Cercle Européen de la Sécurité et des Systèmes d'Informations

De l’appréhension du cyber risk à la résilience : les enjeux de la supply chain 4.0.

Publié le

Compte rendu du débat du Cercle du 4 février 2016

Débat avec :

Adoté Chilloh, RSSI et Responsable de la production informatique de la Bibliothèque Nationale de France,
Philippe Laflandre, VP Head of Consulting & Public Affairs, Airbus Defence& Space Cybersecurity, 
Pierre Maillet, directeur industriel et supply chain chez SNCF Réseaux
Jean-Christophe Mathieu, Product and Solution Security Officer, Division Digital Factory, Siemens, 

Modérateur : Alain Establier, rédacteur en chef de la lettre SECURITY DEFENSE Business Review

Alain Establier rappela en introduction qu’à la foire de Hanovre de 2011 avait été présenté le concept d’industrie 4.0, une nouvelle façon d’organiser les moyens de production ayant pour objectif la mise en place de «smart factories» capables d’une plus grande adaptabilité dans la production et d’une allocation plus efficace des ressources. La préoccupation des RSSI, des DSI et des CDO devant être de s’assurer de la sécurité de leurs SI dans un environnement s’appuyant sur l’internet des objets et sur la connexion des usines au réseau Internet, avec les dangers que cela comporte (ver Stuxnet, panne du réseau électrique d’une partie de l’Ukraine le 23 décembre 2015, etc.), Le Cercle avait convié un panel brillant de professionnels qui nous ont fait part de leurs expériences.

Philippe Laflandre, VP Head of Consulting & Public Affairs, Airbus Defence and Space Cybersecurity, a brossé un rappel de l’état de la menace (intense, multiple et protéiforme) concernant le tissu industriel et a insisté sur le degré d’impréparation à cette menace des acteurs de la supply chain dans leur grande majorité. Par exemple, à la foire de Hanovre en 2011, aucun exposant ne représentait la sécurité, ce qui illustre bien le retard pris en ce domaine. Il explique, en illustration, la mise en place de « BoostAeroSpace », la plateforme numérique aéronautique européenne, créée en 2009 par Airbus, Dassault Aviation, Safran et Thales.

Jean-Christophe Mathieu, Product and Solution Security Officer, Division Digital Factory, Siemens, nous a fait part de sa longue expérience d’automaticien, revenant sur les risques liés au défaut de sécurité fonctionnelle des automatismes. Avouant que les chefs de projets des procédés et des métiers n’avaient pas l’expérience IT qu’ont les RSSI, il souligne le travail de l’ANSSI pour mettre face à face des spécialistes comme lui et des spécialistes de l’IT. Il a appelé à amplifier ce mouvement, en particulier au niveau des intégrateurs et installateurs de systèmes industriels, et à développer la formation collaborative, car le fossé est trop important entre les acteurs de l’automatisme et les administrateurs réseaux.

Adoté Chilloh, membre du CESIN, à la fois RSSI et Responsable de la production informatique de la Bibliothèque Nationale de France, nous a apporté un éclairage sur la numérisation et l’archivage qui caractérisent la BNF. Ce n’est pas une usine mais elle en est proche, avec des wagonnets pilotés par un data center pour apporter des ouvrages. Il y a plus de 10 ans que la BNF utilise la numérisation pour le stockage de ses données et il insista sur la résilience face à des incidents internes ou à des attaques externes : il faut préserver les données dans un environnement sécurisé.

Pierre Maillet, directeur industrielle et supply chain chez SNCF Réseaux, nous a confirmé que les attaques étaient certes nombreuses mais que, pour autant, les attaques sur les SI n’avaient jamais provoqué d’arrêts de son exploitation. Par contre, des défauts dans les matériels ou des causes internes ont parfois provoqué des arrêts d’exploitation. Pour être réactif, il a demandé aux responsables SI de la souplesse, du tissage, de l’attention à la capacité à rebondir tout en conservant le niveau de sécurité : délégation nécessaire, agilité par rapport aux SI centralisés ou apparaissant rigides pour les équipes de terrain. Il est essentiel de ne pas brider l’innovation.

La conclusion et les vœux de nos intervenants, en quelques mots clés: confrontation des risques au coût de résilience, pragmatisme et réalisme à ne jamais oublier, nécessaires formation et préparation des équipes d’opérateurs à une résilience de bon sens.

Dernière publication

Associer renseignement sur la menace et cyber-résilience peut sembler antinomique, Benoit Grunemwald, Cybersecurity Leader, ESET explique !

Lire