Phoenix Contact conseille à l’industrie d’investir en priorité dans la cybersécurité
« Le coût de la prévention est bien inférieur au prix à payer en cas de cyberattaque »
Vous voulez éviter à tout prix que votre production soit mise à l’arrêt du jour au lendemain en raison de facteurs externes. Il s’agit pourtant d’un risque bien réel si vous négligez votre cybersécurité. C’est donc à juste titre que Phoenix Contact plaide pour sa mise en place. « Vous ne devez pas passer du tout au tout à marche forcée : le développement des procédures adéquates et le parcours d’adaptation de vos collaborateurs prennent également du temps », indique Peter-Jan Deltour, Head of OT & Cybersecurity chez Phoenix Contact Belgique.
En tant qu’entreprise technologique de premier plan, Phoenix Contact propose des solutions innovantes dans les domaines de l’électrotechnique et de l’automatisation. Vous les trouverez partout où des flux d’électricité ou de données doivent être connectés, distribués ou contrôlés.
À cette fin, l’entreprise développe et fabrique divers produits tels que des barrettes de connexion , des alimentations, des PLC et des solutions d’IdO destinés aux secteurs de l’ingénierie mécanique, de l’énergie et de l’infrastructure, entre autres. Phoenix Contact aide les entreprises à travailler de manière plus efficace et sûre, toujours dans une optique durable et en mettant l’accent sur la numérisation.
Loi sur la cyber-résilience (Cyber Resilience Act)
« Cet aspect de la sécurité est de plus en plus important », souligne Peter-Jan Deltour. « Nos produits doivent répondre aux exigences de l’industrie en matière de cybersécurité. D’ici 2027, ils devront également satisfaire aux normes de la loi sur la cyber-résilience qui s’adresse principalement aux fournisseurs de composants, comme nous. Cette nouvelle directive européenne souligne une fois encore la nécessité accrue de sécuriser efficacement les solutions IT et OT. »
Lors de l’intégration de la cybersécurité dans ses solutions, Phoenix Contact prend la norme IEC 62443 pour fil rouge. « C’est l’une des rares normes de cybersécurité qui se concentre également sur le marché industriel. Lorsque nos systèmes sont installés chez des clients finaux industriels, ils doivent fonctionner de manière optimale durant toute leur durée de vie - entendez par là les 20 années à suivre, grosso modo - et continuer de répondre aux exigences de sécurité à la fin de cette période. La norme IEC 62443 y veille par un volet intégral sur la protection et la sécurité des composants. Nos PLC répondent à ces exigences depuis 2019 déjà, avec une intégration systématique dans tous nos autres groupes de produits également. »
Avancer que la cybersécurité relève exclusivement de la responsabilité de votre service IT peut être risqué. « Souvent, ces personnes ne connaissent pas de manière suffisamment détaillée ce qu’implique la technologie opérationnelle. Il est donc judicieux de confier cette tâche à un partenaire disposant de connaissances approfondies, comme un fournisseur de ces composants, par exemple. »
Audit obligatoire
En plus de sécuriser son propre portefeuille de produits, Phoenix Contact propose également des services afin d’aider les clients finaux à concevoir et implémenter la cybersécurité. Bon nombre d’entreprises se rendent compte qu’elles ont besoin d’une approche structurée en matière de cybersécurité pour leur OT, mais ignorent souvent par où commencer. Afin d’aider les clients finaux industriels à rendre leur infrastructure cybersécurisée, Phoenix Contact adopte une approche mûrement réfléchie.
« Tout d’abord, nous identifions tous les éléments (machines, hall d’usine...). Dans la plupart des cas, la documentation mise à disposition par les entreprises dans ce domaine ne correspond pas totalement à la réalité. Dès lors, si les entreprises souhaitent bénéficier de notre aide, cet audit est obligatoire, car nous devons savoir le plus précisément possible ce que nous devons sécuriser. »
Nous devons savoir le plus précisément possible ce que nous devons sécuriser.
