblesse des sociétés industrielles peut être lié à l’évolution des nouveaux usages et le recours croissant aux services.

En effet, les fournisseurs ne proposent plus seulement l’intégration d’une machine-outil mais également les services pour assurer le maintien en conditions opérationnelles (télémaintenance, maintenance prédictive) ou de proposer des services complémentaires pour améliorer la productivité. Ces nouvelles installations n’intègrent pas les problématiques de cybersécurité dès la conception, ni dans les éléments contractuels (engagements de disponibilités, sécurité chez le fournisseur…).

Le dernier point concerne l’absence de capacités de détection d’intrusions. Avec  l’augmentation des cyber-menaces  et la connectivité accrue des systèmes à l’ère de l’industrie 4.0, la mise en place de solutions techniques et d’une organisation adaptée est primordiale dans une stratégie de sécurisation et protection face à des cyber-attaques. Ce sujet est en train d’évoluer par l’introduction et l’émergence petit à petit des SOC industriels.

Manquements principaux à la cybersécurité : une photographie instructive

Vous trouverez dans l’illustration ci-dessous la liste plus complète des principaux manquements techniques ou organisationnels constatés dans les entités auditées par Orange Cyberdefense. Il ne s’agit certainement pas de les stigmatiser mais bien de faire bénéficier les décideurs IT de cette cartographie afin qu’ils sachent où chercher les points d’amélioration dans leurs propres organisations.

Benchmark de la sécurité industrielle | Orange Cyberdefense

Cette culture du partage d’informations constitue une démarche à part entière vers une meilleure sécurité. En bénéficiant de l’expérience de ses pairs, on est ainsi plus à même d’orienter ses choix stratégiques. Cette aide est précieuse dans un contexte où les décisions à prendre interviennent dans un environnement changeant et particulièrement incertain.

Liens utiles

  • Adoption de la Directive européenne Network & Information Security (NIS():

https://www.ssi.gouv.fr/actualite/adoption-de-la-directive-network-and-information-security-nis-lanssi-pilote-de-la-transposition-en-france/ (ouvre un nouvel onglet)

  • La cybersécurité des sites industriels. Les recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

https://www.ssi.gouv.fr/guide/la-cybersecurite-des-systemes-industriels/ (ouvre un nouvel onglet)

  • Sécurité industrielle : de la prise de conscience à la prise de responsabilité

https://cyberdefense.orange.com/fr/blog/securite-industrielle-de-la-prise-de-conscience-a-la-prise-de-responsabilite/ (ouvre un nouvel onglet)

Nicolas Arpagian, Directeur de la Stratégie d'Orange Cyberdefense

A propos du blogueur

Nicolas Arpagian, Directeur de la Stratégie et des affaires publiques d’Orange Cyberdefense.
Il est enseignant à l’Ecole Nationale Supérieure de la Police (ENSP) et intervenant à l’Ecole Nationale de la Magistrature (ENM). Il est membre du Conseil d’orientation de l’Institut Diderot.
Il a fondé et dirigé le Cycle « Sécurité Numérique » à l’Institut National des Hautes Etudes de la Sécurité et de la Justice (INHESJ).


Nicolas est l’auteur d’une douzaine d’ouvrages parmi lesquels :
– « La Cybersécurité » dans la collection Que Sais-Je ? aux Presses Universitaires de France (PUF).
– « Quelles menace numériques dans un monde hyperconnecté ? », Institut Diderot, 2018.
– « L’Etat, la Peur et le Citoyen », Editions Vuibert
– « La Cyberguerre – La guerre numérique a commencé », Editions Vuibert.

Suivez-nous sur :

Conseil & Audit

Nos experts accompagnent les entreprises dans leur stratégie de cybersécurité