Sécurité assurée par la conception

En tant que responsable sécurité des produits, je fais partie d'une équipe qui doit gérer de lourdes responsabilités. La cybersécurité est depuis longtemps une préoccupation essentielle dans l'industrie des process et son importance s'accroît de jour en jour. Des capteurs connectés offrent des avantages majeurs. Ils permettent en effet de connecter les installations de process jusqu'au niveau le plus bas du terrain. Les exploitants d'installations ont ainsi une meilleure visibilité de leurs process, ce qui élargit leurs perspectives d'optimisation. Mais ces progrès ont un aussi un aspect effrayant : ils offrent plus de prise aux cybercriminels, dont la perfidie semble ne pas avoir de limite. C'est pourquoi nous avons des experts en cybersécurité, afin d'offrir une sécurité maximale à nos clients.

Les risquent s'étendent également aux capteurs, qui constituent un point d'accès potentiel pour des cyberattaques dès lors qu'ils disposent d'une interface numérique. Pour prévenir de telles attaques, nous mettons en œuvre la sécurité par la conception. Cela signifie que chez Endress+Hauser, nous intégrons la sécurité à nos logiciels et matériels dès le début du processus de développement, pour la préserver ensuite tout au long du cycle de vie du produit. En outre, nous fournissons régulièrement des mises à jour pour les logiciels et les firmwares afin d'assurer constamment une protection de pointe pour nos produits.

Notre stratégie, qui commence dès la phase de conception du produit, est basée sur les risques. Elle consiste à déterminer quelles personnes doivent bénéficier d'une possibilité d'accès et à quelles fonctions. Si l'on prend l'exemple d'une brasserie équipée de nos capteurs : les maîtres brasseurs doivent connaître la teneur en sucre et en alcool de la bière. Ils doivent donc être autorisés à visualiser les valeurs de mesure des instruments. Mais ils n'ont pas besoin d'un accès complet qui leur permettrait de modifier les réglages des capteurs. Cette possibilité est à juste titre réservée au personnel de maintenance.

En utilisant ainsi un contrôle d'accès basé sur les rôles, nous pouvons réduire le risque d'attaques. La protection en écriture numérique n'est pas la seule possibilité d'empêcher les modifications autorisées. Avec de nombreux instruments, elle peut aussi être assurée par verrouillage hardware, sous la forme d'un interrupteur manuel. Pendant le développement des produits, nous réalisons également des tests de pénétration et adoptons la perspective des hackers pour essayer de trouver des failles dans la sécurité de nos produits. Ces cyberattaques simulées nous permettent d'identifier des vulnérabilités potentielles et d'améliorer nos mesures de sécurité.

Le règlement sur la cyberrésilience de l'Union européenne est entré en vigueur en décembre dernier. Dans le cadre de ce règlement, les produits dotés d'éléments numériques doivent répondre à certaines normes en matière de cybersécurité. Les entreprises disposent d'un délai de trois ans pour mettre leurs produits en conformité avec ces nouvelles exigences.

Nous sommes bien préparés pour ce règlement. Nos process de développement de produits ont obtenu dès 2021 la certification IEC 62443-4-1, décernée par l'organisme de certification indépendant TÜV Rheinland, qui a été renouvelée l'an dernier. Le grand avantage est que notre certification couvre déjà un grand nombre des exigences du règlement sur la cyberrésilience. Nous récoltons les fruits de notre démarche précoce dans ce domaine et de notre engagement actif en matière de normalisation et au sein d'associations industrielles. Nous avons besoin de solutions de sécurité à 360° pour l'industrie des process et le seul moyen de les développer est de travailler en partenariat avec nos clients.

Les solutions que nous avons mises au point établissent déjà des standards. Endress+Hauser a par exemple développé un niveau de sécurité supplémentaire pour Bluetooth en se servant du protocole CPace comme composant principal. En 2020, notre solution a été déclarée vainqueur d'un concours de cryptographie par un groupe de recherche de l'IETF, organisme de normalisation de l'internet. Indépendamment de cela, l'institut de recherche Fraunhofer de Munich, l'AISEC, a rattaché en 2016 le niveau de protection atteint par l'extension de sécurité Bluetooth® d'Endress+Hauser à la catégorie « haut niveau ». Nous en tirons une certaine fierté. Et c'est ce qui nous pousse, mon équipe et moi, à améliorer constamment la cybersécurité de nos produits.