Alors que les cybermenaces sur les systèmes d’information sont toujours aussi intenses, une autre partie de l’univers informatique professionnel reste souvent moins médiatisée : les systèmes opérationnels dits « OT » que l’on retrouve notamment dans les usines. Depuis des années, les spécialistes préviennent que le rapprochement des systèmes IT et OT dû à la digitalisation fait naître de nouveaux risques. Pour Jean-François Siquet, Global Operational Technology Product Director chez Air Liquide, de très importants progrès ont cependant été faits en quelques années.

Alliancy. Qu’est-ce qui a le plus changé ces dernières années au niveau de la sécurisation des systèmes opérationnels, « l’OT » ? 

Jean-François Siquet. Les industriels se sont mobilisés pour que la digitalisation s’accompagne d’une plus forte sécurisation. Chez Air Liquide par exemple, nous avons commencé un programme dédié entièrement à la sécurisation de l’OT en 2019. L’idée était de se donner les moyens pour aller plus loin que seulement « connecter les usines », qui était le parti-pris historique pour gagner en performance. Après un audit en 2016 à l’échelle européenne, nous avons bâti un programme global, dont le point de départ était une analyse extensive des risques, à partir des références du NIST, de l’Agence nationale de la sécurité des systèmes d’information, des certifications ISO… Pour autant nous savions que c’était aussi un travail de longue haleine qui s’ouvrait, appelé à durer pendant des années.

Qu’est-ce qui rend le sujet si complexe ?

Le premier challenge est toujours de convaincre qu’une attaque cyber n’arrive pas qu’aux autres. Sécuriser sérieusement l’OT, cela à un coût, et il n’est pas toujours évident pour les métiers d’une entreprise de voir que la digitalisation d’une entreprise industrielle augmente la surface d’attaque à laquelle elle est exposée. Cette transformation fait apparaître des risques complètement nouveaux et il faut donc réagir et investir en conséquence.

Heureusement, ces dernières années, ce travail de conviction a été simplifié : par exemple, chez Air Liquide, il y a eu une prise de conscience généralisée dans le groupe, depuis nos collaborateurs sur les sites de production jusqu’au top management.

L’argument clé, c’est que nos opérations 24H/7 doivent rester toujours fiables… Le message n’est donc pas en soi sur la cybersécurité, mais doit aller jusqu’à la fiabilité, la résilience, la redondance. Côté sécurité, notre état d’esprit et notre communication ont donc évolué pour faire adhérer les métiers à une approche plus globale. Cette transversalité est importante, car souvent dans une entreprise industrielle, les mondes OT et IT sont perçus comme complètements séparés. En effet, ce ne sont pas les mêmes processus, pas les mêmes SLA… Mais aujourd’hui, ce principe de séparation ne tient plus. Le groupe a d’ailleurs été amené à centraliser l’approche OT comme celle de l’IT : cela a eu pour effet une compréhension plus fine des exigences sécurité d’un côté, mais aussi des implications métiers de l’autre. Pourquoi est-il possible de patcher telle machine et pas telle autre ? A quel rythme amener le changement ? Quels sont les impératifs technologiques et d’usages ? C’est ce qui permet de trouver le bon équilibre.

A quel type de menaces faites-vous particulièrement attention ?

On peut résumer en plusieurs points. D’abord, les attaques par clé USB ont nettement augmenté en quelques années. Chez Air Liquide, nous avons donc généralisé les stratégies de décontamination des clés. Ensuite, on voit également beaucoup d’attaques vraiment centrées sur l’IT, mais qui vont « sauter vers l’OT » de manière opportuniste. Cela oblige à avoir une vision claire des points de contact. Enfin, l’OT peut également être visé directement par différentes formes de sabotage.

La maturité est-elle enfin au rendez-vous à la fois du côté des offreurs, et des collaborateurs sur le terrain ?

Il y a eu un gain de maturité au niveau des discours, du fait de l’exposition au sujet par l’actualité. On a ainsi vu un armateur faire les gros titres il y a quelques années, ou plus récemment une agglomération communiquer largement sur la cyberattaque qu’elle a subi au printemps… cela touche tout le monde. Mais ce genre de sensibilisation par les journaux ne suffit pas pour vraiment passer un cap de maturité. C’est pourquoi le groupe a également œuvré au maximum pour mettre tout le monde dans la boucle autour de la sécurité, et que ne persiste pas ce sentiment qui persiste que c’est l’affaire de certains et pas d’autres. Ce qui a vraiment changé, c’est le fait de pouvoir montrer qu’il y a une réelle convergence IT-OT sur l’offre de service industrielle, notamment sur la gestion des incidents. On convainc avant tout du bénéfice opérationnel de la digitalisation et de la résilience, qui sont sources de gains. C’est ce qui fonctionne.

De son côté, le marché a évolué, mais on rencontre toujours des problématiques dans la gestion des solutions tierces : l’interopérabilité et la compatibilité entre de nombreuses solutions, est notamment vraiment complexe, or cet aspect est clé car des solutions diverses sont nécessaires pour couvrir l’ensemble de nos besoins.

Comment voyez-vous l’avenir en matière de sécurité de l’OT ?

Je pense qu’il va être de plus en plus important d’approfondir cette harmonisation globale. Nous allons avoir besoin d’accès aux tiers industriels locaux, qui ne sont pas gérés en central. Des plateformes assez intéressantes naissent, qui commencent à être bien acceptées pour faciliter cette gestion plus transverse. Cela s’inscrit dans un mouvement de fond car la menace va continuer à s’intensifier. C’est donc très positif de renforcer les échanges entre entreprises, de ne pas être seul sur ces sujets. Il faut créer du collectif. Mais souvent, on va parler de convergence IT-OT uniquement sur la partie technique, alors que les enjeux sont avant tout humains. Chez Air Liquide, on le voit bien : nous sommes en train d’intégrer les équipes les unes aux autres et cela change tout pour la vision de la sécurité. C’est comme cela que l’adhésion se fait et que l’on peut passer un cap.