Que se passe-t-il lorsque les cybercriminels ciblent des robots industriels ?

Historiquement, les robots n'étaient que des pièces stupides de machines programmables qui effectuaient la même tâche encore et encore. Ils n'avaient pratiquement aucune capacité à ressentir leur environnement. Et ils ne pouvaient certainement pas prendre de décisions par eux-mêmes.

Avec l'avènement de l'apprentissage automatique et des systèmes intelligents, tout cela est en train de changer. Aujourd'hui, les concepteurs imprègnent leurs appendices mécaniques de toutes sortes d'intelligence. Et ça ne fait que s'améliorer.

Pour les économistes, ces tendances sont extrêmement excitantes. Nous pourrions envisager un avenir où les robots effectueraient la grande majorité des tâches manuelles, libérant de la main-d'œuvre pour d'autres tâches, augmentant la productivité comme rien d'autre dans l'histoire de l'humanité.

Cependant, il existe également des inquiétudes, principalement de la part d'experts en cybersécurité. Ils craignent que les tendances actuelles conduisent à un monde dans lequel les pirates peuvent détourner des robots aussi facilement que des serveurs cloud, mais avec des conséquences bien plus dévastatrices pour le bien-être humain.

Le risque de cyberattaques liées aux robots augmente depuis longtemps. Les entreprises doivent connecter leurs robots au cloud afin qu'ils puissent partager des informations et réagir aux données en temps réel. La quatrième révolution industrielle repose en fait sur ce processus.

Les robots doivent faire plus que simplement effectuer des tâches spécifiques. Ils doivent pouvoir fluctuer avec la demande et l'offre. Et ils doivent pouvoir travailler dans des environnements plus flexibles. Même aujourd'hui, la plupart des robots sont toujours assis derrière des écrans en plexiglas dans les usines.

Nous assistons au développement d'une foule de différents types de co-bots :des robots qui peuvent travailler autour des humains. Ces robots sont équipés de servomoteurs et de moteurs spéciaux qui s'arrêtent s'ils rencontrent trop de résistance, ce qui leur permet d'effectuer certaines tâches sans constituer une menace pour les agents humains.

Cependant, si les cybercriminels ciblent des robots industriels, cela pourrait changer. Nous pourrions voir des travailleurs blessés, voire tués, par des acteurs infâmes opérant à distance.

Les fabricants doivent relever le défi

L'avenir des robots connectés s'annonce, qu'on le veuille ou non. La concurrence finira par le rendre inévitable.

La question pour les fabricants est donc de savoir comment vont-ils commencer à se préparer à la menace maintenant ? Les cyberattaques ne mèneront nulle part. En fait, les enjeux seront probablement beaucoup plus élevés si les criminels peuvent prendre le contrôle des systèmes physiques.

La première étape consistera à sécuriser l'IoT contre les menaces. À l'heure actuelle, il n'y a pas de protocoles standard - très similaires à ceux de l'époque où Internet s'est développé pour la première fois. Et cela signifie que nous verrons probablement des failles de sécurité inquiétantes et très médiatisées dans un avenir proche.

Heureusement, certaines organisations tentent de mettre en place des normes pour résoudre le problème. La CEI 62443, par exemple, tente de traiter à la fois les systèmes autonomes et leurs systèmes de contrôle, en veillant à ce qu'ils aient chacun un élément d'ingénierie de cybersécurité standard. Il existe des disques similaires sur le marché automobile qui pourraient passer à des systèmes autonomes au cours de la prochaine décennie.

Consulter les normes existantes

Alors, que peut faire une entreprise moyenne pour se protéger ?

La première étape consiste à consulter d'abord la CEI 62443 pour voir quelles normes sont déjà en place pour protéger les travailleurs à proximité des machines connectées. Les responsables doivent acheter des pièces d'automatisation industrielle tout en gardant à l'esprit leurs devoirs envers leurs travailleurs.

Les normes indiquent clairement que les menaces de l'automatisation sont différentes de celles impliquant simplement la gestion de la sécurité de l'information. Les entreprises ne devraient donc pas s'inspirer exclusivement de la norme ISO 27001 lors de la conception de leurs réponses. Alors que la confidentialité des données reste un problème dans un environnement riche en robots, éviter les dommages physiques est désormais la préoccupation primordiale.

Il existe plusieurs stratégies que les entreprises peuvent adopter. Cependant, les normes sont encore en cours d'élaboration. Un code IEC complet n'est pas attendu avant le milieu de cette année, ce qui rend la situation déroutante pour toute entreprise cherchant à améliorer l'automatisation.

Une partie du problème est que la robotique se met en ligne si rapidement et que les capacités des unités s'améliorent considérablement. À peine cinq ans, l'idée qu'un robot puisse faire des sauts périlleux arrière ou danser semble être un long coup. Mais maintenant ça se passe. Et cela signifie que les personnes qui créent les normes doivent continuellement réviser leur travail pour tenir compte des nouvelles capacités et paradigmes.

Intégrer la cybersécurité dans le calendrier de développement de produits

Selon les normalisateurs et les professionnels de la certification de produits, toute entreprise engagée dans des processus d'automatisation doit intégrer les préoccupations de cybersécurité dans son cycle de développement.

Dans un premier temps, ils doivent cibler la sécurité des informations, en s'assurant que leurs systèmes sont aussi robustes que possible contre une éventuelle cyber-intrusion. Puis, après cela, ils doivent tenir compte de la sécurité physique de leurs appareils, en fournissant éventuellement des arrêts mécaniques qui annulent les instructions numériques.

En fin de compte, les entreprises doivent concevoir des robots qui ne peuvent pas blesser les gens, même s'ils perdent le contrôle numérique des appareils.

Les robots ne sont pas la seule partie de l'écosystème qui doit suivre ces protocoles. Les puces IC, les sous-systèmes, les modules logiciels et les puces IC doivent également suivre le mouvement. S'ils ne font pas partie de l'approche adoptée par les entreprises, ils pourraient alors représenter un point faible dans leurs défenses, offrant un point d'entrée possible pour une faille de sécurité.

Développez une culture de la sécurité

Les professionnels qui élaborent actuellement ces normes soulignent que la plupart des entreprises ne sont pas conscientes des dangers auxquels elles sont confrontées. La majorité des dirigeants de la suite C comprennent parfaitement les risques purement numériques, mais ils ne sont pas prêts pour l'IoT, qui représente un danger potentiellement beaucoup plus important.

La solution, selon les personnes qui travaillent sur les normes de cybersécurité de la robotique, est de changer la culture d'entreprise. Les leaders du secteur aimeraient voir les cadres dirigeants des entreprises industrielles agir rapidement pour sensibiliser aux problèmes de cybersécurité de l'IoT et améliorer les efforts de certification.

Les applications IoT vont probablement exploser d'une manière que les gens ne peuvent pas imaginer au cours de la prochaine décennie. Mais pour le moment, il semble que la sécurité va rattraper son retard, tout comme elle l'a fait avec le passage au cloud. Finalement, les marques ont compris pourquoi c'était important, mais seulement après beaucoup de douleur et de perte.

Cette fois-ci, les enjeux sont plus élevés. Les gens pourraient potentiellement être blessés, donc l'ancien modèle de dépannage devra disparaître. La prévention est désormais le but du jeu.