Introduction : fondements du profil de risque actuel – « Comment en sommes-nous arrivés là ? »

Les fabricants américains sont confrontés à une multitude de défis en matière de cybersécurité qui menacent leurs activités, réduisent leur productivité et mettent en péril leur propriété intellectuelle et leurs données. Au cours des deux dernières années, le secteur manufacturier a été le plus ciblé par les attaques de ransomware[1], les fabricants dépensant en moyenne 1,82 million de dollars américains par attaque en 2023, sans compter les rançons versées[2].

Ces défis et risques liés à la cybersécurité sont exacerbés par le simple fait que les opérations de fabrication reposent souvent sur divers systèmes interconnectés qui n'ont pas été conçus dans une optique de cybersécurité. La mise à niveau de ces systèmes peut s'avérer coûteuse et complexe. Mais les fabricants disposant de systèmes plus modernes ne sont pas à l'abri des risques. Si l'intégration rapide de la technologie et de la connectivité dans les opérations de fabrication a permis d'atteindre des niveaux d'innovation et d'efficacité sans précédent, elle a également élargi de manière exponentielle la surface d'attaque cybernétique et créé de nouvelles catégories de vulnérabilités.

Télécharger le rapport

Tout aussi problématique est la sophistication, la fréquence et le coût croissants des mesures prises pour répondre aux cyberattaques. Selon une étude récente menée par la société de cybersécurité Sophos, 56 % des répondants issus du secteur manufacturier ont été victimes d'une attaque par ransomware entre janvier et mars 2023.[3] Parmi celles-ci, seule une entreprise sur quatre a réussi à contrer les attaques avant que ses données ne soient entièrement cryptées, et plus d'un tiers ont dû payer une rançon pour récupérer leurs données.[4] De plus, dans 32 % de ces attaques, les cybercriminels ont non seulement crypté les données, mais les ont également volées.[5]

Pour relever les nombreux défis liés à la cybersécurité, les fabricants américains doivent adopter une approche holistique afin de protéger leurs opérations et leurs données, et évoluer vers un système qui protège l'entreprise et contribue à sa rentabilité. Dans cet article, nous présentons tout d'abord cinq défis majeurs en matière de cybersécurité auxquels sont confrontés les fabricants, nous identifions des moyens de gérer ces risques et nous décrivons les considérations juridiques et d'assurance dont les fabricants doivent tenir compte pour relever ces défis. Nous proposons ensuite de nouvelles approches susceptibles d'ouvrir la voie à une nouvelle ère de fabrication intelligente et sécurisée, qui transforme la cybersécurité d'un centre de coûts en un centre de profits axé sur la valeur. Dans la dernière section, nous décrivons le pouvoir des partenariats public-privé pour relever les défis liés à la cybersécurité.

I. Naviguer dans le domaine complexe des défis liés à la cybersécurité

Pour mettre en place une approche globale visant à sécuriser les opérations et à protéger les données, il faut tenir compte des nombreux défis liés à la cybersécurité inhérents aux opérations de fabrication. Sans minimiser l'importance des défis propres à chaque fabricant, voici cinq défis quotidiens majeurs.

1. La prolifération de l'Internet industriel des objets (IIoT)

Le premier défi découle de l'adoption croissante de l'Internet industriel des objets (IIoT) (voir figure A ci-dessous). Bien que ces appareils IIoT et ces systèmes d'automatisation améliorent la productivité et l'efficacité, ils sont souvent insuffisamment sécurisés et élargissent la surface d'attaque pour les cybercriminels et les adversaires étatiques. Les vulnérabilités d'un seul appareil peuvent déclencher un effet domino, entraînant l'infiltration de tout un réseau de fabrication, la perturbation des opérations, des violations de données et même des dommages physiques aux travailleurs.

Figure A[6]

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.

2. Pénurie de professionnels qualifiés en cybersécurité

La pénurie de professionnels qualifiés en cybersécurité dans le secteur manufacturier est une préoccupation majeure pour les entreprises, qui peut dégénérer en un défi pour la sécurité nationale. Les fabricants ont besoin d'experts qui comprennent à la fois les subtilités des processus industriels et la manière de sécuriser ces processus. Sans ces experts, les entreprises peuvent être victimes de divers vecteurs d'attaque, entraînant des pertes économiques et une baisse de productivité. Au niveau national, les adversaires des États-nations recherchent activement les vulnérabilités informatiques qui peuvent être exploitées pour paralyser les capacités de fabrication critiques des États-Unis.

