vendredi, 29 mars 2024

Pourquoi le secteur manufacturier a besoin de cyberdéfense renforcées

Dans cette interview d’Aid Web Security, Filipe Beato, Lead, Center for Cybersecurity, World Economic Forum, partage son savoir-faire sur la corrélation entre la numérisation du secteur manufacturier et l’augmentation des cyberattaques. Il se penche sur les effets considérables des cyberattaques sur les entreprises manufacturières, leurs chaînes d’approvisionnement et l’économie mondiale. En outre, Beato parle de la nature unique des cybermenaces traitées par l’industrie manufacturière et des défis liés à l’exécution de mesures de cybersécurité efficaces.

Comment la numérisation rapide du secteur de la production a-t-elle influencé l’augmentation cyberattaques sur le marché ?

Le secteur de la production se transforme numériquement avec la mise à l’échelle d’innovations innovantes, en reliant leurs usines, leurs lignes de production et leurs articles.

Alors que la numérisation des opérations de fabrication offrait des opportunités de transformation et des performances et une durabilité accrues, elle des environnements de fabrication connectés et des installations qui fonctionnaient historiquement comme des silos séparés avec une connexion externe restreinte. Cela a élargi la surface d’attaque, rendant les fabricants plus vulnérables aux cyberattaques.

En 2021 et 2022, la production a été l’un des secteurs les plus ciblés par les cyberattaques. Au cours de la seule année 2022, les attaques de ransomwares contre les installations industrielles ont doublé, entraînant des impacts systémiques et des interruptions.

Quel impact une cyberattaque réussie peut-elle avoir sur une entreprise manufacturière, sa chaîne d’approvisionnement et l’économie mondiale ?

Le secteur manufacturier implique différents marchés importants pour la société. Il contribue aux économies circulaires mondiales, telles que les biens durables, l’électronique, l’automobile, l’énergie, la pharmacie, l’alimentation et les boissons, le marché lourd et le pétrole et le gaz. Dans l’écosystème de la production, les centres de production sont répartis dans le monde entier, où les entreprises sont à la fois productrices et consommatrices.

Les cyberattaques dans le secteur manufacturier peuvent avoir des impacts systémiques substantiels à différents niveaux, tels que des temps d’arrêt des opérations, des impacts physiques et humains et même des dommages à l’environnement. Bien que ceux-ci puissent être considérés comme un impact direct sur les entreprises, compte tenu de la complexité de l’écosystème de fabrication où la plupart des entreprises sont à la fois clients et fournisseurs, une cyberattaque peut produire d’importants impacts en cascade sur l’offre importante d’un produit plus large.

Cela a été vu récemment avec Toyota Motors en février 2022, qui a vu sa 28 chaîne de montage répartie dans 14 usines au interrompue pendant au moins une journée après qu’un acteur clé de la chaîne d’approvisionnement a été frappé par une cyberattaque. Un an plus tard, en février 2023, un grand fournisseur du marché des semi-conducteurs, Applied Products, a annoncé qu’une violation chez l’un de ses fournisseurs aurait un impact de 250 millions de dollars au cours du prochain trimestre.

En mars de cette année, l’entreprise d’appareils électroniques Western Digital a subi une brèche, avec plus de 10 téraoctets d’informations prises et les pirates exigeant une rançon à 8 chiffres.

En quoi les cyberrisques du secteur manufacturier diffèrent-ils de ceux des autres marchés, et à quels défis distincts les fabricants sont-ils confrontés lors de la mise en œuvre des procédures de cybersécurité ?

Le Centre pour la cybersécurité du Forum a en fait traité avec un certain nombre de secteurs tels que le pétrole et le gaz, l’énergie électrique et les voyages aériens pour aider à renforcer leur cyber-résilience.

Cependant, contrairement à de nombreux secteurs qui sont relativement homogènes, la fabrication est plutôt diversifiée et, pour cette raison, les défis et les approches pour intégrer la cyberforce dans ce secteur sont plutôt distincts. Le secteur manufacturier a du mal à intégrer avec succès la cybersécurité en raison d’une série de contraintes. Les usines de production fonctionnent toujours en utilisant des innovations héritées et vieillissantes qui ont une puissance de calcul inférieure et ne sont pas régulièrement mises à jour. D’autres contraintes sont la faible tolérance aux temps d’arrêt et les cycles de production prolongés, qui limitent les spots ou les mises à jour de cybersécurité de routine. Les dépenses liées aux temps d’arrêt imprévus dans le secteur de la fabrication sont parmi les plus importantes (jusqu’à 250 000 USD/h).

