Industrie manufacturière : il est impératif de sécuriser son parc de machines-outils

Historiquement, l'industrie manufacturière est dotée d'une grande diversité de machines-outils, réparties à travers le monde. Gérées par les Ops, elles sont exposées aux risques liés à des niveaux d'hygiène cyber disparates, avec des conséquences parfois néfastes. En témoigne l'impact de WannaCry avec l'arrêt des chaînes de production de grands groupes de l'industrie automobile et de l'électronique. Comment l'expliquer ? Et surtout, comment réussir à sécuriser et maintenir son parc à jour ?

La machine-outil, partie intégrante du parc informatique

Les industriels n’ont pas forcément conscience qu’un système d’exploitation équipe les machines-outils et qu’il nécessite donc d’être mis à jour et correctement sécurisé. Une particularité à prendre en compte et à vérifier lors de la signature du contrat avec le fournisseur : le suivi des mises à jour est-il garanti ? Il n’est pas rare de trouver des machines-outils équipées de systèmes obsolètes, car leur mise à jour représente un coût non négligeable que les industriels ne souhaitent pas forcément supporter. 

En effet, un arrêt temporaire de la chaîne de production est la hantise de tout industriel. Pour preuve, une étude révélait qu’en 2019, 94% des DSI et RSSI français avouaient s’être déjà abstenus de faire une mise à jour ou un correctif de sécurité important parce qu'ils s'inquiétaient de l'impact potentiel sur l’activité de l’entreprise. Tant que les usines tournent à plein régime, les réticences à réaliser une opération de maintenance et de mise à jour sont extrêmement fortes. C’est le cas même sur des outils qui n’ont pas un impact direct sur la chaîne de production. 

Pourtant, l’industrie manufacturière doit prendre conscience que la machine-outil fait partie intégrante du parc informatique et doit donc être traitée comme telle. Sinon, les industriels s’exposent aux mêmes risques cyber qui affectent les postes de travail.

Sécuriser les machines-outils sans stopper la production : des solutions existent

De manière générale, les robots et machines-outils qui équipent les usines du monde entier disposent de systèmes d’exploitation légèrement modifiés. Toutefois, les fournisseurs de ces machines ont tendance à limiter, voire interdire l’installation d’outils ou de clients additionnels permettant de les maintenir à jour, d’appliquer des correctifs de sécurité nécessaires rapidement ou bien tout simplement d’avoir une visibilité en temps réel sur l’ensemble du parc. Ce problème peut sembler anodin, mais il a des répercussions bien réelles et parfois graves... WannaCry en est un exemple.

De la même manière, la question des cycles de validation constitue également un problème épineux pour la sécurité du parc informatique ; il n’est pas rare qu’un correctif qui doit être appliqué sur une machine-outil soit validé et déployé en interne plusieurs mois après sa mise à disposition. La conséquence ? En attendant d’être mis à jour, le système d’exploitation est obsolète et vulnérable aux attaques.

Pour commencer, acquérir la visibilité en temps réel sur l’ensemble de son parc informatique est un bon point de départ. Des outils de découverte du réseau et des actions autour des machines-outils existent et peuvent fonctionner sans perturber la ligne de production. En effet, il est primordial de s’assurer de savoir de quels appareils on dispose pour évaluer l’état de mise à jour de ses machines et où appliquer les correctifs nécessaires. Si les équipes informatiques locales se sont vu déléguer le contrôle et les actions de maintenance dévolues aux Ops, l’adoption d’un outil centralisé rend possible la vérification de ce qui est correctement mis à jour ou non. Celui-ci permet également d’établir des directives pour les Ops à la fois contraignantes et efficaces.

Mobiliser les compétences et les outils adéquats à l’ère de l’industrie 4.0 

WannaCry, NotPetya, REvil… Les exemples ne manquent pas pour pousser les industriels à accélérer leur prise de conscience des risques cyber pesant sur les infrastructures informatiques. Même si les Ops gèrent les outils de production, les contraintes en matière de cybersécurité sont toujours présentes. C’est encore plus le cas aujourd’hui, à l’ère de l’industrie 4.0 et de la connectivité accrue dans les usines, avec l’Internet des objets. Tout objet connecté est, en effet, une source supplémentaire de risque, aussi bien pour l’entreprise que pour l’utilisateur. Et la prise de conscience doit être aussi bien matérielle qu'humaine.

Ainsi, si chaque industriel fait le choix de ses machines-outils, il doit faire attention aux règles imposées par le fournisseur et garder à l’esprit qu’un système d’exploitation doit rester à jour en permanence. Si le problème ne se pose pas pour une machine-outil ayant deux ans d’ancienneté, un tel achat est normalement amorti sur une durée proche d’une dizaine d’années. Tout industriel doit donc prendre en compte ces spécificités et ces règles dans son cycle d’achat pour se prémunir des éventuelles limitations imposées par leurs fournisseurs.

Aussi, une pratique assez courante dans l’industrie est d’avoir des équipes distribuées pour gérer les différents sites et une équipe IT locale capable de coordonner les interventions d’urgence et de faire redémarrer physiquement les machines. Pourtant, il n’est pas rare que le bagage technique des équipes IT soit insuffisant pour réaliser des actions complexes sans être aidées ou guidées par des outils de qualité. L’antienne qui consiste à dire que patcher les machines est une tâche simple et aisée a vécu. Il faut avant tout mettre de l’humain derrière ces outils, qui soit capable de les utiliser, mais surtout de comprendre ce qui se passe pour agir en conséquence et garder la maîtrise de son parc informatique.