Smart Grid image illustration

Dans son rapport intitulé « l’Industrie 4.0, les leviers de la transformation », le Gimélec met en évidence les enjeux de l’usine du futur. Compétitivité, flexibilité, qualité et cybersécurité en sont les quatre piliers. Entre système de gestion de production et contrôle à distance de terminaux, les échanges numériques s’intensifient. Si on ajoute à cela le cloud, le big data et l’internet industriel des objets, on comprend combien il sera crucial de sécuriser les systèmes d’information industriels de l’usine de demain. Quels moyens devra-t-elle mettre en place pour lutter contre les cyberattaques ? Quelles conséquences sur la qualité de la production et la compétitivité des sites industriels ? Voyage au cœur de l’usine du futur.

 

L’usine 4.0 : une usine hyperconnectée

 

Les sites industriels de demain seront des lieux de production reliés au monde. Ainsi, comme le met en avant le Gimélec dans son introduction : « (…) Avec l’industrie 4.0, on réalise tout de A à Z en interaction entre les produits et les machines, et les machines entre elles ». La communication entre les outils et les postes de production sera instantanée. Tous les réseaux seront sollicités : intra, inter et extranets. Ces nœuds d’échange permettront d’adapter les productions en temps réel. De ce fait, l’usine du futur, sera un site de production intelligent qui pourra fonctionner de manière autonome. Dans cette configuration, le contrôle à distance deviendra la norme.

 

Une production intelligente

Les usines du futur modifieront leur comportement en s’adaptant aux données d’exploitation qu’elles recevront. Ainsi, si un problème qualité est identifié, la chaîne « elle-même », grâce aux capteurs communicants, analysera la source du problème et enclenchera l’action corrective. De la même façon, l’usine intelligente, reliée au système commercial de l’entreprise, pourra ajuster ses capacités de production en fonction des volumes de commandes. Cette « smart industrie » donnera une plus grande flexibilité aux industriels et augmentera leur compétitivité.

Laurent Hausermann, co-fondateur de Sentryo a pu constater lui-même la vitesse de développement des solutions pour connecter l’usine lors des salons Machine2machine & IoT et embedded systems où Sentryo était invité par Intel pour exposer. « Toutes ces innovations vont permettre de booster la compétitivité du monde industriel mais sont aussi une source de vulnérabilité importante. Lorsque les questions de cybersécurité ne sont pas suffisamment prise en compte, ce qui est souvent le cas, ce qui était une bonne idée devient un risque potentiel. »

Dans l’usine du futur, la sécurité industrielle et la sécurité des systèmes d’information devront être au cœur de toutes les préoccupations pour assurer qualité, flexibilité et compétitivité.. Les systèmes de production et d’informations devront être cartographiés et monitorés. Une surveillance permanente des réseaux sera nécessaire pour réduire les risques de cyberattaques sur l’industrie,cible de premier choix pour les hackers, si l’on en croit le rapport de l’ANSSI. Les SOC (Security Operating Centers) screenant en continu les systèmes d’information des sites industriels deviendront incontournables.

 

Smart grids, des réseaux d’approvisionnement en énergie « communicants »

Le secteur de l’énergie, par exemple,  verra son réseau d’approvisionnement totalement transformé. Les smart grids, réseaux intelligents d’approvisionnement vont se démocratiser. Ici, les échanges d’informations prendront en compte les données des différents acteurs de l’approvisionnement mais aussi celles générées par les consommateurs. Les smart grids permettront donc d’optimiser la livraison d’énergie en fonction des besoins réels des consommateurs. Un pic de consommation pourra être anticipé et mieux géré.

Ce système permettra aussi de mieux gérer les consommations d’énergie et d’optimiser la distribution entre énergies traditionnelles et énergies renouvelables. Comme le souligne le rapport du Gimélec : «  [Ceci aura] pour effet de faire évoluer le système actuel, (…) vers un système où l’ajustement se fera davantage par la demande ». Ces réseaux ultra-sensibles devront donc être particulièrement surveillés et protégés. Car, si des hackers en prenaient le contrôle lors d’une cyberattaque, les populations seraient directement touchées. Comme ce fut récemment le cas en Ukraine lors d’une cyberattaque menée contre une centrale électrique qui a privé de nombreux foyers d’électricité.

