La connexion de nos usines, machines et bâtiments avec Internet constitue une étape indispensable pour tirer pleinement profit de la numérisation. D’innombrables articles ont déjà été consacrés à cette création de valeur, à juste titre d’ailleurs. Cependant, un élément essentiel reste trop souvent sous-estimé : la cybersécurité. En d’autres termes, comment protéger cette valeur créée ?
Une lointaine réalité ?
La cybersécurité, une lointaine réalité ? Non, ce n’est plus le cas depuis longtemps. À la fin 2020, les cyberattaques par rançongiciel subies par quelques laboratoires flamands (notamment à Bruges et à Anvers) ont donné un nouveau coup de semonce[1]. Mais ce n’était pas le premier, en témoigne l’attaque qui a paralysé les activités internationales d’un fabricant de métiers à tisser yprois. Dans tous les cas, il suffit d’une seule cyberattaque réussie pour que les conséquences soient dévastatrices, voire existentielles pour une entreprise.
Il va de soi que nous voulons conserver la valeur que nous avons déjà créée et que nous allons encore créer avec la transformation numérique. Pour ce faire, nous avons urgemment besoin d’une nouvelle culture de la sécurité.
Une nouvelle culture de la sécurité
Depuis bien des années, nous avons en Belgique et dans le monde une culture de la sécurité (la sécurité au sens du terme anglais « safety »), qui se concentre sur la prévention des dommages non intentionnels, comme les accidents sur un chantier ou dans une usine. Grâce à la formation continue, aux répétitions et au leadership, le nombre moyen d’accidents a finalement enregistré une baisse spectaculaire.
À cet égard, le passé est riche d’enseignements : nous savons déjà comment mettre en place une culture d’entreprise et nous l’avons déjà fait en matière de sécurité/safety. Nous avons maintenant besoin d’une approche solide pour la « security » et plus particulièrement pour la cybersécurité, afin de nous protéger contre les attaques intentionnelles.
Pas de « safety » sans « security »
En effet, il n’y a pas de « safety » sans « security » et inversement. La cyberattaque contre la centrale nucléaire en Iran qui s’est produite il y a quelques années en est un exemple parfait à l’échelon international[2]. Toutes les procédures et règles de sécurité traditionnelles pour assurer la sécurité physique des travailleurs sont vaines lorsqu’une cyberattaque parvient à perturber les paramètres à tel point qu’elle fait craindre des catastrophes.
Le facteur humain
La technologie, les processus et la gouvernance sont certes importants, mais nous savons que l’élément essentiel de la mise en place d’une culture réside dans le facteur humain[3]. Si nous voulons établir une culture de la (cyber)sécurité forte, nous devons commencer par nous-mêmes, par notre capital humain. Dans 95 % des cas, les cyberattaques sont dues à une erreur humaine . Dès lors, la mise en place d’une culture de la (cyber)sécurité commence par la sensibilisation de tous les travailleurs. Formation, communication – formation, communication – répétez.... Voici la clé pour constituer la base.
L’impact de l’IoT et l’Industrie 4.0
De plus, une culture de la (cyber)sécurité moderne requiert non seulement une attention dans le domaine IT, mais aussi de plus en plus dans le domaine de la technologie opérationnelle (OT). De nombreuses entreprises très matures en matière de cybersécurité IT sous-estiment encore l’impact de l’IoT et de l’Industrie 4.0 sur la technologie opérationnelle. Pensez notamment aux systèmes de plus en plus connectés qui permettent de purifier notre eau potable ou d’assurer un fonctionnement sûr et contrôlé des turbines dans les centrales électriques. Dans un prochain blog, j’approfondirai le thème de la nécessité d’une approche spécifique en matière de stratégie de la sécurité OT induite par le fait que l’IT et l’OT ont des priorités totalement différentes.
Footnotes
- ^ https://www.vrt.be/vrtnws/fr/2021/01/09/des-cyberattaques-pourraient-menacer-la-campagne-de-vaccination/
- ^ https://en.wikipedia.org/wiki/Stuxnet
- ^ https://www.cybintsolutions.com/cyber-security-facts-stats/
