« En matière de cybersécurité des outils industriels, nous partons de loin. » Ce constat implacable, c’est celui que partagent Lucille Perrier-Khurana et Aymeric Nosjean, respectivement dirigeante de DATIVE et responsable du pôle Cybersécurité.
Cette société de 15 salariés, filiale du groupe Gérard Perrier Industrie, déploie des solutions logicielles de monitoring intelligent dans les entreprises industrielles, et les accompagne dans la protection de leurs outils industriels. Un domaine encore peu pris en compte : « Les machines industrielles constituent un angle mort de la cybersécurité », estime la dirigeante.
« On remarque que les entreprises et leur service informatique sont sensibilisés à la protection des données dans les bureaux, mais très peu dans les ateliers. Pourtant, les risques peuvent être tout aussi catastrophiques », poursuit la directrice générale du groupe Gérard Perrier industrie.
Les identifiants des machines sont souvent visibles sur des post-its dans les ateliers, accessibles à tous. Il suffit de les prendre pour installer un logiciel malveillant.
Des « quicks wins » pour parer les risques industriels
Pour autant, la société ne fait pas du catastrophisme un argument de vente. « Il ne s’agit pas de faire peur et de tout sécuriser, car cela peut engendrer des coûts importants et être contreproductif. Il faut avant tout connaître les risques encourus et définir avec le dirigeant lesquels sont acceptables ou pas », explique Aymeric Nosjean.
L’humain, première vulnérabilité mais aussi premier rempart
Sur le terrain, il remarque que beaucoup de failles peuvent être comblées très facilement. « Quand nous nous rendons dans les ateliers, nous n’avons pas besoin de demander les identifiants des machines. Ils sont presque toujours indiqués sur des post-its à peine cachés. N’importe qui peut y accéder et installer un programme malveillant », détaille-t-il. L’émergence de l’industrie 4.0 et donc des machines connectées comportent leur part de failles. « Sur des machines à commandes numériques, nous avons pu nous connecter à des jeux ou des sites de vente en ligne. Nous aurions très bien pu naviguer sur des sites malveillants. » Face à cela, il préconise de restreindre la connexion aux usages essentiels. Mais encore faut-il avoir les connaissances nécessaires.
Les cyber-experts de l’industrie : des profils rares
« Les experts en cybersécurité et en process industriels sont encore très rares. Ce ne sont pas des compétences que nous trouvons toutes prêtes, mais les choses évoluent. » Parmi ces évolutions, l’accroissement des offres de formation spécifiques à l’industrie. “Avec l’industrie 4.0 et l’intelligence artificielle, les besoins en recrutement seront nombreux”, ajoute Aymeric Nosjean.
En matière de cybersécurité, sensibilisation, compétences et bon sens sont les maîtres-mots, car s’il est reconnu que l’humain est la première des vulnérabilités. Il est aussi le premier rempart.
Lucille Khurana – Perrier et Aymeric Nosjean respectivement dirigeante de DATIVE et responsable du pôle Cybersécurité.
