« De nombreuses entreprises ignorent où elles en sont en matière de sécurité OT »

Le nombre de cyberattaques visant les entreprises suisses est en augmentation. Pourtant, les industriels ne doivent pas seulement se préoccuper de la sécurité de leur IT, mais aussi de celle de leurs technologies opérationnelles (OT – Operational Technologies). Comment protéger son parc de machines contre les attaques ? Nous avons posé la question à un expert de ControlTech Engineering AG.

Michael Gempp
IT System & Security Architect, CTE AG

Michael Gempp, la sécurité OT prend de plus en plus d’importance dans l’Industrie 4.0. Pourquoi ?

Lorsque nous parlons d’OT (Operational Technologies), nous faisons référence à toutes les technologies qui servent directement à l’exploitation des installations de production. Il s’agit généralement d’un réseau de machines, à la différence de l’IT, qui connecte principalement des personnes entre elles. Or, puisque l’Industrie 4.0 et les usines intelligentes reposent sur des équipements hautement communicants et entièrement interconnectés, la sécurité OT joue un rôle fondamental dans ce contexte.

Quels sont les principaux risques de sécurité OT qui menacent les entreprises industrielles ?

De nombreuses entreprises industrielles utilisent encore des systèmes anciens, conçus pour des cycles de vie dépassant parfois 25 ans. Ces machines, en raison de leur fonctionnement en continu, ne peuvent être mises à jour que de manière très limitée, ce qui les rend particulièrement vulnérables aux cyberattaques. Nous constatons d’ailleurs une augmentation des attaques ciblant les PME, car, contrairement aux grandes entreprises, elles ne disposent ni des ressources humaines ni des moyens financiers pour se protéger pleinement. Pour donner des chiffres concrets : selon l’« Étude sur la cybersécurité 2024 », 4 % des PME suisses interrogées ont été victimes d’une cyberattaque grave au cours des trois dernières années. Rapporté à l’ensemble des entreprises du pays, cela représente environ 24 800 sociétés. Dans trois cas sur quatre, les pertes financières ont été considérables.

Une cyberattaque entraîne toujours des coûts et des efforts bien plus importants que la mise en place de mesures préventives. – Michael Gempp, IT System & Security Architect, CTE AG

Existe-t-il des secteurs particulièrement vulnérables aux attaques sur les systèmes OT ?

Oui, certaines industries sont plus exposées que d’autres, notamment celles soumises à une réglementation stricte. Les cybercriminels savent pertinemment que ces entreprises ne peuvent pas simplement modifier leurs systèmes ou installer des correctifs de sécurité en raison des exigences réglementaires. Chez CTE, nous intervenons principalement dans les secteurs pharmaceutique et agroalimentaire et avons déjà accompagné des clients ayant subi des attaques. Dans un cas concret, seule la partie administrative de l’entreprise avait été touchée, empêchant la propagation de l’attaque vers la production. Néanmoins, cet incident a généré des pertes financières considérables. C’est pourquoi nous misons sur des plans d’urgence et des procédures éprouvées pour nos clients. Par ailleurs, nous recommandons une combinaison de plusieurs mesures de sécurité afin d’éviter le pire.

Quelles sont les nouvelles réglementations et normes, comme NIS2 ou les standards IKT, qui concernent les entreprises ? Quelle est l’urgence d’agir selon vous ?

Nous considérons que les réglementations et standards en Suisse sont globalement positifs, car ils aident les entreprises à minimiser les risques et à garantir leur conformité. La directive européenne NIS2 s’applique également aux entreprises suisses qui commercent avec l’UE. Quant au standard IKT minimal, il s’agit d’un cadre défini par la Confédération pour établir un niveau minimum de cybersécurité dans les entreprises. Bien sûr, ces nouvelles réglementations impliquent des défis et une charge administrative supplémentaire. Mais elles offrent aussi une opportunité de revoir et d’améliorer sa stratégie de cybersécurité. Enfin, il ne faut pas oublier qu’une cyberattaque entraîne toujours des coûts et des efforts bien plus importants que la mise en place de mesures préventives. Or, de nombreuses PME ne savent même pas où elles en sont en matière de cybersécurité. Chez CTE, nous leur apportons de la transparence et les aidons à répondre aux exigences réglementaires.

Comment CTE AG accompagne-t-elle concrètement ses clients dans la protection contre les cyberattaques OT ?

Une stratégie globale de protection des infrastructures OT est essentielle. C’est pourquoi nous réalisons une évaluation systématique des risques pour assurer un fonctionnement stable et sans interruption. Nous commençons toujours par une analyse de la situation initiale et proposons, avec notre « KMU Security Check », un premier diagnostic gratuit. Cette évaluation permet à une entreprise de savoir dans quelle mesure sa production est protégée contre les cyberattaques. Nos experts examinent minutieusement la sécurité OT, de manière rapide, sans engagement et sans frais. Sur la base des résultats, nous émettons des recommandations et, si une collaboration est envisagée, nous mettons en œuvre les mesures nécessaires.