Vous n'avez pas le temps de lire l'article en entier ? Écoutez le résumé en 2 minutes.
Lorsque vous perdez plus que des données
La file d'attente ne s'est pas arrêtée à cause d'une machine en panne. Elle s'est arrêtée parce que personne ne pouvait se connecter.
Les IHM se sont figées. Le MES est devenu silencieux. Un message de rançon s'affiche sur la moitié des écrans. Les opérateurs ont sorti des feuilles de papier, essayant de se rappeler comment faire fonctionner la presse manuellement. Les chefs d'équipe ont cherché quelqu'un, n'importe qui, qui savait ce qu'il fallait faire.
Il ne s'agissait pas d'une faille informatique. Il s'agissait d'une panne d'usine.
Les rançongiciels dans l'industrie manufacturière sont différents. Vous ne perdez pas seulement des fichiers. Vous perdez du temps, la visibilité de la sécurité, le contrôle des processus, la connectivité avec les fournisseurs et, dans certains cas, la confiance des clients. Lorsque l'ensemble de votre usine dépend d'opérations synchronisées et numérisées et que celles-ci disparaissent soudainement, votre manuel de réponse ERP ne vous sera d'aucune utilité.
Les usines qui survivent à ces attaques ne sont pas celles dont la cybersécurité est la plus coûteuse.
Ce sont eux qui disposent d'un plan clair et pratique qui relie les services informatiques, les services techniques, les services juridiques, la direction et le personnel en temps réel, sous une pression réelle.
Qui décide et quand ?
Dans les 60 premières minutes d'une attaque de ransomware, les décisions doivent être prises rapidement.
Mais dans la plupart des entreprises manufacturières, il n'est pas évident de savoir qui doit les fabriquer.
Le service informatique veut fermer les systèmes. Le service des opérations veut protéger l'équipe. Le service juridique exige le silence. Le siège demande des chiffres sur l'impact. Les dirigeants de l'usine veulent simplement que la ligne fonctionne, en toute sécurité.
C'est là qu'il se brise.
De nombreuses entreprises adoptent par défaut un plan d'intervention axé sur les technologies de l'information, mais dans les usines, la sécurité des installations, l'intégrité des recettes et la continuité de la production doivent conditionner chaque action. Si vous n'avez jamais attribué de droits de décision pour ce scénario, l'attaque le révélera en quelques minutes.
Au minimum, définir :
- Qui déclare une cyberurgence à l'échelle de l'entreprise ?
- Qui contrôle l'accès aux environnements OT pendant la reprise
- Qui s'adresse aux clients, aux syndicats et aux autorités de réglementation ?
- Qui autorise le redémarrage de la production ?
Et qui prend le relais lorsque quelqu'un est en congé.
Lorsque le leadership est absent, en désaccord ou sous pression, CE Intérimaire peut déployer un commandant intérimaire de l'incident ayant une bonne maîtrise de l'OT pour faire le lien entre les fonctions, aligner les mesures d'intervention et diriger l'opération jusqu'à ce que l'équipe permanente reprenne le contrôle.
Les 5 points de pression qui brisent la plupart des usines
La plupart des plans de ransomware se concentrent sur les serveurs et les fichiers. Mais qu'est-ce qui provoque réellement le chaos dans une usine ?
Voici les cinq points de pression où les incidents réels se multiplient :
I. Perte de visibilité - Les écrans MES, les données historiques et les enregistrements de lots disparaissent. Les opérateurs sont aveugles.
II. Rupture de communication - Les téléphones VoIP, Outlook et même les radios tombent en panne. Les équipes ne peuvent pas escalader.
III. Logique de la recette non vérifiée - Sans systèmes fiables, vous risquez d'introduire des paramètres erronés dans les machines.
IV. Verrouillage du fournisseur - L'assistance à distance de votre équipementier ne peut pas entrer, ou pire, peut être le vecteur de l'attaque.
V. Panique sur le marché du travail - Sans information, la peur se répand. Les chefs d'équipe perdent leur autorité. Les rumeurs vont bon train.
Il n'est pas possible de les former. On peut seulement structurer le système pour éviter qu'ils ne s'effondrent tous en même temps.
Pouvez-vous encore tenir vos promesses ? Comment courir dans l'obscurité
La première question que les conseils d'administration se posent après un attentat est la suivante :
Peut-on encore expédier ?
La réponse honnête : cela dépend.
Les usines peuvent parfois mener des opérations partielles avec des sauvegardes manuelles, des procédures opératoires normalisées imprimées et une bonne supervision des équipes.
