Industrie 4.0 : Comprendre la convergence et la sécurisation des réseaux IT et OT.
Digitalisation de l’Usine : n’oubliez pas la colonne vertébrale de votre projet industrie 4.0 ! La donnée devient le nouveau fluide de l’usine et doit circuler de manière organisée, agile et sécurisée entre les réseaux de gestion et les réseaux industriels sans compromis entre production et cybersécurité.
Découvrez comment la visibilité, l’urbanisation et la convergence IT-OT sont les fondations de votre performance de demain et bénéficiez des retours d’expérience et bonnes pratiques partagés par NXO.
Agenda :
Pourquoi assistons-nous à une convergence physique et digitale (0T/IT) ?
Quelles sont les influences externes ? (Réglementations, normes, prérequis…)
Quels en sont les risques et les conséquences ?
Pourquoi est-il important d’avoir une démarche d’urbanisation technique et de gouvernance ?
Contacter NXO : https://www.nxo.eu/contact/
6 5 4 3 2 1 c’est parti bonjour à tous merci de votre participation à ce webinar nous allons attendre deux petites minutes le temps que tout le monde nous rejoigne 11h2 et ben je vous propose de démarrer alors merci de votre participation à cette ce webinar on va commencer par se présenter
Donc Franck je te laisse la main merci Nicolas Fran Bonard ben je suis consultant chez nxo et je m’occupe de connectivité de cybersécurité dans les environnements converger IOT et on reviendra un petit peu plus précisément après sur ce que l’on entend par ce terme-là et donc Nicola Bali euh j’ai la responsabilité de
Développement de toute l’activité convergence hatiti au sein de nxo en Grand Est et nous effectuons ce webinar avec Franck depuis donc les locaux de swarm donc vous pouvez voir effectivement derrière nous une partie de ces locaux euh nous sommes en fait au cœur euh d’un consortium d’un écosystème euh d’acteurs
Professionnels de l’industrie 4.0 et nous sommes l’un des rouages l’une des briques de cet écosystème donc dans cet environnement chacun est avené est venu amener son expertise euh dans son domaine pour développer euh des cas d’usage autour de l’industrie 40 donc réalité virtuelle réalité augmenté euh jumeau numérique euh machine bah
Robotique comme vous le voyez derrière derrière Franck avec des technologies distruptives de type convoyage électromagnétique euh et au sein de cet écosystème nous avons en partenariat avec Cisco amené toute le la brique de connectivité et de cybersécurité industrielle et c’est le sujet dont nous allons aborder euh lors de cette une
Cette heure que nous avons en commun donc juste deux slides sur sur nous hein sur nxo donc nous nous sommes en fait la filiale digitale de l’industriel fa euh l’un des leaders de la construction en France et nous intervenons du conseil à l’infogérence euh sur toute la les chaînes de valeur
De la connectivité de la cybersécurité et de la communication nous avons une quarantaine d’agences réparties sur toute la France avec donc un maillage fin sur le territoire et également une capacité à intervenir à l’international via un réseau de partenaires au niveau monde je passe rapidement sur sur la
Présentation enixo pour arriver sur le sujet d’aujourd’hui et je te laisse la main franc oui effectivement le sujet d’aujourd’hui et et vous voyez notre vision et notre conviction forte synthétisé sur ce slide c’est que la donnée devient le nouveau fluide de l’usine cette donnée et bien notre mission notre conviction notre
Proposition de valeur c’est de vous permettre en tant qu’industriel de la faire circuler mais je dirais de manière consciente et organisée et pas de de de subir d’éventuelles connexion on le verra caché pas forcément documenté ou peu maîtriser donc de manière organisée agile évidemment sécurisée puisque cette donnée industrielle va prendre une
Valeur importante pour vous pour l’amélioration de vos processus pour tout un tas de choses et évidemment cette circulation elle a lieu entre les réseaux de gestion ou les réseaux habituels et les réseaux industriels qu’on va définir juste après tout ça sans compromis ni en terme de productivité ni évidemment en terme de
Sécurité de ces données de cybersécurité et le message que l’on souhaite vous passer ce matin à travers ce webinar la conviction qu’on souhaite partager avec vous c’est que pour nous la visibilité l’urbanisation et finalement le travail en commun autour de l’aï et de l’Oti sont les fondations qui vont permettre
La mise en place de cette colonne vertébrale et assurer la performance de demain autrement dit de P pouvoir tirer la valeur de la donnée dont on évoque la nécessité de faire circuler depuis tout à l’heure et alors justement pourquoi assistons-nous à cette convergence dans l’industrie et notamment quand on parle d’industrie 4.0
Voire 5.0 maintenant donc plus connément l’industrie du futur euh ce dégage en fait il y a quatre enjeux qui se dégagent euh alors bien évidemment pas partout hein mais c’est les quatre enjeux majeurs qu’on peut constater quand on échange avec les industriels hein euh c’est ce que vous voyez à
L’écran alors bien évidemment du de l’enjeu très très Prati pratique he bien gagner en productivité en améliorant la qualité en baissant en améliorant la la production le nombre de pièces fabriquées par jour et cetera mais euh on a également les notions de flexibilité ou de gestion d’énergie et
Un gros point euh qui est encore qui est exacerbé aujourd’hui alors pas que dans l’industrie bien évidemment dans tout corps de métier hein c’est la gestion humaine la gestion des compétences les ressources sont rares euh et euh il y a vraiment une un enjeu de garder la compétence et la connaissance quand bah
Voilà il y a de turnover que ce soit des départs à la retraite ou même voilà des départs et des remplacements de de personnel et ce qu’on constate c’est que ces enjeux ont un point commun on veut améliorer une situation et et en fait pour améliorer une situation on ne peut
Pas améliorer quelque chose qu’on ne mesure pas donc il faut commencer par mesurer savoir d’où je pars pour pouvoir savoir bah justement définir où je veux aller et bah au fil du temps au fil de mon amélioration continue je vais pouvoir savoir où j’en suis et continuer de bah mon processus d’amélioration
Continue et donc le point commun de ces enjeux c’est la notion de collecter collecter la donnée collecter la donnée qui va sortir des automates des robot derrière Franck connecter la donnée qui va sortir de capteur capteur de température de vibration d’énergie et cetera et cetera pour savoir ce que je
Consomme aujourd’hui ce que je produis aujourd’hui les et puis les pièces mauvaise enfinilà avoir un état des lieux et puis au fil de l’eau et au fil du temps quand je vais m’améliorer bien je vais pouvoir effectivement bah constater cette amélioration mesurer cette amélioration et donc effectivement globalement bah gagner en
Performance et en productivité et donc concrètement je te relaisse la main Franck pour expliquer tout ça au niveau de l’usine alors le constat qu’on peut faire ou en tout cas déjà un des premiers dangers qu’on qu’on voudrait partager avec vous depuis notre retour d’expérience c’est que ce besoin d’aller collecter la donnée donne
Quelquefois une approche que nous on décrit comme étant en silo c’est-à-dire que les métiers euh les gens qui travaillent soit sur un process soit sur la gestion énergétique soit sur l’hyper personersnalisation des produits vont avoir besoin d’un certain nombre de données et la tentation peut être grande d’aller chacun déployer finalement son
Capteur euh son réseau de collecte euh de récolter une donnée sous son format propre et puis de l’utiliser avec son application euh et puis ben on va le voir et Nicolas va dérouler les slides ben au fil des des cas d’usage on va comme ça empiler un certain nombre ou
