Selon les cabinets d’analyses, le marché mondial de l’IoT pourrait atteindre 724 milliards de dollars en 2023. Une croissance poussée par le secteur industriel. Cette mutation au pas de course implique de grands changements en termes de sécurisation des installations critiques. Thierry Rouquet, fondateur/président de Sentryo, une pépite de la cybsersécurité qui vient de lever 10 millions d’euros, décrypte ces nouveaux challenges.
Quel est le degré de maturité des industries en matière d’équipements connectés (IoT) et de cyber-protection de leurs actifs ?
Le monde industriel est celui du temps long et l’Internet Industriel n’en est qu’au début de son histoire. Il est clair que la vague de la numérisation est en train de toucher le secteur. Les initiatives demeurent encore trop souvent limitées à des sites pilotes ou à des expérimentations en grandeur réelle. Elles représentent pourtant l’opportunité d’évaluer le potentiel des technologies et la capacité d’en mesurer l’impact sur les organisations. Plus globalement, l’innovation sert à entraîner les personnels dans un processus de transformation de leur activité à long terme.
La numérisation du monde industriel, ce n’est pas le Big Bang
Ces pilotes concernent aussi bien la maintenance prédictive, la mise en place de jumeaux numériques que la gestion dynamique d’actifs industriels… Ces moyens sont essentiels. Ils s’inscrivent dans une logique de protection des systèmes de communication et de contrôle commande étendus (Internet Industriel). La multiplication des capteurs, des interconnections, des logiciels voire l’arrivée des cloud industriels augmentent considérablement l’exposition aux cyber-risques. L’approche de protection est donc forcément itérative et multidimensionnelle. Elle prends en compte à la fois les hommes, les processus et la technologie.
La numérisation est là pour longtemps
Mais il faut bien comprendre que la numérisation du monde industriel, ce n’est pas le big bang. Cela se présente plutôt comme une réalité qui part d’un existant (système de contrôle industriel). Elle est là pour longtemps . Et elle n’a pas été conçu en prenant en compte le cyber-risque. Alors même qu’il se retrouve au cœur du système. Il faut donc penser sécurité by-design pour les nouveaux composants et dispositifs. Mais il faut aussi s’attacher à appliquer les standards en matière d’architecture. Ils permettront d’assurer la sécurité et la résilience des systèmes.
Il faut surtout et dès le début se donner les moyens de surveiller l’ensemble du système. Et ce en commençant par une parfaite visibilité de ses composants, de ses interconnections et de ses points de vulnérabilité. Pour les parties les plus critiques, ce travail est capital. Il permet de détecter les comportements anormaux et les premiers signes d’une éventuelle compromission.
La transposition en droit français de la directive européenne NIS est réalisée. Quelles obligations de sécuriser les installations critiques incombent aux industriels ?
La directive NIS (Network and Information Security) adoptée en 2016 par le Parlement européen a fait l’objet d’une transposition en France par l’Anssi (Agence nationale de la sécurité des systèmes d’information) au printemps 2018. En substance, elle impose aux opérateurs de service essentiels et aux fournisseurs de service numériques une méthodologie de maîtrise du cyber-risque basée sur une approche de gestion des risques. On observe déjà une volonté des acteurs concernés de se conformer à la directive. L’approche étant basé sur l’analyse des risques son application requiert la mise en place de moyens en rapport avec ces risques.
Ce comportement est très intéressant à regarder car il signifie que la même méthode s’appliquera à des entités qui ne sont pas soumises à la directive mais qui verront dans son application une approche de bon sens. L’application du texte aura en outre pour conséquence d’améliorer le niveau global des opérateurs de services essentiels mais également de l’ensemble des fournisseurs et des autres acteurs de la chaîne de valeur.
Comment les professionnels de la cybersécurité anticipent les différents degrés de maturité des industries en matière de transformation numérique ?
C’est difficile à dire, on trouve des entreprises pionnières en matière de transformation numérique dans tous les secteurs industriels. Dans les industries manufacturières (automobile, aéronautique) mais aussi dans l’agroalimentaire ou les biens de consommation. En matière de cybersécurité, les enjeux les plus importants se trouvent dans les domaines de l’énergie et dans les grandes industries de procédé (pétrole, chimie …). Ils sont aussi considérables dans le monde des transports qu’il soit ferroviaire, routier ou aérien.
Tous les segments sont concernés par une application des bonnes pratiques de premier niveau. La connaissance de ses systèmes (visibilité), la traçabilité des événements, l’identification des points faibles… La mise en place de ces règles permettra de réduire la surface d’exposition au cyber-risque. Elles seront souvent suffisantes pour maîtriser le risque sur des infrastructures industrielles non-critiques. Pour les systèmes dotés d’éléments à plus forte criticité, on ira plus loin dans les moyens à mettre en place. Il est véritablement possible de détecter en continu les anomalies de comportement. Tout comme les traces de compromission pour pouvoir réagir rapidement. L’idée est de s’assurer de la continuité de la sûreté et de la résilience des opérations industrielles.
BIO DE SENTRYO
Sentryo est une société spécialisée dans la cybersécurisation des actifs relatifs à l’Internet industriel. La société édite des solutions logicielles et matérielles dans l’optique de protéger les réseaux industriels critiques. Sentryo a été créée en 2014 à l’initiative d’anciens collaborateurs d’Arkoon parmi lesquels Thierry Rouquet et Laurent Hausermann. L’entreprise a réussi à lever 10 millions d’euros auprès de ses investisseurs historiques. Thierry Rouquet est fondateur/président de Sentryo Thierry et président de la Commission Cybersécurité de TECH IN France. Il est également associé et fondateur d’Axeleo. Il s’agit du premier accélérateur de start-up B2B en France soutenu par BPI dans le cadre du programme French Tech. Thierry Rouquet est diplômé de l’INSA de Lyon.
Olivier Robillart