Mais cela ne fonctionne que si :
- Les interverrouillages de sécurité sont physiques ou à sécurité intégrée.
- La ligne ne s'appuie pas sur des recettes en temps réel.
- Les équipes savent comment passer en mode manuel et l'ont déjà fait.
Courir dans l'obscurité n'est pas courageux. C'est dangereux sans garde-fou.
C'est la raison pour laquelle de nombreux fabricants prospères intègrent dans leur plan de cyberréponse une piste de continuité de l'usine - une équipe qui ne se concentre pas sur la restauration informatique, mais sur la livraison en toute sécurité de ce qui peut être livré, dans les heures qui suivent le sinistre.
CE Intérim place fréquemment un Chef d'usine intérimaire pour faire exactement cela : stabiliser la production de base, gérer la communication avec les fournisseurs et les clients, et coordonner les solutions de contournement au niveau de l'atelier lorsque les systèmes numériques sont encore en panne.
Que dire, en interne et en externe ?
Un incident de ransomware est à la fois une cyberattaque et une crise de réputation.
Vous n'êtes pas obligé de tout révéler immédiatement. Mais ce que vous dites, et à quel moment, est important.
A l'intérieur de l'usineLes gens ont besoin d'être rassurés. Le silence engendre la panique.
Au cours de la première équipe, communiquer :
- Ce qui s'est passé, en termes clairs
- Que fait-on pour protéger la sécurité et les salaires ?
- Qui prend les décisions et à qui s'adresser ?
Pour les clientsla transparence est de mise. Si les livraisons sont affectées, dites-le rapidement. Ne promettez que ce que vous pouvez confirmer. Les acheteurs se souviennent davantage de la clarté que des retards.
Régulateurs et syndicats doivent être informés si les systèmes affectent la sécurité, les accords de travail ou les processus de conformité. Évitez de minimiser l'importance de la violation, surtout si l'on soupçonne une exposition des données.
Obtenir rapidement l'alignement des services juridiques, de relations publiques et d'assurance.
N'oubliez pas qu'en vertu des règles du Royaume-Uni et de l'Union européenne, le paiement d'une rançon peut entraîner une responsabilité supplémentaire, en particulier si des acteurs sanctionnés sont impliqués.
Du confinement au durcissement, sans blâme
Une fois que la production reprend et que l'équipe médico-légale a terminé son rapport, le vrai travail commence.
La phase de rétablissement ne consiste pas à installer des correctifs logiciels. Il s'agit de rétablir la confiance dans le système et dans votre direction.
En d'autres termes :
- Prouver que les sauvegardes sont testées et restaurables
- Segmentation des zones OT et IT, à l'aide de IEC 62443 comme guide
- Verrouillage de tous les accès privilégiés à l'aide d'une identité vérifiée
- Révision et réécriture des politiques d'accès à distance des fournisseurs externes
- Tout consigner dans un cahier d'exécution vivant avec des noms, des échéances et des responsabilités.
L'atout le plus négligé dans cette phase est la neutralité du leadership. Vous avez besoin d'une personne capable de diriger la reconstruction sans pointer du doigt.
C'est ici que CE Intérimaire peut faire appel à un chef de PMO pour la reprise, un expert neutre qui est responsable de l'exécution, suit le renforcement du système, dirige les tests et veille à ce que rien ne glisse vers un "nous réglerons le problème plus tard".
Le mot de la fin : Répondez comme si vous alliez être jugé, car vous le serez.
Les ransomwares ne se contentent pas de perturber les systèmes. Il met à l'épreuve l'alignement, la prise de décision et la maturité opérationnelle, tout à la fois.
Aucun conseil d'administration ne veut entendre que personne n'était responsable.
Aucun client ne souhaite être informé de la panne par un tiers.
Et aucune équipe d'usine ne veut avoir l'impression d'être la dernière à savoir ce qui se passe.
Une cyber-assurance peut aider à recouvrer les coûts. Les sauvegardes peuvent restaurer les fichiers.
Mais seuls le leadership, la préparation et la rapidité peuvent permettre de rétablir la confiance.
Traitez votre plan d'intervention en cas d'incident comme un produit. Mettez-le à jour. Le tester. Attribuer des noms. L'imprimer.
Effectuer des simulations qui incluent le personnel de l'usine, et pas seulement les informaticiens.
Parce qu'au moment de l'attaque suivante - votre capacité à protéger les personnes, la production et la réputation dépendra des 30 premières minutes.
Cette fenêtre ne sera pas accompagnée d'un avertissement.