La sécurité « intelligente » des machines ou des process visant à protéger les personnes et les équipements, et la sécurité des systèmes de commande industriels ont généralement été considérées comme deux entités distinctes, alors qu’elles partagent la même approche pour l’analyse et l’atténuation des risques.

Sûreté et sécurité inextricablement liées

Lorsqu’un oléoduc a été piraté en Turquie, provoquant une explosion et la perte de 30 000 barils de pétrole, les cyberpirates ont neutralisé le système de sécurité existant afin de désactiver les alarmes, couper les communications et mettre sous pression très élevée le pétrole brut dans les pipelines. Une compagnie des eaux régionale a fait l’expérience d’une cyberattaque qui a non seulement menacé les informations clients, mais a aussi causé des mouvements incontrôlés de vannes et de conduites, incluant la prise de contrôle des API qui gèrent le traitement des eaux et la sécurité publique.

Dans la production industrielle, les politiques et procédures de sûreté et de sécurité sont inextricablement liées. De nombreuses entreprises industrielles exploitent déjà la technologie IIoT pour accéder à distance à leurs machines de production, permettre l’accès sans fil aux stations de pompage ou relier les équipements de production à l’infrastructure IT. C’est précisément là que réside le futur, en permettant d’optimiser l’utilisation des actifs de production, d’accélérer la mise sur le marché et d’abaisser le coût total de possession. Toutefois, une connectivité accrue peut aussi augmenter les risques de sécurité qui menacent la sûreté.

Intégration des activités de sûreté et sécurité

La sûreté et la sécurité ne doivent pas être traitées comme deux sujets distincts. Par exemple, le concept de « contrôle des accès » est commun entre la sûreté et la sécurité. Dans les deux cas, les politiques et les procédures sont élaborées sur la base des pratiques d’entreprise, des façons dont les risques sont gérés, des exigences en matière d’application ainsi que des normes industrielles.

Les fabricants et industriels qui veulent réduire la probabilité d’être confrontés à des incidents relatifs à la sécurité doivent repenser leur concept sécuritaire dans cette optique. Il s’agit notamment de penser la sûreté et sécurité en relation l’une avec l’autre. Il y a trois domaines majeurs dans lesquels cela peut avoir le plus gros impact :

Comportement : Outre sa contribution à la protection de la propriété intellectuelle, des procédés et des équipements physiques, le personnel de sécurité doit aussi considérer les systèmes de sécurité comme étant une valeur essentielle dans tout ce qu’il entreprend. Une plus grande collaboration entre les équipes en charge de l’EHS (sécurité, santé et environnement), de la production et de l’lT (technologies de l’information) est primordiale. Les trois équipes devraient travailler ensemble en vue de développer des objectifs cogérés en termes de sûreté et sécurité, et identifier les exigences pour la protection des données critiques des systèmes de production. Et comme une culture sécuritaire forte concerne chaque employé, une compréhension globale à l’échelle de l’entreprise de la relation entre la sécurité et la sûreté est indispensable.

Procédure : Les efforts de conformité devraient satisfaire aux exigences de sécurité des normes de sécurité telles que CEI 61508 et 61511. Réciproquement, les efforts de sécurité devraient suivre une approche de défense en profondeur et apporter une solution aux risques sécuritaires menaçant la sureté à tous les niveaux de l’entreprise. La défense en profondeur est notamment recommandée par la norme CEI 62443 « Security for Industrial Automation and Control Systems » (Sécurité pour les systèmes de commande et d’automatisation industriels) (anciennement ISA99) et dans d’autres publications.

Technologie : Tous les dispositifs de sécurité devraient être dotés de fonctionnalités de sécurité intégrée. Ils devraient également utiliser des technologies de sécurité qui contribuent à protéger contre les atteintes aux systèmes de sécurité et permettent des restaurations rapides en cas d’intrusions.

Atténuation des risques

La liste des menaces potentielles à la sécurité ayant des implications sécuritaires est assez vaste. Ainsi, pour atténuer les risques liés à la sécurité de votre entreprise, il faut commencer par connaître les points les plus vulnérables en évaluant séparément les risques de sûreté et de sécurité, puis en comparant les résultats afin d’examiner où la sécurité a le plus d’impact sur la sûreté.

Le concept de mutation numérique apporte l’intelligence de production aux entreprises industrielles, leur permettant de mesurer et d’améliorer pratiquement tous les aspects de leurs opérations. Il fournit également des informations instantanées pour un meilleur partage et une collaboration transparente entre les entreprises.

Mais toutes ces nouvelles possibilités créent davantage de points de connexion et aussi de points d’entrée pour les menaces sécuritaires. Vous devez prendre cela en compte et étudier quel est l’impact de ces menaces sur vos employés, votre infrastructure et l’environnement de vos sites de production. L’IIoT offre la possibilité d’intégrer de manière holistique les notions de risques dans les politiques de sûreté et sécurité afin d’optimiser les opérations.

__________
Jérôme Poncharal est Solution Architect Automation & Software chez Rockwell Automation