Interview RSSIGilles Berthelot, RSSI à la direction de l’audit et des risques à la SNCF, fait face à de grands enjeux de cybersécurité dans l’activité ferroviaire. Il a accepté de répondre en exclusivité à nos questions sur son rôle, les évolutions de l’industrie et sa transformation numérique ainsi que sur les risques cyber qu’il doit contrer.

Pour vous quel est le rôle et les missions d’un RSSI concernant les activités industrielles ?

Le monde industriel des automaticiens s’est numérisé en parallèle de l’informatique de gestion et a généré des « espèces endémiques de systèmes d’information » avec bien souvent des technologies confidentielles ou propriétaires. Cette spécificité a d’ailleurs longtemps été la seule protection naturelle de ces systèmes face à la contamination galopante par les menaces du monde IP.

La recherche de réduction des coûts a conduit à une standardisation de ces systèmes et au recours à des technologies sur étagères souvent IP. Or, les équipes du monde industriel, si elles avaient l’expertise de la sûreté de fonctionnement, n’étaient pas forcément éduquées à la cyber-protection des systèmes.

Tant que ces mondes étaient isolés les risques étaient faibles mais la généralisation de l’ouverture de ces systèmes d’information au pilotage et à la télémaintenance en IP a véritablement balayé ces barrières techniques : on a ainsi introduit des risques standards sur des systèmes parfois critiques.

Il apparaît donc naturel que le RSSI, qui couvrait jusqu’alors le périmètre des systèmes d’information de gestion, s’empare du sujet de la cyber-protection du monde industriel numérique.

Il a généralement 2 défis à relever en parallèle :

  • L’intégration de la sécurisation des systèmes d’information (SSI) dans les nouveaux projets industriels dès la conception en intégrant les exigences cyber (sécurité by design) y compris vis-à-vis de ses grands partenaires industriels.
  • La rétro-protection des systèmes existants en production, mal ou insuffisamment cyber-protégés. Vaste challenge pour des systèmes souvent difficilement modifiables ou ne comportant pas toujours les fonctions élémentaires indispensables. Dans ces cas, seule la « chambre d’isolement » reste possible.

Comment « l’industrie 4.0 » se concrétise au sein de votre société ?

L’industrie 4.0 représente la première partie du challenge : la conception sécurité by design… La seule viable à terme.

« On ne voit pas de chantiers navals qui mettent à la mer des bateaux avec des trous dans la coque et qui demanderaient ensuite aux marins de les réparer en mer » ai-je l’habitude de dire. C’est pourtant ce que font trop souvent les concepteurs de systèmes informatiques : c’est irresponsable !

Au sein de la SNCF, qui conçoit ses systèmes industriels, la prise de conscience sur « la SI dépendance croissante » de nos métiers est totale. Reste à l’appliquer opérationnellement de manière généralisée.

C’est un travail de longue haleine qui nécessite :

  • d’accompagner les hommes dans ces nouvelles approches,
  • d’adapter les processus et méthodes SSI au monde industriel,
  • d’adapter les technologies de cyber-défense pour prendre en compte les spécificités de production industrielle.

Les enjeux de l’Industrie 4.0 et de et l’IIoT sont nombreux. Selon vous, quels sont les risques inhérents ?

Bien sûr dans la smart industrie le lien avec l’IoT est fort. Les capteurs et la réaction automatique sur événements détectés est un objectif pour être plus efficient.

De l’importance de ne pas se tromper dans les choix IoT : la cybersécurité de ces équipements est primordiale car c’est la clé de la confiance qui est une valeur essentielle de nos métiers.

Une fois ces capteurs intelligents installés et déployés il est inenvisageable de revenir sur leurs éventuelles déficiences SSI de design. C’est trop tard et contraire au modèle de dissémination de ces technologies.

Selon vous, comment les RSSI peuvent-ils accompagner ce mouvement et en quoi celui-ci diffère-t-il des systèmes industriels classiques ?

Dans les systèmes classiques industriels on est souvent sur des installations de production fermées : usines, data centers, ateliers, etc.

Avec les objets connectés on est dans la dissémination territoriale avec des problèmes d’énergie, de débit réseau, de capacité de calcul limitée, etc. C’est forcément un cadre contraignant pour la SSI.

En quoi la transformation numérique des usines, ses enjeux et ses impacts sur les Systèmes d’information industriels, a-t-elle fait évoluer le rôle du RSSI ?

Le monde des automaticiens n’était pas préparé à ce phénomène d’invasion du numérique standard et doit forcément être renforcé de compétences cyber.

La ressource est rare d’autant que ces systèmes et les processus industriels sont spécifiques et parfois complexes. Il faut conjuguer le savoir des sachants historiques et y adjoindre le savoir cyber soit en formant des gens du sérail industriel, soit en intégrant des experts cyber dans ce monde. Cette greffe est parfois sensible et peut tarder à prendre mais elle est incontournable.

De quels moyens matériels, financiers et organisationnels disposez-vous pour renforcer la sécurité des systèmes industriels ? Comment appréhendez-vous l’évolution de la responsabilité du RSSI vers les réseaux industriels et l’IoT ?

La SNCF a fait le choix de nommer des RSSI délégués aux systèmes industriels (matériels roulants et systèmes d’infrastructure), d’y associer les moyens adéquats, une gouvernance SSI dédiée et adaptée et des référentiels propres au monde industriel.

La PSSI SNCF prend déjà en compte le périmètre industriel.

Pensez-vous qu’il y a un besoin d’améliorer la maîtrise de vos réseaux industriels ?

Forcément des écarts existent ne serait-ce que par la dissymétrie entre la durée de vie des appareils industriels (20 à 40 ans) et la durée de vie des SI qui les pilotent (5 à 10 ans).

À ce jour, avez-vous mis en place un SOC (Security Operation Center) ou en avez-vous le projet ? Si oui, quelle est votre approche stratégique et technique pour une mise en place la plus efficace possible ?

Un SOC industriel est bien en cours de déploiement, il est en synergie avec le SOC du périmètre de gestion et les deux seront consolidés pour offrir une vue globale tout en respectant la ségrégation des environnements.

Qu’en est-il des réseaux industriels, est-ce que cela s’inscrit dans votre projet ? Si non, pourquoi ?

Les réseaux industriels sont en pleine mutation avec une « invasion » du monde IP. La ségrégation stricte des supports et des flux est non négociable. Quand passerelles il doit y avoir entre les deux mondes, elles doivent être très rigoureusement limitées et bénéficier d’une homologation SSI par des prestataires qualifiés ANSSI avant toute ouverture.