Quel apport d’une analyse de risques cyber pour les machines à l’évaluation des risques professionnels ?

L’augmentation de la connectivité des machines fait d’elles une proie accessible aux cyberattaques qui peuvent augmenter les risques professionnels (collision avec un robot fou contrôlé par un hacker, accident dû à des coupures d’énergie, RPS dues à un vol de données suite à une négligence etc.). La première chose à faire en cybersécurité est de mener une analyse de risques (AdR) afin d’identifier les vulnérabilités (faiblesses de sécurité informatique), les menaces (circonstances ou événements ayant le potentiel d’affecter les installations en exploitant les vulnérabilités) et ainsi de construire un scénario de cyberattaque pour en estimer les dangers. L’objet de cette étude exploratoire est d’analyser le potentiel d’une méthode d’AdR cyber en vue de voir les possibles implications pour l’évaluation des risques professionnels (EvRP). Il s’agit de développer une AdR cyber pour les machines et de contribuer à rapprocher cette AdR cyber pour les machines avec l’EvRP pour les entreprises utilisant des machines connectées. La première partie de l’étude consistera à adapter, au domaine des machines, une méthode générique mais simplifiée d’AdR cyber pour obtenir ARCySMa (Analyse de Risque Cyber Simplifiée dédiée aux Machines). Cette adaptation sera effectuée en menant une recherche bibliographique sur les spécificités informatiques des machines et en s’appuyant sur l’expertise disponible à l’INRS. Ensuite, des entreprises seront questionnées afin de connaitre leurs « usages numériques » en termes de connectivité des machines et de cybersécurité.
Dans la deuxième partie de cette étude, ARCySMa sera mise en œuvre sur au moins une des machines INRS (un des robots ou une machine de production) pour vérifier son applicabilité d’un point de vue pratique. Dans la troisième partie, pour confirmer son applicabilité, elle sera comparée à deux autres méthodes connues mais plus complexes d’AdR cyber dédiées aux systèmes industriels, en les appliquant elles aussi sur la (ou les) machine(s) choisie(s) à l’INRS. Enfin, la dernière partie de l’étude évaluera la possible articulation entre l’EvRP et ARCySMa. Sur l’exemple déjà utilisé, nous souhaitons voir s’il est possible d’intégrer cette analyse de risque cyber au sein de l’EvRP ou s’il faut faire les deux séquentiellement (d’abord ARCySMa puis EvRP)
Cette étude exploratoire contribuera à proposer une démarche opérationnelle, vulgarisée, pour les entreprises utilisatrices de machines, leur permettant de prendre en compte les impacts du risque cyber sur les risques professionnels.
Valorisations prévues: article(s) dans journaux scientifiques à comité de lecture ; Communications possibles ; les résultats pourront faire l’objet d’une vulgarisation auprès des préventeurs, des messages seront transférés avant la fin de l’étude pour les sensibiliser à ce risque émergent.