Paralléliser un certain nombre de de de silos certains vont utiliser des fois les mêmes capteurs certains utiliseront des réseaux de collecte et des technologies de collect différents on a mis la 4G ça pourrait être Wii ça pourrait être 5G ça pourrait être filire on va avoir des formats de données
Hteroclit et et toujours nos applications qui donc vont chacune utiliser à donné je prendre un exemple très concret la pièce dans laquelle je suis euh dispose peut-être de plusieurs capteurs de température peut-être une qui un premier capteur qui a été installé au moment de la construction du
Bâtiment et de la GTC qui pilote ce bâtiment avec son propre réseau et puis cette donnée de température est sûrement présente dans l’application de gestion de technique centralisée et puis si on était ici en train de produire et que le le processus de fabrication est à la température dans la machine qui est
Derrière moi il y aurait sans doute un autre capteur ramené par un autre réseau sous un autre format utilisé par une autre application et vous voyez bien qu’au bout d’un moment et bien on multiplie les capteurs on multiplie les réseaux on collecte de la donnée sous différents formats et alors qu’on a
Plein d’applications qui pourraient peut-être mutualiser ces trois premiers étages sur le slide suivant on voit qu’on peut on voit aussi des des démarches et on imagine une tr trectoire sans doute plus virtueuse faire sans doute la cible vers laquelle il faut aller celle d’abord de de fédérer peut-être le réseau de
Collecte alors vous voyez qu’on a mis réseau IP fédérateur on pourrait très bien mettre un X et un réseau et un s à fédérateur on verra qu’on c’est pas parce qu’on parle de fédérer le réseau qu’on parle forcément de de tout mettre sur un même équipement ou un même réseau
On peut travailler évidemment avec des spécialistes de la donnée pour harmoniser mes format de donné arriver à un patrimoine de données qui soit cohérent et me permettre la notion de jumeau numérique et ensuite servir mes applications et je vais citer un membre de swarm Blue qui a une formule que nous
On apprécie énormément le métier de Blue c’est justement de travailler sur ce patrimoine de données c’est collecter une fois utiliser 1000 fois voilà ce qui nous semble être la cible vertueuse que dans cette pièce il y a un capteur de température et que cette température de manière consciente organisée décidé elle
Puisse être mise à disposition de toutes les applications qui en ont besoin on va réduire évidemment la complexité on va donc aussi diminuer la complexité à protéger on va diminuer notre surface d’attaque on va diminuer la consommation énergétique à la fois des capteurs des réseaux mais aussi de la donnée qui sera
Pas stocké en plusieurs exemplaires alors qu’elle dit la même chose du point de vue physique la température de la pièce et surtout et bien on va pouvoir faire circuler cette données entre mes applications et mettre les choses en cohérence et ça c’est un point très important hein on ce qu’on constate
Effectivement aujourd’hui c’est que vraiment les architectures sont très siloté et on a vraiment une multiplicité à chaque projet on va entre guillemets construire une nouvelle un nouveau silo avec ses capteurs avec ses moyens d’acquisition et en fait finalement tout est dupliqué du matériel à la donnée et
Il y a une perte d’énergie de temps euh et de matières premières euh qui est qui est dommage et effectivement en en visant cette architecture de converger euh on capitalise énormément et et la démarche est vertueuse à tout euh à tout niveaux alors sur le slide suivant euh
Finalement on vient de dire bah c’est super on a trouvé finalement euh la bonne voie la bonne manière de se mettre en route c’est la convergence iotti et on voit que on vient d’exprimer surtout d’abord une convergence au niveau de la donnée pour faire converger éidalement cette donnée et l’utilis dans les
Process mais euh quand on parle de convergence ioti euh de manière carcturale on n’est pas en train de dire il y a il y a qu’à tout brancher sur le même switch informatique voilà on parle on n’est pas en train de parler de de convergence matérielle entre guillemets
Un peu caricaturale on parle surtout finalement de mettre des compétences euh autour de la table pour travailler ce sujet et vous verrez que ça va être le principal levier d’action que l’on va vous décrire après évidemment que ça va nous permettre de mettre un certain nombre de moyens en commun mais encore
Une fois on n pas en train de dire un réseau unique sur un switch informatique unique pour connecter tout ce qu’il y a dans l’usine ce n’est pas ça le propos le propos c’est encore une fois de mettre en commun le savoir-faire les compétences les expériences de chacun it
Et ti autour de la table donc les gens de l’informatique de gestion et les gens de l’informatique de production ensemble pour encore une fois initier cette démarche d’urbanisation qui va être vertueuse mais tout cela a un prix et Nicolas va nous expliquer maintenant que cette voie làà elle n’est pas sans
Danger et qu’il faut pouvoir gérer ça aussi et justement bah merci belle transition Franck quel les risques quels sont les risques et les conséquence premier sujet l’ôti n’est pas de l’IT alors ça c’est on adore avec Franck cette cette phrase parce que c’est vraiment important de le comprendre c’est-à-dire on a toujours
Tendance à imaginer qu’à partir du moment où euh bah voilà les automates sont arrivés sur l’IP les capteurs aussi et cetera finalement on a banalyser tout ça et on va pouvoir traiter tout ça comme on le fait d’habitude avec nos process de cybersécurité it malheureusement non pour beaucoup de
Raisons le premier point c’est les c’est justement les vulnérabilités propres euh les les ransomware les attaques sont différentes alors bien évidemment il y aura des points communs euh dans tout réseau ti on va retrouver euh des stations de supervision avec des des systèmes d’exploitation qu’on connaît du Windows notamment mais justement on va
Retrouver des choses différentes le Windows que vous avez sur votre PC de gestion il est en dernière version euh avec un antivirus à jour euh la plupart du temps malheureusement dans les environnements industriels ce n’est pas le cas euh et c’est compliqué euh de le corriger pour plein de raisons euh
Matériel notamment un PC qui a été installé il y a 15 ans avec des composants spécifiques Connect des cartes spécifiques pour connecter à la machine on ne peut pas changer le matériel on ne peut pas le mettre à jour donc il faut vivre avec et et ce qui est
Important justement c’est bien prendre en compte ce contexte de plus bah voilà un automate ça a son propre système d’exploitation il n’est pas son but c’est de faire du temps réel donc on ne peut pas installer d’antivirus sur un automate à la différence du PC de gestion donc voilà on ne peut pas
Appliquer les mêmes règles que nous avons l’habitude de l’appliquer dans les environnements informatiques de gestion les les usages sont également différents on va être sur des cycles de 247 de production avec des protocoles parfois temps réel et donc effectivement avec des mécanismes où dès qu’on perd la connexion bah l’automate l’équipement le
Robot va s’arrêter parce que bah dans son processus de sécurité physique le robot s’il perd la connexion il s’arrête donc voilà donc on va on va vraiment avoir des des spécificité bien particulière euh on va excusez-moi euh euh on va avoir également des des des sujets de de
Perte de de visibilité de de turnover c’est-à-dire dans ces environnements industriels bah voilà on a énormément d’acteurs différents on a c’est plus compliqu il est plus compliqué de maintenir une cohérence et un parc à jour parce que effectivement sur une chaîne de production sur un environnement donné vous allez avoir
Différents acteurs il y il y a certaines machines qui sont maintenues par la personne a d’autres machines par le sous-traitant B et cetera et cetera et donc forcément garder un inventaire fa à jour de toutes les modifications c’est compliqué là où là où dans l’informatique de gestion c’est beaucoup
