Conception résiliente : connecter la cybersécurité et la souveraineté numérique dans le secteur manufacturier

Dans l’environnement géopolitique volatile d’aujourd’hui, les organisations manufacturières, particulièrement celles en exploitation dans des environnements complexes et interconnectés, repensent leur approche en matière de gestion des risques technologiques et de collaboration.

L’infrastructure numérique n’est plus seulement un catalyseur d’efficacité. Il s’agit d’un actif stratégique qui sous-tend la résilience, la confiance et la compétitivité à long terme. Ainsi, la cybersécurité et la souveraineté numérique ne peuvent plus être traitées séparément. Elles sont profondément interconnectées et influencent les mesures de protection des organisations, en plus d’orienter leur participation aux écosystèmes numériques et aux espaces de données.

Cela est particulièrement vrai pour les organisations des secteurs manufacturier, de l’énergie et des infrastructures essentielles, où la continuité des activités assure le bon fonctionnement de la société. Les entreprises manufacturières se trouvent au cœur des écosystèmes de la chaîne d’approvisionnement , ce qui fait d’elles des cibles de grande valeur pour les cyberattaques, en plus de les soumettre à une surveillance réglementaire de plus en plus rigoureuse. Pour les chefs de la direction informatique et les chefs de la sécurité informatique, le mandat ne se limite plus qu’à la défense des systèmes. Il s’agit de favoriser la résilience, la confiance et la collaboration entre les organisations et à l’international.

Pourquoi les cyberrisques sont-ils maintenant un problème géopolitique?

La gestion des cyberrisques relève moins des pare-feux et davantage du maintien du contrôle.  Aujourd’hui, les auteurs de menaces financés par l’état, les tensions géopolitiques, les guerres commerciales et les cadres de gestion réglementaires en constante évolution influencent de plus en plus la propagation des risques numériques. Les modifications aux ententes internationales en matière de protection des données, les législations extraterritoriales et les règles internationales de transfert de données ont exposé une vulnérabilité commune des organisations à l’échelle mondiale : la perte de contrôle des actifs numériques essentiels.

Si vous dépendez fortement d’un petit nombre de fournisseurs mondiaux de technologies, qui opèrent souvent sous plusieurs juridictions, vous pourriez être exposé à des risques légaux, opérationnels et réputationnels en dehors de votre contrôle. Les sanctions, les restrictions relatives aux licences ou les changements de politiques peuvent perturber l’accès aux services infonuagiques ou aux données essentielles, souvent avec un préavis très court. Dans des scénarios extrêmes, les organisations peuvent être forcées d’effectuer des migrations technologiques rapides, de composer avec des perturbations des activités ou même de voir la confiance s’effriter entre les clients, les partenaires et les organismes de réglementation.

Les stratégies de cybersécurité qui ne tiennent pas compte de ces réalités géopolitiques et réglementaires sont incomplètes, ce qui expose les organisations à plusieurs risques. De même, les initiatives de souveraineté numérique qui ignorent les principes fondamentaux de la cybersécurité risquent de devenir symboliques plutôt que de générer des résultats concrets.

La véritable question n’est pas de choisir entre la cybersécurité ou la souveraineté numérique, mais plutôt comment mettre à profit la cybersécurité pour favoriser des activités souveraines et résilientes.

Ce que la souveraineté numérique signifie concrètement

La souveraineté numérique est souvent confondue avec l’isolement ou l’autosuffisance technologique. En pratique, il s’agit d’une préoccupation stratégique relevant du conseil d’administration, poussée par un besoin de clarté, d’imputabilité et de contrôle dans un environnement numérique de plus en plus complexe.

Fondamentalement, la souveraineté numérique consiste à favoriser une autonomie résiliente. Cela signifie faire des choix stratégiques éclairés en matière de dépendances, de données et de technologies. Des choix que les hauts dirigeants peuvent expliquer, défendre et ajuster au fil du temps, en demeurant ouverts aux innovations et à la collaboration.

La souveraineté numérique touche plusieurs dimensions.

• Données : contrôle sur l’emplacement de stockage, de traitement et d’accès des données
• Technologie : liberté de choisir, de modifier et de combiner des technologies sans dépendance excessive
• Affaires juridiques : réduction de l’exposition aux juridictions étrangères et aux régimes légaux divergents
• Économie : visibilité et influence sur l’ensemble des écosystèmes de la chaîne d’approvisionnement et création de valeur à long terme
• Cybersécurité : capacité de protéger, de surveiller et de répondre de manière indépendante dans les environnements de TI et de TO

La plupart des organisations ne viseront pas une indépendance numérique totale, et elles ne devraient pas le faire. À l’ère des plateformes partagées interconnectées et des chaînes de valeur mondiales, l’isolement limiterait l’agilité et l’innovation.