3. Vulnérabilités de la chaîne d'approvisionnement

Les vulnérabilités de la chaîne d'approvisionnement constituent une menace grave pour les fabricants américains et l'économie mondiale. Les réseaux mondiaux de chaînes d'approvisionnement interdépendants qui soutiennent les opérations de fabrication permettent aux cybercriminels de cibler et d'exploiter les maillons les plus faibles et les moins sécurisés de la chaîne d'approvisionnement. En 2023, nous avons constaté une augmentation significative des cyberattaques visant la chaîne d'approvisionnement, en particulier les attaques contre les logiciels, le matériel et les services tiers.[7]

En ciblant les petites organisations dont l'infrastructure de cybersécurité est moins robuste, les cybercriminels peuvent ensuite exploiter la compromission d'un tiers pour accéder aux systèmes des fabricants fournis par ces entités et les compromettre. Tout maillon faible dans la chaîne d'approvisionnement peut entraîner l'introduction de codes malveillants ou de portes dérobées dans les produits, voire la compromission de systèmes réseau entiers. Par conséquent, les fabricants doivent faire preuve d'une diligence accrue lorsqu'ils sélectionnent des partenaires externes avec lesquels travailler, ce qui nécessite des vérifications de conformité plus strictes afin d'examiner les outils informatiques utilisés par ces partenaires potentiels.

4. Combler le fossé entre l'informatique et les technologies opérationnelles

Une autre vulnérabilité peut résulter de la convergence des technologies de l'information (TI) et des technologies opérationnelles (TO) et du risque de malentendus entre des cultures de sécurité différentes. Les TI se concentrent sur l'intégrité et la confidentialité des données, tandis que les TO mettent l'accent sur la sécurité et la fiabilité. La fusion de ces domaines sans harmonisation et communication adéquates peut entraîner une confusion, des erreurs de configuration et des vulnérabilités que les cybercriminels peuvent exploiter.

5. Un paysage des cybermenaces en constante évolution

Les cybercriminels sont de mieux en mieux financés et équipés par des États-nations qui cherchent à perturber non seulement nos fabricants, mais aussi l'économie mondiale. Ils utilisent également toute une série de menaces en constante évolution, allant des logiciels malveillants traditionnels aux exploits zero-day et aux attaques par ransomware. Alors que les cybercriminels continuent d'évoluer et de cibler le secteur manufacturier, les fabricants doivent s'attendre à des attaques encore plus sophistiquées qui réduisent la productivité et nuisent à leurs infrastructures et à leurs employés. Les fabricants doivent anticiper ces menaces en adoptant des mesures préventives et en mettant en œuvre des architectures sécurisées de nouvelle génération et d'autres technologies décrites plus loin dans cet article.

Les fabricants américains sont confrontés à un environnement de cybersécurité complexe et en constante évolution. L'intégration de l'IIoT, les vulnérabilités de la chaîne d'approvisionnement, la pénurie de professionnels qualifiés, la convergence IT-OT et la multitude de protocoles (et de fournisseurs proposant des « solutions ») contribuent tous à ce défi. Si chaque entreprise supporte individuellement les risques et les coûts liés à la cybersécurité, l'agrégation des risques collectifs pour les fabricants américains peut constituer une menace importante pour l'économie américaine et mondiale.

II. Gérer les cyberrisques aujourd'hui

Les fabricants doivent adopter une approche intégrée et multidimensionnelle pour atténuer les risques liés à la cybersécurité. Cette nouvelle approche doit évoluer plus rapidement, être plus agile que les adversaires et introduire des innovations qui offrent des garanties de sécurité vérifiables pour les processus physiques. À l'ère où les mondes numérique et physique sont connectés, la sécurisation des processus et des données de fabrication est d'une importance capitale pour assurer la compétitivité et la résilience mondiales du secteur manufacturier américain.