Plus simple par qu’effectivement on va pouvoir agréger un partenaire on a rationalisé tout ça donc on va pouvoir garder un parc très à jour ce qu’on constate he pour vous donner un chiffre c’est que aujourd’hui dans un réseau industriel jusqu’à 30 % des équipements sont inconnus c’est-à-dire que quand on
Fait un audit h on va analyser l’infrastructure on va inventorier les équipements et on va se rendre compte effectivement qu’il y a 30 % du parc qu’on ne connaît pas on ne sait plus que c’est parce que il y a eu des modifications qui n’ont pas forcément été été mis à jour et
Cetera il y a aussi un sujet d’exploitation particulière encore une fois imaginons la maintenance à faire sur ces réseaux d’un côté sur les réseaux de gestion on intervient dans des locaux parfaitement identifié en nombre relativement restreint protégé par un contrôle d’accès les équipements vont être dans des baai éventuellement
Principalement fermé à clé c’est souhaitable mais globalement les équipes qui vont intervenir y compris ce sont des équipes de pr TER savent comment rentrer dans ses locaux techniques et comment intervenir et on va retrouver côté production une multiplicité de de de lieux dans lesquels les les les équipements actifs du réseau vont être
Projetés au plus près du processus ça peut être quand on est sur des réseaux extérieurs en haut d’un m ça peut être dans une armoire à côté d’automate ça peut être dans une zone où il va falloir des équipements de protection individuelle particulier voire même des agréments pour pouvoir rentrer soit pour
Des questions de sécurité électrique chimique ou même de confidentialité il n même pas certain qu’on qu’on laisse à un prestataire extérieur par exemple venir faire le geste de proximité et on va souhaiter que ça soit les équipes d’automaticiens les équipes de production qui fassent y compris le le
Geste de proximité de de maintenance sur ces réseaux là donc vous voyez que ça ça change énormément la donne y compris sur la manière de faire vivre les solutions exactement et du coup ça nous fait rebondir sur le dernier point quand on parle de cyber prototection des ces infrastructures industrielles il ne faut
Pas oublier que le premier moyen pour sécuriser c’est la sécurité physique pourquoi ça peut paraître bê he mais des équipements it sont souvent dans une baie sécurisé à minima fermé à clé dans un local technique avec une clé voir un contrôle d’accès euh et bien les équipements industriels vont être à
L’inverse eux bah dans un dans un armoire de proximité sous une machine qui peut dont la dont la porte peut s’ouvrir assez facilement avec une clé banalisée euh on va retrouver pour de la vidéo protection euh potentiellement un switch de de au au fin fond du parking
Et ce qu’il faut bien prendre en compte c’est que en comme la nature humaine euh va toujours au plus simple la cybécurité enfin le cyber hacking euh en fait partie et donc à un moment donné on a beau mettre toutes les plus belles protections technologiques qu’on veut si
Euh l’un des points des réseaux est facile d’accès la personne va venir si s’y connecté euh donc c’est pour ça qu’il y a un gros sujet de sécurité physique de ces environnements-là c’est important encore une fois la machine qui est derrière moi évidemment qu’il faut protéger la manière dont on va accéder à
Distance à cette machine mais si en même temps c’est trop facile de venir avec une chasup jaune sur moi ouvrir la porte et accéder au switch de cette machine utiliser un port laissé libre pour venir brancher un petit boîtier raspberry P avec une clé 4G m’en aller discrètement
Et depuis le parking pouvoir attaquer la machine toute la cybersécurité que j’aurais mis sur mon accès distance je viens de de de la mettre par terre donc encore une fois il faut coupler toujours cette approche cybersécurité et sécurité physique quand on est dans ces environnements de production qui sont
Dans lesquels nos actifs sont sont projetés d’une manière différente que dans les les réseaux de gestion deuxème point le piège du pilote c’est c’est important alors c’est pas simple mais c’est quoi déjà le piège du pilote en fait dans les les sujets d’industrie 40 même plus largement dans
L’ IOT on peu aller au-delà de l’industrie hein parler dans dans Smart City Smart building ou le le Smart care dans les hôpitaux euh ben voilà on se pose des questions je veux connecter je veux améliorer justement ma performance je veux améliorer ma gestion de l’énergie donc je vais mettre des
Capteurs de d’économie enfin pour collecter des informations énergétiques et donc je vais faire un poc un proof of concept un pilote et le problème bah c’est c’est toujours compliqué parce qu’effectivement on se pose des questions quelle technologie qu’est-ce que je vais faire et cetera euh et euh
On ce qu’on constate c’est que euh on tombe rapidement dans un piège euh qui va être deux enfin il y a deux typologies de piège hein c’est soit euh bah je me pose beaucoup de questions euh et du coup en fait je ne démarre jamais mon POC parce que j’ai toujours voilà
Les technos vont évoluer j’ai toujours une bonne raison de revoir mon mon design et en fait je n’avance pas euh ou le deuxième piège c’est que justement je vais m’enfermer dans une technologie euh et là on le voit énormément hein c’est que je vais du coup euh imaginer euh
Voilà partir sur vraiment une technologie euh imaginez que cette technologie va être magique va me révolutionner euh mon mon problème va me résoudre mon problème toute seule et en fait je ne prends pas en compte le bah je l’écosystème et je vois pas plus large et que potentiellement mon
Problème mon cas d’usage peut être traité par différentes technologie euh suivant parce qu’en fait il a des il y a des souscas et cetera et et c’est et ce qu’on on constate très régulièrement c’est que du coup on va faire un pilote avec une technologie donnée forcément ça
Va ça ne va pas répondre à tous les cas d’usage ça va ça va être bloquant à un moment donné et le hroi va être diminué et en fait on ne passe pas l’étape de pilote parce qu’effectivement bah on n’ pas atteint le le retour sur investissement nécessaire pour passer à
L’industrialisation et et et et du coup ce qu’on alors c’est c’est difficile hein c’est il y a rien rien n’est simple mais l’idée ici pour passer ce piège du pilote hein dans tous ces projets d’industrie 40 et et d’otti au sens large c’est d’adopter ce qu’on conseille
Au startup c’est d’ d’avoir ce côté un petit peu startup de dire effectivement je vais démarrer petit et le pilote c’est pour ça que c’est très bien par contre je vais tout de suite penser effectivement à l’élargissement c’est-à-dire que je vais tout de suite imaginer comment industrialiser derrière
Parce que effectivement je je me pose au début ces bonnes questions et je vais move fast je vais je vais aller vite c’està-dire qu’à un moment donné je vais partir forcément me dire il faut que je prenne des hypothèses il faut que j’avance et il faut que j’arrête de me
Poser trop de questions qui vont justement m’amener vers une une droit dans le mur puisqueeffectivement au bout d’un moment bah il y aura une nouv technologie il y aura toujours bonne raison de ne pas avancer alors c’est pas simple hein bah de de jouer sur ces trois trois composantes mais c’est
Nécessaire et et on a plein de de cas effectivement où pour une raison il y a toujours des bonnes raisons he c’est pas c’est pas des erreurs humaines mais c’est c’est dans le contexte effectivement les les les gens les entreprises n’ont pas suivi cette ce triptique et et on se retrouve avec
Desépoques qui durent bah 6 mois 1 an 2 ans et puis finalement rien navance et ça c’est un point important he euh alors c’est valable pas que dans l’industrie 40 mais c’est un point important à à garder en tête pour pour illustrer un petit peu concrètement on voit beaucoup
