De nombreuses organisations envisagent encore la cybersécurité sous l’angle IT, en oubliant l’aspect opérationnel. Par conséquent, de nombreuses infrastructures vitales sont en danger. Selon Laurent Martini de Splunk, spécialiste de l’analyse de données machines et du monitoring d’infrastructures informatiques, les organisations doivent prendre conscience que la cybersécurité doit se concentrer sur l’ensemble de l’organisation et réduire le fossé entre l’IT et l’OT. Les cybercriminels ne connaissent eux pas de limites ou de frontières entre ces deux domaines.
Actuellement, les processus opérationnels sont automatisés et numérisés à un rythme rapide. Toutes sortes de données concernant ces processus sont collectées et constituent, pour de nombreuses organisations, la principale source d’optimisation de la production. En optimisant ces données, celles-ci sont en mesure de maximiser leurs performances, d’identifier les tendances émergentes et de mettre en œuvre des mises à jour et des améliorations. La technologie d’exploitation (OT) accomplit donc de plus en plus de tâches, qu’il s’agisse de contrôler des robots dans un atelier de production ou de superviser des infrastructures.
Toutefois, cette évolution s’accompagne également de cyber-risques. Les systèmes industriels connectés à Internet et mal sécurisés peuvent en effet provoquer des situations dangereuses et avoir un impact social significatif. Beaucoup de ces systèmes soutiennent les infrastructures vitales. Parmi elles figurent l’approvisionnement en eau potable, les réseaux électriques, l’approvisionnement en pétrole et en gaz, l’infrastructure de nos systèmes de communication ou encore les transports publics. Une cyber-attaque stratégique, consistant par exemple à pirater l’approvisionnement en électricité et à exiger une rançon, peut donc provoquer des perturbations sociales majeures. Les cybercriminels le savent mieux que quiconque et recherchent donc activement les points faibles à attaquer.
Quelles sont les réponses à apporter ?
Afin de garantir la sécurité des systèmes opérationnels, les organisations doivent combler le fossé entre l’IT et l’OT. Les deux domaines ont des intérêts opposés l’un à l’autre. Alors que l’IT se concentre sur la garantie de la confidentialité des informations, l’OT se concentre sur la disponibilité et l’intégrité des systèmes. En outre, dans le domaine de l’OT, la continuité des processus revêt une grande importance ; ceux-ci ne peuvent généralement pas être arrêtés ou interrompus sans conséquences importantes.
Pour empêcher les cybercriminels de mener à bien une attaque, les organisations devront prendre des mesures de sécurité supplémentaires, en plus de la sécurité traditionnelle d’un environnement IT. Par exemple, elles pourraient opter pour une solution de supervision unique capable d’analyser à la fois les environnements IT et OT. Bien que les organisations ne veuillent souvent pas arrêter la production pour effectuer des mises à jour, il est recommandé de le faire, car le risque de vulnérabilité est élevé et les cybercriminels recherchent activement les failles. Les entreprises doivent donc entretenir régulièrement le logiciel de leurs appareils et effectuer toutes les mises à jour.
Outre l’écart technologique, il est également important de réduire l’acculturation entre les équipes. Les entreprises peuvent par exemple lancer une consultation conjointe entre l’équipe IT et l’équipe OT. Cela permettra d’orienter une approche intégrale de la cybersécurité. La formation à la sécurité est importante pour prévenir les cyber-attaques. Grâce à la formation à la cyber-sensibilisation, tous les membres de l’organisation sauront que la sécurité OT fait partie des principaux processus de l’entreprise.
Superviser les activités opérationnelles
Les entreprises peuvent également impliquer la direction dans tous les processus en effectuant régulièrement des audits opérationnels. Ceux-ci montrent dans quelle mesure l’organisation est « sous contrôle ». Le fonctionnement du système opérationnel de l’organisation est ainsi examiné. L’audit peut se concentrer sur les différentes parties du cycle de contrôle de gestion et souligne la responsabilité de la direction pour toutes les étapes de celui-ci. De cette manière, la direction peut déterminer quels sont les risques acceptables et les besoins d’investissement correspondants, puisqu’elle est responsable des processus de production. La direction doit également considérer sur un pied d’égalité ses employés IT et OT qui effectuent un travail équivalent.