Par Sylvain Guilley, CTO de Secure-IC et éditeur principal à l'ISO.
L'industrie n'est pas la seule concernée : pour beaucoup, la cybersécurité n'est ni plus ni moins qu'un centre de coût, un passage obligé. Pourtant, la crise sanitaire l'a prouvé : sans sécurité, pas de système d'information et une production (de produits comme de services) au ralenti ou pire, à l'arrêt. À l'heure de l'industrie 4.0, la cybersécurité n'est plus un élément subsidiaire, mais bien l'enjeu majeur de la sécurisation de nos chaînes de production.
Industrie 4.0 : quand l'industrie devient agile
Bien que le concept soit loin d'être nouveau, l'industrie 4.0 reste un sujet d'actualité pour les acteurs et les observateurs du secteur. Qu'on la nomme industrie du futur ou quatrième révolution industrielle, le concept reste toujours le même : organiser les moyens de production physiques par le prisme de la donnée, de l'information. Les retombées sont évidentes en termes de capacité à personnaliser les produits et de collecte de méta-données (analytics), utiles par exemple pour la maintenance prédictive.
Outre les systèmes, l'informatisation et l'automatisation, déjà présentes dans la troisième génération industrielle, l'industrie 4.0 a recours à toute une kyrielle de capteurs et divers objets connectés, qui forment ensemble le socle des systèmes de contrôle et d'acquisition de données en temps réel (SCADA). Ce socle est capable ensuite de dialoguer avec les chaînes de production, pour adapter les cadences aux besoins marché, personnaliser finement chaque produit à la demande client ou encore anticiper les besoins de maintenance.
Car c'est là tout l'apport de l'industrie 4.0 : la donnée. Avec elle, finies les productions de masse et les chaînes de production déversant en continu les mêmes produits, avec pour seule capacité d'adaptation l'analyse a posteriori de la demande. Place désormais à la personnalisation des produits et à l'adaptation en temps réel à l'aide de données marketing et commerciales internes ou économiques, environnementales, voire politiques, issues de l'externe. En bref, voici venue l'ère de l'agilité industrielle, qui n'a désormais plus rien d'un oxymore.
Un contexte normatif simple et compréhensible
Une fois n'est pas coutume, le contexte normatif n'est pas constitué de couches superposées se renvoyant les unes aux autres, dans un imbroglio incompréhensible et, in fine, particulièrement difficile à mettre en œuvre. En matière de cybersécurité industrielle, une seule norme fait loi : le standard IEC 62443, qui s'inscrit, de façon homogène, dans les contextes de la sécurité industrielle et de la sécurité des systèmes d'information.
Issues, notamment, des travaux du comité 99 de l'International Society of Automation (ISA) dans les années 2000, les recommandations du standard IEC 62443 ont été formalisées en 2010. Ce qui correspond peu ou prou à la découverte du virus Stuxnet, qui a profondément perturbé le programme nucléaire iranien. Mais qu'il s'agisse d'Opérateurs d'Intérêt Vital (OIV) comme de n'importe quelle usine, les enjeux sont tels que le standard IEC 62443 s'est rapidement imposé au secteur industriel.
Sans entrer dans les détails techniques, la norme propose une approche en quatre piliers, des généralités jusqu'au moindre composant, en passant par les stratégies et procédures, et tout l'aspect système. Mais c'est surtout son évolution et son agilité qui sont à saluer : depuis 11 ans maintenant, le standard n'a cessé de s'adapter aux nouveaux besoins et nouvelles réalités de l'industrie 4.0, tout en restant fiable et clair. En cours de rédaction, une nouvelle version de la norme devrait voir le jour courant 2022.
Données et sécurité, pierres angulaires des chaînes de production
Dans un contexte commercial de plus en plus « orienté client », la production industrielle, comme les secteurs du service avant elle, franchit donc peu à peu le cap d'une approche par l'offre vers une approche par la demande. Pour les industriels, l'usine de demain sera donc 4.0 ou ne sera pas. Aidées par la couverture 4G et accélérées par le déploiement progressif de la 5G, les nouvelles chaînes de production adoptent désormais systématiquement la flexibilité de l'industrie 4.0. Ceci représente un enjeu, car l'instrument de production de nombreuses usines est vieillissant et hétérogène.
Face à cette « softwarisation » de l'industrie, ce n'est plus seulement l'instant T qu'il faut considérer, mais bien tout le cycle de vie de la chaîne de production 4.0, avec, comme pour tout système d'information ou industriel, un maintien en conditions opérationnelles (MCO) et un maintien en conditions de sécurité (MCS). Dès lors, la conception comme la maintenance de l'usine ne sont plus seulement physiques mais également logicielles, avec l'adoption d'une démarche cybersécurité au moins aussi importante que l'outil de production en lui-même.
En ce sens, c'est certain : l'industrie 4.0 est une véritable révolution, capable de transformer durablement le visage du secteur industriel partout dans le monde. Et c'est en négociant ce virage plus vite et parfois mieux que d'autres, que certains industriels ont déjà pris de l'avance, faisant de la cybersécurité un atout plutôt qu'une contrainte.