Il faut aussi entre guillemets comprendre pourquoi ce ce piège arrive si je encore une fois je veux sur la machine qui est derrière moi récupérer une température un nombre de cycle une donnée et que je suis côté métier toujours un peu en en affrontement avec
La DSI et que la DSI a tendance à me dire non à tout mes idées de connexion pour des raisons de cybersécurité bah en même temps à un moment les métiers bah ils vont ils vont dire bah oui mais moi j’en ai besoin donc j’ai trouvé une
Solution sur étagère j’ai des gens qui m’ont dit il y a pas de problème on met un petit boîtier il y a une carte SIM dedans ça remonte dans le Clad et je vous et je vous livre sur un navigateur votre données donc la tentation du pilote c’est que ça permet d’aller vite
Euh sauf qu’au bout d’un moment on dit bon ben c’est super ça marche sur une machine comment je le fais sur 2 3 4 1000 ça ça marche sur ce site comment je fais ça dans mon usine a BCD avec peut-être BCD qui ne sont pas tous sur
Le même continent euh c’est super la donnée je la récupère dans le Clad mais je voudrais l’exporter vers une autre application comment ça je peux pas je peux pas la télécharger non faut que je fasse un mail euh au service cloud que j’ai acheté et à ce moment-là il me
Renvoie un fichier à plat non mais moi je voulais plutôt une API pour exporter ses données et pouvoir les partager donc vous voyez c’est ces questionsl donc dans le Smart smallall c’est effectivement faut bien y aller parce qu’il faut aller chercher la valeur tout de suite que peut m’apporter le cas
D’usage thing big c’est dire essayons de réfléchir un tout petit peu avant de dire si on commence le mur à 50 cm du sol ou à 3 m c’est un peu le sujet de l’image qu’on a choisi quelle est la hauteur du mur que je veux franchir
Parce que il y a un moment je si je commence mon escalier trop près je n’irai pas là où je veux aller au final et puis bah si je me trompe je reviens assez vite mais il faut avoir un œil sur ce côté la suite le coup d’après parce
Que sinon on fait des petits laboratoires mais on n’arrive jamais à industrialiser ça et à passer à à l’échelle finalement et on va retrouver des notions justement d’entrepreneuriat sur le fait que bah l’échelle c’est peut-être pas la solution finale mais à un moment doné ça m’a permis de bouger
Vite et quitte à revoir après et et avoir un processus d’amélioration continue où je vais dire bah tiens oui j’ai fait des hypothèsees j’ai mis en place des choses qui m’ont permis d’aller plus vite qui ne sont peut-être pas euh réalisable en l’état mais en tout
Cas j’ai pu valider que ça amène de la valeur et après je revois j’améliore et cetera mais c’est vraiment cet esprit là qu’on retrouve et il y a beaucoup de similitudes dans les dans dans dans les deux esprits alors Nicolas nous a déjà présenté deux deux écueils en tout cas
De de récifs qui dans votre navigation il faut éviter le premier c’était de croire que l’auti Ctait de l’IT le deuxème c’est le piège du pilote et un troisième récif ou en tout cas vent contraire ou vent porteur ça sera à vous de décider qui va agir sur votre trajectoire c’est la pression
Réglementaire et on a appelé le slide suivant under pressure pr aucun lien avec la chanson de du groupe Queen quoique mais Nicolas va vous expliquer effectivement donc la l’Union européenne a voté une directive fin d’année dernière Nice 2 qui est une directive très fortement inspirée d’une loi française de 2015 la loi de
Programmation militaire alors cette directive elle est simple elle cible euh des entités publiques ou privées qui vont être d’une importance essentielle dans le service de la nation et qui doivent qui vont devoir et ça va être une obligation améliorer leur cyber prototection de leurs infrastructures de production de leur
Réseau leur informatique euh technique c’est-à-dire chaque acteur ciblé euh va devoir définir dans son fonctionnement qu’est-ce qui est vital et du coup il va devoir mettre en place des procédures euh de de de protection de cyber protection pour faire en sorte que en cas d’attaque il va continuer de
Fonctionner et il y a deux effets par rapport à la loi de programmation militaire parce que c’est vraiment c’est ce qu’on a connu en 2015 quand la loi de programmation militaire qui ciblait quelques entités au niveau de la France hein vraiment quelques grands acteurs là on c’est une sorte de copiercollé si je
Si je puis dire mais diffusé à plus large échelle c’est que déjà le nombre d’acteurs effectivement explose grandit puisque du coup il élargissent aux acteurs de la chimie aux acteurs de des poes de la gestion des déchets l’assaainissement l’agroalimentaire euh donc là voilà le spectre s’élargit et il s’élargit d’autant plus
Que les sous-traitants vont il y aura une obligation de contrôle de sous-traitant c’est-à-dire que si vous êtes concerné et que dans votre processus critique hein c’est vraiment là on parle vraiment de la partie cœur cœur de votre système qui vous permet de fonctionner d’amener votre service auprès des usagers ou ou de de
Fonctionner et ben si vous avez des sous-traitants critiques qui s’ils sont eux compromis vous impactent directement vous aurez l’obligation de contrôler leur niveau de conformité avec cette même directive et donc ça c’est important c’est c’est également logique hein pucequeaujourd’hui ce qu’on constate dans les attaques he cyber les
Attaques cyber c’est que euh bah les les les entités les grands groupes se font attaquer maintenant en passant par des sous-traitants l’exemple de thalè euh il y a quelques temps qui s’est fait subtiliser des documents au final c’est pas Talès directement qui s’est fait attaquer c’est un un de ses partenaires
Euh donc voilà la loi dans un certain sens c’est logique mais il faut bien le prendre en compte parce que de ce fait même si euh vous euh en tant qu’acteur vous n’êtes pas dans la cible initiale de Nice 2 vous pouvez éventuellement l’être par rebond parce que vous
Travaillez pour des acteurs qui sont éligibles Nice 2 et du coup qui vont vous demander euh bah dans un futur assez proche d’être euh compliant he d’être compatible d’avoir de de respecter euh c’est les les pratiques et les bonnes pratiques en terme terme de cybersécurité industrielle et ce qu’il faut prendre en
Compte dans dans cette directive c’est que on est donc sur une obligation ils ont repris la même philosophie que la loi rgpd c’est-à-dire que ce sont des obligations et que du coup il y aura des sanctions basées sur le chiffre d’affaires à l’image de rgpd et le dernière information de ce slide c’est
Que donc la la directive européenne a été votée fin novembre 2022 maintenant les États-membres dont la France ont un an et demi pour un peu plus d’un an et demi pour l’appliquer en loi dans le pays donc ça veut dire que côté France d’ici l’été 2024 il y aura une loi
Française qui sera le le la déclinaison de cette directive pour notre pour notre territoire voilà donc pour l’instant on voilà les informations lany communique au fil de l’eau lany est en train de travailler sur la définition des des acteurs justement des cibles puisque la directive est assez large et c’est etan
Travaille là-dess dessus euh et le calendrier actuel reste le même l’ancy on a eu les dernières informations d’Ant d’avril Ancy communiqué ouais sur une fin d’été pour la le la loi sur le territoire français alors on est à peu près à mi-chemin de notre présentation euh nous
Avons vu les enjeux nous avons vu les écueils à éviter euh on vient de passer le cap Horn maintenant on va se diriger vers ben comment on arrive à mener notre barque et encore une fois notre conviction c’est que cela passe par un effort d’urbanisation et de gouvernance
Alors ça paraît deux mots très peut-être pompeux peut-être très stratégiques mais essentiel néanmoins et on va un petit peu éclairer ce que l’on entend par là pour arriver à faire travailler les gens ensemble les gens qui ont une culture plutôt production et les gens qui ont plutôt une culture système d’information
