Cybersécuritaire, l’industrie 4.0?

Émilie Corriveau Collaboration spéciale
<p>La multiplication des objets connectés et le fait que ceux-ci sont souvent délocalisés complexifie la donne dans l’industrie 4.0.</p>
Photo: Markus Spiske Unsplash

La multiplication des objets connectés et le fait que ceux-ci sont souvent délocalisés complexifie la donne dans l’industrie 4.0.

Ce texte fait partie d'un cahier spécial.

Après la mécanisation, la production de masse et l’automatisation, l’industrie amorce sa quatrième révolution. Sur le plan de la sécurité, cette nouvelle ère pose d’importants défis.

Communément appelée industrie 4.0, la quatrième révolution industrielle se caractérise par une automatisation intelligente et une intégration de nouvelles technologies à la chaîne de valeur de l’entreprise.

Le CEFRIO, un organisme de recherche et d’innovation qui accompagne les entreprises lors de leur passage au numérique, en propose une description claire. Il explique que sa réalisation « prend appui sur la communication en temps réel pour surveiller et agir sur les activités de l’entreprise. Les systèmes communiquent et coopèrent entre eux, mais également avec les humains, les produits et les machines. Ainsi, Internet connecte tous les “objets” de l’usine — employés, machines, produits, clients, fournisseurs, systèmes, etc. »

Pour y parvenir, l’industrie 4.0 met en oeuvre une vaste gamme de technologies telles que les systèmes cyberphysiques, l’Internet des objets, l’infonuagique, les sciences des données (Big Data), la réalité augmentée, les technologies de communications entre machines, l’intelligence artificielle, etc.

« En somme, on crée un exosquelette cognitif autour de l’humain », résume José Fernandez, professeur agrégé au Département de génie informatique et génie logiciel de Polytechnique Montréal et spécialiste de la sécurité informatique.

L’objectif ? Améliorer la productivité des chaînes de production en les rendant plus agiles, plus flexibles et plus véloces.

« Les consommateurs sont de plus en plus exigeants. En connectant toutes les composantes qui font partie de la chaîne de production à l’intérieur et à l’extérieur de l’usine et en intégrant le design et la production en temps réel, l’industrie 4.0 va permettre une meilleure réponse à leurs besoins », précise Siegfried Usal, vice-président de l’innovation numérique et directeur général de TDS, Solutions numériques pour l’Amérique du Nord, Thales Canada, une entreprise qui se spécialise dans la conception, le développement et le déploiement de produits de haute technologie.

 

Nouveau paradigme, nouveaux risques ?

Bien que pleine de promesses, l’industrie 4.0 est-elle plus vulnérable aux cyberattaques ?

« Dans un sens oui, dans un sens non », répond le professeur Fernandez. « Dans l’industrie 3.0, on a des systèmes de contrôle, les systèmes SCADA [système de contrôle et d’acquisition de données], qui sont déjà équipés de composantes microélectroniques avec des microprocesseurs, et ces composantes-là sont reliées entre elles par des réseaux informatiques comme ceux d’Internet, explique-t-il. Jusqu’à quel point ces systèmes reliés sont-ils vulnérables ? La réponse, c’est qu’ils sont très vulnérables ! Or les systèmes critiques des industries 3.0 et 4.0 sont les mêmes. »

Pour faire court, comme les usines ont adopté les standards informatiques, mais qu’elles sont nombreuses à avoir négligé la cybersécurité qui allait de pair, elles sont déjà très vulnérables aux cyberattaques.

Ce qui complexifie la donne dans l’industrie 4.0, c’est la multiplication des objets connectés et le fait que ceux-ci sont souvent délocalisés.

« Avant, on parlait d’un système de sécurité basé sur un périmètre de sécurité. Aujourd’hui, ce périmètre, on n’est plus capable de le définir. L’écosystème s’étend aussi aux partenaires. À cela s’ajoute le fait qu’il y a des morceaux de production qui sont déportés dans un environnement hors de l’entreprise. Et comme il y a beaucoup plus d’objets connectés, les surfaces d’attaque sont multipliées », précise Lionel Merrien, directeur, Développement d’affaires, Sécurité Info-nuage et applications, Gemalto, une entreprise spécialisée dans le secteur de la sécurité numérique.

 

Redoubler de vigilance

Parce que les solutions traditionnelles ne suffisent plus, la sécurisation des systèmes industriels pose d’importants défis.

Dans l’absolu, la clé de la prévention réside dans l’adoption de systèmes d’information sécurisés dès la conception. Or, la chose est loin d’être toujours possible.

« Les durées de vie des systèmes de technologies opérationnelles sont de 20-30 ans, relève M. Fernandez. Il faut donc qu’on travaille avec des systèmes qui existent déjà et trouver des solutions qui permettent d’introduire la sécurité de façon exhaustive. »

Des produits de cybersécurité spécifiques aux systèmes industriels ont commencé à faire leur apparition sur le marché, mais d’après M. Fernandez, ils demeurent peu nombreux.

« Malheureusement, le gros de la recherche des dernières années a porté sur les systèmes d’information traditionnels, indique-t-il. Il n’y a que quelques groupes de recherche dans le monde qui travaillent spécifiquement là-dessus. »

D’après M. Merrien, deux pratiques devraient absolument faire partie des réflexes des entreprises évoluant au sein de l’industrie 4.0 : la surveillance et la conduction régulière de tests.

« D’une part, dit-il, il faut faire de la surveillance constante avec des systèmes de plus en plus pointus pour détecter des pénétrations, des failles de sécurité, etc. D’autre part, il faut aussi mener des tests de sécurité et essayer de pénétrer dans son système de toutes les façons possible pour vérifier sa sûreté. »

Tous s’entendent pour dire qu’un rattrapage sécuritaire s’impose. « Dans l’industrie 4.0, les conséquences d’une faille de sécurité peuvent être très grandes, car elles ne se limitent pas au périmètre de la compagnie, insiste M. Merrien. Il est donc primordial que la sécurité se trouve au coeur du projet des entreprises. »