Le saviez-vous ? 🤔

Dans l’industrie agroalimentaire, si un bocal de verre tombe de la ligne de production, d’un tapis de convoyeur ou de son conditionnement et se casse sur le sol, c’est toute la chaîne de production qui s’arrête jusqu’à l’aspiration totale du dernier brin de poussière de verre.

Les normes et standards sur la sécurité alimentaire sont très explicites et exigeantes à ce sujet :

“Des systèmes devraient être mis en place tout au long de la chaîne alimentaire afin de prévenir la contamination des aliments par des matières étrangères, comme les effets personnels, notamment les objets durs ou pointus, comme les bijoux, le verre, les éclats de métal, les os, le plastique ou les fragments de bois, susceptibles de provoquer des blessures ou de présenter un danger d’étouffement. Lors de la transformation et de la fabrication, des stratégies de prévention adéquates comme l’entretien et des inspections régulières du matériel devraient être menées à bien. Des dispositifs de détection ou de tri correctement étalonnés devraient être utilisés au besoin (par exemple, détecteurs de métaux, détecteurs à rayons X). Des procédures à suivre par le personnel en cas de bris devraient être mises en place (par exemple, bris de verre ou de contenant en plastique).” 

Source : Principes Généraux d’hygiène alimentaire, Organisation des Nations Unies pour l’alimentation et l’agriculture / Organisation mondiale de la santé

Il n’y a donc pas que les rançongiciels qui peuvent mettre à l’arrêt une entreprise ou une industrie agroalimentaire. Un logiciel malveillant, ayant réussi à faire varier intempestivement la vitesse de défilement du tapis de convoyeur, peut causer un engorgement de bocaux de verre et conduire à de la casse sur une chaîne de production. Ainsi, il n’y a pas que la disponibilité de l’outil informatique qui mérite toute l’attention des cyber défenseurs, il faut également veiller à son intégrité.

Comment alors prendre en compte ce type d’événements redoutés et y remédier dans tout chantier de mise en conformité vis-à-vis des normes et standards en sécurité alimentaire ?

Une approche transverse, pluridisciplinaire et assumée de la cyber sécurité (alimentaire)

Voici quelques recommandations (non, ce ne sont pas les 12 travaux d’Hercule 🏋‍♀️) :

✅Gérer la sécurité numérique en intégrant les normes et standards métiers en vigueur, notamment ceux se rapportant à un secteur d’activité particulier, ici l’industrie agroalimentaire

✅Lors des appréciations des risques numériques, notamment en employant la méthode des Hacker Stories©, imaginer des événements redoutés qui mettraient à mal la conformité à la sécurité alimentaire ou de continuité de production, et apprécier leur gravité en conséquence

✅Parler de sécurité dans le langage de vos métiers ! En faisant preuve d’empathie “métier”, vos échanges et messages de sensibilisation seront plus audibles, et vos plans de sécurisation plus pertinents

✅Mesurer en continu le niveau d’étanchéité entre les différentes zones du système d’information, notamment celle entre le réseau bureautique et le système d’information industriel

✅Détecter et fermer tout chemin réseau non conforme à la politique de sécurité du système d’information, un chemin ouvert pour un besoin ponctuel à un instant t et qu’on a oublié de refermer par exemple

✅Se doter d’une capacité à repérer et à déconnecter les machines ou les objets “sauvages” ou non déclarés

✅Repérer et corriger en continu les vulnérabilités pouvant affecter les équipements et technologies présents sur le système d’information

✅Résister aux demandes insistantes des prestataires informatiques et fournisseurs d’équipement en tous genres qui veulent des accès ouverts partout et tout le temps

✅Ne pas céder aux sirènes des outils logiciels “magiques” qui protège votre chaîne de production des menaces, même celles qui ne sont pas connues (si si, on l’a entendue celle-là dans une conférence pourtant sérieuse)

✅Exprimer son besoin de manière claire et ne pas hésiter à se tourner vers des prestataires de plus petite taille. Certes, un gros éditeur de logiciel peut paraître rassurant, mais son monopole sur un marché peut vous coûter cher le jour où il décide soudainement de multiplier ses prix par trois (entendu hier celui-là…), et la résilience passe par la redondance, il est important de ne pas mettre tous les oeufs dans le même panier ! 🐣

✅Faire attention à ce thermomètre connecté et plongé dans la bassine en cuivre, et qui n’accepte que des mots de passe faibles, qu’on ne peut pas changer à moins d’être MacGyver (avec cette référence, vous pouvez facilement imaginer l’âge de l’auteur de ce billet 😉)

✅Instaurer, graduellement, une hygiène informatique, le guide en 42 règles de l’Agence Nationale de la Sécurité des Systèmes d’Information ANSSI pouvant en constituer l’ossature.

Le numérique s’installe partout, on parle d’Industrie 4.0, ou de Smart Industry. L’automatisation et l’interconnexion apportent des gains de productivité et de supervision, mais pas sans inconvénients : cela implique d’intégrer dans les métiers industriels les compétences informatiques et cyber. Plus que jamais nous avons besoin de faire collaborer les différents métiers de nos organisations, et cela passera par l’humain qui plus que jamais est au centre de nos organisations !