Les fabricants ne doivent pas se laisser bercer par un faux sentiment de sécurité. Par exemple, le terme « architecture sécurisée » peut être trompeur, car il :

Implique une combinaison de défense périmétrique + sécurité des données ;
Implique souvent des contrôles de sécurité inadéquats qui ne s'appliquent qu'à un aspect limité des opérations ou à une chaîne d'approvisionnement ;
Ne tient guère ou pas du tout compte des conséquences physiques réelles ; et
Est souvent aligné uniquement sur les exigences de conformité.

Il existe déjà de nombreux outils efficaces. Cependant, ils visent principalement à empêcher les intrus d'accéder au réseau, la défense du périmètre étant assurée par la mise en œuvre de mesures de sécurité robustes. Ces mesures comprennent des pare-feu, des systèmes de détection et de prévention des intrusions, un contrôle d'accès sécurisé et l'isolation physique des données. En contrôlant l'accès au réseau, les fabricants peuvent réduire le risque de violation. En outre, investir dans la formation et la sensibilisation des employés à la cybersécurité réduit encore davantage les risques, car le facteur humain représente le plus grand risque en matière de cybersécurité. Les employés sont souvent la première ligne de défense contre les cybermenaces. Il est donc essentiel de les former à reconnaître les e-mails de phishing, les tentatives d'ingénierie sociale et les risques associés aux appareils portables tels que les clés USB.

Il est essentiel de mettre régulièrement à jour les logiciels. Ces mises à jour permettent souvent de se prémunir contre les vulnérabilités connues qui ont récemment été exposées. Récemment, l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a publié un avis conjoint sur la cybersécurité confirmant que les acteurs malveillants ciblent généralement les vulnérabilités des anciens logiciels, car celles-ci constituent souvent un moyen peu coûteux et efficace de compromettre une cible[8]. Généralement, ces vulnérabilités sont anciennes et des correctifs sont disponibles depuis des années. Les fabricants sont parfaitement conscients que les logiciels obsolètes recèlent des milliers de cybervulnérabilités que les cybercriminels peuvent exploiter. En maintenant à jour les logiciels de l'ensemble du système, les fabricants peuvent fermer les points d'entrée potentiels pour les attaquants. Cependant, l'application de correctifs n'est pas toujours suffisante ; les organisations doivent appliquer les techniques de détection suggérées pour assurer une surveillance continue. Dans certains cas, les attaquants peuvent procéder à une ingénierie inverse des mises à jour et trouver des moyens de contourner les correctifs publiés à l'aide de nouvelles variantes d'exploitation[9], ce qui souligne la nécessité pour les organisations de surveiller en permanence leurs réseaux et leurs systèmes.

Par conséquent, la collaboration avec des fournisseurs et prestataires tiers peut également atténuer les risques. Le centre ISAC (Manufacturing Information Sharing and Analysis Center) récemment lancé (https://www.mfgisac.org/) est une source précieuse d'informations publiques sur les dernières cybermenaces. L'ISAC fournit des informations essentielles pour aider les fabricants à sécuriser et à protéger leurs propres systèmes. Les fabricants peuvent également utiliser les informations de l'ISAC pour imposer à leurs fournisseurs des normes de cybersécurité plus strictes, ce qui réduit considérablement le risque d'attaques contre la chaîne d'approvisionnement. Les États-Unis ont également financé des organisations chargées de sécuriser les fabricants américains, notamment le Cybersecurity Manufacturing Innovation Institute (CyManII).

En outre, les fabricants doivent rester vigilants face aux cybermenaces et se familiariser avec les différents outils et cadres de sécurité, tels que ceux proposés par le National Institute of Standards and Technology (NIST), le département américain de la Défense (DoD), le département américain de l'Énergie (DOE), la National Security Agency (NSA), le Federal Bureau of Investigation (FBI) et la CISA. Ces organisations fournissent des informations sur les cybermenaces « brûlantes » et sur la manière de les atténuer de manière proactive. Les fabricants doivent également établir un plan d'intervention en cas d'incident et préparer la manière de réagir, y compris la manière de signaler l'incident et à qui.

Un fabricant peut garder une longueur d'avance dans la guerre permanente contre la cybersécurité en déployant des mécanismes avancés de détection et de réponse aux menaces. Par exemple, les systèmes de détection d'intrusion surveillent en permanence le trafic réseau à la recherche de modèles suspects, tandis que les analyses avancées et l'apprentissage automatique aident à identifier les anomalies qui peuvent souvent indiquer une cyberattaque en cours. Ces systèmes, associés à des plans d'intervention rapide complets et bien rodés, permettent de minimiser davantage les dommages en cas de violation présumée.

