Aujourd'hui, les cyberattaques visent surtout les systèmes industriels connectés et d'informatique embarquée, comme l'a démontré l'expérience de la prise de contrôle d'une automobile. Dans le passé, les systèmes industriels n'étaient pas forcément connectés aux systèmes d'information et de gestion informatisés de l'organisation.

Le FBI affirme que plus de 7000 entreprises américaines ont été victimes d'attaques à partir de smartphones qui ont permis de pénétrer le réseau des entreprises ciblées. Plus que jamais, l'enjeu majeur vise à combler le retard des administrations publiques face aux évolutions des réseaux, des entreprises et des technologies liées aux objets connectés.

Les cyberattaques des entreprises pourraient représenter un coût de 260 à 340 milliards d'euros par an, selon l'Agence Européenne chargée de la sécurité des réseaux et de l'information. Pour y faire face, le Parlement Européen vient de publier une directive sur la sécurité des systèmes d'information dans l'Union Européenne, qui permet d'adopter une vision commune de la question de la cybersécurité.

Selon l'étude 2016 de Tripwire sur la sécurité informatique dans le secteur de l'énergie, du pétrole et du gaz, de plus en plus d'industriels seront victimes des incidents de production et de pannes électriques, comme celle provoquée, fin décembre dernier, par une cyberattaque, en Ukraine. L'État tente de prendre en compte ces nouvelles menaces via la loi de programmation militaire (LPM). Hélas, elles s'appliquent uniquement aux Opérateurs d'Importance Vitale (OIV) tels qu'ils sont définis dans les articles L1332-1 et 2 du Code de la défense1. Ceux-ci ont, par ailleurs, été classés en trois grands domaines : Domaine Etatique : Activités Civiles de l'État ; Activités Militaires de l'État ; Activités Judiciaires ; Espace et Recherche ; Domaine de la Protection des Citoyens : Santé ; Gestion de l'Eau ; Alimentation ; Domaine de la Vie Economique et Sociale de la Nation : Energie ; Communication, Electronique, Audiovisuel et Information ; Transports ; Finances ; Industrie.

L'État a répertorié les OVI et a classé la liste « confidentiel défense pour des raisons de sécurité nationale ». Toutefois, il est possible de souligner que les OVI, dotés de systèmes d'information (SI) connectés (parce que les SI participent à un processus vital de l'opérateur), peuvent être, une organisation publique ou privée, une installation ou un ouvrage d'art. L'indisponibilité de ceux-ci ou leur destruction par suite d'actes de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement, d'altérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, mais également de mettre en cause la santé ou la vie de la population.
En conséquence, les systèmes d'information automatisés de gestion sont de mieux en mieux sécurisés contre les attaques des pirates informatiques. Dès lors, ces derniers se tournent vers des opérations de déstabilisation plus accessibles comme les systèmes industriels connectés. C'est parce que les systèmes automatisés de ces outils industriels sont moins bien protégés qu'ils sont plus faciles d'accès. Elles sont des proies faciles pour les cybers attaquants qui agissent pour des raisons diverses : activisme, politique, financière, vol de données, sabotage, déstabilisation, action militaire, etc.

Dans le domaine agricole, par exemple chez les céréaliers, les ventes sont passées directement à partir de l'outil de production grâce à des systèmes industriels connectés. Dans le domaine bancaire, les nouveaux systèmes de paiements ont stimulé de nouveaux types de cyberattaques comme pour les paiements sans contact avec la carte bancaire. Nous avons constaté, au cours de ces derniers mois, cette tendance à la fois pour le vol d'informations et pour la prise de contrôle sur le système automatisé.

Dans le domaine de l'espionnage industriel, les cyberattaques visent à déceler des failles dans les systèmes automatisés. Le but est d'atteindre des informations sur les secrets de fabrication des produits directement sur les outils puisqu'ils sont moins bien protégés.

Ces outils, utiles et pertinents, que sont les systèmes industriels connectés, sont élaborés pour soutenir les processus industriels tout en les surveillant et les contrôlant en temps réel. Ils offrent un panel important de processus et d'opérations, tels que la distribution de gaz et électricité, le traitement de l'eau ou le transport ferroviaire (aiguillage, barrière automatique, etc.). Au demeurant, ils sont utilisés dans le domaine de la distribution, de la chimie et dans les centres R&D fondamentale tels que le domaine du nucléaire, le transport de matières dangereuses, mais également pour le contrôle d'accès aux bâtiments, le contrôle du chauffage et ventilation. Ce sont autant de champs d'application que l'on peut retrouver dans le tissu économique. Ils peuvent avoir des conséquences économiques et financières pouvant déstabiliser la situation économique d'une entreprise ou d'un OVI et compromettre la réalisation des missions vitales qui lui ont été notifiées par l'État. L'autre obstacle à l'émergence d'un monde réellement connecté tient au fait qu'il sera impossible de définir une norme mondiale unique régissant l'ensemble des objets connectés, tout simplement parce que ces technologies sont trop nombreuses.

Pour se prémunir de cette menace, les entreprises doivent s'équiper de solutions de protection certifiées par l'ANSSI. L'Agence nationale de sécurité des services d'information a recommandé aux opérateurs d'importance vitale de se doter de systèmes de protections avancées. La priorité a été donnée pour l'heure à trois secteurs d'activité pour lesquels cette autorité a publié des arrêtés détaillant des dispositifs de sécurité à partir du 1er juillet 2016 : les produits de santé, la gestion de l'eau et l'alimentation.

Thierry MARQUEZ, Cabinet d'Expertise Stratégique

 

---

CES met en œuvre au profit de ses clients des solutions techniques / technologiques, organisationnelles et comportementales, de détection avancée des menaces (cyber et humaine), des activités frauduleuses, criminelles et terroristes pour anticiper et gérer les risques et les crises dans toutes leurs composantes

Découvrez nos services et solutions