L’objectif vise une souveraineté stratégique, ce qui signifie maintenir un contrôle rigoureux des actifs essentiels tout en participant à des écosystèmes et à des plateformes de confiance. Bien établi, cet équilibre réduit les dépendances et les risques, renforce la confiance des parties prenantes et favorise l’innovation selon vos critères, et non ceux imposés par des fournisseurs externes.

En pratique, cela exige des choix réfléchis en matière d’architecture et de gouvernance :

• stratégies hybrides et à nuages multiples pour réduire les dépendances à un fournisseur ou une juridiction unique pour améliorer la capacité de déplacer les charges de travail ainsi que le contrôle des systèmes essentiels ou sensibles;
• architectures à vérification systématique pour maintenir la visibilité ou le contrôle à mesure que les environnements de TI et de TO convergent et que la connectivité à l’écosystème s’étend;
• emplacement clair des données et des cadres de gouvernance pour assurer le stockage intentionnel des données, la gouvernance des mesures de classification ainsi que la protection des renseignements sensibles et de la propriété intellectuelle;
• architectures modulaires et à source ouverte pour éviter une dépendance structurelle et accroître la flexibilité à long terme;
• imputabilité clairement définie de la haute direction , par la création de rôles tels que chef de la souveraineté numérique, pour intégrer la souveraineté aux processus de prise de décision et pour répondre aux risques en matière de cybersécurité, d’exposition des fournisseurs et de répercussions géopolitiques avec régularité dans l’ensemble des fonctions.

Obstacles communs à l’atteinte d’une souveraineté numérique stratégique

Les entreprises manufacturières qui opèrent au carrefour de la cybersécurité, de la souveraineté et de la participation à l’écosystème font souvent face à des défis récurrents.

• Cloisonnement des données fragmentées et visibilité limitée : les systèmes déconnectés réduisent la transparence et ralentissent la prise de décision, particulièrement dans les environnements communs de TI et de TO.
• Pressions croissantes en matière d’exigences réglementaires et de cybersécurité : une augmentation des cybermenaces et une évolution des exigences de conformité nécessitent une capacité à contrôler les flux de données, les technologies ainsi que l’accès (à distance).
• Complexité opérationnelle vieillissante : les actifs existants, spécialement en TO, demeurent souvent sans correctif et sont difficiles à intégrer aux technologies infonuagiques, d’IA, d’Internet des objets et de jumeaux numériques.
• Normes incohérentes à l’international : les réglementations qui se chevauchent ainsi que les différentes interprétations et traductions des normes internationales vers des législations nationales freinent la collaboration internationale et la participation à un écosystème sécurisé.

Éliminer ces obstacles exige davantage que des améliorations progressives. Cela exige un changement de mentalité, de la défense des limites organisationnelles à la conception d’une collaboration sécurisée et souveraine à l’échelle de l’écosystème.

La cybersécurité comme pierre angulaire de la souveraineté numérique

Une stratégie mature de cybersécurité est un prérequis pour l’atteinte d’une souveraineté numérique. Les architectures à vérification systématique, les stratégies de technologies hybrides et les mesures robustes de vérification de l’identité et de l’accès ainsi qu’une gouvernance rigoureuse des données créent les fondements techniques pour le contrôle et la résilience des activités, en plus de favoriser une exploitation en toute confiance.

Dans les environnements manufacturiers et opérationnels, cela est particulièrement important. La visibilité, la segmentation et une intervention rapide en cas d’incident assurent non seulement la protection des systèmes, mais aussi la sécurité des employées et des environnements ainsi que la continuité de la chaîne d’approvisionnement. La cyberrésilience opérationnelle soutient directement la résilience de l’entreprise.

Tout aussi importante, la cybersécurité sous-tend la confiance dans l’ensemble de l’écosystème : entre les fabricants et les fournisseurs, entre les organisations et les organismes de réglementation, et finalement, entre les entreprises et les communautés qu’elles servent. Le partage des données et les réseaux interconnectés ne fonctionnent que si la propriété intellectuelle, l’intégrité des activités et les renseignements sensibles sont protégés.

Pour cette raison, la cybersécurité ne doit pas être vue comme une dépense. C’est un catalyseur de collaboration, d’innovation et de crédibilité numérique à long terme.

La cybersécurité et la souveraineté numérique ne sont plus traitées comme des politiques abstraites. Elles font l’objet de décisions stratégiques qui influencent directement la résilience, la compétitivité et la confiance. Les organisations qui les traitent séparément peuvent réduire les écarts techniques, mais demeurent vulnérables à des risques structurels. Celles qui les connectent et qui établissent des mesures de visibilité, de contrôle et de gestion de la confiance dès la conception peuvent participer avec assurance aux écosystèmes du secteur manufacturier.