Malheureusement, ces précautions seules peuvent encore s'avérer insuffisantes pour protéger les fabricants. Il est essentiel de garder à l'esprit le problème sous-jacent : les systèmes utilisés n'ont pas été conçus dans un souci de sécurité. Si les approches « bolt-on » disponibles évoquées ci-dessus peuvent contribuer à renforcer la sécurité et à protéger contre les cyberattaques, leurs effets sont limités. Les fabricants doivent évoluer et mettre en œuvre de nouvelles stratégies innovantes pour sécuriser les fabricants américains, soutenir et développer l'économie, et rester compétitifs à l'échelle mondiale.

Cubes technologiques — « Un fabricant peut garder une longueur d'avance dans la guerre permanente contre la cybersécurité en déployant des mécanismes avancés de détection et de réponse aux menaces. »

III. Implications juridiques, obligations et responsabilités

Outre les risques liés à la cybersécurité décrits ci-dessus, les fabricants doivent comprendre les différentes obligations et implications juridiques, y compris les responsabilités financières et juridiques potentiellement importantes.

1. Législation actuelle et obligations légales

En réponse à la multiplication des menaces liées à la cybersécurité, les États-Unis ont adopté diverses lois et mesures exécutives visant à renforcer la protection des infrastructures critiques. Au niveau fédéral, celles-ci comprennent, sans s'y limiter :

Loi de 2018 sur l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA): Cette loi a établi la CISA comme l'agence fédérale principale chargée de la sécurité des infrastructures critiques. Les fonctions et le rôle de la CISA englobent :
- Déploiement rapide : la CISA a notamment pour responsabilité de déployer rapidement des ressources et une assistance aux entités touchées afin d'atténuer les cybermenaces en cours.
- Analyse des incidents : la CISA analysera les incidents signalés afin d'identifier les schémas et les tendances, améliorant ainsi la capacité à répondre efficacement aux menaces émergentes.
- Partage des renseignements sur les menaces : la CISA facilitera le partage efficace des renseignements sur les menaces entre les entités, favorisant ainsi une posture collective de défense en matière de cybersécurité.
Loi sur la déclaration des incidents cybernétiques touchant les infrastructures critiques (CIRCIA): promulguée en mars 2022, la loi CIRCIA oblige les entreprises exploitant des infrastructures critiques, y compris celles du secteur manufacturier critique, à signaler les incidents de cybersécurité importants et les paiements de rançons à la CISA dans un délai de 72 et 24 heures, respectivement.
La Commission américaine des opérations boursières (SEC) : en mars 2022, la SEC a proposé une règle obligeant les sociétés cotées en bourse à signaler les incidents de cybersécurité, leurs capacités en matière de cybersécurité, ainsi que l'expertise et la supervision de leur conseil d'administration en la matière.
Supplément au règlement fédéral sur les acquisitions de défense (DFARS) : les fabricants sous contrat avec le ministère américain de la Défense doivent se conformer au DFARS, qui impose des exigences spécifiques en matière de cybersécurité aux sous-traitants. Cela inclut la protection des informations contrôlées non classifiées (CUI) et le respect des normes de la publication spéciale 800-171 du NIST. Le non-respect de ces exigences peut entraîner la résiliation du contrat et des conséquences juridiques.
Commission fédérale de réglementation de l'énergie (FERC) : la FERC établit des normes de cybersécurité pour le secteur de l'énergie afin de protéger les infrastructures énergétiques critiques du pays. La conformité aux réglementations de la FERC est essentielle pour les fabricants et les services publics liés à l'énergie. Le non-respect de ces réglementations peut entraîner des sanctions, la perte de licences et nuire à la fiabilité du réseau énergétique.