De gestion quand on regarde un petit peu le le panorama des normes euh qui qui représente peut-être ce à quoi chacun de ces demuxandes se raccroche c’est assez intéressant on voit que on a des des des chevauchements des recoupements des choses qui sont assez proches évidemment des choses qui sont extrêmement
Complémentaires mais entre ISO 270001 entre IOC 62 443 entre les normes de sécurité fonctionnelle et de cybersécurité des installations industrielles la différence avec la sûreté de fonctionnement il y a quelque chose d’intéressant et notamment euh nous nous sommes convaincus que en s’appuyant sur la norme 62 443 on met en
Place finalement un référentiel qui va permettre un peu au chakra de s’ouvrir parce que on va commencer à parler un langage commun à projeter une vision partager des choses et notamment même si nous sommes vendredi et qu’on est pas très loin de l’heure du déjeuner et bien
Vous allez voir sur le slide suivant que à partir de schéma d’architecture nyez crainte assez simple quand même et bien on peut faire avancer la démarche de manière très vertueuse ce schéma d’architecture vous en avez là de représentations légèrement différentes je vais explic expliciter mais encore
Une fois la norme 62 443-3 on peut aussi trouver ça évidemment sur référentiel Isa 95 vous trouverez ça aussi dans beaucoup de de documentation ou de de littérature et c’est normal ce schéma de purdu qui est à la base de cette architecture alors on peut le voir sous
Un plutôt comme à gauche sous l’organisation en différents niveaux pour le réseau industriel niveau zéro qui part des capteurs et vous le voyez qui va décrire de de zéro à 3 tous les niveaux que l’on va trouver côté réseau industriel réseau de production la DMZ qui va nous permettre de nous connecter
Au réseau de gestion ha classique représenté ici dans les niveaux 4 et 5 moi j’aime aussi bien la version à droite qui visuellement est différente mais qui est exactement la même logique simplement elle permet de visualiser peut-être très rapidement ce qui est quelque chose de très important dans ce
Schéma de purdu c’est que côté réseau industriel donc dans les niveaux 0 à 3 on va organiser les choses en en zone en cellule c’est aussi un terme que vous pouvez trouver qu’est-ce qu’on va mettre dans une même cellule et bien ça va être tout l’enjeu de de l’urbanisation mais
Peut être une chaîne de production ça peut être des éléments qui ont le même niveau de criticité ou le même niveau de vulnérabilité on va les regrouper dans cette zone manière à contrôler ce qui rentre et ce qui sort de cette zone à travers les conduits qui vont nous
Permettre de maîtriser la communication de cette zone avec les autres zones ou avec les les les niveaux au-dessus et en en faisant cette démarche de cloisonnement par zone et conduit avec des méthodes d’analyse de risque très pragmatique et bien on permet d’avancer et on verra que chacun a son rôle à
Jouer côté ha TI pour la protection de ses réseaux industriels et c’est vraiment important de de noter que justement on ne part pas d’une feuille blanche he comme l’indiquait le slide d’avant euh voilà on a des bonnes pratiques on a ces normes qui nous servent effectivement à
de base de travail alors bien évidemment on va pouvoir les appliquer suivant le contexte euh on n’est pas obligé de faire des des copiers-collés euh chaque chaque entité est différente et si vous vous allez être justement euh dans le giron de la loi Nice 2 euh et
Bien vous allez appliquer vous allez aller plus loin que certains acteurs qui ne seront pas éligibles Nice 2 mais mais peu importe mais l’idée c’est bien de se dire ok j’ai un modèle euh justement donc dans mon process d’amélioration continue euh dans dans mon processus de
Dire ok je vais améliorer je vais venir connecter mon usine et je vais venir la cyber protéger et ben je ne pars pas de de zéro euh j’ai des choses j’ai des bonnes pratiques qui sont le résultat de d’expérience de de réflexion de mise en place euh au niveau international euh de
Grands acteurs et qui l’ont déjà appliqué euh et c’est ça qui est vraiment intéressant c’est qu’on ne part pas de zéro et et justement donc comment appliquer tout ça et bien il y a rien de de sorcier hein euh c’est c’est du bon sens hein c’est du pragmatisme euh c’est
Voilà il faut être dans une démarche un petit peu agile he d’itération c’est-à-dire et bien euh comme on l’a vu tout à l’heure sur ces infrastructures là la première difficulté c’est de connaître connaître mon point de départ et et et on a vu 30 % des des équipements 30 sont potentiellement
Inconnus donc bah voilà il faut que je sache d’où je pars pour définir mon point d’arrivée et et mon et mon processus d’amélioration donc la première étape c’est de faire l’inventaire qu’est-ce que j’ai et puis qu’est-ce que j’ai besoin la deuxième étape ça va être toute la cartographie
Euh bah quels sont les flux l’automate dialogue avec sa station de supervision son son SCADA euh il va ce SCADA là il va il va superviser ses ses tous ses automates par contre il ne va pas discuter avec d’autres équipements de ma chaîne de production et voilà et je vais
Pouvoir effectuer cette cartographie cet inventaire de de mes équipements toute cette cartographie et ça va être la base euh de la définition des zones et conduit que que Franck vient de présenter et une fois que j’ai tout ça voilà là je su je suis parfait je suis
Propre j’ai mon point de départ je vais pouvoir dire ok où je vais qui qu’est-ce que j’ai j’ai besoin d’appliquer quels sont les budgets aussi que je vais y affecter hein parce que voilà ri rien n’est gratuit mais au moins je vais être propre je avoir les idées claires sur où
Je veux aller et l’effort à faire entre mon point de départ et mon point d’arrivée et à partir de là bah bien évidemment on déroule he on met en place on sécurise on définit les zones les conduit on met en place toutes les briques technologiques suivant les technologies les plus
Pertinentes à mettre en place sur l’infrastructure ça peut être du firewalling mais pas que il y a plein d’autres technologies et de solutions pour pour pour appliquer la norme 62 443 et définir les les zones et conduit euh mais le plus important c’est que voilà j’en choisis une qui convient à mon
Environnement qui aussi convient on va le voir avec les rôles les responsabilités de chacun je l’applique et le et le point le plus important enfin l’un des points importants c’est euh bah la de boucler la boucle c’est-à-dire que une fois que j’ai mis en place tout ça bah je me repose pas
Sur mes lauriers hein parce que bien évidemment he comme toujours si euh il y a pas de processus d’amélioration continue qui est mis en place bah mathématiquement au fil du temps euh bah la cyber protection va se dégrader il y a les choses vont se dégrader et ce qui
Est très important dans ces dans dans cela c’est bien mettre en place cette cette boucle qui revient à la processus d’inventaire et de mettre en place des outils qui vont me permettre et bien demain euh de continuer à faire cet inventaire pour me dire bah voilà j’ai des acteurs qui vont continuer à
Intervenir he des sous-traitants qui vont continuer à maintenir les machines et puis à rajouter d’autes nouvelles machines de venir remplacer des équipements donc qu’il faut que je continue ce processus pour toujours inventorier les n les modifications cartographier les modifications et conserver un process ben une un une un niveau de cyber prototection un
Nutricore de la cybécurité qui est voilà dans le verre euh au fil du temps et d’être sûr et d’éviter que au bout de 6 mois 1 an 2 ans euh et bien on revient on viient on fait un état des lieux et ben mince le niveau de cybersécurité
Qu’on avait mis là bah il s’est r déégradé parce qu’à un moment donné bah les gens la nature humaine a à aur du vide et va toujours à la simplicité comme on vous l’a dit ben ils ont il y a quelqu’un qui a dû débrancher l’équipement de protection le firewall
