Une des conférences que j’ai choisi de suivre au salon SIDO concernait la cybersécurité, avec une promesse de taille :
- protéger l’ensemble de la chaîne industrielle
Une des premières difficultés pour protéger son SI, c’est de réussir à le cartographier.
Le Head of Industrial Information Security de Sanofi intervenait pour expliquer son organisation. Pour parvenir à faire l’inventaire dans sa centaine d’usines, le groupe s’est servi de ServiceNow, outil de helpdesk qui n’est pas encore déployé partout, et de simples listes Sharepoint : il faut « démarrer simple car il n’y a pas d’outil magique ».
Il rappelle qu’il existe des sondes pour recenser automatiquement les logiciels et matériels présents sur le réseau, mais qui ne permettent pas d’obtenir une vue exhaustive des équipements.
Il précise également qu’avec les spécificités locales, il est difficile de comprendre les flux entre les systèmes. Quant à l’application de modèles, il faut selon lui en choisir un pour démarrer et le faire évoluer pour le simplifier et le faire coller à la réalité.
« On ne peut pas bloquer les flux car l’usine va trouver des contournements, avec parfois du hardware pirate. »
La cybersécurité, c’est aussi faire appliquer les patches sans freiner l’activité
Dans le secteur industriel, les risques sont grands, et l’application des règles simples n’est pas toujours évidente.
Le sujet des patches de sécurité, par exemple, était évoqué par les intervenants, car il est difficile de faire comprendre aux métiers l’intérêt de les appliquer.
Chez Sanofi, Windows est très présent et l’application des patchs a souvent un impact sur la couche applicative. L’intervenant conseille de définir les patches réellement critique pour éviter les failles. Car généralement, s’il n’y pas de valeur ajoutée business, les usines sont réfractaires.
Un effort doit donc être porté sur l’éducation des métiers, en s’appuyant également sur le service Qualité, qui peut ouvrir des portes.
? Autre bonne pratique : intégrer les patches à la maintenance
L’agence nationale de la sécurité des systèmes d’information (ANSSI) a pour rôle de faciliter une prise en compte coordonnée, ambitieuse et volontariste des questions de cybersécurité en France.
Elle livre ses conclusions et sa vision avec le manifeste « Pour l’ANSSI des 10 prochaines années ; pour l’écosystème de la cybersécurité » afin d’introduire les nouvelles orientations stratégiques qui guideront l’agence au cours des prochaines années.
Dans une vidéo, le directeur général de l’ANSSI présente le manifeste et les orientations stratégiques de l’agence pour les 10 années :
Cybersécurité et confidentialité, comment traiter les données de l’IoT ?
Concernant les données qui remontent des chaînes de production, Sanofi a travaillé sur les processus de collecte et mis en place un datalake pour les stocker et les rendre accessibles. Mais il veille également à ne transmettre aux fournisseurs que les données réellement utiles, pour pouvoir rester propriétaire de la data.
Les services IT des industriels ont en effet intérêt à concevoir eux-mêmes ce type de solution de stockage et d’exploitation des données issues de l’IoT, car les fournisseurs ont des offres clés en main qui peuvent séduire les usines si elles n’ont pas d’autre alternative.
Dans le cadre de Sanofi, les enjeux réglementaires autour de la confidentialité des données permettent de mettre des barrières dès la conception.
Dans d’autres secteurs, les entreprises doivent se poser rapidement les bonnes questions et mettre en oeuvre les processus nécessaires pour ne pas perdre la maitrise de la donnée.
Face à eux, les fournisseurs apportent une force de frappe, une expertise et un business model qui seront difficiles à égaler si les projets ne sont pas déclenchés rapidement.
SIDO 2020 : Mes conclusions sur le salon
Ce salon a été l’occasion pour moi de vérifier l’état de l’art sur le sujet de l’Industrie 4.0 en général, et la maturité des entreprises, avec :
- les retours d’expérience présentés
- la présentation d’une étude Bearing Point sur l’IoT dans l’industrie
Ce que j’en retiens en synthèse, c’est que ce sujet de l’industrie 4.0 est principalement traité par des ingénieurs et selon l’axe technologique, car les métiers n’en ont pas encore saisi tout le potentiel.
D’autre part – et nous l’avons vu avec l’exploitation des données IoT qui n’est pas encore bien maîtrisée – la dimension Service 4.0 n’est pas assez représentée, et il manque une vision métier de l’usage des technologies.
⭐️ Ce qui est certain, c’est que les entreprises – et tout particulièrement les PME et ETI – ne doivent pas se laisser distancer.
Beaucoup de projets IoT n’exploitent pas tout leur potentiel. Mais ceux qui s’emparent du sujet vont avancer rapidement dans le domaine et créerons un avantage compétitif décisif.
Un projet industriel 4.0 critique ?
✔ Un expert industrie du futur à votre écoute pendant 45 minutes.
✔ Une analyse à 360° pour qualifier votre niveau de maturité sur 12 dimensions
✔ Des conseils personnalisés pour booster votre compétitivité
✔ Des cas concrets adaptés à votre business
✔ Une synthèse visuelle et synthétique dans votre boîte email
Alexandre Langlais, CEO PERF’ACTOR
✔ Les défis et enjeux de l’industrie 4.0 que vous aurez à relever
✔ Une vue d’ensemble des technologies qui sont à votre portée
✔ Quelles bonnes pratiques appliquer pour se transformer plus rapidement
✔ Quels bénéfices attendre d’une telle démarche dans votre industrie
✔ Des retours d’expérience pour ne pas vous tromper et gagner en maturité