Il est essentiel de se conformer aux obligations de déclaration imposées par des lois telles que la CIRCIA et la FERC. Le non-respect de ces obligations peut entraîner des sanctions importantes et des répercussions juridiques. Bien que la CISA ait jusqu'en mars 2024 pour élaborer et finaliser les règlements obligeant les entités concernées à signaler à la CISA les incidents cybernétiques et les paiements de rançons[10], le partage proactif d'informations pendant la période d'élaboration des règlements est encouragé. En conséquence, les entités des 16 secteurs d'infrastructures critiques définis par la CISA, y compris celles du secteur manufacturier critique, et tous les entités enregistrées auprès de la SEC doivent envisager et se préparer à signaler les incidents aux autorités compétentes et à se conformer à la réglementation applicable.

Législation émergente au niveau des États: plusieurs États, dont le Colorado, la Floride, le Maryland et New York, travaillent activement à l'élaboration d'une législation relative à la cybersécurité des infrastructures critiques. Bien que ces projets de loi n'aient pas encore été adoptés, leur promulgation n'est probablement qu'une question de temps.[11]

Ces mesures législatives visent à améliorer le partage d'informations, à élaborer des normes en matière de cybersécurité et à renforcer les partenariats public-privé afin de protéger les infrastructures critiques. Cependant, les entités concernées doivent commencer à se préparer et à garantir leur conformité en cas de cyberincident.

2. Responsabilités juridiques potentielles

Les fabricants sont confrontés à diverses responsabilités juridiques en cas d'incident de cybersécurité et doivent tenir compte de ces questions dans le cadre de leur réponse à un incident.

Lois sur la protection des données : si une cyberattaque entraîne une violation des données personnelles, les fabricants peuvent être tenus responsables en vertu des lois sur la protection des données. Par exemple, si une entreprise manufacturière contrôle de grandes quantités de données personnelles, y compris les données de ses clients ou de ses employés, elle sera soumise à des lois sur la protection des données telles que le Règlement général sur la protection des données (RGPD) dans l'Union européenne, la California Privacy Rights Act (CPRA) et d'autres lois étatiques exhaustives sur la confidentialité des données aux États-Unis. Le non-respect de ces lois peut entraîner des amendes et des sanctions réglementaires importantes, pouvant atteindre 4 % du chiffre d'affaires mondial annuel ou 20 millions d'euros en vertu du RGPD. En outre, les fabricants peuvent être confrontés à une responsabilité considérable découlant des recours collectifs intentés par les personnes concernées. De même, le non-respect des exigences fédérales telles que la CIRCIA peut entraîner des sanctions, des amendes ou la fermeture pure et simple.
Responsabilité des administrateurs et des dirigeants : Les administrateurs et les dirigeants des entreprises manufacturières ont des obligations fiduciaires envers les actionnaires et peuvent faire l'objet de poursuites judiciaires pour manquement présumé à ces obligations. Par exemple, l'obligation de diligence d'un administrateur ou d'un dirigeant peut être interprétée comme une obligation de mettre en œuvre des mesures de cybersécurité raisonnables. Si une cyberattaque entraîne des pertes financières importantes, les administrateurs et dirigeants pourraient être tenus responsables d'avoir manqué à leur obligation de diligence. De même, si une cyberattaque résulte d'un défaut de vérification et de surveillance adéquates des politiques et procédures de cybersécurité d'un fournisseur ou d'un autre tiers, les fabricants peuvent faire l'objet de poursuites pour manquement à leur obligation de diligence. Les actionnaires peuvent également intenter des poursuites en alléguant que la négligence des administrateurs et dirigeants dans la gestion des risques liés à la cybersécurité a entraîné des pertes financières.
Conséquences en matière de propriété intellectuelle (PI) : les incidents de cybersécurité impliquant la perte ou la divulgation de PI, en particulier dans les cas d'espionnage industriel, peuvent entraîner des responsabilités juridiques coûteuses.
Obligations contractuelles: les fabricants pourraient être tenus responsables de rupture de contrat si une cyberattaque perturbe leur capacité à remplir leurs obligations contractuelles. Les contrats contiennent souvent des clauses relatives à la protection des données et à la cybersécurité, et le non-respect de ces obligations contractuelles peut entraîner diverses conséquences juridiques.

