La Industria 4.0, una perspectiva de evolución para las 200.000 empresas industriales de Francia, pero también un pasivo que hay que asumir. En cualquier caso, este es el principal mensaje que surgió de una mesa redonda organizada durante la Conferencia de Seguridad, que se celebró en Mónaco del 11 al 13 de octubre: “En las nuevas líneas de producción, aplicamos una política ciber por diseño, consistente en desplegar inmediatamente los principios clave de seguridad”, dice Sabri Khemissa, jefe de ciberseguridad industrial del grupo minero Imerys. En el caso del actual, sin embargo, la actualización llevará tiempo, por ejemplo mediante un período de una semana al año durante el cual es posible intervenir en la producción. Debe aceptar administrar un plan de seguridad de dos niveles. » Porque en la industria la continuidad de la producción sigue siendo el alfa y el omega. "Mientras tanto, debemos proceder con un enfoque basado en el riesgo e incorporar tecnologías que permitan una defensa en profundidad, a la espera de que el modelo de seguridad que hemos definido pueda desplegarse en todas partes", opina Bertrand Aït-Touati, director de el programa de ciberseguridad industrial del grupo Suez.

Para ello, todavía debemos ser capaces de desplegar, al ritmo adecuado, un marco de seguridad homogéneo en un panorama que no lo es en absoluto. “Los gerentes de fábrica tienden a querer avanzar rápidamente en la implementación de la Industria 4.0 para cumplir sus objetivos. Por tanto, recurrir a proveedores que lleguen con soluciones llave en mano, pero con un bajo nivel de madurez en ciberseguridad, señala Sabri Khemissa. Esta proliferación de iniciativas descoordinadas tiende a debilitar la seguridad de las fábricas. » Para Thierry Manciot, jefe de ciberseguridad de redes, fabricación y cadena de suministro de Sanofi, esta proliferación de iniciativas puede convertirse en una ventaja: “La ciberseguridad puede ser una palanca para lograr que las fábricas integren sus iniciativas en un enfoque más coherente. » Y por poner el ejemplo de una fábrica pionera en transformación digital, pero no al nivel esperado en materia de ciberseguridad. “El comité de riesgos le dijo que no podía acelerar sus proyectos innovadores sin desplegar primero los fundamentos de la ciberseguridad”, continúa el directivo. "La Industria 4.0 es una oportunidad para devolver la gobernanza a lo que, en cualquier caso, ya existía, para garantizar que los sitios estén menos indefensos ante los problemas de ciberseguridad", añade Bertrand Aït-Touati.

Índice
  1. Comprender las especificidades de un nuevo ámbito.
  2. El equilibrio adecuado entre equipos centrales y locales

Comprender las especificidades de un nuevo ámbito.

Para ello, la ciberseguridad primero debe ser creíble con respecto a la producción y desplegar un modelo operativo que se integre con las limitaciones industriales. “Nos enfrentamos a muchos sistemas diferentes, obviamente los que controlan la producción, pero también todo el ecosistema circundante, como los sistemas de gestión de energía o los presentes en los laboratorios. Para ser creíble hay que empezar por entender este entorno”, comenta Sabri Khemissa. Una condición previa transmitida por Thierry Manciot (Sanofi), para quien “el control de los activos y su nivel de protección es fundamental para los equipos encargados de la ciberseguridad. Sin él, el despliegue del modelo de seguridad está encaminado al desastre. »

De izquierda a derecha, Thierry Manciot, de Sanofi, Sabri Khemissa, de Imerys, y Bertrand Aït-Touati, de Suez. (Foto: RF)

Si definir el objetivo y la forma de alcanzarlo, con objetivos claros, definidos año tras año como en Sanofi, es fundamental, también es necesario establecer una relación de confianza con los equipos de producción en las operaciones diarias. “La ciberseguridad necesita una gran ambición, pero también un modelo operativo adaptado a las necesidades sobre el terreno. De lo contrario, no se creará conciencia y no se remediarán las vulnerabilidades existentes”, afirma Bertrand Aït-Touati (Suez). Esto puede implicar, por ejemplo, un diálogo con los jefes de fábrica sobre la implementación de parches de seguridad en sistemas cualificados, como es el caso de Sanofi. “También es un contrato entre la dirección de la fábrica y la ciberseguridad. Si ellos se comprometen a trabajar en la dirección que les indicamos, nosotros debemos comprometernos a estar presentes ante el menor problema”, afirma Thierry Manciot.

El equilibrio adecuado entre equipos centrales y locales

Este contrato también supone un nuevo equilibrio en las responsabilidades. “Las colas se están moviendo”, confirma el gerente de Sanofi. Los equipos de TI operarán cada vez más equipos industriales. Por tanto, debemos adaptar los procesos a esta realidad. Nuestro modelo de fábrica del futuro va, por tanto, acompañado de un modelo operativo mixto que vincula el nivel global y el nivel local. » Lo que también significa que las habilidades deben identificarse sobre el terreno. “Al inicio del programa (para asegurar los activos industriales, ndr), la primera pregunta que surgió fue: ¿quién se hará cargo de las tecnologías implementadas? Necesitábamos habilidades en los equipos de TI integrados en las divisiones industriales, especialmente para la parte de ejecución. El programa permitió resaltar este punto y fortalecernos en este tema”, describe el director del programa de ciberseguridad industrial del grupo de Suez.

Según este último, en estos equipos locales existen “grupos de habilidades interesadas en la cibernética”. Por tanto, el despliegue de un programa de seguridad de activos industriales sería una oportunidad para integrar la ciberseguridad en los equipos in situ. A condición de perpetuar el sistema, según Sabri Khemissa (Imerys): “el problema es encontrar personas con conocimientos y, luego, definir posiciones reales responsables del tema, no simplemente roles. » Y esto último también destaca la necesidad de integrar a los socios, que operan cada vez más sistemas, en el modelo operativo de ciberseguridad. “En el sector, el poder de los proveedores es enorme”, subraya Thierry Manciot. Hemos integrado, con el apoyo de los profesionales, 15 requisitos cibernéticos en todas nuestras licitaciones. »