CYBERSÉCURITÉ INDUSTRIELLE, POURQUOI ÊTES-VOUS CONCERNÉ ?

Malgré la multiplication des attaques et le travail de pédagogie de l’ANSSI (Agence National de la Sécurité des Systèmes d’Information), beaucoup de PMI n’ont pas encore engagé une réelle politique de cybersécurité pour la protection de leurs systèmes industriels. Les raisons sont multiples : manque de moyens, manque de temps et de ressources, manque de compétences, mais aussi parce qu’elles ne sentent pas concernées ou bien suffisamment à l’abri.

On revient sur les 5 préjugés communément admis pour vous convaincre que toutes les PMI sont concernées par les enjeux de cybersécurité industrielle et que votre entreprise n’est peut-être pas si protégée que cela.

Si les cyberattaques ayant ciblé les opérateurs d’importance vitale (OIV) tels que les centrales nucléaires ou les opérateurs telecom sont celles dont on entend le plus parler, c’est tout simplement parce que ces organismes ont l’obligation de communiquer sur les cyberattaques dont ils sont victimes. Cela ne signifie pas pour autant que les cyberattaques ne touchent que les très grandes entreprises.

La tendance serait plutôt à une recrudescence des attaques ciblant les entreprises de moins de 250 salariés, comme le montre le graphique ci-dessous. Les sites industriels, du fait de la facilité d’accès à leurs réseaux, font partie des cibles privilégiées des hackers. Selon le baromètre Cybersécurité 2017 réalisée par l’Usine Nouvelle, plus de 50% des sites industriels de moins de 250 salariés aurait subi un incident de cybersécurité au cours de l’année 2016.

Quand bien même votre service informatique aurait mis en place des mesures et des outils contre les menaces informatiques pour vos systèmes d’information de gestion (ERP, MES…), il y a peu de chances pour que ceux-ci soient adaptés à la protection de vos réseaux industriels. Du fait de leur cycle de vie relativement long et de la complexité des protocoles utilisés, la plupart des équipements industriels n’ont tout simplement pas été conçus pour résister aux cyberattaques. De plus, les solutions de cybersécurité IT ont la particularité de générer trop de faux positifs, c’est-à-dire de détecter comme illégitimes des comportements nécessaires pour la continuité du process industriel. Cela génère des arrêts de production à répétition conduisant à une perte de performance.

C’est pourquoi la protection des réseaux industriels contre les cyberattaques nécessite ses propres moyens et mesures, parmi lesquels on peut citer :

• La prévention et la sensibilisation des opérateurs et intervenants aux bonnes pratiques,
• Une connaissance approfondie de l’infrastructure réseau pour détecter les failles potentielles (cartographie),
• La mise en place d’une démarche de surveillance continue des systèmes industriels et des flux,
• Une veille constante sur les menaces et vulnérabilités,
• …

La recherche de performance passant par l’analyse de données crée de nouveaux besoins en collecte de données et des nouveaux usages; le monde industriel est de plus en plus connecté aux autres systèmes d’information, l’isolement des réseaux industriels devient impossible. Si vous utilisez un VPN (Virtual Private Network) ou que vous avez mis en place des pare-feu sur vos réseaux, c’est déjà une bonne façon de vous protéger face aux risques externes.
Mais même si vos réseaux sont isolés, n’oubliez pas que la menace peut aussi être interne : les clefs USB ou les consoles de maintenance sont des vecteurs majeurs de propagation de virus. Le cloisonnement des réseaux n’est donc pas suffisant pour garantir une protection efficace.

La sécurité industrielle consiste à garantir la sécurité des biens et des personnes par une analyse des différents risques industriels et l’application d’une série de mesures visant à prévenir les évènements accidentels et limiter leurs impacts. Quand on souhaite mettre en œuvre des actions de cybersécurité industrielle, on agit davantage dans le cadre de la sûreté industrielle, c’est-à-dire dans une lutte contre des actes de malveillance ou des agressions volontaires ayant pour objectif de porter atteinte à l’entreprise. Ce n’est donc pas parce que votre entreprise est active en matière de sécurité industrielle qu’elle protège efficacement ses réseaux contre les cyberattaques.

Sécurité ≠ Sûreté

Comme explicité précédemment, il est vrai que les solutions de cybersécurité IT peuvent générer des arrêts de production à répétition non justifiés. Or, le but de la sécurité des systèmes industriels consiste à concentrer les actions sur les enjeux critiques en prévenant les comportements dangereux, et non à bloquer les comportements utiles et nécessaires à la performance productive. Les solutions sont multiples pour vous permettre de réduire les surfaces de risque sans nuire aux objectifs métiers :

• Contrôle d’accès physique,
• Détection d’intrusions,
• Utilisation de composants et équipements industriels intégrant des systèmes d’authentification ou de chiffrement des échanges,
• Mise à jour des solutions logicielles de supervision (SCADA) permettant de bénéficier des dernières évolutions en matière de sécurité,
• …

Et si vous pensez qu’une cyberattaque aura toujours moins d’impact qu’un incident physique comme un incendie ou un vol, imaginez votre chaîne de production à l’arrêt pendant 9 semaines. C’est le temps moyen de récupération estimé à la suite d’une cyberattaque par une étude menée auprès de 1000 dirigeants en 2016.