• 01 décembre 2025
  • En Rick van de Lustgraaf
  • | Source: Foodprocess

Cybersécurité dans l'industrie manufacturière: de la législation obligatoire à l'approche pratique

Christophe Michiels, ingénieur IIoT, orateur principal au Food Process Seminar

Télécharger la présentation

Cybersecurity in de maakindustrie1
Christophe Michiels est ingénieur IIoT chez Sirris, le centre collectif pour et par l'industrie technologique en Belgique

Christophe Michiels, ingénieur IIoT chez Siris, consacre sa conférence au besoin croissant de cybersécurité dans les environnements de production. Aujourd'hui, les machines sont de plus en plus connectées aux réseaux et aux plateformes numériques. Cette connectivité permet aux opérateurs de collecter des données sur les machines, de les stocker et de fournir un aperçu par le biais de tableaux de bord. Dans le même temps, cette même connectivité est une source de risques relativement nouveaux. Les lois et réglementations récentes, telles que la mise à jour de la directive sur les machines et l'introduction du NIS2, montrent que la cybersécurité n'est plus facultative, mais qu'elle est une nécessité juridique et opérationnelle.

Étude de cas

Selon M. Michiels, un incident de sécurité survenu récemment à l'aéroport de Bruxelles rappelle l'impact que les cyberattaques peuvent avoir sur les infrastructures critiques. De même, un exemple un peu moins connu s'est produit dans une aciérie allemande. Un employé y a reçu un e-mail de spear-phishing très bien exécuté, basé sur des informations accessibles au public concernant des collègues et des relations internes.

Comme le courrier semblait authentique, l'employé a ouvert le fichier joint. Dès lors, les attaquants ont pris le contrôle de l'ordinateur, après quoi ils ont pu se déplacer librement vers d'autres systèmes via un réseau insuffisamment segmenté. Ils ont finalement réussi à modifier le code PLC d'un haut fourneau, ce qui a entraîné des dysfonctionnements, des pannes inattendues, des semaines d'immobilisation et des coûts considérables.

Cybersecurity in de maakindustrieQui est Christophe Michiels?
Christophe Michiels est ingénieur IIoT chez Sirris, le centre collectif pour et par l'industrie technologique en Belgique. Au sein de Sirris, il accompagne les entreprises dans la transformation numérique de leurs environnements de production. Christophe est spécialisé dans la connexion des machines nouvelles et existantes (legacy) afin d'accéder, de stocker, de visualiser et de préparer en toute sécurité les données des machines pour une analyse plus poussée. Il aide les entreprises à mettre en place des architectures évolutives et à l'épreuve du temps, notamment via le concept d'espace de nommage unifié et les systèmes de courtier de données à l'échelle de l'entreprise, comme alternative aux connexions point à point classiques de l'Industrie 3.0. Il s'intéresse également à l'assistance aux opérateurs, en mettant l'accent sur l'amélioration du travail des opérateurs grâce à des instructions de travail numériques, à la formation à la RV et à des solutions d'assistance à distance. La cybersécurité et la convivialité sont toujours au centre de ces préoccupations.

Ceux qui, dans la salle, n'étaient pas encore convaincus du risque de cyberattaques le seront sans doute davantage après l'introduction de Michiels. L'ingénieur IIoT de Sirris a expliqué que l'hameçonnage est toujours la cause la plus courante des cyberincidents aujourd'hui. Même les serveurs ou les appareils auxquels on accède directement depuis l'internet présentent un risque élevé, surtout si les mots de passe par défaut n'ont pas été modifiés.

Selon M. Michiels, la manière dont les pirates peuvent savoir exactement quelles machines sont connectées est claire. "Avec Shodan, les appareils accessibles au public dans le monde entier peuvent être facilement tracés, y compris les systèmes qui sont involontairement en ligne avec des paramètres par défaut. Il peut s'agir de machines, de caméras, de serveurs, d'automates, de routeurs ou de capteurs, par exemple. Le moteur de recherche montre quels appareils sont directement accessibles depuis l'internet, même s'ils ne sont pas censés l'être."

