Suivre l’évolution rapide des risques de cybersécurité dans le secteur manufacturier

Les entreprises manufacturières ont tout à gagner à numériser leurs opérations. Être connecté et axé sur les données présente de nombreux avantages, notamment l’amélioration de l’efficacité, de la qualité et de la gestion dans l’ensemble de la chaîne d’approvisionnement. Pour y parvenir, les fabricants ont besoin de systèmes qui contrôlent l’ensemble du flux de fabrication, qu’il s’agisse de l’approvisionnement, de la livraison finale ou du service à la clientèle. Toutefois, la connexion directe ou indirecte de ces systèmes aux réseaux et au reste de l’infrastructure augmente considérablement les risques d’incidents de cybersécurité et étend la surface d’attaque.

Pour atténuer ces risques, les fabricants doivent adopter une stratégie de cybersécurité proactive qu’ils intègrent à chaque facette de leurs activités.

Les environnements numériques complexes accentuent la nécessité de processus de cybersécurité robustes

Le secteur manufacturier est complexe, avec de nombreuses pièces numériques, des systèmes de contrôle industriels (SCI), l’Internet des objets (IoT) et les technologies opérationnelles (TO). Cette fusion de matériel et de logiciels, destinée à permettre une circulation des données plus transparente, crée un environnement interconnecté qui nécessite une planification et une réflexion accrues en matière de sécurité.

De nombreuses entreprises manufacturières disposent également de chaînes d’approvisionnement très complexes qui comprennent de nombreuses étapes allant des matières premières aux composants, en passant par la transformation et la production, le transport, la livraison et le service. Les sous-traitants doivent donc être inclus dans l’élaboration des processus de sécurité, ce qui complique encore davantage la situation.

Responsabilités sociales essentielles des entreprises manufacturières

Pour les entreprises manufacturières, les incidents de cybersécurité peuvent avoir de lourdes conséquences. Les arrêts de production se traduisent souvent par une perte importante de revenus. Mais les répercussions peuvent aller bien au-delà des pertes financières, qu’il s’agisse d’atteinte à la réputation, de sanctions réglementaires ou de risques pour la sécurité des infrastructures essentielles.

Par exemple, nous avons besoin d’eau, d’électricité, de nourriture et de médicaments, des ressources produites par les entreprises manufacturières. Le fait que ce type de production essentielle soit vulnérable aux incidents de sécurité ou aux violations de données signifie qu’il est encore plus important de bien se protéger. Il est essentiel de s’assurer que tous les intervenants de la chaîne d’approvisionnement – tant au sein de l’organisation que dans l’écosystème de fournisseurs, de sous-traitants, de fournisseurs de services, etc. – sont conscients des menaces de cybersécurité et y sont résilients.

Les aspects socialement essentiels de la lutte contre les vulnérabilités en matière de cybersécurité dans le secteur manufacturier sont également inclus dans de nouvelles directives, comme la directive NIS2, une législation sur la cybersécurité à l’échelle de l’Union européenne (UE) qui prévoit des mesures juridiques pour renforcer le niveau global de cybersécurité dans l’UE. Contrairement à la directive NIS2, la directive NIS précédente n’avait pas d’exigences propres aux entreprises manufacturières. Cela aura également des répercussions sur les fabricants mondiaux qui font des affaires dans l’UE.

Historiquement, les systèmes de fabrication n’étaient pas connectés au réseau. Cela signifie qu’ils ne nécessitaient pas de stratégies de cybersécurité aussi robustes que dans les autres secteurs. À mesure que les usines deviennent connectées et axées sur les données, il est urgent de mettre en place des mesures pour assurer la cybersécurité. La direction doit diriger ces efforts et collaborer avec les partenaires appropriés pour élaborer une stratégie fiable et rentable afin de mettre en œuvre des contrôles de sécurité qui tiennent compte des risques. Les contrôles de sécurité peuvent être techniques, mais ils peuvent aussi simplement adapter les routines et les processus pour renforcer la sécurité de l’entreprise.

Assurer la sécurité à tous les niveaux

Contrairement à d’autres systèmes numériques qui ont des mises à jour et des correctifs de sécurité réguliers, de nombreux systèmes de production numérique demeurent inchangés pendant des années. Cela peut entraîner des lacunes de sécurité qui pourraient ne pas être comblées pendant de longues périodes.

Dans l’UE, une directive supplémentaire s’applique aux entreprises manufacturières : le règlement sur la cyberrésilience de l’UE. Cette loi oblige les entreprises manufacturières à s’assurer qu’elles n’ont pas de vulnérabilités de sécurité connues dans les produits avec des composantes numériques commercialisés dans l’UE. Lors de tests effectués en 2020 (en anglais), la moitié des produits comportant des composantes numériques présentaient encore des vulnérabilités connues.

On s’attend à voir de plus en plus de réglementations et de directives similaires.

Les fabricants doivent adopter une approche systématique en matière de cybersécurité. Les entreprises doivent repartir de zéro pour être conformes à ces directives en intégrant une culture axée sur la sécurité au sein de l’organisation. Elles doivent être capables de déterminer exactement lesquels de leurs actifs représentent des risques de sécurité et d’appliquer des solutions pour les atténuer. Parallèlement, il est essentiel d’avoir un esprit stratégique, d’effectuer une analyse des risques et d’assurer sa conformité.

Voici cinq étapes pour commencer.

1. Évaluer les risques et les menaces qui pourraient exister dans votre entreprise.
2. Examiner votre chaîne d’approvisionnement. Quelles exigences pouvez-vous imposer à vos fournisseurs les plus importants?
3. Examiner les vulnérabilités de votre environnement TI et TO.
4. Corriger les systèmes qui pourraient être mis à jour.
5. Former et informer le personnel sur la gestion des incidents et sur vos plans de continuité des affaires.

Veuillez communiquer avec moi pour savoir comment nous pouvons vous aider à évaluer le niveau de maturité de votre entreprise en matière de sécurité.