Accès rapides :

Vous êtes ici :

  1. Accueil
  2. INRS
  3. Activités de recherche
  4. Quel apport d’une analyse de risques cyber pour les machines à l’évaluation des risques professionnels ? (rubrique sélectionnée)

Quel apport d’une analyse de risques cyber pour les machines à l’évaluation des risques professionnels ?

Etude

L’augmentation de la connectivité des machines fait d’elles une proie accessible aux cyberattaques qui peuvent augmenter les risques professionnels (collision avec un robot fou contrôlé par un hacker, accident dû à des coupures d’énergie, RPS dues à un vol de données suite à une négligence etc.). La première chose à faire en cybersécurité est de mener une analyse de risques (AdR) afin d’identifier les vulnérabilités (faiblesses de sécurité informatique), les menaces (circonstances ou événements ayant le potentiel d’affecter les installations en exploitant les vulnérabilités) et ainsi de construire un scénario de cyberattaque pour en estimer les dangers. L’objet de cette étude exploratoire est d’analyser le potentiel d’une méthode d’AdR cyber en vue de voir les possibles implications pour l’évaluation des risques professionnels (EvRP). Il s’agit de développer une AdR cyber pour les machines et de contribuer à rapprocher cette AdR cyber pour les machines avec l’EvRP pour les entreprises utilisant des machines connectées. La première partie de l’étude consistera à adapter, au domaine des machines, une méthode générique mais simplifiée d’AdR cyber pour obtenir ARCySMa (Analyse de Risque Cyber Simplifiée dédiée aux Machines). Cette adaptation sera effectuée en menant une recherche bibliographique sur les spécificités informatiques des machines et en s’appuyant sur l’expertise disponible à l’INRS. Ensuite, des entreprises seront questionnées afin de connaitre leurs « usages numériques » en termes de connectivité des machines et de cybersécurité.
Dans la deuxième partie de cette étude, ARCySMa sera mise en œuvre sur au moins une des machines INRS (un des robots ou une machine de production) pour vérifier son applicabilité d’un point de vue pratique. Dans la troisième partie, pour confirmer son applicabilité, elle sera comparée à deux autres méthodes connues mais plus complexes d’AdR cyber dédiées aux systèmes industriels, en les appliquant elles aussi sur la (ou les) machine(s) choisie(s) à l’INRS. Enfin, la dernière partie de l’étude évaluera la possible articulation entre l’EvRP et ARCySMa. Sur l’exemple déjà utilisé, nous souhaitons voir s’il est possible d’intégrer cette analyse de risque cyber au sein de l’EvRP ou s’il faut faire les deux séquentiellement (d’abord ARCySMa puis EvRP)
Cette étude exploratoire contribuera à proposer une démarche opérationnelle, vulgarisée, pour les entreprises utilisatrices de machines, leur permettant de prendre en compte les impacts du risque cyber sur les risques professionnels.
Valorisations prévues: article(s) dans journaux scientifiques à comité de lecture ; Communications possibles ; les résultats pourront faire l’objet d’une vulgarisation auprès des préventeurs, des messages seront transférés avant la fin de l’étude pour les sensibiliser à ce risque émergent.

  • Fiche technique

    Fiche technique

  • Publications et communications

    Publications et communications

    • LAMY P., PERRIN N., GHADBAN N. Cybersécurité des machines et prévention des risques professionnels : état des lieux Avec l'industrie du futur, les machines industrielles peuvent être de plus en plus connectées et échanger des données à l'aide de différents canaux de communication, ouvrant la porte à une plus grande vulnérabilité face à des cyberattaques. L'aspect risque professionnel n'est pas souvent évoqué comme risque suite à une cyberattaque. Cependant, la publication du règlement machine 2023/1230 introduit les actes malveillants dans les exigences essentielles de santé et sécurité, ce qui va nécessiter sa prise en compte lors de la conception des machines. Le travail présenté au travers de cette communication est de faire un état des lieux, à l'aide d'une enquête par questionnaires, auprès des entreprises. Cette enquête a pour but d'appréhender la connectivité des machines, de recueillir les pratiques des entreprises en matière de cybersécurité ainsi que le ressenti des travailleurs sur le risque de cyberattaque et ses impacts pour leur santé et leur sécurité au travail. Les premiers résultats, présentés ici, permettent de voir les tendances, dans l'industrie, de la considération du risque de cyberattaque. Ils seront utilisés en support à la construction d'une méthode d'analyse de risque cyber pour les machines et permettront aussi de caractériser les vulnérabilités des machines. A terme, ils serviront ainsi à prendre en compte ce risque dans l'évaluation des risques professionnels.
    • LAMY P., PERRIN N., GHADBAN N. Risque cyber et sécurité des machines : vers l’intégration de l’AdR cyber dans l’EvRP? Proceedings of SIAS 2024, 12-13 Juny 2024, Tampere (Finland), ISBN: 13 978-952-5183-64-1, 6 p.