'Cybersecurity in de maakindustrie4
En collaboration avec MTech+, Sirris a mis au point un jeu de cartes contenant des questions relatives à la cybersécurité. Les entreprises peuvent les utiliser, par exemple lors des réunions de début de journée, afin d'améliorer le niveau de connaissances

Obligations

Il y a une dizaine d'années, il suffisait souvent de souscrire une assurance cybersécurité. Les entreprises se disaient: "Je suis assuré, donc tout va bien." Mais ce n'est pas vraiment une stratégie. De plus, il n'est pas facile de souscrire une assurance cybersécurité aujourd'hui", explique M. Michiels. "Pourquoi? Parce que les entreprises doivent remplir toute une série de conditions. Ces conditions ne sont pas choisies au hasard, elles sont devenues obligatoires en vertu de lois et de règlements."

"Les entreprises se sont dit: 'Je suis assuré, donc ça va', mais ce n'est pas vraiment une stratégie. Mais ce n'est pas vraiment une stratégie. En outre, il n'est pas facile d'obtenir une assurance cybersécurité de nos jours"

Nous en arrivons donc aux nouvelles lois les plus importantes dans ce domaine: la directive sur les machines mise à jour (désormais règlement sur les machines), le NIS2 et la loi européenne sur la cyber-résilience. Ces textes obligent les entreprises à mettre en œuvre des mesures de cybersécurité. Pour se mettre en conformité, les entreprises peuvent utiliser plusieurs cadres de cybersécurité existants. Le choix du cadre est moins important que le fait de travailler de manière cohérente selon une méthodologie donnée.

Lois

Le règlement sur les machines

Avec tous les développements numériques, la directive sur les machines avait besoin d'une révision. Cette révision a pris la forme Règlement sur les Machines. Les entreprises ont encore plus d'un an pour se préparer aux nouvelles obligations. Alors que la directive se concentrait principalement sur la sécurité physique et électrique des machines, le nouveau règlement inclut désormais des exigences en matière de logiciels et de connectivité. Cela signifie que les machines doivent non seulement fonctionner en toute sécurité, mais aussi être protégées contre les abus par le biais de comptes, de mots de passe ou de connexions externes.

Par exemple, une machine doit prendre en charge différents rôles d'utilisateur, il doit être possible d'activer l'authentification à deux facteurs et les mots de passe par défaut doivent être évités. En outre, lorsqu'un appareil est connecté en ligne, toutes les mesures raisonnables doivent être prises pour empêcher quiconque d'effectuer à distance des actions qui pourraient conduire à des situations dangereuses.

'Cybersecurity in de maakindustrie2
Avec tous les développements numériques, la directive "Machines" devait être révisée

Directive NIS2

Cette loi ne doit pas être confondue avec la nouvelle directive NIS2, qui a été publiée au Moniteur belge au printemps 2024. La réglementation NIS initiale s'appliquait principalement à des secteurs tels que l'énergie et les télécommunications. La nouvelle directive NIS2 étend les obligations à un plus grand nombre d'entreprises, y compris celles de l'industrie alimentaire.

Celles-ci sont désormais tenues de se conformer à une série de règles en matière de cybersécurité. Par exemple, effectuer une analyse des risques, documenter les mesures prises et établir une feuille de route définissant à l'avance ce que l'entreprise doit faire en cas de piratage. M. Michiels insiste sur le fait qu'un tel plan doit exister à l'avance et être testé, car lors d'une cyberattaque, le courrier électronique, par exemple, peut devenir indisponible. Les entreprises doivent donc prévoir des moyens de communication alternatifs.

Il explique en outre qu'une organisation doit également disposer d'une solide stratégie de sauvegarde. Si tous les systèmes sont cryptés par un ransomware, les entreprises doivent être en mesure de restaurer leurs données sans payer de rançon. En outre, dans le cadre de la directive NIS2, les PDG et les administrateurs seront tenus personnellement responsables si une entreprise ne se conforme pas à la directive, ce qui entraînera des amendes potentiellement très élevées.

Loi sur la cyber-résilience

La loi sur la cyber-résilience, qui entrera progressivement en vigueur à la mi-2026, s'applique aux fournisseurs de logiciels, de matériel ou de services numériques. La "cybersécurité dès la conception" est au cœur de cette réglementation: la sécurité doit être intégrée dès le développement d'un produit et non pas ajoutée par la suite. Les fournisseurs doivent garantir que leurs produits peuvent être configurés de manière sécurisée et qu'ils continueront à fournir des mises à jour et des correctifs tant que le produit sera sur le marché. Lorsque les mises à jour automatiques ne sont pas possibles, les vendeurs doivent informer activement les utilisateurs des correctifs nécessaires.

