Les infrastructures critiques et les sites industriels constituent la colonne vertébrale de notre société, fournissant des services essentiels tels que l’énergie, l’eau, les produits pharmaceutiques et chimiques, pour n’en citer que quelques-uns. Une perturbation de ces secteurs peut avoir de graves répercussions. Il est donc essentiel que ceux qui fournissent ces services puissent maintenir la continuité de l’activité, même s’ils sont frappés par une cyberattaque, une catastrophe naturelle, une intrusion physique ou un incident ou accident interne.
L’évolution de l’environnement réglementaire
Dans le monde entier, les gouvernements prennent des mesures pour s’assurer que les actifs critiques des industries impliquées sont résilients à toute menace potentielle, et une approche clé est de mettre en œuvre une réglementation qui répartit la responsabilité sur l’ensemble de la chaîne d’approvisionnement. Cela signifie que toutes les parties prenantes, des utilisateurs finaux aux fournisseurs, ont un rôle à jouer pour garantir la sécurité et la résilience des infrastructures critiques et des sites industriels.
En Europe, des réglementations telles que la directive SRI2, axée sur la cybersécurité, et la directive sur la résilience des entités critiques (REC), plus large, imposent des exigences importantes à une longue liste d’industries, qui relèvent désormais de la vaste coupole des « infrastructures critiques » ou des « entités critiques et importantes », et incluent l’ensemble de leurs chaînes d’approvisionnement.
Ces réglementations exigent des organisations qu’elles mettent en œuvre un éventail de mesures de sécurité, y compris des évaluations périodiques des risques et des plans de réponse aux incidents. Au minimum, toute non-conformité entraînera probablement des amendes importantes. Les coûts à plus long terme, potentiellement encore plus élevés, pourraient inclure l’impact sur la réputation de la marque, la perte de production ou les dommages-intérêts payés à des tiers.
La plupart des grandes organisations sont conscientes des exigences liées à ces réglementations ; cependant, le fait que chaque organisation opérant dans ces secteurs, indépendamment de sa taille, doit avoir conscience des implications et ajuster et améliorer ses opérations commerciales en conséquence, est moins connu.
Un défi spécifique pour les secteurs industriels et les infrastructures critiques
Les directives SIR2 et REC s’appliquent à un large éventail de secteurs, où tout incident peut potentiellement avoir un impact dévastateur sur la santé et la sécurité des citoyens, l’activité économique, l’environnement et même le fonctionnement de la société dans son ensemble.
Un certain nombre de secteurs, en particulier ceux qui manipulent des matières et substances dangereuses, doivent déjà adhérer à la réglementation existante. Celle-ci comprend la directive Seveso, qui couvre 12 000 sites industriels dans toute l’UE et vise à prévenir les accidents industriels majeurs et à minimiser leur impact nocif sur la santé humaine et l’environnement. Dénommée d’après une fuite de produits chimiques dans la ville italienne de Seveso en 1976, la directive en est désormais à sa troisième itération.
Toutefois, les directives SIR2 et REC relèvent considérablement la barre réglementaire, et les secteurs concernés par ces nouvelles réglementations ne doivent pas tarder à démontrer qu’ils se conforment aux exigences. La directive SIR2 doit être transposée dans la législation des États membres de l’UE d’ici octobre 2024 et la REC d’ici mi-2025.
Définir la « résilience »
La directive REC elle-même définit la résilience comme la capacité d’une entité critique « à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en remettre ».
En termes simples, cela signifie que les entités critiques doivent montrer qu’elles ont pris des mesures pour minimiser tout risque d’accident et qu’elles sont préparées en ayant mis en place des plans d’urgence en cas d’incident.
La résilience est encore plus importante lorsqu’il est question de certains domaines spécifiques de sites industriels et d’infrastructures critiques, appelés « actifs critiques » par le biais de réglementations. Il s’agit notamment (sans s’y limiter) des salles de contrôle de centrales nucléaires, des stockages de produits chimiques, des générateurs électriques, des réacteurs dans les usines chimiques et des fours dans les aciéries. Les entreprises qui exploitent de tels sites doivent démontrer avoir mis en place des mesures pour surveiller et sécuriser toutes ces zones.
