Si la cybersécurité est peu à peu devenue un réflexe côté cols blancs, il en est pour le moment tout autre dans les usines, notamment au sein des PME industrielles, où la numérisation est pourtant à l’œuvre de façon spectaculaire depuis quelques années. Un paradoxe qui a alimenté les débats lors d’une table ronde organisée dans le cadre du salon Cybersecurity Business Convention (CBC), qui s’est tenu le 23 novembre à Toulouse à l’initiative de Dépêche Events, en partenariat avec La Lettre M. « On ne peut pas mettre davantage de numérique dans l’industrie et ne pas se préoccuper du risque inhérent ! », martèle Stéphanie Buscayret, coordinatrice de la sécurité informatique de la société aéronautique toulousaine Latécoère.

La cybercriminalité, risque n°1
Or la transformation numérique est le pilier de l’industrie 4.0 – ou industrie du futur –, comme le rappelle Stéphane Blanchard, coordinateur Industrie du futur au sein de l'agence régionale de développement économique Ad’Occ : « Nous vivons une nouvelle révolution industrielle avec le déploiement de l’internet des objets, de la fabrication additive, mais aussi la valorisation massive des données. Mais mis à part les très grosses entreprises, qui ont engagé des stratégies de cybersécurité, on part souvent de très loin en la matière, notamment au sein des PME. » Un phénomène que dénonce Romain Bottan, directeur du programme AirCyber, qui vise à accompagner les acteurs de la supply chain aéronautique dans leur stratégie de cybersécurité. « Le risque numéro un des entreprises, aujourd'hui, c’est la sécurité informatique, estime-t-il. Lorsqu'on achète une machine-outil plusieurs millions d’euros, il faut la sécuriser ! »

Des failles qui se multiplient
D’autant qu’avec l’industrie 4.0, les points d’entrée – et donc les failles potentielles –, se multiplient mécaniquement. Et Stéphanie Buscayret de raconter une anecdote relative au déploiement, en 2018, de l’usine du futur de Latécoère à Toulouse-Montredon : « On m’avait demandé à l'époque de créer un compte d’accès générique. Quand j’ai voulu savoir à qui il était destiné, on m’a répondu que c'était… à la pelouse ! Ce compte devait servir à la pelouse connectée du site de production, équipée de capteurs d’humidité, pour aller chercher des informations météo sur internet… Je ne l’ai évidemment pas créé ! »

La question de la contrainte
Si les mentalités évoluent lentement sur ces sujets, c’est parce qu’il est « difficile de mobiliser les personnes décisionnaires contre un risque dont elles n’ont pas conscience ou qu’elles n’ont pas expérimenté elles-mêmes », estime Stéphanie Buscayret. Reste une solution, avancée par Romain Bottan : celle de la contrainte. « Faire des lois, imposer des clauses de cybersécurité dans les contrats », énumère-t-il. Mais aussi, comme le suggère Stéphanie Buscayret, agir sur le mode de la co-construction. « Les professionnels de la cybersécurité doivent être humbles, insiste-t-elle. Ils doivent aller voir dans les usines comment ça se passe. » Une façon de renforcer le dialogue entre deux mondes qui, pour l’heure, « se connaissent encore mal ».