'Cybersecurity in de maakindustrie5

Mesures pratiques

Après avoir présenté le cadre juridique, M. Michiels passe aux mesures pratiques. Il insiste sur le fait que la cybersécurité doit déjà être prise en compte lors de l'achat de nouvelles machines. "Souvent, les entreprises se concentrent uniquement sur la fonctionnalité, de sorte que les exigences en matière de sécurité n'apparaissent qu'après coup et entraînent des retards. Il est important d'impliquer des experts en informatique ou en technologies de l'information dans le processus d'achat dès le début et d'utiliser les listes de contrôle existantes."

Une deuxième mesure clé est la segmentation du réseau. Dans l'exemple concret de l'aciérie, il s'est avéré que l'ensemble du réseau était plat, ce qui permettait à un pirate utilisant un appareil de bureau de pénétrer sans problème dans les automates. Le strict minimum, selon M. Michiels, est une séparation claire entre le réseau informatique et le réseau opérationnel. Les environnements de production plus importants peuvent affiner la segmentation par département ou groupe de machines.

"Il est important d'impliquer dès le départ des experts IT ou OT dans le processus d'achat et d'utiliser les listes de contrôle existantes"

En outre, il souligne l'importance des mises à jour. Alors que les PC de bureau sont automatiquement mis à jour, les PC et les systèmes sur le lieu de travail restent souvent inchangés pendant des années. Par conséquent, les vulnérabilités connues persistent. Il décrit comment les pirates peuvent facilement trouver des informations sur les appareils, les versions des microprogrammes et même les numéros de type par le biais de balayages de réseau.

Grâce à des moteurs de recherche spécialisés, ils trouvent ensuite des vulnérabilités. En cartographiant tous les appareils, les entreprises peuvent déterminer les mises à jour à effectuer en priorité. Pour les appareils qui ne peuvent plus être mis à jour, comme les systèmes fonctionnant encore sous Windows XP, il existe une solution de sécurité intermédiaire, le patching, qui bloque les flux de données nuisibles. Il existe également des solutions pour les protocoles de communication obsolètes, comme les appareils Siemens qui peuvent isoler les anciennes versions de SMB et les convertir en variantes plus sûres.

'Cybersecurity in de maakindustrie3
M. Michiels souligne l'importance de la sensibilisation des employés

Pour détecter plus rapidement les intrusions, il existe des systèmes qui analysent le trafic normal du réseau pendant une période d'apprentissage et signalent ensuite les anomalies. Ces solutions sont particulièrement adaptées aux grandes entreprises, mais M. Michiels précise qu'il existe également des alternatives moins coûteuses telles que les pots de miel: de faux serveurs ou de faux automates qui ne servent à rien d'autre qu'à détecter les tentatives d'accès. Les outils de surveillance du réseau tels que Zabbix peuvent également reconnaître les flux de données anormaux, par exemple lorsqu'un attaquant tente de copier des données en masse avant une attaque par ransomware.

De nombreuses entreprises utilisent plusieurs boîtiers d'accès à distance de différents fournisseurs, parfois avec des portes dérobées 4G, ce qui crée de sérieux risques. Une approche plus sûre consiste pour les entreprises à opter pour leur propre serveur géré de manière centralisée, auquel les partenaires distants se connectent d'abord via un VPN. Ce n'est qu'ensuite qu'ils bénéficient d'un accès contrôlé aux machines ou aux automates.

Enfin, M. Michiels souligne l'importance de la sensibilisation des employés. Alors que le personnel de bureau reçoit souvent déjà une formation sur le phishing, cela ne s'applique guère aux opérateurs de l'atelier. "C'est pourquoi Siris, en collaboration avec MTech+, a mis au point un jeu de cartes contenant des questions sur la cybersécurité. Les entreprises peuvent les utiliser, par exemple lors de réunions de démarrage ou de quiz, afin d'améliorer le niveau de connaissances. Les cartes qui ne sont pas pertinentes peuvent facilement être omises. À la fin du mois, vous pouvez les utiliser pour organiser un quiz. Un moyen très simple de sensibiliser les opérateurs à la cybersécurité."

Le jeu de cartes est disponible gratuitement en cliquant sur ce lien.

Kleurenschema
Aantal tegels per rij
Beeldverhouding
Weergave
Hoeken afronden
0

Bienvenue chez Professional Media Group 

Professional Media Group utilise des cookies pour optimiser et personnaliser votre expérience utilisateur. En utilisant ce site web, vous acceptez La gestion de confidentialité et des cookies.