Solutions technologiques pour répondre aux exigences
L’utilisation d’appareils connectés intelligents basés sur la technologie vidéo, par exemple, et les données qu’ils peuvent créer offre une solution convaincante dans de nombreux domaines des sites industriels et des infrastructures critiques, en fournissant une couche précieuse de vérification visuelle et de connaissance situationnelle, ainsi que la reconnaissance d’objets ou d’autres éléments d’analyse. Exemples de scénarios typiques :
- Sécurité : sécuriser les périmètres et les zones spécifiques, dissuader la criminalité et aider à protéger les personnes et les actifs.
- Suivi des processus et vérification visuelle : surveiller la température et les vibrations, détecter les anomalies, superviser la manipulation de substances dangereuses et vérifier le suivi correct des processus.
- Santé, sécurité et environnement (SSE) : détection des fuites, surveillance des violations de sécurité, surveillance environnementale, détection de fumée et de l’incendie et assurance que les employés portent les équipements de protection individuelle (EPI) appropriés.
Les caméras, qui étaient auparavant principalement utilisées pour la surveillance de la sécurité, peuvent désormais également être considérées comme des détecteurs pour la surveillance des processus et la protection des personnes.
Cependant, toutes les zones de production ne sont pas faciles à surveiller. En raison d’une atmosphère potentiellement combustible, causée par du gaz et/ou de la poussière, des précautions particulières sont nécessaires en ce qui concerne les appareils électriques, car ils peuvent émettre des étincelles ou une chaleur excessive et provoquer une inflammation.
En fonction de la probabilité d’une explosion, ces domaines sont divisés en zones, chacune nécessitant une protection appropriée des appareils électroniques.
Traditionnellement, les caméras antidéflagrantes ont été conçues avec un boîtier en acier inoxydable pour une utilisation dans la zone/division 1 plus dangereuse. Cependant, la zone/division 2 moins dangereuse couvre généralement une plus grande surface. Ici, une solution moins coûteuse consiste à utiliser des caméras antidéflagrantes spécialement conçues pour la zone/division 2, ce qui permet d’utiliser tout le potentiel de la technologie moderne des caméras dans des surfaces où le coût limitait auparavant le déploiement.
Pouvoir couvrir un spectre plus large de situations de manière économique changera la donne en matière de résilience.
Garantir la cybersécurité
Bien que l’utilisation de technologies et de données connectées présente des avantages évidents, il est important que les utilisateurs soient conscients des risques de sécurité potentiels. C’est pourquoi la directive européenne SIR2 vise à s’assurer que toutes les solutions utilisées par les sites industriels et les infrastructures critiques sont également adaptées du point de vue de la cybersécurité.
En raison de leur importance dans notre vie quotidienne, les sites industriels et les infrastructures critiques sont une cible évidente des cyberattaques, et il est probable que leurs vulnérabilités soient explorées. La protection des appareils connectés est donc une priorité. Les entreprises utiliseront un certain nombre d’outils pour atténuer les risques de cybermenaces, y compris des logiciels et des appareils dotés de fonctionnalités intégrées liées à la cybersécurité, ainsi que les meilleures pratiques en matière de renforcement des appareils et de résolution des vulnérabilités.
Travailler en partenariat pour renforcer la résilience
Le temps est primordial. Avec l’approche des échéances SIR2 et REC, en plus de la réglementation Seveso déjà existante, les organisations doivent prendre des mesures. Travailler avec des partenaires de confiance constituera le fondement de la résilience. Des solutions qui équilibrent qualité, fiabilité et rentabilité, basées sur des normes ouvertes qui permettront l’évolutivité et l’amélioration futures, répondent aux besoins actuels et futurs, quelle que soit les nouvelles exigences réglementaires susceptibles d’apparaître.