L’avènement de l’industrie du futur ouvre de nouveaux risques en matière de cybersécurité. Qu’elles viennent de concurrents, d’organisations criminelles, voire d’États hostiles, les menaces qui pèsent sur cette industrie hyper connectée sont multiples et réclament une anticipation à tous les niveaux.
Une famille de malwares industriels qui s'agrandit
Des années après Stuxnet, la famille des malwares industriels s'agrandit. Le petit dernier : « Triton ». Aussi appelé « Trisis » ou « HatMan », il est le plus récent de son espèce et marque davantage l’histoire des cyberattaques industrielles. Fin 2017, cette attaque impressionnante était menée contre un site industriel situé au Moyen-Orient, dont l’identité n’a pas été révélée. Même si cette cyberattaque semblerait avoir échoué, elle aurait pu causer de très fortes perturbations opérationnelles de l’installation.
Depuis, les cyberattaques contre des infrastructures industrielles à travers le monde n’ont pas cessé ; leur nombre officiel n’augmentant qu’au rythme des annonces publiques. Au cours du seul mois de décembre 2018, on recensait deux attaques majeures : la première, variante du malware Shamoon, a infecté le système d’information du géant italien du pétrole Saipem ; la seconde a retardé la distribution de plusieurs grands journaux américains, comme le Los Angeles Times. En mars 2019, c’est Norsk Hydro, l'un des plus grands producteurs d'aluminium en Europe, qui a subi à son tour une cyberattaque majeure, imputée à ce jour au ransomware LockerGoga.
Et cette année, rien ne permet de penser que les risques vont diminuer. Bien au contraire. À l’heure de l’industrie du futur, le développement de l'internet industriel des objets (IIoT), de la numérisation des usines, et des technologies d’intelligences artificielles rendent les réseaux industriels (OT) de plus en plus connectés et communicants, notamment vers les réseaux IT (systèmes d’information de l’entreprise) ; cette hyper-connexion les expose toujours plus aux menaces.
La force de la chaîne de cybersécurité est égale à la force de son maillon le plus faible.
L’essor de la communication machine to machine se passant d’intervention humaine, ou encore le développement des jumeaux numériques (des répliques numériques d’un équipement ou d’un système), participent également à l’accroissement des surfaces d’attaque des industriels. Or, il ne faut pas oublier que la force de la chaîne de cybersécurité est égale à la force de son maillon le plus faible. La multiplication des points d’entrée nécessite donc une sécurisation accrue des interconnexions entre ces différents réseaux. Elle devient alors un enjeu stratégique pour protéger efficacement les environnements industriels sensibles.
Faire face aux sources majeures d’attaques contre l’industrie en 2019
Les principales sources d’attaques contre le secteur industriel trouvent leurs origines au sein de trois groupes :
- ses propres acteurs, via le jeu de l’espionnage industriel,
- les cybercriminels à l’origine d’attaques de masse (de type WannaCry),
- les États hostiles, au travers de la cyberwarfare (« cyberguerre » en français).
Les premiers cherchent à obtenir un avantage concurrentiel, les seconds à gagner de l’argent et les derniers à affaiblir le pays dans lequel est attaqué l’industriel.
Face à ses propres concurrents, l’industriel a au moins la possibilité de jouer à armes égales. C’est d’ailleurs parce qu’un industriel-attaquant a généralement une bonne connaissance des équipements utilisés par ses concurrents – les utilisant lui-même – qu’il dispose des informations nécessaires pour mener son entreprise délictueuse.
Le cyber-criminel, lui, ne disposant pas de ces informations ne vise pas une cible mais l’équipement le plus massivement déployé dans le secteur, et qui contient une faille de sécurité (ex. : Windows XP, caméras IP, routeurs…). Avec l’essor de l’IIoT et des équipements numérisés et connectés de l’industrie du futur, la tentation est grande de choisir un nouvel équipement dernier cri. La prudence pourtant est de toujours choisir celui qui assure la meilleure cyber-protection.
Quant à la piste étatique, elle reste la plus difficile à appréhender par les industriels. Devant un agresseur aux moyens financiers et humains généralement bien supérieurs à ceux de sa cible, il est compliqué d’intégrer ce risque statistiquement très faible. Surtout quand les équipes de sûreté et de cybersécurité d’un industriel sont habituées, elles, à classifier et traiter les risques en fonction de leur probabilité à déclencher un incident.
Mettre en place les bonnes procédures
Une fois identifiés les acteurs potentiels de cyberattaques industrielles, leurs motivations et leurs moyens d’action, reste à l’entreprise industrielle à suivre quelques règles de base :
- se mettre en situation de penser que cela n’arrive pas qu’aux autres,
- savoir que tout système est faillible, et que cette faillibilité ne cesse de croître avec le temps,
- réaliser une cartographie de ses équipements et des moyens de communication entre eux,
- former et sensibiliser tous les collaborateurs, sans exception, à tous les types de cyberattaques, afin d’en faire d’éventuels lanceurs d’alerte,
- identifier les zones critiques et les scénarios d’attaques possibles,
- mettre en place des procédures de réaction aux attaques identifiées,
- se mettre en conformité avec les différentes réglementations (LPM, NIS, NIS2…), ou dans le cas où elle ne s’applique pas directement, en prendre connaissance et de le prendre comme un guide de bonnes pratiques.
Enfin, l’idéal est de former une entité de cyber sûreté regroupant, au sein d’une même équipe, des experts de la sûreté et des experts de la cybersécurité. L’entreprise dispose ainsi de la connaissance opérationnelle et de la connaissance des malveillances et de leurs risques associés. Cybersécurité et réseaux opérationnels : (enfin) vers une prise en compte du risque au niveau de l'industrie du futur ?
