Si vous demandez à la plupart des fabricants ce qui les occupe le plus dans le cadre de leur préparation à la directive NIS 2, la cybersécurité est généralement la première réponse qui revient.
Et cela se comprend tout à fait. Les nouvelles réglementations, les exigences de gouvernance plus strictes et la multiplication des cybermenaces ont fait de la cybersécurité une priorité plus importante que jamais.
Pourtant, dans la pratique, la cybersécurité constitue rarement le principal obstacle à la mise en conformité avec la directive NIS 2. Le véritable défi est le plus souvent bien plus simple.
Connaissez-vous réellement suffisamment bien votre environnement de technologies opérationnelles (OT) pour pouvoir prouver qu'il est sécurisé, bien géré et prêt à faire l'objet d'un audit ?
Chez Contec, c'est l'une des premières questions que nous posons lorsque nous travaillons avec des industriels. Non pas parce que ces entreprises manquent d'expertise, mais parce que les environnements industriels évoluent naturellement au fil du temps. Les chaînes de production s'étendent, les équipements sont modernisés, les fournisseurs ont besoin d'un accès à distance et de nouveaux systèmes sont mis en place. Très vite, l'environnement OT devient bien plus complexe que ce qui avait été initialement prévu.
C'est précisément pour cette raison que la préparation à un audit NIS2 commence bien avant l'audit lui-même.
La directive NIS 2 va au-delà de la cybersécurité
L'une des idées fausses les plus répandues concernant la directive NIS2 est qu'elle se concentre uniquement sur la sécurité informatique. Ce n'est pas le cas.
Pour les fabricants exploitant des infrastructures critiques ou importantes, la directive NIS2 exige que les organisations démontrent que leurs environnements informatiques (IT) et opérationnels (OT) sont correctement gérés, documentés et protégés. Cela signifie que la cybersécurité ne constitue qu’une partie d’un ensemble beaucoup plus vaste qui englobe également la gouvernance, la gestion des risques, la continuité d’activité, la réponse aux incidents, la gestion des fournisseurs et la résilience opérationnelle.
Pour de nombreuses organisations, c'est dans l'environnement OT que cette vision d'ensemble se révèle la plus complexe.
Pourquoi l'ergothérapie mérite une attention particulière
Contrairement aux systèmes informatiques traditionnels, les environnements OT associent souvent des équipements et des technologies qui ont évolué au fil des années.
Les automates programmables (PLC), les plateformes SCADA, les réseaux industriels, les interfaces homme-machine (IHM), les systèmes d'archivage de données, les applications MES et les systèmes tiers doivent souvent fonctionner ensemble, même s'ils n'ont pas été conçus à l'origine dans ce but.
Cela ne signifie pas nécessairement qu'il y a un problème. Cela signifie simplement que la préparation à un audit NIS2 nécessite une compréhension claire de la situation actuelle, de la manière dont les systèmes interagissent et des endroits où des risques ou des failles potentiels pourraient se cacher.
D'après notre expérience, les entreprises sont souvent surprises de constater à quel point de nombreuses connaissances précieuses ne se trouvent que dans l'esprit des ingénieurs et des équipes de maintenance, et non dans la documentation.
Un audit repose toutefois sur des éléments probants, et non sur des hypothèses.
Ce que l'on observe généralement dans le secteur industriel
Chaque site de production est différent, mais plusieurs thèmes reviennent régulièrement lors des évaluations des temps de travail.
Aucun de ces éléments ne constitue en soi un incident de cybersécurité. Ensemble, cependant, ils compliquent considérablement la démonstration de la conformité lors d’un audit NIS2.
-
Les actifs OT qui n'ont jamais fait l'objet d'une documentation complète
-
Des équipements hérités qui continuent d'assurer des fonctions de production essentielles
-
Un processus d'accès des fournisseurs qui a évolué au fil du temps sans faire l'objet d'un réexamen régulier
-
Procédures de sauvegarde et de restauration qui n'ont jamais été testées
-
Différentes équipes utilisant différentes versions d'une même information
-
Documentation du réseau incomplète
La préparation à un audit NIS2 commence par la compréhension de votre environnement OT
Plutôt que de se lancer directement dans la mise en place de contrôles techniques, nous encourageons les fabricants à commencer par acquérir une compréhension structurée de leur environnement OT.
