L’industrie agroalimentaire, nouvelle cible des cyberattaques ?

L’industrie agroalimentaire face aux cyberattaques | Stormshield

La cyberattaque contre Fleury Michon en France semble étayer ce qui était pressenti : les industries agro-alimentaires sont de nouvelles cibles pour les cyberattaquants. Et ce n’est pas un hasard tant ces industries sont stratégiques. Enjeux, risques et parades : tour d’horizon de la situation.

Nous sommes le 15 avril 2019 et en ce lundi de printemps encore frisquet, Fleury Michon reprend peu à peu pied après une cyberattaque qui a immobilisé sa production pendant cinq jours. « Dans la nuit du 10 au 11 avril, les systèmes informatiques de Fleury Michon ont été touchés par un virus informatique. Par mesure de précaution, l'ensemble des systèmes ont été déconnectés, pour éviter la propagation. Les usines, ainsi que notre unité logistique, ont été mises à l'arrêt jeudi dernier, 11 avril, à 14h00 », dévoile le groupe dans un communiqué.

On n’en saura pas plus sur l’origine de ce virus ni la façon dont il s’est introduit dans le système informatique de Fleury Michon. Pas plus que le montant du préjudice après un arrêt de cinq jours des usines. « Les impacts, en cours de chiffrage, seront limités et couverts par une assurance souscrite à cet effet », élude alors le groupe. Fin de l’histoire ? Pas tout à fait. Cette cyberattaque confirme l’avertissement lancé en début d’année par Kaspersky : les industries agroalimentaires seraient les nouvelles cibles des cyberattaquants. Et c’est plutôt inquiétant.

Des cyberattaquants professionnels et organisés

Oubliez les script kiddies ici. Les cyberattaquants qui visent l’industrie agroalimentaire sont d’un autre niveau. « Ce ne sont pas les débutants qui s’attaquent à cette industrie. Vu les enjeux économiques, sanitaires et de gouvernance qu’il y a derrière, on a plutôt affaire à un groupe de pirates informatiques bien coordonnés, voire une organisation mafieuse ou étatique », avertit Robert Wakim, Offers Manager Stormshield.

Avec des motivations bien précises. « Les conséquences d’une attaque peuvent être de plusieurs ordres : perturber la continuité de service, affaiblir la confiance des consommateurs, nuire à l’image de l’industriel, avoir des conséquences financières sur la rentabilité, freiner l’innovation et impacter directement la compétitivité », énumère Tiphaine Leduc, cheffe de mission cybersécurité chez Bretagne Développement Innovation, dans un article publié dans la Revue de l’Observatoire des Industries AgroAlimentaires.

Là où avant il y avait un humain qui contrôlait à l’œil, c’est désormais une machine qui veille. Si on dérègle suffisamment le capteur de mesure d’un silo, on peut, par exemple, lui faire remonter de mauvaises informations sur la quantité de blé qu’il contient. Et c’est un engrenage qui peut suivre plusieurs logiques : un silo que l’on pense vide – mais qui ne l’est pas – va provoquer une réduction de la production, le temps que la commande de blé arrive, mais également un impact sur les livraisons puisque le camion, qui ne peut pas décharger, repart donc à plein et ne peut pas poursuivre sa tournée. A contrario, à cause d’un silo que l’on pense plein, à tort, les machines de production peuvent se retrouver à tourner à vide et se dégrader – car, sans produit à transformer, elles risquent la surchauffe et un blocage de toute la chaîne de production. Résultats : pertes sèches de revenus, mais aussi perte de crédibilité.

Sans parler des attaques permettant de prendre le contrôle des automates pour modifier les recettes ou la qualité d’un produit. « Si demain quelqu’un change la recette de mon soda et qu’il n’a plus le même goût, les gens vont arrêter de l’acheter. Si on modifie une sonde et qu’elle n’est plus capable de détecter un allergène ou un produit nocif, je mets mes consommateurs en danger. Et si ma chaîne de production est réduite ou à l’arrêt, je ne pourrai plus répondre à la demande », explique Robert Wakim.

