Dans un monde où la connectivité est omniprésente, la sûreté des environnements en réseau repose sur des équipements fiables. De plus en plus de fabricants et d'industries développent et déploient des dispositifs IIoT (Internet industriel des objets) intelligents. C'est pourquoi la sécurité et la sûreté des systèmes essentiels deviennent cruciales, mais aussi difficiles à gérer. Ces complexités sont partiellement dues à l'absence de reconnaissance universelle d'une norme mondiale en matière de cybersécurité et d'un schéma d'évaluation de la conformité destiné aux produits connectés.
Aujourd'hui, des pays du monde entier établissent des normes sans tenir compte de leur conformité au niveau mondial. En raison de ces disparités, il devient difficile pour les fabricants de déterminer les normes auxquelles ils doivent se conformer, en particulier pour les produits fabriqués et vendus dans le monde entier. Je pense donc que les partenaires industriels et les organismes de normalisation doivent prendre des mesures proactives pour codifier les attentes et les meilleures pratiques en matière de sécurité pour les écosystèmes IIoT. Cela permettra de garantir une intégration cohérente des dispositifs de sécurité au sein des produits et, au final, d'économiser des milliards de dollars sur la conception de systèmes et les frais de recouvrement des cyberattaques.
Avec l'intégration croissante de périphériques IIoT dans les solutions et systèmes existants, les infrastructures essentielles et autres réseaux de systèmes de contrôle industriels sont de plus en plus vulnérables face aux cyberattaques. Il devient par ailleurs de plus en plus difficile de minimiser l'impact de ces dernières. Actuellement, les pertes globales causées par la cybercriminalité sont estimées à 600 milliards de dollars1, soit 0,8 % du PIB mondial. Ces dernières années, plusieurs incidents survenus sous forme d'atteintes graves à la sécurité ont attiré l'attention du monde entier, notamment en 2015 avec le maliciel « Industroyer » (ou « Crash Override »), qui a provoqué une vaste panne sur le réseau électrique ukrainien, ou encore en 2016 avec les attaques massives du botnet Mirai, qui ont compromis les caméras de sécurité et les routeurs IoT pour lancer plusieurs attaques par déni de service distribué.
Les caractéristiques uniques des technologies IIoT sont à la fois un enjeu technique et économique. D'un point de vue technique, les périphériques IIoT ont des capacités de calcul et de stockage limitées ; ils ne sont pas conçus pour prendre en charge des mesures de sécurité efficaces, comme le cryptage avancé ou la gestion des vulnérabilités et des correctifs. La solution à cet enjeu implique le développement d'algorithmes cryptographiques légers et de modèles commerciaux permettant des mises à niveau plus rapides des produits IIdO ainsi que la conception de systèmes capable de prendre en charge les mises à niveau micrologicielles via des connexions sans fil. Selon moi, la moindre faille de sécurité dans un réseau ou un système et c'est l'ensemble de ce dernier qui est compromis. Les entreprises doivent mettre en œuvre des mesures essentielles en matière de cybersécurité de base et analyser en permanence les menaces émergentes afin de garantir un déploiement sûr de leurs systèmes. En outre, les entreprises devraient lister l'ensemble des dispositifs connectés à leurs réseaux et utiliser un modèle « zéro confiance ». Cela implique des partenariats et des collaborations avec des fournisseurs de confiance afin d'identifier les menaces.
Bien que les solutions mentionnées précédemment soient réalisables, l'absence d'harmonisation des normes de sécurité IIoT pour les produits à l'échelle mondiale ralentit considérablement l'adoption et le déploiement de ces options. Le manque de coordination entre les normes, directives et réglementations en matière de cybersécurité de diverses entités internationales rend difficile, voire impossible, l'alignement des normes de cybersécurité universelles au niveau des systèmes IIoT pour les fabricants. De nombreux pays, régions et autorités locales développent leurs propres bonnes pratiques et normes en matière de cybersécurité pour les dispositifs IIoT et les infrastructures essentielles, engendrant ainsi un manque de parité. Dans de nombreux cas, ces organismes gouvernementaux ne disposent pas de l'expertise nécessaire pour tenir compte de la complexité des dispositifs IIoT et de leur utilisation.
De plus, les normes et les exigences en matière de cybersécurité sont très fragmentées selon les régions et les pays, les gouvernements ayant commencé à réglementer les technologies IIdO de manière très différente et parfois conflictuelle. Ceci est un véritable défi pour les fabricants et les intégrateurs de systèmes qui tentent de créer et de déployer des services destinés au marché mondial.