Chez Contec, notre approche de préparation à l'audit OT NIS2 s'articule autour de huit éléments fondamentaux concrets qui aident les organisations à passer de l'incertitude à la préparation à l'audit :
1. Définir le champ d'application de l'ergothérapie
Identifiez les actifs critiques, les systèmes de production et les responsabilités, tout en définissant clairement ce qui relève du domaine OT.
2. Réaliser une évaluation des risques liés à l'ergothérapie
Évaluez les risques informatiques, les risques opérationnels et les vulnérabilités potentielles à l'aide d'une approche structurée et fondée sur les risques.
3. Mettre en place des politiques et des procédures en matière d'ergothérapie
Veuillez décrire comment sont gérés l'accès, les sauvegardes, la gestion des changements, l'application des correctifs et la gestion du cycle de vie.
4. Élaborer un plan d'intervention en cas d'incident
Veillez à ce que les responsabilités, les procédures d'escalade et les obligations de signalement soient clairement définies avant qu'un incident ne se produise.
5. Renforcer la continuité des activités
Examiner les stratégies de sauvegarde, les procédures de reprise après sinistre et la résilience opérationnelle afin de minimiser les perturbations de la production.
6. Réexaminer la gestion des fournisseurs
Déterminez qui a accès à votre environnement OT, dans quelles conditions et comment ces relations sont régies.
7. Améliorer la gestion des actifs et de leur cycle de vie
Tenir à jour un inventaire précis des équipements de thérapie occupationnelle tout en gérant les mises à jour, la maintenance et la fin de vie des équipements.
8. Évaluer les mesures techniques de sécurité
Évaluer l'état actuel de la sécurité de l'environnement OT et identifier des mesures concrètes permettant de réduire les risques tout en garantissant la conformité.
Aucune de ces étapes ne doit être considérée comme une simple formalité administrative. Ensemble, elles constituent une méthode structurée permettant de comprendre l'état actuel de votre environnement OT, d'identifier les possibilités d'amélioration et de démontrer votre conformité lors d'un audit.
La préparation à un audit ne se limite pas à la simple réussite de celui-ci
L'un des messages les plus importants que nous transmettons à nos clients est que la préparation à la directive NIS 2 ne doit pas être considérée comme un projet de mise en conformité ponctuel.
Les organisations qui en tirent le plus grand bénéfice sont généralement celles qui utilisent ce processus pour améliorer la gestion globale de leur environnement OT.
- Une meilleure documentation facilite la maintenance.
- Des responsabilités mieux définies renforcent la résilience opérationnelle.
- Une gestion structurée des actifs facilite les mises à niveau futures.
Des procédures bien définies permettent de réduire l'incertitude en cas d'incident.
En d'autres termes, bon nombre des activités requises dans le cadre de la directive NIS2 contribuent également à rendre les environnements de production plus sûrs, plus fiables et plus efficaces.
Comment Contec vous aide
La mise en place d'un environnement OT conforme à la norme NIS2 ne se limite pas à la simple compréhension de la réglementation. Elle nécessite de comprendre le fonctionnement réel des environnements industriels.
C'est là que Contec apporte un regard différent.
Forts de plusieurs décennies d'expérience dans les domaines de l'automatisation industrielle, de l'informatique industrielle et de l'intégration des processus de fabrication, nous aidons les organisations à concilier les exigences réglementaires et la réalité quotidienne des environnements de production. Notre approche allie une expertise technique en matière de technologies opérationnelles (OT) à une préparation concrète aux audits, garantissant ainsi que les améliorations apportées soient non seulement conformes sur le papier, mais également réalistes à mettre en œuvre et à maintenir.
Commencez à vous préparer avant le début de l'audit
Attendre qu'un audit soit programmé revient souvent à travailler contre la montre.
En s'y prenant plus tôt, les organisations ont la possibilité de mieux cerner leur environnement OT, de combler leurs lacunes de manière structurée et de renforcer leur confiance avant que la mise en conformité ne devienne urgente.
Si votre organisation se prépare à la mise en œuvre de la directive NIS2 ou souhaite simplement mieux cerner son niveau de préparation en matière de technologies opérationnelles (OT), nos spécialistes sont à votre disposition pour vous aider à évaluer votre environnement actuel et à définir une feuille de route concrète en vue de la mise en conformité.