Mais ce n’est pas tout. Les cyberattaquants peuvent aussi tirer profit des spéculations boursières sur les valeurs alimentaires ou les matières premières. « Il n’est pas impossible que certaines personnes aient parié contre Eurofin à la baisse suite à la cyberattaque, poursuit-il. Une nouvelle forme de délit d’initié. »

L’agroalimentaire, une industrie hautement stratégique

« La volonté de nuire par le biais de l’agriculture ou de l’alimentation n’est pas nouvelle. Depuis des dizaines d’années, des attaques via des contaminations biologiques ou chimiques ont eu lieu sur du bétail, des plantations, des fruits ou légumes, recontextualise Florian Bonnet, Directeur du Product Management Stormshield. Pourtant, pendant longtemps, parce qu’elles n’étaient pas très spectaculaires, ces attaques n’ont pas suscité d’inquiétude particulière. »

Jusqu’à ce que les forces alliées découvrent des milliers de documents scientifiques portant sur l’agriculture aux États-Unis dans la cache d’un certain… Oussama Ben Laden. L’Amérique post 11-Septembre comprend alors que des attaques visant le secteur agroalimentaire auraient des conséquences terribles sur les vies humaines et sur l’économie du pays. L’OMS publie alors des recommandations pour les gouvernements et les acteurs de l’industrie agroalimentaire dans la foulée, en 2003, et l’ex-président américain Barack Obama signe le « Food Safety Modernization Act » portant sur toute la chaîne agroalimentaire, en 2011. L’agro-terrorisme, né il y a près d’un siècle, entre maintenant dans l’ère du cyber-terrorisme.

On peut affaiblir tout un pays en s’attaquant à son industrie agro-alimentaire.

Robert Wakim, Offers Manager Stormshield

Certaines denrées alimentaires sont même considérées comme “critiques”. En France, la gestion de l’eau et l’alimentation font ainsi partie des 12 secteurs d’importance vitale listés dans la Loi de programmation militaire. Et parmi les 249 Opérateurs d’Importance Vitale (OIV) recensés, qui sait si certains agriculteurs ne seraient pas présents ? Quand on sait que le domaine de la santé est un grand consommateur d’amidon (issu de la pomme de terre), tout est possible.

« C’est une industrie fondamentale à notre survie. Mais c’est aussi une industrie mondialisée, hyper concurrentielle, et concentrée entre les mains de quelques multinationales, avec de très grosses sommes d’argent en jeu. Ce sont des caractéristiques qui l’exposent plus qu’une autre », souligne Robert Wakim. Attaquer cette industrie, c’est aussi attaquer un pays. « On peut affaiblir un pays en réduisant ses capacités à produire telle denrée par exemple, poursuit-il. Cela contribue à affaiblir toute la santé du pays, nutritionnelle d’abord mais aussi économique, surtout si l’agriculture visée est vitale pour la population ou le PIB. »

C’est logiquement le moment de prendre une profonde inspiration par le ventre. Oui, les enjeux du secteur en matière de cybersécurité sont vertigineux. Maintenant que pouvons-nous faire pour protéger cette industrie sans freiner son activité ?

Sécuriser toute la chaîne

Comme toutes les industries, l’agroalimentaire doit composer avec des enjeux propres : « rester une industrie compétitive, dans un marché globalisé, où l’innovation fait partie du quotidien et où la sécurité alimentaire est la priorité absolue », rappelle Tiphaine Leduc.

Comme toutes les industries, elle est fragilisée par son organisation chaînée. Du producteur au consommateur, s’entrecroisent différents acteurs (de la récolte à la transformation, en passant par la distribution) aux niveaux de cybersécurité variés. Problème : chaque maillon de la chaîne est le garant de sa propre cybersécurité. Si l’un d’eux fait défaut, c’est toute la chaîne qui peut être compromise.

« La supply chain concentre les risques : l’automatisation amène de nouvelles portes d’entrée qui, si elles n’ont pas clairement été identifiées dès le début, peuvent devenir des portes dérobées », souligne encore Robert Wakim. Par la voix de son délégué à la sécurité numérique Île de France, Patrice Bigeard, lors d’un événement organisé par l’éditeur d’antivirus ESET, l’ANSSI a ainsi noté en 2018 une baisse des attaques en direction des OIV et une augmentation des attaques en direction de... leurs prestataires !

