Machinerie safetyPremium

La cybersécurité doit être abordée de manière intelligente

La cybersécurité et le règlement sur les machines

Cybersecurity en de Machineverordening8
Le règlement sur les machines vise à garantir la sécurité des machines, y compris de leurs composants numériques et d'intelligence artificielle

Le nouveau règlement sur les machines (UE) 2023/1230 remplace l'actuelle directive sur les machines 2006/42/CE et entrera en vigueur le 14 janvier 2027. Les nouveaux thèmes abordés sont la sécurité industrielle et la numérisation. Christophe Michiels, senior engineer Smart and Digital Factory chez Sirris, le centre collectif de l'industrie technologique belge, explique comment les entreprises peuvent se préparer au thème de la cybersécurité.

Les pirates deviennent plus intelligents

"Les développements en matière d'automatisation et de numérisation se produisent à une vitesse fulgurante. Aujourd'hui, de nombreuses machines s'échangent des données, avec des automates ou sont connectées à l'internet. Presque toutes les nouvelles machines sont connectées d'une manière ou d'une autre. Cela signifie que la cybersécurité doit être au rendez-vous. L'ancienne directive sur les machines n'en faisait pas mention. Heureusement, cela va bientôt changer", entame Christophe Michiels, senior engineer Smart and Digital Factory chez Sirris, le centre collectif de l'industrie technologique belge.

Cybersecurity en de Machineverordening1
Christophe Michiels, senior engineer Smart et Digital Factory chez Sirris

Les risques d'une cyberattaque sont réels. "De nombreuses attaques sont désormais connues et, techniquement, il n'est plus très difficile de les faciliter. Les pirates informatiques - si l'on fait abstraction des pirates éthiques - peuvent être divisés en deux catégories.

"Une première catégorie souhaite pirater une entreprise spécifique de manière très ciblée et cherche un moyen d'y pénétrer. D'autre part, il existe de nombreux cybercriminels organisés qui recherchent des failles de sécurité dans les systèmes de réseau des entreprises, sans préférence pour une entreprise ou un secteur spécifique. Une fois qu'ils ont trouvé une vulnérabilité, ils cherchent à savoir quelle taille et quel type d'entreprise ils peuvent pirater, avant de passer à l'action. Ils se demandent d'abord s'il vaut la peine de la pirater pour pouvoir exiger une certaine rançon."

La numérisation accroît la complexité des machines. "Les cybercriminels deviennent également plus intelligents. La question n'est donc pas tant de savoir si votre entreprise sera piratée que de savoir quand cela se produira et quelle en sera l'ampleur. C'est pourquoi le nouveau règlement sur les machines comporte un certain nombre d'éléments relatifs à la cybersécurité, afin d'armer les entreprises contre les attaques."

Sécurité, authentification et gestion des accès

Le nouveau règlement reconnaît que la numérisation et la connectivité peuvent constituer un risque direct pour la sécurité des personnes. Par exemple, des risques physiques et des risques de sécurité peuvent survenir en cas de piratage des systèmes. Le règlement fixe donc des exigences en matière de contrôle d'accès afin que seules les personnes autorisées puissent accéder aux paramètres ayant une incidence sur la sécurité des machines.

Christophe Michiels: "Un automate programmable est un PC spécialement conçu pour les environnements de production afin de traiter les entrées et les sorties. Dans de nombreux cas, il n'existe pas de procédure de connexion, de sorte que le risque est réel que des personnes non autorisées puissent manipuler les machines une fois qu'elles ont pénétré dans un réseau. Le risque n'est pas seulement qu'une machine ne fonctionne pas correctement, mais aussi que des situations dangereuses se produisent."

Cbersecurity en de Machineverordening
Le règlement sur les machines exige que seules les personnes autorisées puissent accéder aux paramètres qui affectent la sécurité des machines

Sécurité des mises à jour logicielles

En vertu du nouveau règlement, les machines doivent être conçues de manière à ce que les mises à jour logicielles puissent être effectuées en toute sécurité sans compromettre la sécurité de la machine. Christophe Michiels: "Cela signifie que le fabricant doit veiller à ce que les mises à jour logicielles, y compris les correctifs de sécurité, puissent être appliquées de manière sûre et contrôlée. Dans la pratique, il s'agit actuellement d'une question délicate, en particulier pour les machines déjà achetées."

