Ce billet a été rédigé par notre super veilleur en cybersécurité. Jean-François Bélanger, Ph.D
L’industrie 4.0, qui se caractérise par l’introduction d’objets connectés dans les usines, s’inscrit à l’intérieur d’un processus de transformation numérique plus large. Cette mutation profonde des technologies opérationnelles ouvre bien entendu de vastes horizons. Elle apporte toutefois son lot de problèmes, car si les entreprises sont désormais en mesure de réduire l’impact du manque de personnel en automatisant certains aspects de la production, elles prêtent désormais le flanc aux cybercriminels. En effet, l’industrie 4.0 implique la plupart du temps la connexion de machines physiques à des systèmes externes, l’internet ou un réseau 5G. Ceci crée des vulnérabilités que les pirates informatiques peuvent exploiter. C’est ce qu’a appris à ses dépens l’Aluminerie Alouette en février dernier, lorsqu’un groupe affilié à la Russie a réussi à paralyser ses systèmes informatiques et lui dérober une grande quantité de données confidentielles, un casse-tête considérable pour l’entreprise qui, deux mois après les faits, travaillait encore à rétablir les connexions à distance pour ses employés.
Le réseau Palo Alto évalue qu’environ soixante pour cent des objets connectés sont exposés aux cyberattaques. Les effets de cyberattaques peuvent passer du vol de données jusqu’à l’intrusion à l’intérieur de la machinerie connectée. Au Québec, une entreprise sur quatre aurait été victime d’une cyberattaque en 2021 et 2022 et leur impact n’a rien de négligeable. Selon Trend Micro, les cyberattaques coûtent environ 2,8 millions de dollars aux entreprises visées, un montant largement suffisant pour mettre une petite entreprise à genoux. Pour celles qui peuvent encaisser le coup (ou absorber le coût), les dommages ne s’arrêtent pas là. En effet, 90 pour cent des victimes sondées rapportent un impact négatif direct sur leur production. Par exemple, la division de produits récréatifs de Bombardier (BRP) a dû fermer ses usines pour une durée d’environ une semaine à l’été 2022 suite à une cyberattaque. On parle ici non seulement de leurs usines au Canada, mais aussi aux États-Unis et en Scandinavie.
Bien entendu, les industries en pleine transformation numérique devraient se prémunir d’une politique de cybersécurité et de solutions concrètes pour protéger leurs infrastructures informatiques et les données confidentielles sur leurs serveurs. La loi 25 obligera d’ailleurs, dès le 23 septembre 2023, les entreprises œuvrant au Québec à « établir des politiques et des pratiques encadrant la gouvernance des renseignements personnels » et à mettre cette politique à la disposition du public. Cependant, en vertu des responsabilités diverses et parfois opposées des intervenants, l’application d’une telle politique peut s’avérer difficile.
Je m’explique : le responsable de la sécurité de l’information (CISO) doit protéger au sens large du terme les systèmes informatiques de l’entreprise des menaces internes ou externes. Imaginons le scénario suivant : le CISO d’une compagnie donnée constate un trafic suspect sur le réseau, ou une intrusion qui semble se propager dans une chaîne de montage. Si, pour le CISO, la solution qui s’impose est l’arrêt de la machinerie ou la déconnexion du serveur, il va recommander la déconnexion. C’est évident.
Mais la chose n’est pas si évidente pour un gérant de production, qui pourrait s’opposer à la fermeture. Pourquoi? Parce qu’il doit s’assurer de son côté de remplir les commandes pour la fin de la semaine, ou veiller au bon fonctionnement de l’usine, autrement dit, à sa rentabilité. Il se peut donc qu’il refuse et/ou demande des options alternatives, une aberration pour le CISO, peut-être, mais pas pour le gérant.
Pour remédier à ce genre de problèmes, il faut réussir à trouver un point de convergence, idée mise de l’avant par Thomas Schelling, lauréat au prix Nobel d’économie, où les diverses parties peuvent envisager le problème sous un angle partagé, malgré les responsabilités divergentes. Une veille stratégique en cybersécurité peut s’avérer un outil précieux.
Un service de veille aide à informer en amont des nouvelles menaces dans une industrie particulière et à mettre en lumière les conséquences de manière synoptique. L’équipe du CISO peut par exemple s’appuyer sur ce dernier pour discuter des ramifications possibles pour la chaîne de montage de l’entreprise. Il est ainsi plus facile de donner un aperçu des coûts potentiels d’une attaque et de faciliter la mise en place d’un plan d’action. Dans ce cas bien précis, grâce à la veille stratégique, il est possible de mettre en lumière les coûts potentiels d’une telle attaque, et ses ramifications pour la production sur le court terme. La convergence se fait dans le langage du gestionnaire, et peut permettre à l’équipe du CISO d’animer une discussion plus poussée sur la cybersécurité.
En mettant en valeur les menaces en amont, une bonne veille stratégique donne une voix à chacun dans les discussions internes autour de la cybersécurité. En termes clairs, quand le personnel est mieux informé des enjeux, il est beaucoup plus facile de prendre les bonnes décisions quand ça compte!