3. Considérations relatives à l'assurance cyber

La lutte contre l'augmentation des cybermenaces et la conformité aux exigences légales croissantes peuvent être coûteuses. L'assurance cyber joue un rôle crucial dans l'atténuation des risques financiers associés aux cybermenaces. Les fabricants doivent examiner attentivement les différents aspects de l'assurance cyber. Ces polices comprennent généralement deux éléments principaux :

Couverture première partie : cet aspect de la police couvre les coûts directs engagés par le fabricant à la suite d'un incident cybernétique. Il comprend la couverture des frais liés à la réponse à une violation de données, à l'interruption des activités et à la restauration des données. Par exemple, si une attaque par ransomware perturbe les opérations, la couverture contre l'interruption des activités peut aider à compenser la perte de revenus pendant la période d'indisponibilité.
Couverture responsabilité civile : la couverture responsabilité civile traite des questions de responsabilité découlant d'un incident cybernétique. Elle englobe la protection contre les frais juridiques, tels que ceux liés à la défense contre les poursuites judiciaires pour violation de données, atteinte à la vie privée et vol de propriété intellectuelle. Les fabricants peuvent également être couverts pour les amendes et pénalités réglementaires.

Pour déterminer le niveau et l'étendue appropriés de la couverture d'assurance cyber, il faut commencer par une évaluation complète des risques. Les fabricants doivent évaluer les pertes financières potentielles, les responsabilités juridiques, les coûts de conformité réglementaire et les atteintes à la réputation afin d'adapter la couverture d'assurance à leurs besoins spécifiques et à leur tolérance au risque.

IV. Aborder de manière proactive les cyberrisques

Une véritable cybersécurité nécessite plus que des applications « complémentaires » coûteuses et sans fin. Les fabricants doivent collaborer avec des experts en cybersécurité et en droit afin de développer des « architectures sécurisées et défendables » présentant les caractéristiques suivantes :

La mise en œuvre du cycle de vie de l'ingénierie numérique tout au long de la chaîne d'approvisionnement ;
Considérer chaque opération, chaque machine et chaque personne comme un « nœud » dans cette conception numérique afin d'intégrer de manière transparente la chaîne d'approvisionnement aux opérations ;
Capturer chaque nœud dans une identité cyber-physique (passeport) qui fournit :
- Garanties des fonctions physiques ;
- Lien entre la sécurité et la qualité des produits ainsi que l'efficacité énergétique/les émissions (énergie grise) ; et
Propriétés de sécurité vérifiables et extensibles à plusieurs domaines.

Dans le cadre des architectures sécurisées et défendables, les fabricants doivent développer un passeport cyber-physique qui garantit que toutes les chaînes d'approvisionnement sont « qualifiées dès leur création » et « fondées sur la confiance ». La figure B ci-dessous illustre où nous en sommes aujourd'hui (triangle bleu) et les innovations séquentielles qui doivent être développées et déployées par les fabricants américains. Il est important de noter que cette figure montre également comment nous envisageons les progrès sur trois fronts : la cybersécurité, la qualité et l'intégrité, ainsi que la productivité, l'efficacité énergétique et la décarbonisation.

Il s'agit donc d'une approche intégrée et audacieuse qui transforme la cybersécurité d'un centre de coûts en un centre de profits. Le retour sur investissement en matière de cybersécurité se traduit par (a) la vérification de l'intégrité et de la qualité des produits, ce qui constitue un avantage commercial, et (b) l'optimisation de l'efficacité énergétique et la réduction des émissions au niveau des installations et du réseau de la chaîne d'approvisionnement. La cybersécurité passe d'un investissement sans fin et sans résultats vérifiables à une stratégie d'investissement qui conduit à des garanties de sécurité vérifiables des processus physiques et des produits, tout en augmentant la qualité et l'intégrité et en réduisant la consommation d'énergie et les émissions.

Figure B

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.

Un autre facteur doit être pris en compte : la détection et l'atténuation des vulnérabilités informatiques. Dans un contexte où les cybermenaces évoluent rapidement, il est essentiel de remédier aux faiblesses, aux énumérations et aux vulnérabilités informatiques afin d'atténuer les risques cybernétiques. Une faiblesse informatique désigne une faille ou une vulnérabilité dans la conception ou la mise en œuvre d'un système. Ces faiblesses peuvent apparaître en raison d'erreurs de codage, de configurations incorrectes, de contrôles de sécurité inadéquats ou d'erreurs humaines. Les énumérations consistent à sonder systématiquement un système cible afin de recueillir des informations sur son architecture, ses services et ses points d'entrée potentiels. Les cybervulnérabilités sont des failles dans la sécurité d'un système qui peuvent être exploitées pour obtenir un accès non autorisé, perturber les opérations ou voler des données. Ces vulnérabilités peuvent provenir de bogues logiciels, de logiciels obsolètes ou de mécanismes d'authentification faibles.

