On connaît tous l’IT, l’Information Technology. On connaît peut-être moins l’OT, l’Operational Technology. Ces deux mondes s’imbriquent pourtant de plus en plus étroitement. Christophe Camerlynck, CEO de AgiNtech, nous décrit ce rapprochement.
En quoi consiste l’OT ?
Christophe Camerlynck : « L’Operational Technology, ou technologie d’exploitation, désigne l’ensemble des technologies qui permettent de faire fonctionner des équipements industriels comme une chaîne d’assemblage. Ceci englobe la programmation et l’utilisation d’automates, ainsi que la gestion de capteurs qui recueillent simultanément en temps réel des données physiques comme des mesures de température ou de pression. Un processeur va traiter ces informations avant de les envoyer vers une architecture SCADA de production via un réseau fi laire ou sans fi l. »
L’OT, ou technologie d’exploitation, désigne l’ensemble des technologies qui permettent de faire fonctionner des équipements industriels comme une chaîne d’assemblage.
« On se retrouve avec un vrai meltingpot d’objets connectés. Quelque part, les technologies sont similaires à celles du monde IT, comme la technologie Ethernet, mais en OT, nous en avons des spécifiques, comme LoRa, Sigfox ou NB-IoT, qu’on utilise pour les communications d’objets connectés dans l’internet industriel des objets (IIoT). On peut aussi utiliser l’OT en combinaison avec des outils IT pour faire un suivi des indices de performances ou alimenter en données des outils d’intelligence artificielle. »
On parle toujours technologies, réseaux, etc. En quoi peut-on encore distinguer l’OT de l’IT ?
C. C. : « Ce qui distingue en premier lieu l’OT, ce sont les contraintes : quand un signal est envoyé dans le réseau, il faut avoir la certitude que cette information parviendra bien à son destinataire dans un laps de temps donné. Si le temps de latence est trop élevé, l’info n’arrive pas à temps et cela peut, par exemple, entraîner des arrêts de production sur une chaîne de montage ou induire des risques pour les personnes dans des réseaux de sécurité. En IT, ces contraintes-là sont moins critiques et donc reléguées au second plan. »
« En second lieu, les spécialistes l’OT et ceux de l’IT ne font absolument pas le même métier ; ils n’ont pas les mêmes besoins ni les mêmes contraintes. Donc, ils ne parlent pas le même langage et risquent de ne pas se comprendre. On passe d’une situation où on a un problème technique à régler à une autre à dimension essentiellement humaine. Il est dès lors indispensable de bien communiquer entre eux pour se comprendre mutuellement, quitte à devoir se remettre en question. »
L’industrie ne pense pas assez ‘cybersécurité’
Qu’une banque, par exemple, puisse susciter les convoitises de cybercriminels, on le conçoit aisément. Dans l’industrie, la perception du risque est tout autre. Il faut encourager la prise de conscience de ces entreprises, souligne Gregorio Matias, CEO de MCG.
Comment expliquer la hausse des problèmes liés à la cybersécurité ?
Gregorio Matias : « Dans l’industrie 4.0, on intègre de plus en plus d’éléments IT à l’OT, d’où la croissance de ces problèmes. En dépit de la médiatisation de ceux-ci, les acteurs industriels n’en ont pas encore pris toute la mesure. Un autre élément d’explication est le manque de connaissances de beaucoup d’acteurs sur le marché en matière de cybersécurité. Cela induit souvent un sentiment de sécurité, mais il est illusoire : on croit être parvenu à un niveau de risque acceptable, alors que ce n’est pas le cas. »
De quels risques parle-t-on ?
G. M. : « En Belgique, on connaît deux cas d’entreprises qui ont souffert de lourdes conséquences. Dans le premier, une entreprise a été contrainte de procéder à des arrêts de chaînes de production sur plusieurs sites durant des mois, car l’infection s’était propagée. Cela lui a évidemment coûté une fortune. Dans le second cas, une entreprise en cours de vente a été victime d’une cyberattaque, ce qui a diminué sa valorisation d’un montant estimé entre 100 et 200 millions d’euros. Que ce soit en termes de pertes de production ou de détérioration de l’image, on n’échappe pas à un gros impact financier. »
Le manque de connaissances de beaucoup d’acteurs en matière de cybersécurité induit un sentiment de sécurité, mais il est illusoire.
Comment approcher le secteur industriel sur ces questions ?
G. M. : « À l’origine, il n’existait pas vraiment de référentiel pour traiter les attaques sur des infrastructures industrielles. Il y a 15 ans, avec Christophe, nous avons commencé par établir notre démarche sur la base de bonnes pratiques et d’une logique de sens commun. Nous avons un peu connu notre stress test avec le virus Stuxnet en 2010. Après analyse, nous avons conclu que notre méthodologie de sécurité fonctionnait par rapport à ce type d’attaques. Nous avons développé l’expertise. Au-delà de ce core business, nous mettons un point d’honneur à comprendre le métier de nos clients pour leur proposer les solutions les mieux adaptées. »
Cyber4Industry
Une offre combinée pour répondre à ces défis
Face aux carences en cybersécurité dans le secteur industriel, les CEO de AgiNtech et de MCG ont décidé d’unir leurs forces au sein d’une off re baptisée Cyber4Industry. Elle intègre toute la chaîne de l’IT à l’OT.
Comme l’explique Christophe Camerlynck, ce qui a motivé à bâtir cette offre, « c’est le fait que beaucoup de PME ayant des installations industrielles ne disposent pas de service IT en interne. Même si, au départ, nous n’avions pas prévu de cibler ce type d’entreprises, de grands acteurs se sont également montrés enchantés par notre idée de combiner la cybersécurité OT et IT. »
Si une entreprise n’intègre pas l’aspect cybersécurité dès la conception initiale de sa ligne de production, elle s’exposera à des dépenses supplémentaires.
Désormais, lui et Gregorio Matias vont voir les entreprises main dans la main. Ce dernier précise : « Nous pouvons ainsi immédiatement leur fournir du répondant sur les deux aspects, en couvrant l’entièreté de leurs besoins, sans laisser de faille. Très souvent, une entreprise envisage des investissements pour une ligne de production avec certains objectifs de rentabilité. Si elle n’intègre pas l’aspect cybersécurité dès la conception initiale, cela constituera en soi un problème de design et on s’exposera à des dépenses supplémentaires. »
En conclusion, il établit un parallèle avec le changement climatique : « On sait qu’il faut agir pour restreindre son impact, mais il faut aussi accepter de faire l’effort supplémentaire qui en découle, comme se doter de véhicules plus propres mais aussi plus chers. »