Qu'est-ce que la norme NIS2 ?
À partir de l'été 2024, la norme NIS2 (Network and Information Security) entrera en vigueur, apportant des changements significatifs pour renforcer la protection des infrastructures critiques. Pour rappel, cette dernière ajoute son lot de contraintes et sanctions pour les industriels :
- Obligation de conformité : Les entreprises devront se conformer aux mesures de sécurité énoncées dans la norme NIS2. Elles devront mettre en place des dispositifs de détection et de réponse aux incidents, gérer les vulnérabilités et protéger les données sensibles.
- Responsabilité de ses sous-traitants : Une vigilance accrue sera exercée sur les sous-traitants en matière de cybersécurité. Ils devront respecter les exigences strictes de la norme NIS2, assurant ainsi un niveau de sécurité cohérent dans toute la chaîne d'approvisionnement.
- Sanctions financières en cas de non-conformité - (env 2 à 4% du CA) : Les entreprises qui ne respectent pas la norme NIS2 seront passibles de sanctions, y compris des amendes financières. Il est essentiel de prendre des mesures proactives pour garantir la conformité et éviter de telles conséquences.
- Approche holistique de la cybersécurité 𝗜𝗧 𝗲𝘁 𝗢𝗧 : les entreprises devront adopter des mesures de prévention, de détection, de réaction et de récupération face aux cyberincidents sur les périmètres IT et OT.
Il est donc nécessaire de penser dès maintenant à sa stratégie de convergence OT/IT !
Pourquoi oeuvrer pour la convergence OT/IT ?
Aujourd'hui, le besoin en données de production (OT) temps réel se fait de plus en plus pressant pour les opérationnels. C'est normal, ces données permettent de servir les 𝗼𝗯𝗷𝗲𝗰𝘁𝗶𝗳𝘀 de 𝗽𝗿𝗼𝗱𝘂𝗰𝘁𝗶𝗼𝗻, 𝗾𝘂𝗮𝗹𝗶𝘁𝗲́, 𝗺𝗮𝗶𝗻𝘁𝗲𝗻𝗮𝗻𝗰𝗲 ou encore 𝗲́𝗰𝗼-𝗲𝗳𝗳𝗶𝗰𝗶𝗲𝗻𝗰𝗲.
Pendant ce temps, la DSI tend à fermer les portes au maximum pour protéger l'intégrité de l'usine. C'est normal, son rôle est d'assurer la sécurité du run.
Alors, de multiples pilotes voient le jour : ils sont simples et rapides à mettre en place, répondent à un cas d'usage précis et remontent la donnée directement dans le cloud, souvent à l'insu de la DSI (via IoT 4G & VPN par exemple).
En quoi la stratégie des pilotes peut poser un problème ?
En général
- Empêche le travail de contextualisation et de mise en forme nécessaire pour maitriser ses données de production avant leur utilisation.
- Reproduit les silos de données et ralentit le déploiement de cas d'usage qui en auraient besoin.
- Ralentit fortement le passage à l'échelle.
- Compromet l'intégrité du système et la production.
Et si l’on ajoute dans l’équation les 𝘀𝗽𝗲́𝗰𝗶𝗳𝗶𝗰𝗶𝘁𝗲́𝘀 𝗱𝗲 𝗹’𝗢𝗧
- Multiplicité de protocoles spécifiques, temps réel, déterminisme, pas d’arrêt
- Mise à jour physique potentiellement nécessaire
- Équipements souvent non recensés (en moyenne 30% du parc inconnu)
- Machines communiquant via des protocoles dépréciés / exotiques qui ne tournent plus sur des systèmes d’exploitation à jour.
On comprend que cela fragilise encore plus le système usine qui était déjà en tension.
Il est donc primordial de se saisir de ces sujets et d'entamer une vraie démarche de convergence IT-OT en mettant autour de la table des équipes qui ne se parlaient pas forcément auparavant pour construire une infrastructure sécurisée et scalable qui réponde aux besoins métiers et aux enjeux de "l'usine du futur".
Et vous, comment faites-vous pour vous préparer à ce changement de paradigme ?