Actuellement, les fabricants traquent les cybervulnérabilités en les « corrigeant » dans des mises à jour logicielles. Cependant, compte tenu du nombre considérable et toujours croissant de vulnérabilités, beaucoup considèrent cette approche comme trop coûteuse et non évolutive. Les fabricants doivent plutôt dresser des listes exhaustives des cyberfaiblesses (chaque faiblesse reflétant des milliers, voire des millions de vulnérabilités), les classer, les énumérer, puis élaborer des annexes d'attaque dédiées pour orienter les stratégies d'atténuation. Des organisations telles que MITRE, avec la contribution de CyManII et de nombreuses entreprises, ont élaboré une liste exhaustive des faiblesses cybernétiques (https://cwe.mitre.org/), et CyManII développe des annexes d'attaque pour le secteur manufacturier afin de permettre aux fabricants américains de remédier aux faiblesses (et vulnérabilités) qui se développent à une échelle sans précédent.

Un autre défi réside dans le manque d'expertise des fournisseurs de services de sécurité gérés (MSSP) dans le contexte actuel des petites et moyennes entreprises manufacturières (PME). Souvent, les PME externalisent leur sécurité, convaincues que leurs besoins en matière de cybersécurité sont correctement pris en charge, pour finalement se rendre compte que ce n'est pas le cas lorsqu'elles sont confrontées à une demande de rançon. De nombreux MSSP surestiment leurs capacités et leur visibilité sur les fonctions critiques d'une PME, tout en sous-dotant leurs opérations en personnel en raison d'un manque de main-d'œuvre et de marges bénéficiaires. CyManII recommande aux PME d'essayer de s'auto-réparer grâce à des solutions d'entraide et à des outils appropriés plutôt que de se contenter de compter sur un tiers. CyManII développe à cet effet une IA générative et la mise en œuvre correcte de contrôles de sécurité associés à une réponse rapide et appropriée à une tentative d'intrusion. La combinaison de cette approche avec des annexes d'attaque contre des catégories entières de Common Weakness Enumerations (CWE) est révolutionnaire. Nous sommes peut-être à un tournant qui permettra à la cybersécurité de passer d'une adolescence difficile à la maturité.

Nous devons également doter les fabricants d'une main-d'œuvre sensibilisée à la cybersécurité. Pour ce faire, nous devons développer et mettre en œuvre des formations à grande échelle. CyManII a développé un programme complet axé sur la fabrication OT-ICS, dispensé en présentiel, en ligne et à distance. Grâce à cette approche et à la collaboration de plusieurs partenaires (SME ToolingU, Cyber Readiness Institute, etc.), nous approchons rapidement le million de travailleurs ayant amélioré leurs compétences en matière de cybersécurité. L'ajout de ces compétences aux fabricants américains permet de renforcer la cybersécurité des opérations tout en minimisant les temps d'arrêt et les problèmes de production liés aux cyberattaques.

Image du héros de l'intelligence des données. — La cybersécurité est un sport d'équipe, et les PPP permettent aux équipes les plus solides de travailler ensemble, ou peut-être « Secure.TOGETHER ».

V. Le pouvoir des partenariats public-privé dans la lutte contre les cybermenaces dans le secteur manufacturier

L'industrie manufacturière se trouve à la croisée des chemins entre les progrès technologiques et les risques croissants en matière de cybersécurité. À l'ère numérique, les partenariats public-privé (PPP) apparaissent comme une force redoutable pour lutter contre les cybermenaces auxquelles sont confrontés les fabricants américains (et constituent un élément essentiel de la conformité CIRCIA). Les PPP favorisent la collaboration, la coopération et les contrats entre les pouvoirs publics, les entreprises privées et les experts en cybersécurité. Cette synergie permet de tirer parti des atouts de chaque secteur pour renforcer collectivement les défenses contre les cybermenaces. En mettant en commun leurs ressources, leurs connaissances et leur expertise, les PPP élaborent des stratégies globales et intégrées qui introduisent de nouvelles innovations sur le marché.