"Le risque n'est pas seulement qu'une machine ne fonctionne pas correctement, mais aussi que des situations dangereuses se présentent"

"Dès qu'une entreprise a acheté une machine, celle-ci sera connectée au réseau local. En général, le service informatique est responsable de la connectivité au sein de l'entreprise. Le logiciel des PC ordinaires est régulièrement mis à jour, mais avec la technologie opérationnelle, la connexion et la mise à jour des logiciels des machines sont souvent plus complexes. Il est donc essentiel que le service IT collabore avec les personnes travaillant dans l'atelier pour déterminer comment assurer le bon fonctionnement de la partie OT. Dans les grandes entreprises, c'est facile à organiser. Dans les petites entreprises, c'est plus difficile."

NIS2 et Cyber Resilience Act

Le règlement sur les machines n'est pas le seul règlement de l'UE à mettre l'accent sur la cybersécurité. Il existe par exemple la directive NIS2 (UE) 2022/2555. "Le règlement sur les machines vise à garantir la sécurité des machines, y compris leurs composants numériques et d'IA, tandis que la directive NIS2 se concentre sur l'amélioration de la cybersécurité au niveau de l'entreprise", explique Christophe Michiels.

"Si une entreprise est piratée et ne peut pas prouver que des mesures suffisantes ont été prises pour assurer la cybersécurité, elle sera condamnée à une amende et le PDG sera tenu personnellement responsable. Il est donc fortement recommandé aux entreprises de créer un plan de réponse aux incidents, comme le prévoit la directive NIS2. Cela signifie qu'elles doivent disposer d'un plan sur papier auquel elles peuvent se référer dès qu'un piratage a eu lieu, car il se peut que les ordinateurs ne soient pas disponibles à ce moment-là."

Cybersecurity en de Machineverordening7
Le règlement reconnaît que la numérisation et la connectivité peuvent constituer un risque direct pour la sécurité des personnes

"Mon conseil est de s'entraîner à cela aussi, comme on le fait pour un exercice d'évacuation en cas d'incendie, une fois par an, par le biais d'une simulation. En cas d'attaque, que faites-vous? Qui joue quel rôle? Ce faisant, il est également important de mettre en place un système de communication secondaire, tel qu'un groupe WhatsApp avec tous les employés. Si votre système de messagerie ne fonctionne plus, vous devez également être en mesure de communiquer avec les employés d'une autre manière.

Sécuriser l'intégration des réseaux

Lorsque les machines sont connectées à des réseaux ou font partie d'un ensemble plus vaste, comme c'est souvent le cas dans les environnements de l'industrie 4.0, elles doivent être résistantes aux attaques basées sur le réseau qui peuvent compromettre leur sécurité. Le nouveau règlement le stipule. "Là encore, les entreprises devront réfléchir à la manière dont elles configurent spécifiquement leur réseau pour prévenir les attaques."

Christophe Michiels donne quelques conseils. "Lorsque les entreprises achètent de nouvelles machines, la décision est souvent prise par l'équipe opérationnelle. Le responsable de la connectivité n'est souvent impliqué qu'une fois la machine livrée. C'est en fait trop tard, car toutes les machines proposées sur le marché ne sont pas suffisamment sûres en termes de cybersécurité. C'est pourquoi nous recommandons de préparer un byers guide  (Guide d'achat) pour vérifier si une machine remplit certaines conditions avant de l'acheter. Il convient également d'impliquer immédiatement le service IT avant de prendre toute décision."

Parc de machines existant

L'approche est différente pour les machines plus anciennes. Il est difficile de les rendre "cybersécurisées" en raison du matériel et des logiciels hérités qui ne peuvent pas être mis à jour. Pour continuer à échanger des données, une option consiste à placer les serveurs et les services dans un réseau séparé", explique Christophe Michiels. "Ils sont placés dans une zone démilitarisée (DMZ) alors que les machines sont dans le réseau, mais peuvent être placées dans des segments séparés (généralement en les plaçant dans des VLANS différents). En résumé, en tant qu'entreprise, vous pouvez prendre diverses mesures pour intégrer en toute sécurité les anciennes machines dans votre réseau."

