[TRIBUNE de Jean-Christophe MARPEAU, CAPTRONIC] Je constate encore et encore la difficulté d'aborder les sujets liés à la prise en compte des exigences de cybersécurité dans la conception des systèmes embarqués et équipements industriels. Difficultés pour informer les industriels, difficultés pour expliquer les impacts des règlements et normes à venir, difficultés pour accompagner les industriels vers un processus de type “secure by design”, difficultés à convaincre les collectivités régionales et acteurs du développement économique de l'importance de ce sujet. Analyse de Jean-Christophe Marpeau, Ingénieur Captronic, systèmes embarqués, électronique, IoT, IA, Cybersecurité.

Nous sommes à quatre mois (août 2025) de la mise en place de la directive RED (article 3 - EN 18031), c'est à dire la cybersécurité des systèmes connectés (IoT) par voie radio.

Nous sommes à 22 mois (janvier 2027) de la mise en application du nouveau règlement machine avec l'intégration d'exigences de cybersécurité dans ces équipements. 

Nous sommes à 33 mois (décembre 2027) de la mise en place du Cyber Résilience Act, qui impose aux fabricants d’équipements embarqués et connectés de garantir le maintien en condition opérationnelle cyber de leurs équipements (matériel et logiciel), et donc de procéder à une analyse des risques cyber, de faire évoluer leur process pour assurer le “secure by design”, de proposer à leurs clients des mécanismes (cybersécurisés) de mise à jour… 

Tous les jours, nous sommes informés de l'existence d'une attaque, d'une vulnérabilité sur un équipement, de vols de données, ... Tous les jours, nous lisons sur les réseaux sociaux, dans le cadre de conférences, de séminaires, qu'il faut protéger son IT, mettre en place les bonnes pratiques cyber, sensibiliser, sécuriser avec les bons équipements, les bons logiciels... 

Les collectivités et financeurs mettent en place des aides et outils de financement pour diagnostiquer, accompagner les entreprises vers une meilleure prise en compte de la cybersécurité. A croire que seules, les technologies de l’information (IT), doivent et peuvent être protégées en termes de cybersécurité ! C'est bien sur un préalable et une nécessité, pour chaque entreprise de sécuriser son infrastructure et ses logiciels mais doit-elle s'arrêter à cela ?

Face à la difficulté d'aborder la cybersécurité des systèmes embarqués, face au silence d'un certain nombre d’acteurs qui font de la cybersécurité une priorité, plusieurs questions semblent se poser à qui s’intéresse de près à la cybersécurité du monde de l’embarqué (les réponses sont dans les questions…)

- La sécurisation de l'IT (Information Technology) suffit-elle à sécuriser les technologies opérationnelles (OT, Operational Technology) ?

- Est-il bien nécessaire de s'assurer de disposer d'équipements (IoT, systèmes électroniques connectés, automates, ..) cybersécurisés au niveau de son process industriel ?

- Est-il vraiment nécessaire de faire de l'analyse des risques cyber sur un produits/dispositif/équipement/processus ?

- La cybersécurité est-elle une problématique essentiellement IT et qui ne concerne pas les développeurs d'équipements (matériels et logiciel) ? 

On le voit, une réflexion s’impose par rapport à cette inertie constatée, car la cybersécurité des systèmes connectés et de l’internet des objets (IoT) n’est décidément plus une option à traiter en fin de projet.