3 étapes clés pour sensibiliser à la cybersécurité industrielle

Petit rappel de contexte :

La cybersécurité ne repose pas uniquement sur des technologies avancées et des systèmes de défense sophistiqués. En réalité, le facteur humain joue un rôle crucial dans la protection des données et des systèmes. Ainsi, il est estimé que 68% des incidents de cybersécurité impliquent le facteur humain, que ce soit par erreur, négligence ou encore malveillance. (source Verizon DBIR 2024)

Les comportements des employés, leur niveau de vigilance et leur compréhension des risques sont des éléments déterminants pour la sécurité de l'entreprise. Sensibiliser les collaborateurs doit donc être un enjeu crucial, et permet de réduire les risques de cyberattaques.

Etape 1 – Où en sommes-nous ? 

Avant d’envisager des actions de formation ou de sensibilisation, il est nécessaire de faire prendre conscience de l’importance de la cybersécurité en environnement industriel. 

En effet, cet environnement historiquement isolé des problématiques de sécurité informatique doit « rattraper » des années de retard en connaissance et gestion des risques. 

Le Responsable Sécurité des Systèmes d’Informations, RSSI, en charge de la sensibilisation doit réussir à expliciter les risques pesant sur l’outil industriel à ses interlocuteurs métier. 

Pour ce faire, il est nécessaire de rendre visible les risques spécifiques liés à l’environnement industriel, et de mettre en regard de ces risques la culture de la cybersécurité existante au sein de l’organisation, en travaillant deux dimensions : 

1️⃣ Cartographier les risques inhérents à l’entreprise : 

Afin de faire coïncider la vision informatique du RSSI et la vision métier, une cartographie des processus métier, des applications et systèmes peut être réalisée. Cette première étape permet d’identifier les vulnérabilités présentes dans les systèmes, l’architecture de ceux-ci, mais aussi identifier les éléments techniques supportant un processus. 

Elle peut être constituée de différentes manières, en fonction des organisations, et de leur niveau de maturité : 

• Dans le cadre d’un programme de remédiation cyber industrielle, la réalisation d’une cartographie des risques et de l’exposition cyber de l’outil industriel peut mettre en lumière les fragilités des organisations dans la prévention et la gestion des incidents de cybersécurité. 
• Dans le cadre d’un travail de formalisation ou de mise à jour d’un plan de continuité d’activité, la prise en compte du risque cyber permet de mesurer l’impact d’un incident informatique sur les processus métier. 

👉 Cette cartographie doit permettre de visualiser l’impact réel – non sous-estimé, mais non surévalué – d’un incident cyber sur le cœur d’activité de l’organisation, ses processus critiques. 

Cet impact peut être mis en valeur en utilisant des exemples récents de cyber-attaques chez d’autres acteurs du secteur. 
 

2️⃣ Cartographier les populations et leurs maturités cyber :

Les usages numériques d’un cadre dirigeant et d’un technicien de maintenance n’impliquent pas les mêmes risques.

Ainsi, le premier sera plus exposé à des risques de phishing, de fraude au président, cantonnés à un environnement « bureautique » tandis que le second va plutôt faire peser des risques sur l’outil industriel même, par son activité au cœur de celui-ci. 

Ainsi, il est important de cartographier les populations en croisant plusieurs informations : 

• Niveau d’exposition au risque cyber
• Impact des actions du collaborateur
• Connaissance et acculturation numérique et cyber. 

👉 Cette cartographie doit permettre de prioriser les actions de sensibilisation, de formation et d’acculturation menées, pour traiter de façon pragmatique les risques les plus importants. 

Etape 2 - Personnalisons les approches 

Lors de l’étape précédente, nous avons pu segmenter les populations en fonction de leur exposition au risque, leur rôle, et leur niveau de responsabilité. Cette segmentation va permettre d’identifier les besoins spécifiques de chaque population (ex : opérateurs terrain, opérateurs systèmes, managers de production, …) et de proposer des contenus adaptés aux enjeux de chaque groupe. 

Ainsi, si on se concentre principalement sur les collaborateurs intervenant au cœur de l’outil industriel, les thèmes suivants devront être abordés : 

• Expliciter la convergence IT / OT et les enjeux de cybersécurité associés. 
• Utiliser des scénarios réalistes sur des environnements industriels 
• Diffuser les bonnes pratiques d’hygiène cyber dans le cadre industriel. 

Le choix des contenus et formats doit permettre de conserver une continuité dans la communication et la sensibilisation, avec notamment des serious games, des ateliers en présentiel, des quizz et webinaires sur des sujets spécifiques. 

L’adaptation des actions de sensibilisation et de communication en fonction des populations va permettre de construire un plan de communication structuré, planifié, et adapté aux contraintes de l’environnement industriel. 

Etape 3 – Mesurons notre réussite  

Mesurer l’efficacité de la sensibilisation est essentielle pour s’assurer de réussir la mise en œuvre d’une culture de la cybersécurité et permettre une démarche d’amélioration continue. 

Ainsi, les indicateurs clés de performance (KPI) permettant de suivre l’évolution de la culture cyber doivent être définis au plus tôt, et accompagnés d’un mode de mesure. 

Exemples d’indicateurs : 
•    Le taux de participation aux formations et sensibilisations 
•    Le taux d’engagement sur les plateformes de quizz et jeux sérieux digitales
•    La réduction des incidents liés au facteur humain
•    Le nombre de questions concernant la cybersécurité sur les outils de communication internes. 

Ces indicateurs permettent de réaliser un suivi des populations cartographiées dans l’étape 1, et surtout de mettre en œuvre un réel plan d’amélioration continue. En effet, il ne faut pas oublier que la culture de la cybersécurité se déploie dans la longueur, et qu’elle est difficile à changer. 

Conclusion

La mise en place d'une culture de cybersécurité robuste dans l'environnement industriel est un défi complexe mais crucial. La démarche en trois étapes présentée dans cet article - évaluation de la situation actuelle, personnalisation des approches, et mesure de la réussite - offre un cadre structuré pour relever ce défi.

L'étape initiale d'évaluation, comprenant la cartographie des risques et des populations, permet de poser les bases d'une stratégie ciblée et efficace. La personnalisation des approches qui s'ensuit garantit que chaque groupe au sein de l'organisation reçoit une formation adaptée à ses besoins spécifiques et à son niveau d'exposition aux risques. Enfin, la mise en place d'indicateurs de performance mesurables assure un suivi continu et une amélioration constante du programme de sensibilisation.

Il est important de souligner que la construction d'une culture de cybersécurité est un processus de longue haleine, nécessitant un engagement soutenu et une adaptation continue. Les menaces évoluent rapidement, et nos stratégies de défense doivent évoluer tout aussi rapidement.

En fin de compte, la réussite d'une démarche de cybersécurité en milieu industriel repose sur la capacité à transformer chaque employé en un maillon fort de la chaîne de sécurité. En adoptant une approche structurée, personnalisée et mesurable, les organisations industrielles peuvent non seulement réduire leurs risques cyber, mais aussi créer un environnement où la sécurité devient une seconde nature pour tous les collaborateurs.

L'enjeu est de taille, mais l'investissement dans la sensibilisation et la formation à la cybersécurité est incontournable pour garantir la résilience et la pérennité de nos infrastructures industrielles face aux menaces numériques croissantes.