Un terme, deux réalités : c’est ce qui fait trébucher l’industrie allemande. Cette fois, oubliez les pirates ou l’espionnage industriel. Le vrai caillou dans la chaussure, c’est la communication.
À l’heure où l’Industrie 4.0 s’invite dans les usines, deux univers se côtoient sans toujours se comprendre : l’OT (technologie opérationnelle) et l’IT (technologie de l’information). La rencontre de ces mondes provoque bien souvent des échanges laborieux. Chacun campe sur ses priorités, chacun parle son dialecte : côté informatique, la confidentialité et la protection des données dominent ; côté OT, c’est la disponibilité et la protection des personnes et de l’environnement qui priment. Pourquoi mettre l’accent sur l’industrie allemande ? Parce que la confusion ne frappe pas partout de la même façon : les pays anglophones, eux, disposent de termes bien distincts.
La dualité de la sécurité
Dans l’univers germanophone, la confusion règne. Là où l’anglais distingue « safety » (protection des personnes et de l’environnement) de « security » (protection des informations et données), l’allemand n’a qu’un seul mot : Sicherheit. Difficile alors d’éviter les malentendus. Pour y voir plus clair, observons quelques exemples concrets qui illustrent la différence entre les deux notions :
- Sûreté : Installer un capot de protection sur une machine pour éviter la projection d’éclats lors du sciage, ou intégrer un système de contrôle qui interrompt le processus en cas de seuil critique, ce sont là des mesures de sûreté. L’objectif : garantir la sécurité physique, limiter les risques d’accident et protéger l’environnement de travail.
- Sécurité : L’autre versant implique des mécanismes de chiffrement, d’authentification ou de gestion des droits d’accès, pour défendre la confidentialité des données et vérifier l’identité des utilisateurs ou des équipements connectés.
En allemand, le même mot recouvre ces deux dimensions, ce qui génère d’inévitables quiproquos entre ingénieurs et informaticiens. L’enjeu n’est pas anodin : une communication floue peut fragiliser la protection des processus automatisés.
Autres différences entre la sûreté et la sécurité
Sur le plan réglementaire, la sûreté s’impose comme une obligation dont la mise en œuvre est strictement encadrée. La sécurité, elle, relève encore largement d’un choix stratégique, influencé par les enjeux économiques. Cette frontière risque d’évoluer à mesure que la numérisation multiplie les vulnérabilités, mais pour l’instant, la dynamique n’est pas la même.
La sûreté s’inscrit dans la durée. Une fois les dispositifs installés, la machine ne se transforme pas du jour au lendemain. Certes, les éléments de sécurité peuvent vieillir ou s’user, mais l’effet se mesure sur des décennies.
La sécurité, à l’inverse, évolue à toute vitesse. Qu’une nouvelle faille soit découverte, que le contexte change, et l’équilibre peut être rompu en un instant. C’est pour cette raison que la norme CEI 62443 introduit la notion de « motivation d’attaque » : une valeur qui reflète l’évolution dynamique des menaces. Plus le temps passe, plus le risque grandit, et les protections d’hier deviennent parfois obsolètes.
Autre point de divergence : l’ancienneté des préoccupations. La sécurité informatique préoccupe les entreprises depuis de longues années. La sûreté industrielle, elle, n’a pris son envol qu’avec l’essor des réseaux numériques. Les tendances récentes ne trompent pas : la question de la sécurité prend une place de plus en plus centrale dans l’industrie.
Variété des normes
Les cadres de référence pour la sûreté et la sécurité diffèrent eux aussi. Pour la sécurité des systèmes d’information, on s’appuie le plus souvent sur :
- BSI IT Grundschutz
- Série ISO 27000
- CEI 62443
- NIST 800-82
La protection de base ou la norme ISO 27000 visent d’abord la sécurité informatique classique. Même si certaines extensions sectorielles existent, elles ne couvrent pas aussi largement l’industrie que la CEI 62443.
Concernant la sûreté, voici les principales références :
- ISO 61508, Sécurité fonctionnelle
- EN 2006/42, Directive Machines
- CEI 61511, Industrie des procédés
- CEI 62061, Sécurité dans les machines
- ISO 26262, Automobile
- ISO 10218-1 et -2, Sécurité des systèmes robotisés
Le choix de la norme dépend de chaque application. Ce qui compte, c’est que les organismes de standardisation ont pris acte de la nécessité de relier les deux mondes. Exemple parlant : la norme ISO 61508, dédiée à la sûreté, fait explicitement référence à la CEI 62443 pour tout ce qui touche à la sécurité des systèmes de sûreté.
Systèmes de sûreté dans le viseur des attaquants
Certaines affaires démontrent que la frontière entre sécurité et sûreté n’est plus aussi étanche. L’été 2017 a marqué un tournant : un site chimique découvre un logiciel malveillant ciblant spécifiquement ses systèmes de sûreté. L’attaque était conçue pour détourner la fonction de protection, avec un code d’une technicité redoutable, adapté au système visé. Par chance, l’opération a été détectée avant qu’elle ne produise des effets graves.
Le profil de l’attaque, pas de motivation financière évidente, un niveau d’expertise élevé, a conduit les spécialistes à soupçonner une opération menée avec le soutien d’un État.
Vers une alliance entre sécurité et sûreté
Ce genre de scénario n’a rien d’anecdotique : les attaques numériques gagnent en sophistication et deviennent des instruments de sabotage, voire d’agression. Face à cette réalité, l’étroite collaboration entre spécialistes IT et OT devient incontournable.
Tout commence par un langage clair. Se mettre d’accord sur des définitions précises permet de lever bien des ambiguïtés. On pourrait, par exemple, distinguer :
- Sécurité de l’information = sécurité
- Sûreté opérationnelle = sûreté
Utiliser les termes anglais dans les échanges ou les documents techniques facilite aussi la compréhension. L’enjeu, finalement, c’est d’éviter que le mot « sécurité » ne devienne un fourre-tout, et d’adopter une gestion éclairée de chaque aspect. C’est à ce prix que l’industrie pourra protéger durablement ses processus, ses données et ses collaborateurs.
