Dans quelle mesure votre réseau d'ateliers est-il sécurisé ?

Ce n'est peut-être pas une priorité, mais les ateliers et les fabricants de taille moyenne doivent penser à la cybersécurité IT/OT, en particulier dans la fabrication de pièces militaires et de défense. Le règlement est ici. Êtes-vous prêt ?

Suffit-il d'acheter les dernières technologies en matière de machines et d'outillage telles que des machines à 5 axes, d'embaucher et d'encadrer des apprentis et de nouveaux machinistes, de fabriquer des pièces et de respecter les calendriers de maintenance ? Avec des capteurs intelligents et davantage d'infrastructures basées sur Internet actuellement utilisées par les employés dans l'atelier, il y a tellement de technologie dans et autour des machines et des salles de contrôle de la plupart des ateliers.

La gestion de la sécurité est désormais un véritable enjeu et comprend la gestion de tous les systèmes et du comportement des employés. Pour les ateliers qui fabriquent des pièces pour l'industrie de la défense, la sécurité est un problème de conformité majeur avec une réelle conséquence sur l'activité.

« Aujourd'hui, l'aspect pratique est que les fabricants de petite et moyenne taille fonctionnent à pleine capacité, les commandes arrivent et le plus gros problème est de trouver et de retenir les talents, la plus grande contrainte pour faire sortir les produits. Compte tenu de toutes les décisions que les fabricants doivent prendre chaque jour, la cybersécurité n'est pas une priorité pour eux", déclare Elliot Forsyth, vice-président des opérations commerciales au Michigan Manufacturing Technology Center, dans un article pour Advanced Manufacturing.

Nous discutons avec des initiés de l'industrie de l'état de la sécurité dans le secteur manufacturier d'aujourd'hui et de son évolution.

Cyberattaques industrielles :violations de données, cyberespionnage et plus encore

Internet est un outil fantastique et une aubaine pour les entreprises. Mais c'est aussi un lieu d'activités criminelles où la fraude, la rançon, le vol et la manipulation du système se produisent trop souvent.

La fabrication n'a pas été épargnée par les problèmes de sécurité. Les secteurs industriels, y compris le pétrole et le gaz et les segments d'infrastructures critiques tels que les centrales électriques et nucléaires, doivent également renforcer leur sécurité. En 2018, des entreprises pétrochimiques ont été piratées en Arabie saoudite dans le but de saboter l'opération et de provoquer des explosions.

C'est un cas extrême, bien sûr, mais cela peut arriver. La majorité des incidents de sécurité ciblent les informations financières et la propriété intellectuelle.

"C'est un espace très peu sûr", déclare John Livingston, PDG de Verve Industrial Protection. « La plupart des fabricants ne sont généralement pas conscients du problème ou n'ont pas les ressources en interne [pour le gérer]. … D'une part, beaucoup s'appuient sur les services cloud et à l'autre extrémité du spectre, ils s'appuient sur d'anciens systèmes d'exploitation dans leurs environnements qui ne sont pas corrigés.”

En 2018, il y a eu 352 incidents de sécurité dans le secteur de la fabrication et 87 d'entre eux ont fait l'objet d'une divulgation de données confirmée, selon le "2019 Data Breach Investigations Report" de Verizon, qui est l'une des études les plus complètes publiées chaque année.

"Pour la deuxième année consécutive, les attaques à motivation financière sont plus nombreuses que le cyberespionnage en tant que principale raison des failles dans le secteur manufacturier, et cette année d'un pourcentage plus important (différence de 40%)", concluent les auteurs du rapport Verizon. "S'il s'agissait de la plupart des autres verticales, cela ne vaudrait pas la peine d'être mentionné car l'argent est la raison de la grande majorité des attaques. Cependant, le secteur manufacturier a connu un niveau plus élevé d'infractions liées à l'espionnage que les autres secteurs verticaux au cours des dernières années. »

Si l'objectif est le pic de production et la fabrication de pièces, il ne fait aucun doute que la technologie joue un rôle central pour aider les entreprises à atteindre leurs objectifs. La collecte et la surveillance d'informations précises sur les machines deviennent de plus en plus essentielles pour atteindre des performances optimales.

Les agences d'emploi sont souvent connectées à Internet, et les applications utilisées par les employés, y compris les e-mails, les sites Web et les applications mobiles, peuvent toutes être les ouvertures dont les attaquants ont besoin pour accéder aux informations sur les employés et l'entreprise ou à la propriété intellectuelle. Ces informations pourraient inclure des bibliothèques de spécifications de pièces qu'un fabricant d'équipement d'origine voudrait retirer des mains de ses concurrents et qu'un gouvernement ne voudrait pas que d'autres pays aient.