Les fabricants tirent profit des PPP grâce à l'accès à des informations en temps réel sur les menaces, à des conseils sur les meilleures pratiques et à la mise en œuvre de normes à l'échelle du secteur. Plus important encore, les PPP incitent les entreprises à rechercher, développer et déployer de nouvelles innovations cybernétiques dans leurs opérations et installations de fabrication, ce qui permet aux fabricants de mieux se protéger contre les vulnérabilités en constante évolution.

La cybersécurité est un sport d'équipe, et les PPP permettent aux équipes les plus solides de travailler ensemble, ou plutôt « Secure.TOGETHER » (Sécuriser ensemble). À une époque où les cybermenaces peuvent perturber les opérations, compromettre les données exclusives, avoir un impact sur la sécurité nationale et menacer notre économie, les PPP offrent un mécanisme de défense robuste. Il est essentiel d'unir les secteurs public et privé, car ces PPP sont la clé de voûte pour renforcer la cyber-résilience de l'industrie manufacturière et assurer une croissance durable dans notre monde numérique.

En savoir plus sur CyManII

Lancé en 2020 par le ministère américain de l'énergie, CyManII travaille avec l'industrie manufacturière, les instituts de recherche et les universités, ainsi qu'avec les agences du gouvernement fédéral pour développer des technologies qui favorisent la sécurité et la croissance du secteur manufacturier américain. Foley & Lardner est actuellement membre de CyManII.

Des informations supplémentaires sur les risques liés à la cybersécurité auxquels sont confrontés les fabricants sont disponibles dans ledocument intitulé «Recommendations for Managing Cybersecurity Threats in the Manufacturing Sector » (Recommandations pour la gestion des menaces liées à la cybersécurité dans le secteur manufacturier), également co-rédigé par Foley & Lardner et CyManII.

Auteurs

Partenaire

312.832.4367

Associé

312.832.4389

Directeur général
Cybersecurity Manufacturing Innovation Institute

[1] « X-ForceThreat Intelligence Index 2023 », IBM Security, février 2023.

[2] « The State of Ransomware in Manufacturing and Production 2023 », Sophos, juin 2023 (enquête menée dans 14 pays auprès de fabricants comptant entre 100 et 5 000 employés).

[3] Id.

[4] Id.

[5] Id.

[6] « L'accélération du taux d'adoption de l'IoT profitera à l'économie numérique », Delta2020, 29 novembre 2016. Disponible à l'adresse : https://delta2020.com/blog/150-an-accelerating-iot-adoption-rate-will-benefit-the-digital-economy

[7] « Rapport sur les menaces au deuxième trimestre 2023 : toutes les routes mènent à l'infiltration de la chaîne d'approvisionnement », Kroll, 2023.

[8] « La CISA, la NSA, le FBI et leurs partenaires internationaux publient un avis sur les vulnérabilités les plus couramment exploitées en 2022 », Agence nationale de sécurité/Service central de sécurité, 3 août 2023. Disponible à l'adresse : https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3481350/cisa-nsa-fbi-and-international-partners-issue-advisory-on-the-top-routinely-exp/.

[9] « Finding Something New About CVE-2022-1388 », VulnCheck, 13 avril 2023. Disponible à l'adresse : https://vulncheck.com/blog/new-cve-2022-1388

[10] La CISA est tenue de publier un avis de projet de réglementation (NPRM) dans les 24 mois suivant l'entrée en vigueur de la CIRCIA, ce qui fixe la date limite pour le NPRM à mars 2024.

[11] « Cybersecurity Legislation 2022 », Conférence nationale des législatures des États, 22 juillet 2022. Disponible à l'adresse : https://www.ncsl.org/technology-and-communication/cybersecurity-legislation-2022

[12] Le cycle de vie de l'ingénierie numérique désigne le processus complet de développement et de gestion des produits ou systèmes numériques. Il englobe différentes étapes, de la conceptualisation à la mise hors service, et comprend des activités telles que la conception, la simulation, le prototypage, les tests, le déploiement et la maintenance. Il s'agit essentiellement d'un cadre complet qui exploite les technologies et les outils numériques pour rationaliser et améliorer les processus d'ingénierie traditionnels.

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.