Article

La cybersécurité dans les entreprises de l’industrie suisse 4.0

Il faut maîtriser les cyber-risques afin de pouvoir tirer parti des perspectives qu’offre l’industrie 4.0. Pourtant, peu d’entreprises disposent d’une stratégie de cybersécurité globale et à jour. Une nouvelle étude de Deloitte explique comment les entreprises, en particulier celles spécialisées dans les produits connectés et intelligents, peuvent anticiper les cyber-risques et s’y préparer.

Konstantin Von Radowitz, directeur Produits de consommation et industriels, Deloitte Suisse

Olivier Bandle, directeur Services de cyber-risques pour les produits de consommation et industriels, Deloitte Suisse

L’industrie 4.0 et la numérisation au sens large offrent des possibilités inédites d’optimiser les processus internes, d’améliorer la compétitivité des produits et services existants et, surtout, d’innover. Toutefois, la numérisation présente également de nouveaux risques qu’il faut comprendre et gérer pour pouvoir exploiter tout son potentiel. Dans l’étude de Deloitte sur l’industrie 4.0, les entreprises suisses ont identifié la cybersécurité comme étant le principal risque que posent la numérisation et l’automatisation depuis des années. Les cyberattaques peuvent paralyser les systèmes de production en réseau et engendrer des dépenses colossales. Les entreprises suisses sont peu nombreuses à avoir dûment préparé et mis en œuvre une stratégie globale de cybersécurité.

Selon l’étude mondiale de Deloitte, Cyber risk in advanced manufacturing (Les cyber-risques dans le secteur de la fabrication avancée), parmi les 225 spécialistes en cybersécurité des entreprises manufacturières interrogés, près d’un tiers dit avoir subi une cyber-attaque l’année précédente. Le vol de propriété intellectuelle et les arrêts de fabrication sont considérés comme les cyber-risques les plus nuisibles. Le phishing/pharming, les virus, les atteintes à la sécurité par des tiers et le social engineering se traduisent par des dépenses très élevées. La compagnie maritime AP Moller-Maersk a évalué à 300 millions de dollars les coûts des cyberattaques qu’elle a subies l’année dernière. Petya a également contraint Cadbury à fermer temporairement toutes ses fabriques de chocolat en Australie.

Gestion des risques pour la production en réseau

De nos jours, les tests de vulnérabilité continus sont indispensables dans les processus de production automatisés. Des risques très importants naissent du fait que les anciens systèmes sont incompatibles avec un fonctionnement en réseau, que les ressources informatiques sont insuffisantes et qu’il faut minimiser les arrêts de production.

Parmi les personnes interrogées, un tiers n’a pas procédé à une évaluation des risques liés aux systèmes de contrôle industriels en production. De plus, les deux tiers de celles qui l’ont fait ayant utilisé d’importantes ressources internes, un éventuel problème de partialité au niveau organisationnel a pu se poser au cours de l’évaluation. Un tiers des répondants n’ont pas intégré la production en réseau à leurs plans de gestion des incidents informatiques.

Pour sécuriser efficacement une production de plus en plus autonome et dont la mise en réseau s’intensifie, il faut une protection globale basée sur quatre piliers :

  1. Stratégie : définir une cyber-stratégie métier claire
  2. Sécurité : renforcer les systèmes pour minimiser les incidents
  3. Vigilance : mettre en œuvre des programmes de surveillance
  4. Résilience : être capable de se relever d’une cyberattaque et de rétablir les opérations normales

La segmentation du réseau peut contribuer à améliorer la sécurité dans l’usine. L’isolement de certains systèmes du monde extérieur est une autre option de protection. Un isolement intégral risque de réduire l’efficacité et l’avantage financier des technologies de production avancées. Il est à éviter du point de vue de l’entreprise.

Gestion des risques pour les produits intelligents

La gestion des risques est une activité indispensable, non seulement pour la production mais aussi pour les produits eux-mêmes. À l’ère du numérique, les produits sont de plus en plus intelligents et communiquent avec leur environnement. Le fait qu’ils soient connectés ouvre la porte à des failles de sécurité. La moitié des répondants proposent déjà des applications pour leurs produits et les trois quarts permettent une mise en réseau de leurs produits via Wi-Fi. Ils doivent répondre à des exigences strictes en matière de sécurité de ces produits intelligents, car ils peuvent, entre autres, stocker et transmettre des informations confidentielles sur les clients (telles que des données de qualité ou de support technique). . Les actes de sabotage et attaques sur des véhicules et appareils ménagers connectés ont récemment montré que l’efficacité du chiffrement des données est devenue indispensable si l’on veut garantir la sécurité des informations. En outre, des mesures légales doivent être définies pour régir la responsabilité intra-organisationnelle vis-à-vis des risques et la notion de propriété des données et des transferts.

Il faut également prévoir des mécanismes supplémentaires de gestion des risques informatiques pour les produits intelligents avant leur utilisation :

  • Les experts en cybersécurité doivent participer à cette activité en amont pour identifier les éventuelles failles de sécurité des produits dès le début.
  • La surveillance continue, l’identification et l’évaluation des nouveaux cyber-risques pesant sur l’écosystème et constituant un danger potentiel pour les produits intelligents sont également essentiels.

La cybersécurité est un moteur de croissance

À l’ère de l’industrie 4.0, de nombreuses entreprises mentionnent les problèmes de sécurité majeurs comme étant la raison principale pour ne pas accélérer la transformation numérique de leurs processus de fabrication et de leurs produits. Cependant, pour rester compétitif, une numérisation et une automatisation avancées sont essentielles et ne doivent pas être freinées par d’éventuels risques informatiques.

Cela vous a-t-il été utile ?