Ou désactiver le l’équipement de protection parce qu’à un moment donné ça l’a embêté euh ça l’empêchait de bosser donc plutôt que de trouver la solution euh bah il a débranché puis personne l’a vu parce qu’il y avait pas cette cette boucle donc voilà donc c’est important
Il y a rien de sorcier c’est du bon sens mais euh c’est du bon sens à appliquer dans ce contexte pour euh pour justement faire en sorte que ce qui a été fait aujourd’hui sera continu d’être fonctionnel et au même niveau demain alors on va arriver au deux
Derniers slides de notre présentation le le moment est donc venu de vous encourager à poser des questions par le chat si vous le voulez puisque dans à peu près 5 minutes on va on va pouvoir répondre à vos questions si vous en avez avant ça un dernier slide sur le moyen
De mener sa barque en tout cas une question est-ce que tout ce qu’on vient de dire c’est réservé au grand c’estàdire aux entreprises avec bah des moyens puisquon parlait de convergence Itot et je vous avoue que de temps en temps on rencontre entre des clients qui nous disent bah moi la convergence iti
C’est facile j’ai un seul responsable et il doit gérer mon réseau de gestion et mon réseau industriel donc c’est le même cerveau peu importe encore une fois on est conscient que les moyens sont pas les mêmes les priorités non plus sont pas les mêmes mais ce qui nous paraît important c’est
Qu’on peut adapter le modèle dont on vient de parler sans le trahir sans le trahir ça veut dire quoi enfin encore une fois les fondamentaux du modèle c’est de dire je je ne peux pas protéger ce que je ne vois pas euh je dois faire ensuite une analyse de mes risques
Encore une fois je n’ai pas l’intention de ramener euh les courses que je vais ramener du drive ce soir avec deux motards devant de motards derrière et en et en camion blindé priori ce que je transporte n’a pas cette valeurl même si les prix alimentaires ont augmenté je ne
Fais pas encore ça euh et donc euh je vais aussi adapter mon niveau de sécurité euh à la valeur de ce que de la donnée que je suis en train de de circuler encore une fois si la température de de cette pièce ici me permet d’ajuster le confort ou de
Contrôler que je ne dépense pas trop de de chauffage euh la donnée en soi est pas très importante si je si si quelqu’un me la vole euh on pourrait se poser la question différemment si elle elle rentre en jeu dans mon process néanmoins il y a quand même aussi une
Autre chose qui est un pilier du modèle même si j’ai un peu moins protégé la capture de de de la température où j’ai pas mis euh plusieurs systèmes plusieurs couches de sécurité il est absolument pas normal que parce que j’arrive d’une manière ou d’une autre à rentrer sur le
L’endroit où est collecté la température non critique je puisse rebondir sur une partie de mon réseau une partie de mes machines qui elles sont critiques et ça c’est le cloisonnement qui va nous permettre ça donc voyez encore une fois ce qu’on veut éviter c’est le saupoudrage surtout quand on n pas
Beaucoup de moyens en cybersécurité en mettre un peu partout ça sert pas à grand-chose il faut le mettre là où le risque est important euh et le risque encore une fois c’est aussi la combinaison bah de de la menace et puis de de la conséquence de l’impact que ça
Va avoir donc on peut également mener cette démarche de convergence Itti même dans des organisations de taille plus agile plus modeste ou ou avec moins de moyens que des grands groupes ça nous semble néanmoins virtueux et pour terminer la conclusion que l’on voulait partager avec vous et que Nicola et moi
On va exprimer c’est que la collaboration entre justement les équipes IT les équipes on va dire de la direction informatique et puis les gens du métier si justement on met le sujet de la cybersécurité comme un sujet commun bah ça nous semble non pas être une contrainte mais plutôt un moteur et
On peut même en faire un avantage concurrentiel vis-à-vis de nos nos partenaires de nos fournisseurs de nos clients des institutionnels parce que ça c’est un message peut-être aux gens de culture plutôt ha notre tour d’expérience c’est que même si on trouve côté ti quelquefois des des pratiques de C qui
Qui peuvent faire freinir un un RSSI ou un DSI il y a vraiment une envie de mieux faire he c’est c’est sûrement parce que les les gens des métiers eux ils ont un enjeu c’est de produire c’est une productivité alors oui quelquefois il faut que ça marche donc cybersécurité
D’accord mais il faut arriver à concilier l’enjeu de la production mais tout le monde a envie de mieux faire il faut savoir capitaliser là-dessus il faut prendre en compte les différences de pratique et encore une fois les gens de l’AI doivent faire un effort pour comprendre la logique qui qui qui
Président dans la direction des métiers qui sont chargés de la production mais aussi il faut que les gens de la production aient peut-être un peu plus confiance de temps en temps aux gens qui font du réseau de gestion on entend quelquefois encore dire ou là avant que le réseau soit capable de transporter
Mes flux entre automates je vous rassure côté Haïti on fait des choses plus compliquées que que de transporter ces flux à condition d’avoir compris quelle était la spécificité de ces flus donc vous voyez que ces deux ces deux pôles hatiti ne pourront pas se passer l’un de l’autre pour réussir
Abandonner le dogmatisme et le pragmatisme c’est justement ne pas dire non à tous les demandes de connexion des métiers parce qu’on ne fait qu’encourager le fameux pilote un peu Shadow un peu caché qu’on évoquait tout à l’heure il faut être pragmatique il faut trouver des bonnes solutions enfin
Il y a un enjeu de recrutement Nicolas peut-être que tu peux dire quelques mots là-dessus parce que c’est quelque chose qui nous tient à cœur sur les talents nécessaires pour mener cette démarche alors je vais juste revenir justement sur le le point d’avant hein euh c’est vrai qu’on parle depuis de nombreuses
Années du Shadow ha mais en fait il y a beaucoup aussi de Shadow dans le sens où bah bien évidemment vous êtes les gens du métier hein les les les gens le responsable de la production si moment donné effectivement il a un besoin et et pour pour répondre à ce
Besoin il va être obligé de mettre en place des équipements de connectivité des passerelles 4G pour répondre à ce besoin il va le faire et on va être vraiment typiquement dans les mêmes problématiques que pour le Shadow it c’est-à-dire des équipements de connectivité des points d’attaque potentiel sur le réseau qui vontah qui
Vont fragiliser la cyber protection de l’entreprise mais qui mais pour le coup ces personnes elles ont les ont pas mal fait he c’est juste que bah pour améliorer la production pour une raison une bonne raison X ou Y ils ont mis en place ça et ils l’ont mis en place parce
Qu’ils n’avaiit pas de solution en interne pour connecter la l’outil pour amener cette cet usage au niveau de la chaîne de production et donc pour effectivement rebondir sur le dernier point former recruter des talents le constat aujourd’hui c’est que et on l’a déjà connu hein dans le monde de l’informatique ce notion de
Convergence où effectivement on doit apprendre de l’autre il y a pas de recette magique hein c’est les équipes ha doivent faire un pas vers les équipes au et les équipes auti doivent faire uners un pas de de l’autre côté parce que chacun a son domaine d’expérience
Euh et il est dommage de justement de rester dans un un modèle de silo euh et de et de séparer ses compétences un petit exemple on discutait avec un un client dernièrement qui nous disait bah c’est quand même dommage que les équipesti fassent des formations sur la dernière version de Windows Serveur
Alors que moi j’ai m j’ai mes collaborateurs qui sont formés euh donc c’est c’est c’est dommage je pourrais leur amener la compétence et à l’inverse euh les gens de de l’IT ne connaissent pas le métier donc ils ont besoin des gens de l’ti pour comprendre on a des
