Cybersécurité des environnements OT des grands groupes industriels. Quels investissements prioritaires en 2024 ?

CONTEXTE

Avec l’entrée en vigueur en 2024 de la Directive européenne NIS 2 et la formalisation à venir du Cyber Resilience Act, les entreprises du secteur industriel vont être confrontées au cours des prochains mois à d’importants chantiers dans le domaine de la cybersécurité.

Pour contribuer à la réflexion stratégique collective HeadMind Partners a interrogé – lors de la première édition des Rencontres Cyber pour l’Industrie du Futur (RECIF) en septembre 2023 – un panel de 70 CISOs issus de grands groupes industriels internationaux sur leurs priorités en termes d’investissements budgétaires pour l’année 2024.

LES PRIORITES 2024 DES CISOs DES GRANDS GROUPES INDUSTRIELS

Cette note reprend en synthèse les réponses apportées par ces décideurs. En répondant à la question : « En 2024, si vous aviez un budget SSI en base 100, comment serait-il réparti en fonction de vos priorités ? ». Les trois chantiers prioritaires qui vont mobiliser leurs ressources financières sont donc les suivants :

Network ArchitectureAsset Life CycleManagement
42,71 %31,53 %25,76 %

1. Le « Shadow » OT en ligne de mire

Le détail de la répartition budgétaire de cette thématique illustre la particularité de l’environnement industriel où les équipes IT ne disposent souvent que d’une visibilité limitée des systèmes d’information qui relèvent du fonctionnement des équipements de production.

Network Architecture
Shadow remote Access or IIoTSafety/process segregation flawCloud/IT/OT flawed gateway
22,37 %14,58 %5,76 %


Cette situation démontre la nécessité de renforcer la coopération IT/Métiers industriels afin d’harmoniser la prise en compte du risque cyber. Et cela concerne tant les choix technologiques, les dispositifs de conformité ou la mise en place de procédures de remontées d’informations sur les incidents de sécurité (documentations et KPI communs…). Afin de disposer d’une vision unifiée cyber IT/OT. Plus en amont encore, cela plaide pour une implication accrue des fonctions SSI auprès des services Achats et Finances afin de documenter l’ensemble des composantes techniques qui sont opérationnelles dans les processus de fabrication. Cela permettra de disposer d’une photographie la plus complète possible de l’inventaire technologique de l’entreprise.

2. OT : Une approche technique sur un temps (très) long

Asset Life Cycle
Unsupported old systemsUnsecure firmware/Patch supply chainUnmanageable PLC
17,63 %9,15 %4,75 %


Les investissements industriels se conçoivent généralement sur un temps long. Pouvant conduire au maintien en activité opérationnelle de machines et de logiciels ne bénéficiant plus nécessairement des services de mises à jour habituels. Soit parce que l’éditeur a cessé ou modifié son activité, soit car son logiciel – même s’il fournit toujours le service attendu – ne fait plus l’objet d’aucun suivi par son concepteur. Ce qui représente de fait un risque pour la sécurité de l’activité, même si le processus de production reste globalement en état de marche.

La politique SSI appliquée au contexte industriel exige donc d’identifier précisément ces équipements obsolètes, de mettre en œuvre des moyens d’isolement physiques et/ou logiques pour s’assurer de leur intégrité, et de concevoir des programmes de mises à niveau en fonction des plans de renouvellement des parcs de machines. Afin de réduire la surface d’attaque par l’inclusion d’exigences cyber dans la fourniture de système OT.

3.  Un environnement technologique étendu

Management
Vendor weak cybersecurity capabilityCompromised USB stick or vendor laptopGeneric account or password
11,86 %7,46 %6,44 %

Outre les choix d’investissements matériels, la démarche SSI comporte une importante dimension en termes de management. Qu’il s’agisse de questionner le niveau de sécurité du réseaux de partenaires et de sous-traitants qui interviennent dans la chaine de production et de distribution des produits. Leurs interventions au cours des processus internes sont de nature à fragiliser le coeur même de l’activité de l’entreprise industrielle. D’où l’importance d’intégrer le risque fournisseurs dans le périmètre cyber. Qui doivent permettre le recours à des clauses d’auditabilité et à des sessions d’évaluation (assessment centers). Notamment pour les prestations critiques. Ce qui sera facilité par l’alignement préalable en matière cyber des différentes parties prenantes : les fonctions juridiques, les acheteurs, les métiers… En faisant monter en compétence les fournisseurs, cela bénéficie au client final.

CONCLUSION

Il convient de s’appuyer sur les agendas réglementaires pour instaurer une gouvernance accrue entre les communautés IT et OT dans le but de renforcer la connaissance réciproque, mettre en commun les feuilles de route et déterminer des indicateurs (KPI) les plus opérationnels possibles. De quoi assurer une dynamique vertueuse qui installe la cybersécurité comme étant aux yeux de tous une contribution effective à la création de valeur au sein de l’entreprise.

Ce baromètre HeadMind Partners est réalisé en partenariat avec les Rencontres Cyber pour l’Industrie du Futur (RECIF)