Pour remédier à cela, de nombreux contrôles et recommandations ont été mis en place. En 2017, l’AFNOR a publié une mise à jour du « Guide Méthodologique de la Food Defense », en partenariat avec de nombreux acteurs du secteur agroalimentaire, y compris des assureurs. Citons également le « Guide d’hygiène informatique » et les recommandations sur « La cybersécurité des systèmes industriels », édités par l’ANSSI.

Renforcer les protections des postes

Des systèmes de protection sur les postes de travail, les réseaux ou même les données sont indispensables. Pour les OIV, il existe même une obligation de protection spéciale. « La première protection, c’est d’augmenter son hygiène numérique, insiste Robert Wakim. Cela passe notamment par les mises à jour des outils et de bonnes habitudes en interne. Outre le développement d’une culture de la cybersécurité dans l’entreprise, les protections des postes – notamment des postes qui sont exposés à des personnes non internes comme des prestataires – doivent être renforcées. Et bien évidemment, prévoir une protection réseau autour de fonctionnalités telles que la segmentation, le filtrage ou encore le contrôle des commandes… »

Certains acteurs ont décidé de prendre les devants. Cible d’« incidents », stoppés à temps, la coopérative agricole Triskalia a récemment engagé une stratégie préventive de cybersécurité qui concerne l'ensemble de ses collaborateurs, tous ses métiers et ses usines. « Tous les collaborateurs, les agriculteurs adhérents, les fournisseurs et les clients sont sensibilisés », précise Denis Saout, RSSI du groupe coopératif composé de 4 800 collaborateurs.

Car il faut bien garder à l’esprit la problématique générale de la cybersécurité : une attaque passera toujours par le maillon le plus faible. « Il faut augmenter tous les niveaux de sécurité à peu près à la même vitesse, insiste Robert Wakim. Ça ne sert à rien de mettre une porte blindée sur une clôture de champ. La cyberprotection est dans la capacité de renforcer ses défenses de tous les côtés. »

Même si le sujet fâche ou fait peur, les industriels doivent accepter l’idée d’être un jour la cible d’une cyberattaque. Pour Florian Bonnet, « l’étape d’après, c’est de penser sa cyber-résilience, soit la capacité de se remettre d’une attaque pour reprendre son activité le plus vite possible. Cela demande un gros travail de fond d’audit des équipements qui sont en fonction (état, âge, niveau de sécurité interne). C’est partir du principe qu’on sera visé par une attaque un jour et anticiper ses impacts (nul, mineur, majeur ou critique). Une entreprise doit être capable de gérer chacun de ces impacts. Cela ne s’évalue pas en jour de suspension d’activité, mais en pertes chiffrées. »

Et n’oubliez pas d’embarquer tout votre écosystème et d’imposer à vos prestataires d’avoir le même niveau de cybersécurité que le vôtre. Parce que dans une chaîne de protection de cybersécurité, c’est le maillon le plus faible qui sera attaqué le premier.

Partager sur

Parce que tout projet industriel doit intégrer l’anticipation des risques, la chaîne de protection informatique des sites et de leurs infrastructures doit être pensée le plus en amont possible. Découvrez les solutions Stormshield Network Security, développées spécifiquement pour les environnements industriels et répondre à des projets d’interconnexion.
Face à des actions malveillantes, Stormshield Endpoint Security apporte une couche complémentaire de protection pour renforcer la sécurité des serveurs, des postes de travail et des terminaux, via une analyse comportementale sans base de signature.

A propos de l'auteur

mm
Stéphane Prevost
Product Marketing Manager, Stormshield

Après plus de 10 ans à forger son expérience en informatique et en R&D, Stéphane a rejoint Stormshield en mars 2008, en tant que Product Manager. Avec cette double compétence en cybersécurité et marketing produit, il contribue désormais à la promotion des produits Stormshield depuis son poste de Product Marketing Manager. Sa curiosité, sa créativité et son expérience favorisent la vulgarisation et la création de messages percutants autour des produits de sécurité.