L'interview du jour : Cybersécurité - la protection des systèmes, un enjeu majeur

Publié le 18/10/2019

Partager sur

Effet pervers de la digitalisation de l'industrie, les cyberattaques se multiplient ces dernières années, touchant même les plus grands groupes. Lorsqu'elles se produisent, il est indispensable que les sites industriels puissent continuer à produire. Quelles sont les solutions ?

Séverine Fontaine, journaliste à Industrie & Technologies, a animé le 5 mars dernier un grand débat consacré à ce sujet sur GLOBAL INDUSTRIE Lyon.

Elle est max, la menace...

 

Sylvie Andraud, Coordinateur Sectoriel Industrie à l'ANSSI, Agence Nationale de la Sécurité des Systèmes d'Information, parle ni plus ni moins d'un "état d'urgence". Les sociétés sont de plus en plus numérisées, interconnectées, et donc exposées à un véritable risque systémique. L'informatique étant partout, il est aujourd'hui fondamental de sécuriser ses systèmes d'information quels qu'ils soient : informatique de gestion, industrielle... L'ANSSI distingue 4 types d'objectifs de la part des attaquants :

 

  1. la cybercriminalité, mue par l'appât du gain, du type ransomware qui chiffre vos données et exige une rançon pour les "délivrer"
  2. l'espionnage par des cyberattaquants, en général très bien organisés, qui s'infiltrent dans vos systèmes d'informations pour récupérer de la donnée confidentielle, personnelle, stratégique, commerciale, de R&D...
  3. le sabotage, qui peut avoir des effets désastreux sur le process industriel
  4. l'atteinte à l'image de marque et à la réputation

 

Or l'ANSSI a constaté une augmentation en nombre, en intensité et en sophistication de toutes ces attaques, qui peuvent être soit très ciblées, sur une entreprise en particulier, soit massives et indiscriminées, comme celles qui ont touché en 2017 nombre de pays et de secteurs.

Elles peuvent avoir différents effets. Certaines sont "invisibles", comme dans le cas de l'espionnage, jusqu'au jour où la victime s'en aperçoit, malheureusement souvent trop tard. Certaines entreprises se sont ainsi fait piller tout leur savoir-faire à cause de postes mal protégés où se trouvait leur R&D. D'autres sont plus visibles, comme lorsque toute votre activité est paralysée, tel Saint-Gobain en 2017 qui a vu des chaînes entières de fabrication arrêtées. Ces dommages nécessitent en général de longs et onéreux travaux de reconstruction. Les coûts financiers des cyberattaques sont donc très importants à tout point de vue, pouvant aller jusqu'à atteindre l'image de la société.

Pour couronner le tout, l'ANSSI a vu émerger sur le Dark Web tout un écosystème de cyberattaquants qui met à disposition des outils, des kits de piratage, voire même les services associés, dans une logique de "crime as a service". On peut ainsi, pour quelques milliers d'euros, s'acheter une attaque contre un concurrent...

Mais le plus préoccupant réside dans l'accroissement de la surface d'exposition et donc du risque d'attaque, du fait de la numérisation des entreprises, auquel s'ajoute un phénomène de convergence technologique avec des composants logiciels, vulnérables par essence, identiques que l'on trouve dans des environnements très différents. Sans oublier l'explosion actuelle du nombre d'objets connectés, l'interconnectivité croissante des systèmes d'information, les malwares introduits directement dans les logiciels distribués et les attaques par la supply chain via les prestataires de produits et de services, souvent moins bien protégés. Tout un cocktail détonnant de menaces qui justifie le terme d' "état d'urgence" en matière de cybersécurité...

 

La solution est dans la préparation

 

Stanislas de Maupeou, Vice-Président Stratégie et Marketing, Systèmes d'Information Critiques et Cybersécurité chez Thales, situe le problème plus au niveau de l'interconnexion qu'à celui de l'externalisation. Dans un monde interconnecté, les attaques peuvent en effet passer tant par l'intérieur que par l'extérieur.

Le premier message à faire passer, selon lui, est que face à l'écosystème de malveillance décrit par Sylvie Andraud existe aussi un écosystème de confiance. Nous ne sommes pas face à un mur infranchissable avec un attaquant tout puissant et une impossibilité à sécuriser les systèmes. L'ANSSI a ainsi mis en place cet écosystème de confiance avec des prestataires qualifiés reconnus par l'Etat comme compétents et de confiance. Face à ces attaques, souvent complexes et qui se professionnalisent, il faut commencer par s'adresser à eux.

Le deuxième message sur lequel il insiste est qu'il ne faut pas se demander quand il y aura une attaque mais plutôt quand aura lieu la prochaine. Si des entreprises qui sont attaquées le savent et le traitent, d'autres l'ignorent complètement. Or, dans un monde interconnecté, c'est une illusion, un non-sens autant technique que business de s'imaginer que les attaques concernent les autres. Il est donc vital de faire rentrer la cybersécurité dans la gestion des risques en général. Le paradoxe est que la résolution d'une attaque d'ampleur aurait bien souvent été très simple de façon préventive : suite à celle dont il a été victime en 2017, Saint-Gobain a perdu plusieurs dizaines de millions d'euros alors que la correction à apporter aurait pu l'éviter était gratuite ! Le maintien en conditions de sécurité (il y a de 20 à 30 000 vulnérabilités chaque année) se heurte parfois à une attitude des entreprises qui refusent d'appliquer le correctif parce que le système concerné, généralement la production, est hypercritique. Par conséquent, les systèmes les plus critiques, les plus sujets aux attaques, sont aussi les moins protégés... Le jour où l'attaque arrive, on finit par appliquer le préventif en mode crise le week-end alors qu'on aurait pu le faire tranquillement deux mois avant en mode normal... Il faut donc faire entrer le processus de maintien en conditions de sécurité dans le système industriel.