Peter-Jan Deltour, Head of OT & Cybersecurity chez Phoenix Contact
Deuxième étape : une analyse des risques. « Ne pas miser sur la cybersécurité est une grave erreur. Vouloir aller trop vite n’est pas une bonne idée non plus. La technologie en soi coûte de l’argent, mais entre-temps, vous devez également permettre aux procédures d’évoluer en parallèle et donner le temps à vos collaborateurs de se familiariser avec la nouvelle approche. Un rythme trop soutenu peut refroidir les gens, créant un effet inverse et augmentant encore le risque. Vos collaborateurs auront très certainement les meilleures intentions, mais en réalité, ils constituent dans de nombreux cas le maillon faible dans de tels processus. »
Cette analyse de risque résulte en une liste mettant en évidence les différents points névralgiques, grands comme petits. « Il incombe ensuite à l’entreprise d’établir les priorités ainsi qu’un timing pour les mettre en œuvre. Quoi qu’il en soit, vous pouvez commencer par quelques « gains rapides », tels qu’une configuration correcte des pare-feux. Vous devez toutefois veiller à planifier concrètement d’autres mesures, car elles peuvent avoir un impact sur le flux opérationnel de votre organisation. »
Demande induite par les incidents
À vrai dire, on ne peut plus se permettre de reléguer la cybersécurité au second plan, estime Peter-Jan. « Heureusement, nous constatons que les entreprises sont de plus en plus nombreuses à demander de l’aide dans le cadre de cette démarche. Hélas, elles le font encore (trop) souvent après avoir déjà été confrontées à un incident, ou après qu’une cyberattaque ayant touché une entreprise ait été fort médiatisée. Sachez que ces annonces ne sont que la partie émergée de l’iceberg : toutes les cyberattaques réussies dont sont victimes les PME ne font pas la une des journaux. »
Toutes les cyberattaques réussies dont est victime une PME ne font pas la une des journaux. Loin de là !
Peter-Jan Deltour
Il est vrai que la cybersécurité représente un coût, mais le prix de la prévention reste de toute façon bien inférieur à celui qu’il faut payer pour limiter au maximum l’impact d’une attaque. « De plus, la question n’est pas tant de savoir si une attaque se produira un jour, mais plutôt quand elle aura lieu, et quel en sera l’impact ? Il s'agit de trouver le bon équilibre entre investissement dans la cybersécurité et efficacité opérationnelle. Cet équilibre n’est pas simple, mais idéalement, la sécurité doit toujours peser un peu plus lourd dans la balance. »
Partenaires
Cebeo, les intégrateurs de systèmes et les fabricants de machines jouent également un rôle important dans l’amélioration du niveau de cybersécurité au sein de notre industrie, estime Peter-Jan Deltour. « De par sa position, Cebeo est très proche du marché et très au courant de ce qui s’y passe. Elle dispose pour ce faire d’un soutien plus vaste lui permettant de détecter les problèmes et de prodiguer des conseils. Les intégrateurs et les fabricants de machines peuvent également être d’une grande valeur, sans s’en rendre compte. En effet, il devient crucial pour les entreprises de sécuriser l’ensemble de leur « chaîne d’approvisionnement ». Le fait de savoir que les machines sont cybersécurisées de manière optimale offre une certaine tranquillité d’esprit et renforce la confiance envers les fabricants de machines qui peuvent dès lors bénéficier d’une publicité supplémentaire via le bouche-à-oreille. »
Peter-Jan salue les efforts de sensibilisation déployés depuis quelque temps déjà par le CCB (Center for Cybersecurity Belgium) et invite le secteur à poursuivre sur cette voie en investissant dans la sécurité numérique. « Il ne faut pas le voir comme une obligation, mais comme une étape nécessaire à une sécurisation accrue de vos processus. En tant qu’organisation certifiée TÜV pour la mise en œuvre de la norme IEC 62443 (tant en termes de gestion globale, que d’intégration de système et de sécurité des composants), Phoenix Contact veut souhaiter apporter sa pierre à l’édifice. »
