[Interview] Appréhender la sécurité informatique dans l’industrie

Sécurité informatique industrielle : interview de Mickaël Labit

Les industriels ont bien compris l’intérêt d’utiliser la donnée : collecte, analyse et transformation en actions, notamment d’optimisation. Mais quid des questions de la sécurité informatique ? Que faut-il vérifier chez son fournisseur de solution digitale ?

Nous avons échangé avec Mickael Labit, Chief Technical Officer chez METRON depuis 2017. Il nous expose les enjeux de la sécurité informatique industrielle, et les solutions pour se prémunir.

Comment appréhender les enjeux de la sécurité des données lors de la mise en place d’une solution digitale ?

Le premier frein à la mise en place d’une solution digitale est l’appréhension des industriels vis-à-vis des enjeux de sécurité (perte de données, confidentialité, etc.). Les évolutions ont été si rapides que dans certains domaines, internaliser les savoir-faire est difficile.

S’ils veulent gagner en compétitivité et profiter de la digitalisation de l’industrie, les industriels doivent s’ouvrir à l’extérieur : ils sous-traitent et utilisent des solutions tierces sans avoir une maîtrise directe sur la sécurité. Dans ce contexte, la sécurité informatique n’est plus une affaire purement interne. C’est une responsabilité partagée, entre les services de l’entreprise et différents prestataires sollicités.

L’enjeu majeur est de choisir un fournisseur de confiance, mais aussi d’avoir conscience des risques liés à une solution. Ce n’est pas parce qu’un outil est très connu qu’il est le plus sécurisé ! Il faut donc à tout prix se renseigner sur les risques pour prendre les bonnes décisions.

Une fois la bonne solution digitale installée, il convient de garder à l’esprit ces risques et de maintenir les échanges en toute transparence avec votre fournisseur.

 

Quels sont les points d’attention ? Et comment garantir la sécurité d’une solution digitale pour rassurer un industriel ?

La sensibilité de la donnée est la première chose à intégrer. Lors de la mise en place d’un EMS (Energy Management System), nous devons veiller en permanence à l’intégrité, la confidentialité et la disponibilité des données exploitées.

Parmi les données sensibles se trouvent les paramètres machine, ou les données de production émanant de capteurs. Elles peuvent révéler des secrets de fabrication, donner des indications sur les marges de l’entreprise et d’autres avantages concurrentiels. Il est donc impératif de les protéger.

Pour cela, tout bon fournisseur de solution digitale doit : 

  • Sécuriser le transfert des données entrantes (remontée sur les sites industriels) et sortantes (envoi des informations par le client) grâce à la mise en place de protocoles.
  • Gérer le traitement de la donnée, c’est-à-dire les calculs, l’agrégation des données et la création de KPI.
  • Développer les applications front / end et assurer la stabilité de la solution ;
  • Maintenir le socle de l’infrastructure dans une logique DevOps, avec le déploiement de services dans le cloud d’OVH, d’Amazon ou d’autres hébergeurs.
  • Innover en permanence pour améliorer la performance et la robustesse de la solution –  dans le cas de METRON en matière de Data Science (expertise statistique et modélisation à des fins énergétiques), de R&D (pour lever les verrous mathématiques et scientifiques) – ou encore pour répondre à de nouvelles problématiques métier et intégrer des machines spécifiques.

La sécurité du système dépend de ces différents points.

Des audits réalisés par des sociétés externes peuvent aussi être commandés par le fournisseur de services pour garantir l’absence de failles dans sa solution, et certifier la fiabilité des résultats. Lorsque vous répondez aux questionnaires techniques en tant que client industriel, n’hésitez pas à demander les résultats de ces audits.

 

Quelles sont les tendances et évolutions du marché dans ce domaine ?

Le passage du on-premise au cloud est la tendance majeure. 

Avoir un logiciel sur site (on-premise) déployé localement derrière un pare-feu permet de respecter les mesures de sécurité d’une organisation et favorise le contrôle des données par celle-ci. Mais c’est aussi un risque : celui du manque de flexibilité.  En effet, tout changement dans le système nécessite une intervention et une implication de ressources côté client. 

Il ne faut pas seulement penser aux pertes de données : l’intégrité et la disponibilité de celles-ci sont des éléments clés.

Quel que soit le fournisseur choisi (Azure, Google, Amazon…), les services apportés par la technologie cloud sont avantageux.

Au niveau groupe, le cloud rend possible la centralisation et la comparaison des données énergétiques de plusieurs usines séparées, et potentiellement isolées, afin de gagner en performance et de réaliser des économies d’énergie. 

Cependant, un fournisseur de solution digitale ne doit pas minimiser les risques encourus. Il est de sa responsabilité  de les vulgariser, d’échanger avec ses clients, les sensibiliser à la sécurité informatique et leur montrer les bonnes pratiques à adopter. Des évaluations externes, comme les audits de sécurité, lui permettent aussi d’être identifié comme un intermédiaire de confiance.

Comprendre les problématiques client, trouver les solutions convaincantes, et initier une démarche d’amélioration continue, c’est le rôle du prestataire !

Finalement, un fournisseur de service doit expliquer clairement le contenu de sa prestation, pour vous permettre de mesurer les risques associés à la solution et de les estimer au regard des opportunités offertes. L’intégrité, la confidentialité et la disponibilité des données exploitées dépendent de cette collaboration, qui doit être basée sur la transparence et la confiance !

 

Échangeons dès aujourd’hui autour de votre projet :