De plus, en raison de la faible tolérance aux temps d’arrêt, les entreprises de fabrication sont une cible rentable pour les ransomwares. Un autre problème est la culture divergente de la cybersécurité, il y a souvent peu d’alignement entre les groupes de sécurité IT et OT en raison de priorités divergentes et d’une faible sensibilisation de la direction de la production pour protéger le plan de dépenses de cybersécurité et intégrer la cybersécurité dans la formation à la qualité et à la sécurité.

Comment les efforts juridiques existants, tels que le Cyber ​​Resilience Act dans l’Union européenne et les réglementations NIS 2 et CER, visent-ils à résoudre les défis de la cybersécurité dans le secteur de la production ?

De nombreux efforts juridiques sont déployés dans le monde entier, comme le NIS 2 et le Cyber ​​​​Strength Act dans l’UE ou plusieurs décrets exécutifs du président Biden aux États-Unis, pour faire pression pour une cyber-durabilité améliorée dans différentes infrastructures. Ceux-ci ont été considérés comme fiables pour pousser à l’action du marché dans Cyber ​​Strength et réduire les cyber-dangers d’une entreprise. Même un développement réglementaire fragmenté entraînera des actions dans le monde entier.

Le Cyber ​​Durability Act, par exemple, est en cours de discussion pour présenter les exigences obligatoires en matière de cybersécurité pour les logiciels et le matériel tout au long de leur cycle de vie. L’adoption du Cyber ​​Resilience Act imposerait aux producteurs la responsabilité de préserver les exigences de cybersécurité pour les produits vendus sur le marché européen, dans le but d’harmoniser les règles et de réduire les risques de cybersécurité pour les clients.

Au début de cette année, en janvier En 2023, 2 toutes nouvelles directives européennes sont également entrées en vigueur : la NIS2, qui a modifié la précédente directive sur la sécurité des réseaux et des systèmes d’information, et le règlement Crucial Entities Durability (CER) qui a abrogé un règlement de 2008 sur les installations importantes européennes. En 2021, suite à une demande de la direction de l’énergie de la Commission européenne (CE), le quartier Systèmes de cyber-résilience : énergie électrique du forum World Economic Online a développé un recueil de 15 leçons apprises et des recommandations pour améliorer la nouvelle instruction de cybersécurité en réfléchissant aux implications. des attaques de la chaîne d’approvisionnement et d’autres risques systémiques pour la cybersécurité sur le marché de l’énergie.

Les nouvelles législations classent des marchés de fabrication spécifiques, tels que les fabricants de dispositifs médicaux et de produits pharmaceutiques comme des « entités essentielles » ou des « entités importantes », nécessitant qu’ils gèrent leurs dangers pour la sécurité et évitent ou réduisent l’effet des événements sur les récepteurs de leurs services.

Dans le cadre de la directive NIS 2.0, l’UE s’associera également aux et à d’autres pays pour imposer des exigences plus strictes en matière de signalement des incidents. La législation obligera les entreprises de l’ensemble du conseil d’administration à signaler les cyber-infractions et les attaques dans les 24 heures suivant la prise de conscience de l’événement.

La conformité NIS2 doit également obliger les entreprises à mettre en œuvre des mesures de sécurité, à surveiller et à évaluer en permanence leur posture de sécurité. et de reconnaître les vulnérabilités potentielles dans leurs installations de réseau.

Comment la coopération entre différents secteurs et pays peut-elle aboutir à l’élaboration d’une exigence d’or unifiée en matière de cybersécurité pour les producteurs ?

Le secteur de la production doit être préparé face au paysage croissant des risques en finissant par être cyber-résilient. L’une des principales batailles du secteur manufacturier est d’avoir une méthode fragmentée pour gérer les problèmes liés à la cyber.

Le forum World Economic Online rassemble les parties prenantes de l’écosystème de production, y compris le secteur public et la communauté universitaire, pour renforcer la cyber renforcer l’environnement de la production industrielle en sensibilisant les décideurs et en activant l’engagement mondial. Ce nouvel effort vise à définir une compréhension commune de la cyber-durabilité en tant que concepts et pratiques d’assistance pour la responsabilité collective dans l’environnement de fabrication.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici