Produire des objets communicants dans des usines connectées ne semble pas évident au regard des menaces de cybersécurité croissantes à l’échelle mondiale. C’est pourtant ce défi quotidien de cybersécurité industrielle que relèvent les usines du groupe ACTIA dans une démarche constante de qualité, de sécurité, d’innovation et d’excellence industrielle. Sébastien RABAUD, responsable de la sécurité de l’information du groupe (CISO), témoigne des risques liés à l’usine 4.0 et de l’approche de sécurisation de l’ensemble des chaines de production d’ACTIA.
Produire des objets communicants dans des usines 4.0, qu’est-ce que cela implique pour ACTIA ?
“ACTIA conçoit et fabrique dans ses usines des produits électroniques et des systèmes embarqués communicants pour plusieurs secteurs d’activités : automotive, aéronautique, spatial, énergie, etc
Les évolutions rapides de ces produits et systèmes impliquent :
- une augmentation de la complexité des fonctions logicielles ;
- l’intégration de nombreuses fonctions de sécurité ;
- et des traitements de données de plus en plus importants.
De plus, dans sa démarche d’amélioration constante de la performance et de la qualité de son service, le groupe fait évoluer en permanence ses moyens de production en intégrant de nouvelles approches et de nouvelles technologies à ses processus.
A cela s’ajoute un contexte externe en évolution rapide avec notamment la recrudescence des cyberattaques. Ces évolutions impliquent une augmentation des risques et nécessite une approche globale de gestion de la cybersécurité intégrée à la fois aux métiers et aux processus industriels.”
Comment la gestion de la cybersécurité industrielle impacte les usines du groupe ?
“ACTIA est confronté à plusieurs grandes tendances qui ont impacté et continuent à impacter fortement l’évolution de nos usines. La première de ces tendances est la numérisation des chaines de production au sens large, qui se traduit notamment par l’usage généralisé de systèmes issus du monde IT, une connectivité et une interconnexion accrues de ces chaines de production avec des environnements externes : clients, fournisseurs, etc. Cette numérisation s’exprime dans la dématérialisation de procédures papier, l’utilisation d’outils analytiques, parfois en mode Saas/Cloud, ou tout simplement par l’augmentation de l’usage des emails.
L’autre grande tendance est liée à l’évolution des produits eux-mêmes. Dans la mouvance « IoT », l’internet des objets, ces derniers deviennent de plus en plus connectés et intelligents. Les produits que fabrique le groupe ACTIA intègrent donc des éléments sensibles comme des composants, des données, des clés cryptographiques, etc. Cela accroit le besoin de sécurisation des environnements de production. C’est toute la chaine de production qui doit être sécurisée.
À cette tendance s’ajoute, dans la stratégie industrielle du groupe ACTIA, une synergie importante entre toutes les usines réparties sur trois continents. Cette logique d’optimisation de notre performance industrielle suppose un niveau sécurisation adapté aux moyens de collaboration et échanges de données entre les différents sites de production.”
Comment décririez-vous la démarche cybersécurité industrielle d’ACTIA ?
“Au-delà des aspects de sécurisation technique de notre environnement de production, répondre à ces défis nécessite d’adresser la cybersécurité de manière plus large, au niveau de nos processus métiers, de l’humain, de la supply chain. ACTIA met donc en œuvre une démarche globale et holistique de gestion de la cybersécurité, qui ne se limite pas à notre environnement usine, mais s’étend à l’ensemble des interfaces.
Afin d’obtenir et d’attester d’un bon niveau d’assurance et de confiance sur l’efficacité de cette démarche, nous maintenons depuis 2018 une certification de notre système de management de la sécurité de l’information selon la norme ISO27001.
Cette approche intègre de manière complémentaire l’application de référentiels adaptés au contexte industriel tel que le Guide de Cybersécurité industrielle de l’ANSSI par exemple ou des standards d’ingénierie cybersécurité Automotive comme l’ISO21434.”
Comment est mise en œuvre cette approche globale de la cybersécurité ?
La protection des réseaux industriels contre les cyberattaques nécessite une combinaison de moyens et mesures de sécurisation d’une part adaptés spécifiquement à chaque environnement et d’autre part globale à l’ensemble du système, dans une logique de défense en profondeur.
Une brique fondamentale du dispositif est la sensibilisation et la formation de l’ensemble des acteurs intervenant dans les processus industriels (opérateurs, procédés, méthodes, informatiques, …), car ce sont eux qui portent les risques et « font » la sécurité de l’usine.
Ce dispositif s’appuie aussi sur un inventaire précis et détaillée ainsi qu’une compréhension approfondie de l’environnement de production : processus, procédés, systèmes industriels, infrastructures réseaux, flux de données.
Cette approche nous permet de disposer de mesures de protection adaptés aux risques de cybersécurité, tout en limitant l’impact en termes de performance industrielle et en favorisant l’appropriation par les acteurs.
Afin de compléter ce dispositif, nous assurons une supervision continue et un traitement des évènements de sécurité sur notre environnement industriel, ainsi qu’une veille permanente sur les vulnérabilités et menaces.
Le mot de la fin
Le système de management de la sécurité de l’information ainsi mis en en place et maintenu au sein d’ACTIA nous a permis de répondre de manière adapté aux enjeux actuels de cybersécurité industrielle, mais aussi de faire évoluer la culture d’entreprise plus globalement.
Il nous permet d’envisager avec le bon niveau de sécurité les besoins d’évolutions de nos usines, en termes de capacité à intégrer de nouveaux produits ou moyens de production.
Nous sommes donc confiants dans la capacité du groupe à relever les challenges de l’usine du futur au-delà de l’usine 4.0, en nous projetant vers l’usine 5.0.