 

Des points d’entrée multiples pour les cyberattaques

 

Des objets qui communiquent avec l’outil de production

Le risque des objets connectés ce n’est pas tant la panne informatique que la panne physique qui impacte le quotidien. Smart industries ou smart grids, les sites industriels de demain se caractériseront par une connexion permanente avec les objets fabriqués. Ainsi, avec l’internet industriel des objets, le produit final gardera un lien persistant avec son site de production, c’est pourquoi il est nécessaire d’avoir une nouvelle approche de la cybersécurité basée sur la surveillance et la prévention. L’objet « remontera » des informations « post-production » aux sites industriels de demain. Ces informations seront analysées et l’usine 4.0 adaptera son comportement à celles-ci.

L’approche cybersécurité des industries de demain devra être préventive et prendre en compte ces multiples portes d’entrée pour les hackers. En effet, l’enjeu sera d’empêcher les intrusions dans les systèmes en étant en mesure d’identifier en temps réel les anomalies sur le réseau. Une fois à l’intérieur des réseaux industriels, les dégâts causés risquent d’être conséquents. Il faut être en capacité de prévenir et d’éviter cyberattaques plutôt que de les contenir et ce au sein de l’usine mais aussi entre l’usine et ses produits.

Ceci sera d’autant plus important que les industries à la pointe de l’automatisation sont souvent considérées comme « critiques ». A savoir :

  • les sites industriels liés aux énergies ;
  • l’aéronautique ;
  • la métallurgie ;
  • l’automobile ;
  • l’agro-alimentaire.

 

Cybersécurité des industries critiques : vers une harmonisation  ?

Le rapport du Gimélec met clairement en évidence une inégalité en matière de cybersécurité : seuls les grands groupes industriels ont des obligations légales pour lutter contre une cyberattaque (directive NIS / loi de programmation militaire). En effet, les grands groupes sont suivis par les pouvoirs publics, l’ANSSI notamment, qui s’assurent qu’une stratégie de cybersécurité est bien mise en place. Les grands groupes ont potentiellement les moyens financiers et humains pour activer cette stratégie. Ils ont aussi été les premiers touchés par les cyberattaques et sont donc plus avancés dans la lutte contre les attaques. Ainsi, les attaques se dirigent de plus en plus vers les ETI qui ont moins de moyens et sont donc beaucoup plus vulnérables. Leurs systèmes sont plus faciles à pénétrer et peuvent servir de « back door »  pour investir le système d’information d’un grand groupe industriel. En effet, les ETI fonctionnent beaucoup en sous-traitance pour ces grands groupes et représentent ainsi de véritables menaces potentielles pour leur client.

La cybersécurité des sites industriels doit donc être harmonisée. Les pouvoirs publics s’emparent du sujet pour proposer des mesures et des bonnes pratiques en matière de cybersécurité. Ainsi, le Cybersecurity Framework, initié aux Etats-Unis, propose déjà des procédures et guidelines.

Il faut dire que la menace des hackers est importante :fin 2015, une entreprise sur deux déclarait avoir déjà subi une cyberattaque au cours de l’année selon une étude Usine Nouvelle. Deux ans plus tard, ce nombre avait augmenté de 20 % ! D’ailleurs, selon Stéphane Meynet, chef de projet de sécurité des systèmes industriels à l’ANSSI : « Tout est à mettre en œuvre pour renforcer la sécurité des systèmes de production ». L’ANSSI publie des référentiels et guides pour accompagner les industriels et leurs partenaires vers une approche efficace de la cybersécurité.

 
Si l’industrie 4.0 est en marche, elle n’en est encore qu’à ses débuts. Elle ne gagnera en compétitivité, flexibilité et qualité que si elle systématise et homogénéise son approche cybersécurité. Les flux d’informations créés par les échanges de données entre capteurs, outils, postes et systèmes de production sont des cibles de choix pour les hackers. L’usine hyperconnectée devra se doter de systèmes de cybersécurité efficaces. Des systèmes capables de prévenir les cyberattaques avant qu’elles n’impactent le bon fonctionnement des industries critiques, comme cela a déjà pu être le cas par le passé, nous l’évoquons d’ailleurs régulièrement dans nos études de cas.