Cybersécurité industrielle : des bits fraudés à l’accident du travail

Andreas Willert, responsable de la cybersécurité industrielle, Pilz Autriche

(Seules les paroles prononcées ont été rapportées)

Avec la publication du nouveau règlement européen sur les machines, la future directive NIS 2 et le Cyber Resilience Act (CRA) à venir, les constructeurs, les intégrateurs et les exploitants de machines et d’installations en ont  conscience : la cybersécurité est une obligation légale ! À partir du 20/01/2027, l’apposition du marquage CE sur une machine nécessitera de garantir que son système de commande est protégé de manière appropriée contre toute corruption délibérée ou accidentelle et d’éviter toute situation dangereuse qui pourrait en résulter.

Pourquoi il est si difficile de se lancer
En plus d’être extrêmement complexes et détaillées, les exigences légales et normatives sont étroitement liées les unes aux autres. Les constructeurs et les exploitants de machines devront par conséquent revoir leurs processus actuels en matière de sécurité et de cybersécurité. Pas de sécurité sans cybersécurité !
De plus, il faut savoir que la cybersécurité des technologies de l’information (IT) et des technologies d’exploitation (OT) se distinguent tant par leur objectif que par leur technologie. Alors que la confidentialité est généralement le bien le plus précieux dans l’informatique (de bureau), dans l’OT, on accorde la plus grande priorité à la disponibilité. De plus, les entreprises ont des niveaux de connaissances et de maturité différents en ce qui concerne la cybersécurité industrielle. Les réseaux constituent donc diverses cibles d’attaque. Qui plus est, contrairement à la sécurité, les risques liés à la cybersécurité et leurs conséquences ne sont pas tangibles. Alors, comment s’y prendre ?

Un fournisseur unique pour la sécurité et la cybersécurité
Les entreprises ne sont pas livrées à elles-mêmes : Pilz, en tant qu’experte en sécurité des machines, s’est préparée très tôt aux exigences de cybersécurité à venir. Pour leurs machines et installations, les clients bénéficient non seulement d’une prise en considération, d’une analyse et d’un concept de la sécurité, mais aussi de la cybersécurité industrielle au niveau de la machine – le tout auprès d’un seul et même fournisseur. Cela permet d’écarter les approches divergentes et les solutions incompatibles entre elles. Pilz a développé des prestations de services destinées à la cybersécurité industrielle en se fondant sur une procédure éprouvée dans le domaine de la sécurité des machines et sur les normes nationales, européennes et internationales pertinentes ainsi que sur les meilleures pratiques. Avec notre soutien, les entreprises peuvent se préparer de manière optimale et s’assurer de répondre aux exigences réglementaires actuelles et futures.

Pour ce faire, il convient tout d’abord de réaliser un état des lieux sous forme d’une analyse des besoins de protection : Quelles sont les législations applicables ? Des responsables ont-ils déjà été désignés ? L’environnement des bureaux dispose-t-il déjà de certifications ? Il s’agit ensuite de déterminer, pour les hommes et les machines, la gravité des dommages en cas de perte de la sécurité, de la confidentialité, de l’intégrité ou de la disponibilité. De la même manière que pour la sécurité, les entreprises peuvent alors s’employer à l’analyse des risques, la création d’un concept de cybersécurité, la mise en œuvre et la vérification finale.

Une assistance sur mesure
Pilz propose différentes prestations de services sur les thèmes de la sécurité et de la cybersécurité industrielle. Il s’agit donc d’une offre qui couvre tous les aspects de la protection des hommes et des machines. Elle s’étend de la transmission d’informations de base et de conseils pratiques ainsi que des formations, telles que la qualification « CESA – Certified Expert for Security in Automation », jusqu’au « ISCS – Industrial Security Consulting Service », qui apporte un soutien concret lors de la mise en œuvre des nouvelles dispositions du règlement machines.

L’expérience montre que l’évaluation nécessaire des risques liés à la cybersécurité, par exemple, peut prendre plusieurs semaines, voire des mois.
C’est donc maintenant qu’il faut agir en matière de cybersécurité industrielle !