Cas d’usage de déploiement de de de teur hein euh où où euh bah il y a des des choses l’IT a fait un pilote mais il y a des choses qu’il n’avait pas conscience même physique hein de parce que voilà et en fait que l’ti connaît très bien et en
Fait le pilote s’est mal passé parce que effectivement l’ ne pouvait pas connaître tous les toutes les spécificités du du du métier et c’est là où l’Oti a sa une grande valeur ajoutée et donc c’est important euh d’avoir cette de d’avoir ce rapprochement et du coup pour les compétences ben
Aujourd’hui beaucoup d’écoles euh justement se mettent à sortir des euh des bachelors ou des masters convergents de cybersécurité it ot euh de convergence it et euh et euh et voilà et donc ça veut dire que d’ici dans les prochaines années on va avoir également bah du des euh des euh des candidats euh
Des jeunes diplômés qui auront ce ces casquettes alors bien évidemment on n’ura pas des piles experts convergents hein ça sera toujours des gens qui ont une culture informatique it informatique de gestion et qui sont venus se mettre euh à niveau sur la connaissance du monde industriel du monde auti et à
L’inverse des gens du monde industriel auti qui sont venus comprendre quels sont les sujets côté Haïti alors B justement ce que tu viens de dire Nicolas permet de répondre à une des questions alors je je les traite pas dans l’ordre dans lequel elles sont arrivées je j’oublierai pas les autres
Mais on nous pose la question de effectivement que pensez-vous du problème parfois de compétence dans l’OT pour les parties des métiers des sous-traitants ça ça rejoint le ce que vient de dire Nicolas et la discussion qu’on a avec les que ça soit des butut que ça soit des écoles d’ingénieurs ce
So des écoles spécialisées c’est que et c’est aussi notre tour d’expérience ça va être compliqué et puis c’est pas forcément efficient d’imaginer qu’on va former les gens de l’hait forcément au métier de la production on pense que dans les métiers de la production et d’ailleurs dans nos discussions avec des
Butut génie industriels avec des écoles d’ingénieurs qui sont sur l’excellence opérationnelle et cetera on sent qu’il va y avoir besoin d’une connaissance de base minimum en réseau et cybersécurité dans ces métiers-là y compris d’ailleurs pas au niveau bac+ 5 ou ingénieur aujourd’hui je pense par exemple au métier du bâtiment quand quelqu’un
Installe une GTC et la branche en réseau euh comprendre que la mise en cascade en réseau c’est pas ce qu’on préfère de plus quand on est côté Haïti bon ben c’est cette ce ce vernis là il va falloir effectivement le le passer à tout le monde je reviens sur la première
Question on disait concrètement la différence entre l’otti et l’IT euh alors on aime bien dire aussi on a dit l’auti c’est pas de l’IT l’auti n’est pas uniquement des switchs qui ont pas de ventilateur et qui peuvent supporter la la vibration la chaleur et cetera et
Qui se fixe sur un ridin euh sur les réseaux TIF vous n’avez pas les mêmes protocoles à transporter que sur l’IT et certains de ces protocoles sont déterministes sont time sensitive ce qu’on trouve pas forcément toujours côé it ou pas sous la même forme les architectures ne sont pas les mêmes on
Va avoir des choses très en étoiles redondé côté Haïti on va vooir énormément de boucles euh et et de choses différentes côté til euh les sondes dont on va avoir besoin par exemple un terme de visibilité doivent être capable de de déchiffrer les protocoles industriels voire même d’aller les interpréter pour comprendre
Que là il y a un ordre de stop CPU qui vient d’être envoyé un automate et pas et si on utilise une sonde it ben on vous dit bah voilà ouais c’est de l’IP c’est un peu ça le protocole mais on n’est pas capable d’aller au-delà donc
Vous voyez que c’est à la fois d’un point de vue architecture technique euh usage vraiment des différences c’est compliqué de de de rentrer plus dans le détail là dans dans le casadre de ce webinar mais il y a encore une fois le piège c’est d’imaginer oh bah finalement
C’est de l’hait comme d’habit habitude question suivante c’est plus concrètement quels sont les principes de base de bonne pratique pour sécuriser la la liaison outil haï un fireewall entre ha et les ateliers automates alors là aussi c’est va être un peu court pour rentrer dans le dans le détail mais oui
Historiquement euh et et vous pouvez retrouver ça dans les les guides de l’incy ou dans la norme historiquement on met un firewall industriel en tête de cellules en se disant dans la cellule je sais pas trop je vous rappelle que dans l’auti on va trouver des systèmes d’exploitation qui ont on pourra pas
Faire évoluer on sait bien qu’on a un PC avec du Windows XP sur cette machine mais cette machine a une durée de vite 15 ans elle a été acheté et validé comme ça par celui qui l’a fabriqué et on va avoir des choses qu’on saura pas mettre
À jour donc c’est pas la peine de de se disputer avec entre en disant mais je comprends pas nous on met à jour pourquoi vous mettez pas à jour mais il faut prendre en compte cette contrainte de non de non mise à jour et protéger euh le firewall en tête de cellule n’est
Pas la seule solution on en utilise aussi a d’autres mais en tout cas il faut effectivement organiser Nicolas peut-être la prochaine question sur l’analyse des risques alors oui une question sur l’analyse des risques sur est-ce qu’elle est importante pour gérer un système Itot oui clairement euh alors dans dans la
Méthode he dans le point pour pour connaître mon point de départ et et notamment pour appliquer la norme l’OC 62 443 je vais avoir besoin de faire une analyse des risques mais pas que des risques cyber des risques plus plus globalement une analyse parce que cette norme qui est très pragmatique elle a
Besoin du fonctionnement de l’usine de connaître le fonctionnement métier ce n’est pas grosso modo à la fin oui ça va être inf filtrage avec des équipements comme des firewol on va faire du cloisonnement on va faire des Vélanes ce genre de choses mais mais ça c’est à la
Fin c’est c’est grosso modo la solution technologique pour répondre au besoins mais à la base c’est quoi mon besoin et et et et du coup pour connaître mon besoin besoin je vais avoir besoin effectivement de faire une analyse de savoir effectiv que ce périmètre là il
Est hyper critique on va ça va être par exemple le le l’automate de protection euh de de protection des biens et des personnes et donc effectivement lui il va être tellement critique que je vais même potentiellement l’isoler complètement et et et ne pas le connecter au reste du monde et ce ce
Système là va être un petit peu moins critique mais plus critique qu’un dernier qui va être par exemple l’emballage où là je peux me permettre de mettre moins de cyber protection et c’est cette analyse de risque qui n’est pas technique he qui est aussi métier usage qui va nous permettre qui va
Rentrer dans le voilà la Tod liste la liste des choses à faire et à connaître pour bien définir mon point de départ et grâce à ça je vais pouvoir construire l’architecture nécessaire donc bah comme Fran vous l’a dit oui il y a du firewall mais pas forcément que et ça va dépendre
De cette de ce point de départ et de cette analyse donc la réponse est oui elle est importante ouais et moi j’aime bien compléter ce que vient de dire Nicolas par encore une fois chacun son métier je dis on aime bien dire là ha c’est comment cloisonner et dispose d’un
Catalogue de technique pour cloisonner mais moi je ne sais pas vous dire dans la machine qui est derrière moi pardon la machine elle est là je mon miroir euh si le robot 1 il doit parler au robot 2 c’est pas mon métier de savoir ça donc l’auti c’est quoi euh quoi cloisonner et
Connaî les les les communications légitimes a quelquefois du mal à les identifier il faut les aider avec des outils et l’IT c’est comment cloisonner et je vais peut-être essayer d’améliorer notre réponse à la question de Bertrand j’ai sur la séparation entre ha ti oui bien sûr qu’il va y avoir un filtrage