"La segmentation minimale que vous devriez adopter en tant qu'entreprise est de séparer l'IT et l'OT"

L'une des mesures les plus importantes est la segmentation. Christophe Michiels: "La segmentation minimale que vous devriez adopter en tant qu'entreprise est de séparer IT et OT, par exemple à l'aide d'un pare-feu. Les points vulnérables se trouvent souvent du côté de l'IT, de sorte que le risque de piratage est beaucoup plus élevé de ce côté. En outre, vous pouvez également ajouter d'autres segments dans votre environnement OT. En cas d'attaque, les dommages ne peuvent être causés que dans un segment spécifique et non dans l'ensemble de l'usine. La ségrégation est une autre option. Dans ce cas, vous séparez les responsabilités, les systèmes ou les données dans des endroits spécifiques afin de réduire encore davantage les risques."

Cybersecurity en de Machineverordening2
Exemples de questions et de réponses du Cybersecurity Awareness Kit (kit de sensibilisation à la cybersécurité)
Cybersecurity en de Machineverordening
Exemples de questions et de réponses du kit de sensibilisation à la cybersécurité
Cybersecurity en de Machineverordening3
Exemples de questions et de réponses du kit de sensibilisation à la cybersécurité
Cybersecurity en de Machineverordening4
Exemples de questions et de réponses du kit de sensibilisation à la cybersécurité
4

Sensibilisation

Diverses mesures peuvent être prises, mais la solidité d'une sécurité dépend de son maillon le plus faible, qui est souvent le personnel lui-même. "La sensibilisation à la cybersécurité est donc très importante. Vous pouvez par exemple consacrer régulièrement quelques minutes à la cybersécurité lors d'une réunion de début de journée ou d'une réunion "boîte à outils"", explique Christophe Michiels.

"À cette fin, nous avons élaboré le Cybersecurity Awareness Kit (kit de sensibilisation à la cybersécurité) en collaboration avec mtech+, une fédération du secteur métallurgique. Ce kit se compose de plus de 200 cartes, chacune comportant une question d'un côté et une réponse de l'autre sur des sujets liés à la cybersécurité. Par exemple: qu'est-ce qu'un ransomware (rançongiciel)? Que signifie l'expression "dark web"? En attirant l'attention sur ces sujets, on sensibilise davantage les personnes à la cybersécurité et aux risques qui y sont associés.

Accès GRATUIT à l'article
ou
Faites un essai gratuit!Devenez un partenaire premium gratuit pendant un mois
et découvrez tous les avantages uniques que nous avons à vous offrir.
  • checknewsletter hebdomadaire avec des nouvelles de votre secteur
  • checkl'accès numérique à 35 revues spécialisées et à des aperçus du secteur financier
  • checkVos messages sur une sélection de sites web spécialisés
  • checkune visibilité maximale pour votre entreprise
Vous êtes déjà abonné? 
Écrit par Evi Husson

En savoir plus sur

machinerie safetycybersecurity software

Articles connexes

Entretien avec Despina Spanou

La cybersécurité est un sujet brûlant. Plusieurs incidents nous indiquent constamment les conséquences drastiques que peut avoir une attaque. Nous nous sommes entretenus avec le spécialiste Despina Spanou, la pointe du combat auprès de la CE.

La commande numérique devient cybersécurisée

Aujourd'hui, les machines CNC sont souvent connectées au web, en permanence ou non. Cela offre de nombreuses opportunités, mais entraîne également des menaces. Il n'est donc pas étonnant que les fabricants de commandes numériques ajoutent une nouvelle fonctionnalité importante: la cybersécurité.

Êtes-vous prêt pour le nouveau règlement européen sur les machines?

L'actuelle directive Machines 2006/42/CE sera remplacée le 20 janvier 2027 par le nouveau règlement européen sur les machines 2023/1230. Qu'est-ce qui va changer et pourquoi ? Remy Van Bokhoven et Johan Van den Broeck de Schmersal donnent une première interprétation.

La cybersécurité dans l'industrie manufacturière

Au cours de cette conférence, vous obtiendrez des conseils et des outils pratiques pour prendre les premières mesures en vue d'un environnement de fabrication cybersécurisé, et apprendrez comment réduire les risques de manière ciblée sans perdre la flexibilité opérationnelle.

Magazine imprimé

Édition Récente

Lire la suite

Découvrez la dernière édition de notre magazine, qui regorge d'articles inspirants, d'analyses approfondies et de visuels époustouflants. Laissez-vous entraîner dans un voyage à travers les sujets les plus brûlants et les histoires que vous ne voudrez pas manquer.

Dans ce magazine
Cookies

Métallerie utilise des cookies pour optimiser et personnaliser votre expérience d'utilisateur. En utilisant ce site web, vous acceptez la politique en matière de confidentialité et de cookies.