Les industriels et les organismes de normalisation se doivent de prendre en charge des programmes d'évaluation de la conformité appropriés afin de permettre la validation de normes pour les produits et systèmes à l'échelle mondiale. Il sera alors plus simple de respecter les normes des différents pays et régions.
Je suis convaincu que les organismes de normalisation peuvent mener à bien l'élaboration de normes mondiales en matière de cybersécurité de l'IIoT, incluant notamment des systèmes d'évaluation de la conformité appropriés. Les normes internationales ouvriront également la voie à des partenariats d'entreprises et universitaires ; ces relations contribueront à renforcer le vivier de talents nécessaire pour répondre à la pénurie de main-d'œuvre qualifiée dans le domaine de la cybersécurité et en particulier de l'IIoT.
Je suis convaincu que les organismes de normalisation peuvent mener à bien l'élaboration de normes mondiales en matière de cybersécurité de l'IIoT, incluant notamment des systèmes d'évaluation de la conformité appropriés.
Le défi qui nous attend est de susciter plus de dialogue entre les organismes de normalisation en sensibilisant les fabricants, les fournisseurs et les consommateurs d'IIoT sur les risques associés aux solutions et produits non sécurisés. Même si je pense que les organismes de normalisation peuvent aider à orienter les conversations sur la cybersécurité, celle-ci requiert un effort collectif, et particulièrement chronophage, en particulier dans les domaines moins portés sur les avancées technologiques.
Alors que les secteurs commencent doucement à faire progresser la cybersécurité, il existe des mesures que les propriétaires d'entreprise et les responsables d'installations peuvent prendre dès aujourd'hui afin de réduire les risques en matière de cybersécurité sur les systèmes et réseaux :
Intégrer la cybersécurité à la conception et au développement des produits
La sécurité est un travail de longue haleine La complexité des produits, les scénarios de menace et les technologies évoluant sans cesse, il est essentiel de mettre en place des protocoles pour chaque phase du cycle de développement des produits, de la modélisation des menaces à l'analyse des exigences, en passant par la vérification et l'entretien continu. Ces procédures aident les entreprises à repérer les menaces émergentes, à identifier des moyens de défense et à accompagner leurs clients afin que ces derniers puissent optimiser leur rendement, leur fiabilité et leur sécurité. Le processus SDLC (cycle de développement sécurisé) d'Eaton est un excellent exemple de modèle où la sécurité est intégrée à chaque phase du développement des produits.
Disposer de bases saines en matière de cybersécurité sur les réseaux
Des bases saines en matière de cybersécurité impliquent de tenir à jour l'inventaire des ressources et d'avoir connaissance de l'ensemble des dispositifs connectés au réseau. Cela doit inclure les ressources physiques et les actifs de données, la mise en œuvre de correctifs après la découverte de vulnérabilités, la présence de stratégies de contrôle d'accès rigoureuses ainsi que la garantie d'une surveillance continue des journaux et des systèmes en cas de comportements anormaux. Les entreprises doivent également planifier une série de mises à jour en termes de cybersécurité selon leurs évaluations du niveau de risque effectuées sur chaque correctif de sécurité.
Collaborer avec des organisations tierces compétentes
Le développement de procédures strictes à chaque étape du développement de produits permet d'établir des critères de cybersécurité mesurables pour les produits et systèmes connectés au réseau. Les partenariats avec des tiers de confiance peuvent aider les entreprises à améliorer leurs bonnes pratiques en matière de cybersécurité, car ces institutions créent souvent des directives largement acceptées par la communauté internationale. Notre collaboration avec UL est un modèle fonctionnel, car Eaton teste désormais les produits avec une approche intelligente ou une logique intégrée aux aspects clés des normes UL 2900-1 et IEC 62443, qui nécessitent des protocoles de test obligatoires pour les vulnérabilités, les faiblesses logicielles et les programmes malveillants.
Les fabricants ne peuvent plus se permettre de fonctionner selon des normes de sécurité différentes. Les cybercriminels et les technologies qu'ils utilisent continuent d'évoluer et les diverses normes manquent d'uniformité pour lutter contre les menaces les plus récentes.
Il est grand temps pour le secteur industriel de mener une évaluation globale de la conformité en matière de cybersécurité. Les industries et les organismes de normalisation du monde entier doivent instaurer plus activement un dialogue afin de relever les défis actuels en termes de cybersécurité et suivre le rythme d'évolution des technologies avant qu'il ne soit trop tard pour rattraper le temps perdu.
Références
1, 2 - Lau, Lynette (février 2018). L'année dernière, la cybercriminalité aurait coûté 600 milliards de dollars à travers le monde. Extrait de : https://www.csis.org/analysis/economic-impact-cybercrime.