Chose entre l’Oti et l’IT le fameux airgap avant on disait oh mais mon usine est pas connectée moi j’aime bien dire aux clients si on fait un audit 1 je suis pas sûr on va sans doute trouver des liens et quelque part je vous souhaite pas que ça soit isolé sauf si
Vous êtes dans le domaine militaire et que c’est voulu parce que c’est très critique mais rappelez-vous le début du webinar on veut faire circuler la donnée donc bien sûr qu’il faut que ça circule entre Hati par contre imaginez qu’on a à traiter que la séparation ti ha euh ça ça on le
Voit souvent euh oui bien sûr qu’il faut le faire mais l’Oti c’est pas un grand réseau à plat encore une fois tout le monde n’est pas dans la même cellule si je reprends la norme 62 443 on voit encore trop aujourd’hui nous de réseaux ti qui sont effectivement bien gérés
Dans leur connexion avec l’ par contre une fois sur le réseau til latéralement horizontalement je me déplace un peu où je veux ça c’est pas logique c’est pas normal c’est pas acceptable du point de vue du risque donc voyez un peu le travail qu’ à faire mais encore une fois
Et si il y avait qu’une seule phrase à retenir de ce webinar en plus de l’auti et pas de l’haa rappelez-vous faut travailler ensemble parce que l’hait c’est comment et l’auti c’est quoi et pourquoi voilà une nouvelle question sur la maintenance alor enfin il y a une double
Question alors je vais d’abord traiter la partie maintenance effectivement oui euh ben oui la maintenance des sous-traitants ça crée des nouveaux conduit ça crée potentiellement une faille sur l’environnement et c’est difficile la question c’est difficile d’empêcher ça bah j’ai même envie de dire il faut pas l’empêcher parce que nous-même nous-même on traite
Aujourd’hui plus de 70 % des des tickets de nos client à distance donc on est les premiers concernés à vous dire que la télé la téléexplloitation ça permet d’être plus efficace plus rapide et d’amener un meilleur service donc on est obligé aujourd’hui en tant qu’industrie de euh B de fournir une solution de
Maintenance à nos sous-traitants par contre ça veut pas dire qu’on autorise que c’est que c’est la foire et que chacun va amener sa propre solution avec sa petite passerelle 4G euh et puis donc chaque Maine a sa solution aujourd’hui il existe des solutions de bastion qui permettent de d’urbaniser on a utilisé
Le terme urbaniser bah là voilà là il s’applique très bien c’est urbaniser cette maintenance et c’est effectivement vos sous-traitants alors au début enfin il y a tout un process mais qu’on a connu aussi dans dans dans l’IT c’est ils vont pouvoir utiliser vos outils pour se connecter à distance alors après
Il y a des il y a certaines petites contraintes mais qui sont tout à fait acceptables mais pour pouvoir vraiment faire en sorte que vos sous-traitants puisse accéder à distance et donc fournir un service de maintenance de qualité euh et en même temps bah ne provoque pas de de faille dans votre
Environnement pourquoi de faillees parce que beaucoup de solutions de type passerel g au final ce sont à base de tunnel VPN et on va pas rentrer dans les détails mais souvent ça peut créer des problématique de faille puisque le télé le sous-traitant peut éventuellement être du coup un vecteur d’attaque pour
Vos environnements et le deuxième point c’est que souvent ces passerelles sont connectéses sur des réseaux à plat donc en plus la faille peut être étendue sur un une très grande partie de vos usine de votre usine voir toutes vos usine donc c’est pour ça qu’il est nécessaire de fournir une solution qu’on contrôle
La confiance n’excl pas le contrôle et et bien là voilà l’idée c’est vraiment de de nous-même fournir une solution et et comme ça effectivement on va pouvoir maîtriser on va leur fournir le service mais on pouvoir va pouvoir maîtriser où il se il se connectent comment il se connectent et d’éviter effectivement ces
Failles ensuite sur le le point de la de rechargement de portable sur l’autil alors oui effectivement il y a eu des cas de d’attaque de ce type là ça ça malheureusement on peut pas tout tout bloquer l’idée euh très l’idée en fait justement de l’OC 62 443 c’est que à un
Moment donné comme en Cyb sécurité j’ai envie de dire comme généralement en Cyb sécurité hein je ne vais pas malheureusement il y aura toujours euh à un moment donné une une attaque et je je vais que retarder l’attaque par contre mon job et et le job de cette norme
C’est de limiter l’impact et donc la définition des zones et là pour justement dire et bien le jour où je vais re attaqué parce que il y a malheureusement il y a un petit malin qui est venu recharger son portable sur le PC de supervision et que il il y a un
Cryptooler ou un virus qui s’est diffusé comme ça et bien cette attaque va être cloisonnée dans une bulle la zone et en fait je vais empêcher effectivement ce cette attaque de se de se propager ailleurs dans l’usine donc je ne vais pas l’empêcher mais je vais la cloisonner et donc limiter
L’impact et enfin je surveille le chronomètre on arrive à la fin la question sur les Pen test alors c’est c’est une bonne question euh nous ce qu’on regarde c’est que encore une fois dans cette démarche de convergence hatiti et il faut pas qu’on soit dans la défiance entre les équipes métiers et
Les équipes DSI alors Le Pen test auti sur un environnement de production faut quand même y aller prudemment parce que il y a quand même de la prod pour vous donner une idée moi j’aime bien expliciter quand on déploie un firewall côté ti contrairement à l’ on dit pas on
Ferme tout et puis on verra un peu comment ça ça ronchonne et on ouvre c’est plutôt on laisse tout passer on regarde et puis on pose la question de la légitimité du flux et on essaie progressivement de refermer mais c’est pas si simple donc faire des des Pen
Test sur l’autil pour sensibiliser pour montrer que des choses sont pasibles oui mais avec une certaine prudence et de toute façon les compétences manquent déjà énormément sur ces sujets-là donc voilà ça nous semble pas être le premier moyen pour encore une fois établir la confiance on n’aime jamais bien pointter
Du doigt et forcément il y aura encore une fois des failles parce que c’est l’histoire parce que c’est la pratique parce que les Gux sont pas les mêmes nous on aime bien commencer encore une fois par une visibilité plutôt passive et et vous verrez que les gens de l’ti
Euh vont vont être aussi intéressés par la nouvelle visibilité qu’on peut leur donner cartographier ça ça sert à tout le monde et après on se pose la question de la légitimité de telle ou telle fille on essaie d’améliorer progressivement la sécurité quand la maturité sera là
Pourquoi pas se confronter à un pen test c’est une bonne idée mais peut-être pas de but en blanc et en première intention voilà je pense qu’on arrive euh au terme de notre webinar vous étiez un nombre important en ligne vos questions ont été intéressantes et et et
On vous en remercie on espère aussi on espère aussi qu’on a été intéressant et pertinent pour vous en tout cas on y a mis notre cœur et et notre conviction forte que ce sujet est extrêmement important dans nos métiers pour nos clients pour nous comme prestataires et pour globalement l’économie de notre
Pays donc c’est important de de je dirais de de cultiver ce sujet-l et d’avancer et de faire progresser la maturité de nos organisations respective à tous sur ce sujet de la convergence hatioti qui est une convergence de points de vue de compétences euh et encore une fois de se de travailler
Ensemble et puis l’important comme vous l’aurez compris c’est pas de lutter contre mais bien de d’accompagner le mouvement parceque la finalité hein c’est bien bah d’améliorer le business des métiers et de de gagner en productivité flexibilité optimisation voilà merci beaucoup merci de votre attention et très belle journée au revoir