"Les fabricants doivent entreprendre une évaluation des risques de leurs opérations", déclare Koushik Subramanian, conseiller stratégique du National Center for Cybersecurity in Manufacturing, dans un article pour Advanced Manufacturing. « Le risque peut être technique, présent dans les machines, les commandes ou les logiciels, et également présent dans le personnel, les pratiques et les processus. Le risque prend de nombreuses formes différentes, mais la plus courante provient des cyberattaques où des individus ou des groupes malveillants tentent de s'introduire dans les systèmes en profitant du maillon le plus faible :les personnes. C'est la raison pour laquelle le phishing et les ransomwares sont si populaires et pourquoi les attaques ont tendance à augmenter."

Pour les petits magasins, la gestion des ordinateurs signifie souvent l'embauche de sociétés de technologie de l'information extérieures, alias des sociétés « TI », pour les aider. Pour les fabricants de taille moyenne et grande, cela peut signifier une forme hybride de personnel informatique interne et une aide supplémentaire de sociétés externes pour les problèmes technologiques plus complexes.

« La majeure partie de l'industrie traverse cette phase de sensibilisation », déclare Livingston. « Ils commencent à comprendre qu'il y a un problème. Mais ils se demandent :" Comment puis-je faire pour faire le tour du monde ?                                       »

  Avez-vous besoin d'une réponse à une question technique ? Demandez à l'équipe technique de MSC Metalworking sur le forum.

Agents de changement :normes, financement de l'État et services tiers

L'Institut national des normes et de la technologie est l'organisme qui réglemente les infrastructures critiques et établit les règles pour les industries de l'aérospatiale et de la défense. En 2016, le NIST a publié le SP 800-171, qui contient les règles de "Protection des informations contrôlées non classifiées dans les systèmes et organisations non fédéraux".

Les normes incluent des contrôles de sécurité stricts qui peuvent affecter les équipementiers et les sous-traitants de la défense de toutes tailles. Si une entreprise n'est pas en conformité, elle ne pourra probablement pas soumissionner pour le travail.

"Pour la plupart des fabricants qui ne sont pas dans des infrastructures critiques, perdre une journée de productivité à cause d'un problème de sécurité n'est pas une urgence nationale, mais cela nuit à leurs résultats", déclare Scott Sawyer, directeur de la technologie de Paperless Parts. «Là où cela entre vraiment en jeu, c'est la propriété intellectuelle. Le ministère de la Défense se soucie vraiment de ce domaine. »

Cela a un impact sur les fabricants de toutes tailles.

"Même les entreprises de 100 à 200 personnes ont du mal avec cela", déclare Sawyer. "Tout d'un coup, ils doivent trouver comment ils vont devenir conformes."

Comment les entreprises s'en sortent-elles ? Certains qui essaient de conserver des contrats ou d'en attirer de nouveaux avec l'industrie de la défense font appel à des consultants et mettent en œuvre des programmes de sécurité. Les économies nationales et locales peuvent être affectées négativement par ces types de réglementations. Cela peut être coûteux. Les organisations proposent donc des financements pour aider les entreprises à se conformer aux normes de sécurité par le biais de partenariats d'extension de fabrication (MEP).

Pour en savoir plus sur les efforts du ministère de la Défense et du NIST, regardez cette vidéo.

C'est une bonne nouvelle pour ceux qui restent au courant des problèmes de sécurité, mais la plupart des fabricants sont encore dans le noir. Surtout les petits magasins, explique Sawyer.

« Certains ont un faux sentiment de sécurité. Ils pensent qu'ils ne sont pas à risque parce qu'ils sont petits et hors des sentiers battus et que leur emplacement physique est rural, qu'ils n'ont pas beaucoup d'employés et qu'ils gardent un profil marketing bas », explique Sawyer. "Mais, vous savez, c'est exactement dans un certain sens ce qui pourrait en faire une cible. Ils sont une cible plus facile qu'un Lockheed Martin, Raytheon ou Northrop Grumman parce qu'ils n'ont pas la sécurité."

Ces grandes entreprises sont des cibles, mais elles sont également beaucoup plus sophistiquées dans la gestion des spécifications classifiées et de la sécurité physique, explique Sawyer. Sawyer le sait ; il a travaillé dans l'industrie de la défense pendant plusieurs années avant de passer à la fabrication.

Les entreprises de défense apprennent à leurs employés à ne pas parler de leur travail lorsqu'ils quittent l'usine. Beaucoup se font dire de mettre leur badge de travail hors de vue une fois qu'ils sont partis. Mais même ces efforts n'ont pas empêché les attaquants motivés d'accéder à d'importantes propriétés intellectuelles.

"Si vous croyez en la fabrication américaine et que vous êtes patriote, vous devez en partie vous soucier de la sécurité de l'information", déclare Sawyer.

Comment votre boutique gère-t-elle la sécurité aujourd'hui ? Êtes-vous en train de vous préparer ou en mode "l'ignorance est un bonheur" ? Parlez-en dans le forum. [inscription requise]