En dépit de l’automatisation, le facteur humain peut encore mettre les processus industriels en danger : des erreurs ou des actions involontaires du personnel ont été à l’origine de 52 % des incidents touchant les réseaux opérationnels et les systèmes de contrôle des processus industriels (OT/ICS) l’an passé. Selon la nouvelle étude State of Industrial Cybersecurity 2019* de Kaspersky, ce problème s’inscrit dans un contexte plus vaste. La complexité croissante des infrastructures industrielles exige une protection et des compétences plus poussées. Or les entreprises sont confrontées à une pénurie de professionnels pour faire face aux nouvelles menaces et remédier à une faible sensibilisation de leur personnel.
La transformation numérique des réseaux industriels et l’adoption des standards de l’Industrie 4.0 sont en cours pour de nombreuses entreprises industrielles. Quatre sur cinq d’entre elles (81 %) considèrent la transformation numérique de leur réseau opérationnel comme une tâche importante voire très importante pour cette année. Cependant, tous les avantages qu’apporte une infrastructure connectée s’accompagnent de risques inhérents en matière de cybersécurité.
Heureusement, la cybersécurité des réseaux OT/ICS vient désormais en tête des priorités des industriels, comme le confirment la majorité (87 %) des entreprises interrogées. Toutefois, pour parvenir au niveau de protection nécessaire, il leur faut investir dans des mesures spécifiques et disposer de professionnels hautement qualifiés afin de travailler efficacement. Bien qu’elles disent en faire une priorité, seulement un peu plus de la moitié des entreprises (57 %) ont affecté un budget à la cybersécurité industrielle.
En dehors des contraintes budgétaires se pose également la question du manque de personnel qualifié. Les entreprises sont non seulement confrontées à une pénurie d’experts en cybersécurité possédant les compétences adéquates pour gérer la protection des réseaux industriels, mais aussi préoccupées par la méconnaissance des opérateurs de leurs réseaux OT/ICS quant aux comportements susceptibles de créer des failles de cybersécurité. Ces problématiques suscitent les deux principales inquiétudes liées à la gestion de cybersécurité et expliquent en partie pourquoi les erreurs du personnel causent la moitié de l’ensemble des incidents ICS – par exemple les infections par des malwares – et des attaques ciblées les plus graves.
Dans près de la moitié des entreprises (45 %), les responsables de la sécurité informatique des infrastructures supervisent également celle des réseaux OT/ICS, en marge de leurs missions principales. Cette pratique peut présenter des risques pour la sécurité : bien que les réseaux opérationnels et d’entreprise soient de plus en plus connectés, les spécialistes de chaque discipline peuvent avoir des approches (37 %) et objectifs (18 %) différents dans le domaine de la cybersécurité.
« Cette année, notre étude révèle que les entreprises cherchent à améliorer la protection de leurs réseaux industriels. Cependant, cela ne sera possible que si elles traitent les risques liés au manque de personnel qualifié et aux erreurs de leurs employés. Une approche complète, à plusieurs niveaux, qui associe une protection technique à une formation régulière de spécialistes de la sécurité informatique et des opérateurs de réseaux industriels, assurera l’actualisation de la protection de ces réseaux contre les menaces et des compétences du personnel », commente Georgy Shebuldaev, responsable de Kaspersky Industrial CyberSecurity.
Outre une formation technique et la sensibilisation à la cybersécurité industrielle, les entreprises doivent envisager une protection spécifique pour l’Internet des objets industriel (IIoT), lequel peut être fortement connecté au monde extérieur : près de la moitié des entreprises (41 %) sont ainsi prêtes à connecter leurs réseaux OT/ICS au cloud, en faisant appel à la maintenance préventive ou à des jumeaux numériques.
Jesus Molina, Président du groupe de travail sur la sécurité de l’IIC (Industrial Internet Consortium) et Directeur du développement de Waterfall Security Solutions, indique : « Comme le reflète cette enquête d’ARC Advisory Group pour le compte de Kaspersky, l’interconnexion croissante entre les équipements à la périphérie de l’IIoT et services cloud continue de poser un défi en termes de sécurité. C’est l’une des principales raisons de la création de l’IIoT Security Framework de l’IIC ainsi que des documents de meilleures pratiques qui ont suivi et du récent modèle de maturité pour la sécurité de l’IoT. »
Kaspersky propose une offre dédiée de solutions et de services répondant aux défis auxquels font face les entreprises industrielles. Kaspersky Industrial CyberSecurity combine la protection des terminaux et des réseaux industriels, afin de traiter les menaces au niveau des opérateurs et des réseaux dans les environnements ICS, avec des services avancés de veille des menaces et de réponse aux incidents. La société offre également des formations ainsi qu’un programme de sensibilisation spécialement conçu pour les experts en cybersécurité et les responsables de réseaux opérationnels ou opérateurs de systèmes ICS.
*Enquête réalisée pour Kaspersky par ARC Advisory Group au printemps 2019 auprès de 282 entreprises industrielles à travers le monde.