Cybersécurité : le talon d’Achille des industries

Juin 2017, l’entreprise française Saint Gobain est frappée par une cyber-attaque au ransomware NotPetya. Résultat : des milliers de données sont cryptées, les réseaux sont suspendus par la direction, les chaînes de production sont stoppées. C’est à l’encre et au papier que les équipes fonctionnent pendant la suspension des services informatiques. 4 jours de gestion de crise, dix jours pour que l’entreprise reprenne son activité. Les pertes financières s’élèvent à 220 millions d’euros. Dans la longue liste des industries françaises touchées par une cyberattaque, Saint Gobain n’est qu’un exemple parmi tant d’autres. En mai 2017, Renault a dû stopper sa production pendant 2 jours dans de nombreuses usines pour isoler les ordinateurs et les réseaux infectés par le ransomware WannaCry.

Espionnage industriel, enrichissement, sabotage… Les buts recherchés par les hackers sont les mêmes. Les risques pour les industries sont nombreux eux aussi : mise en péril des secrets de production ou de process, interruption de la chaîne de production, fuite des données clients, perte de chiffres d’affaires…

Les revers de la « smart factory »

Les industriels voient dans le développement des technologies numériques, associées aux processus industriels, l’occasion de parvenir à une plus grande compétitivité. Cette convergence entre l’industrie et le numérique, la « smart factory », a vu l’apparition des machines automatisées, de la mobilité des collaborateurs ou du contrôle à distance des flux de production. En adoptant les nouvelles technologies informatiques, les usines ont ouvert la porte à l’innovation, mais aussi à d’avantage de risques numériques.

Si les industries ont épousé les standards informatiques (protocole IP, système d’exploitation, réseau ethernet…), elles ont surtout refréné l’adoption d’une cybersécurité qui allait de pair. L’informatique et sa sécurité sont rarement mises à jour et ces mises à niveau indispensables sont reportées lorsque les industriels craignent un ralentissement ou un impact sur la chaîne de production. Ce qui explique aujourd’hui que les usines sont criblées de failles béantes dans lesquelles les hackers s’engouffrent.

De nouveaux réflexes à adopter

Les dangers auxquels les infrastructures industrielles s’exposent sont mal connus par les directions d’usines. Déjà en 2017, le directeur général de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) Guillaume Poupard déclarait « Pour être franc, on se fait peur, au cours des audits des infrastructures industriels » Il ajoute « En gros, quand un système fonctionne on n’y touche plus. Dans certains systèmes, on ne peut pas mettre à jour : quand un haut-fourneau est lancé, on ne l’arrête plus pendant 30 ans ». L’ensemble des experts en cybersécurité lancent un message d’alarme et plaident pour une prise de conscience des directions. Investir plus pour limiter les dégâts.

La vraie vulnérabilité d’une usine vient de ses failles. A ce titre, les logiciels de détection de failles apparaissent comme les outils adéquats. Il convient dans un premier temps de combler les trous existants avant d’adopter tout autre solution de protection. Le fonctionnement de ces logiciels est très simple : le programme analyse le réseau de l’industrie en simulant une cyberattaque virtuelle. Ensuite, le logiciel donne des patchs de sécurité et des mises à jour pour combler les failles.

Une pression étatique accrue

Conscients de ces nouveaux enjeux numériques, différents gouvernements ont d’ores et déjà adopté une pression législative supplémentaire. En France, la loi de programmation militaire de 2013 presse les 250 Opérateurs d’Importance Vitale en France (télécommunications, aéroports, EDF, SNCF…) à protéger leur écosystème informatique, en particulier celui des parcs industriels.

A l’échelle européenne, la directive européenne Network and Information Security (NIS) de 2016 accroît encore la pression législative en obligeant des milliers d’entreprises de l’Hexagone à se mettre au niveau en termes de cybersécurité et de renforcer leurs capacités de défense numérique.

Evidemment, la mise en place du Règlement Général sur la Protection des Données (RGPD) est l’exemple le plus concret de cette prise de conscience. L’Europe des 28 décide d’un côté de protéger les données des internautes sur Internet et les réseaux sociaux, mais oblige surtout les entreprises et industries à se plier à de nombreuses restrictions en fixant de nouveaux impératifs de sécurité structurelle.

#CarrementBechtle

Leave a Reply

Your email address will not be published. Required fields are marked *