Mais on ne fait pas de la cybersécurité simplement parce qu'on a peur d'une attaque ou parce qu'il y a une contrainte réglementaire, même s'il en faut. Dans le cadre d'une transformation numérique, la cybersécurité est un différentiateur : c'est une proposition de valeur dans le business, qui permet d'assurer de la continuité d'activité, de l'intégrité, de la traçabilité... Ce n'est pas qu'un facteur de coûts.

S'il y a une recommandation à faire pour un système industriel (SI) qui va vers la transformation numérique, c'est de cartographier ses systèmes d'information, ce qui permet de gagner un temps précieux pour trouver d'où vient l'attaque. Une fois que c'est fait, il faut mettre en place un mécanisme de surveillance et de détection. Puis se préparer en entraînant les collaborateurs dans la compréhension des enjeux et des risques. On ne peut pas entièrement se reposer sur la technologie : l'humain est vital et il faut tester les équipes réseaux et de production sur la compréhension et la réaction à une attaque. Enfin, le dernier conseil est d'avoir une capacité de réponse à l'incident : si on a préparé ce risque, qui fatalement arrivera, on sera plus efficace le jour J.

 

La cybersécurité, gage de qualité

 

Emmanuel Bricard, Responsable numérique chez ELM Leblanc, division de Bosch qui fait du chauffage et de la climatisation, souligne que d'ici 20 à 30 ans, toutes les chaudières, soit près de trois millions, seront connectées afin d'éviter les pannes. L'enjeu est donc de mettre en place une solution sécurisée au maximum, pas uniquement au niveau du produit, mais de tout le système, terme en lequel il faut désormais penser. L'entreprise utilise des hackers pour trouver et corriger les failles. La crainte numéro un de Bosch réside en effet dans son image de marque, mondiale, synonyme de qualité. Ce qui garantit donc qu'en cas de souci, cela fera la une des journaux ! Le groupe, qui se fait attaquer tous les jours, a même racheté des sociétés de hackers pour tester les produits en conception. Il fait aussi appel à des sociétés tierces de confiance référencées par l'ANSSI notamment. Tout cela a un coût, quelle que soit l'entreprise, l'image de la marque et de ses services n'a pas de prix. Or la qualité passe aujourd'hui par une cybersécurité la plus développée possible.

Le concept même d'industrie du futur implique une interconnexion qui dépasse le niveau de l'industriel et de ses fournisseurs : c'est le monde entier qui est connecté, tant les objets que les systèmes. On ne peut donc plus se contenter de tester des systèmes conçus avec ses fournisseurs ou partenaires, mais des écosystèmes complets. Intégrer la cybersécurité dès la conception du système, via une approche par les risques où l'ensemble de l'écosystème est pris en compte, vous fera faire de grosses économies, insiste Sylvie Andraud.

L'image de marque, véritable moteur de la cybersécurité

 

En 2016 au Japon, 14,6 millions de cyberattaques ont eu lieu... par heure, souligne Marc-Antoine Ledieu, Avocat à la Cour. C'est dire l'ampleur du phénomène. Or les entreprises prennent conscience souvent sur le tard, surtout pour les plus petites, des menaces. Soit principalement une fois qu'elle s'est matérialisée.

D'un point de vue législatif, on a depuis 1988 une réglementation en France, la loi Godfrain, qui permet de réprimer les attaquants. Le problème est qu'aujourd'hui, on ne sait souvent pas d'où viennent les attaques... L'Union européenne répond à cela que si les industriels ne sécurisent pas suffisamment, c'est eux qui sont négligents et qu'ils peuvent donc être sanctionnés, ce qui vise à les responsabiliser. La législation est même en train d'évoluer pour faire en sorte que ce soient les dirigeants des sociétés qui soient désormais pénalement responsables, et non plus les entreprises. Pour une négligence de protection des données personnelles, la sanction (article 32 du RGPD) peut ainsi être de 10 millions d'euros ou 2% du chiffre d'affaires. Une autre réglementation oblige à faire de la cartographie de SI, de mettre en place des agents de détection, d'organiser la réaction à la crise...

Pour résumer, sur les problèmes de négligence, si on ne passe pas par la condamnation, il ne se passe jamais rien. En France, il y en a eu deux : Dailymotion a été condamné en juillet 2018 par la CNIL à payer 50 000 euros et Uber en décembre de la même année 400 000 euros pour une cyberattaque qui a eu lieu aux USA et a touché l'Hexagone, les Pays-Bas et l'Angleterre. Dans les deux cas, il s'agissait de la fuite de données personnelles et le déficit d'image a été considéré comme plus pénalisant pour l'entreprise que la somme versée. Plus que l'argent ou les problèmes techniques engendrés par les cyberattaques, c'est par conséquent le risque de déficit d'image qui pousse surtout les industriels à réagir. C'est la raison pour laquelle la CNIL, quand elle condamne, ajoute à la sanction pécuniaire l'obligation de publier dans la jurisprudence le nom de la société pendant deux ans...

 

Source : Christophe Duprez, pour Global Industrie / SEPEM permanent

Voir les articles