Grand rendez-vous tourné vers l’industrie 4.0 et l’étranger, le salon Global industrie s’est déroulé du 17 au 20 mai, à Paris Nord Villepinte. Afin d’accompagner ses visiteurs et les sensibiliser aux cybermenaces croissantes, un village cybersécurité regroupait pour la première fois une dizaine d’entreprises, à même de les informer sur cette problématique et de leur présenter les solutions existantes. Focus.
Le salon Global Industrie se place comme « le seul événement de France à couvrir l’ensemble de l’industrie », de son écosystème (start-ups, grands groupes, sous-traitants, fabricants d’équipements ou de solutions industrielles, pôles de compétitivité, centres de recherche, incubateurs ) jusqu’à sa chaîne de valeur (R&D, conception, production, maintenance, services, formation…) en passant par l’ensemble de ses marchés utilisateurs (transports, énergie, agroalimentaire, chimie, cosmétologie & pharmacie, mécanique…). Il a réuni, du 17 au 20 mai à Paris, plus de 2 300 exposants et 28 000 visiteurs sur site, ainsi que 15 000 personnes en ligne.
Il était cette année « placé sous le signe de la réindustrialisation responsable », indiquent les organisateurs, qui ont « tout mis en œuvre pour accompagner la filière vers l’industrie du futur, la relocalisation, la transition écologique, l’indépendance énergétique, mais aussi les technologies de demain » telles que l’impression 3D ou encore la cybersécurité. Un village, regroupant une dizaine d’entreprises spécialisées, était d’ailleurs, pour la première fois, dédié à cette thématique.
Plusieurs conférences ont également été données, notamment avec les témoignages de Sanofi et EDF Hydro. Loïs Samain, responsable de la sécurité des systèmes d’information chez cette dernière, a apporté une définition de la cybersécurité : « Elle se réfère à un ensemble de techniques utilisées pour protéger les réseaux, systèmes, applications et données contre des attaques (malveillantes ou involontaires), dommages ou accès non autorisés. Son objectif est de protéger tout le patrimoine matériel (serveurs, système, etc.) et immatériel (données) de l’entreprise. » Quatre critères de sécurité, indispensables au bon fonctionnement des systèmes, ont été établis pour fixer les objectifs de protection : « la disponibilité, l’intégrité, la confidentialité et la traçabilité ».
IT et OT
La cybersécurité est un maillon essentiel et stratégique des systèmes numériques. Ces derniers sont constitués de deux univers, « aux enjeux très différents », mais « qui sont de plus en plus interconnectés dans l’industrie 4.0 », souligne Céline Thievenaz, responsable d’activité automation pour l’entreprise Ekium, présente au sein du village cybersécurité. Les systèmes d’information d’entreprise ou IT (pour Information Technologies), qui permettent de numériser l’information et les processus et traitent essentiellement des données. Les équipes IT ont en charge la partie gestion entreprise de l’usine, elles interviennent sur l’ensemble des technologies de l’information et de communication (réseau, matériel, logiciel, téléphonie) nécessaires au pilotage commercial, administratif et financier de l’entreprise.
Et les technologies opérationnelles, ou OT (pour Operating Technologies), qui regroupent les systèmes numériques qui ont un impact sur un environnement physique et permettent le bon fonctionnement de l’outil de production, son pilotage opérationnel. Les équipes OT se composent des automaticiens et des personnes en charge de l’informatique industrielle et de la maintenance industrielle. « Avant, les systèmes OT n’étaient pas réfléchis pour être interconnectés avec l’extérieur. La cybersécurité dans les systèmes industriels, ça n’existait pas, pointe Loïs Samain. Aujourd’hui, ils sont fortement informatisés et interconnectés avec les systèmes d’information classiques, mais aussi les prestataires de maintenance et les IoT qui sont des portes d’entrées. Les nouvelles architectures sont plus ouvertes. » À ce titre, « ils sont exposés aux mêmes menaces, avec des conséquences potentiellement plus graves », indique l’Agence nationale de la sécurité des systèmes d’information (lire encadré). Les cybermenaces ciblent d’ailleurs aujourd’hui davantage les systèmes OT.

Évolution des pratiques et des normes
Pour s’en prémunir, il existe différents outils, notamment des guides publiés par l’Anssi. « Deux sont essentiels », indique Loïs Samain. Le guide d’hygiène informatique, « le b.a.-ba pour assurer la sécurité de vos systèmes d’informations (sensibiliser, former, contrôler les accès, sécuriser les postes, etc) » et le guide de bonnes pratiques pour les TPE/PME « qui explique quelles mesures mettre en place pour protéger de façon globale votre entreprise ».
Afin de faire progresser la cybersécurité industrielle en France et en Europe, le syndicat professionnel des entreprises de la filière électronumérique (Gimelec) a aussi créé, en 2020, le club Cyber OT. Il rassemble une trentaine d’entreprises, couvrant l’ensemble des offres du secteurs : conseil et audit, matériels, installation et maintenance. Plusieurs d’entre elles étaient présentes sur le salon au sein du village cybersécurité. Ce club a pour ambition de fédérer les offreurs en cybersécurité OT en France, pour sécuriser les technologies électronumériques conçues, fabriquées et vendues en grande partie par les membres du Gimelec. « L’objectif est de permettre d’assurer la pérennité des apports du numérique dans les économies modernes. Pour cela, renforcer, la coopération entre clients et fournisseurs est un enjeu-clé », estime Marc Fromager, président du club Cyber OT. Et « des efforts importants sont à faire pour organiser les entreprises et financer cette ambition, mais aussi pour préciser la façon dont la cybersécurité pourra, demain, se combiner avec pragmatisme et sans accrocs avec les exigences du monde industriel ».
Des normes et directives permettent également aux entreprises de mettre en place des stratégies et politiques cohérentes en matière de cybersécurité. Jusqu’alors, il y avait d’un côté la sécurité des systèmes d’information IT (Iso 27000) et de l’autre la sécurité industrielle OT (sûreté de fonctionnement et sécurité fonctionnelle) avec l’IEC 61508 et les normes sectorielles. La norme IEC 62443 regroupe désormais ces deux environnements et se place comme référence en matière de cybersécurité industrielle.
À l’échelle européenne, la directive Nework Internet Security, dite NIS 2, est en cours d’adoption. Elle définit un cadre général pour assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information des pays européens. Cette deuxième version étend le dispositif des Opérateurs d’importance vitale (OIV) à une catégorie plus large appelée Entités essentielles, soit tous les acteurs des secteurs critiques dont les interruptions pourraient avoir des effets négatifs sur le fonctionnement du pays (énergie, transport, marchés financiers, santé, etc) ainsi qu’aux Entités importantes, nouveau statut créé pour les entreprises ayant un rôle majeur dans l’économie du pays et la vie quotidienne des citoyens, tels que les services postaux, la gestion des déchets mais aussi l’agroalimentaire.
Ermeline Mouraud