Cyber-attaques industrielles : comment réduire les risques ?
Renault, Mondelez… À l’heure de l’usine 4.0, toujours plus connectée, le risque de cyber-attaques s’invite dans la sphère industrielle, qui en était jusqu’ici épargnée. Désormais, l’hyperconnexion des réseaux informatiques et industriels rendent la chaîne de production plus vulnérable aux potentiels pirates, avec des conséquences majeures. Si le développement digital reste bien sûr un facteur de performance essentiel aux entreprises du secteur, celles-ci doivent respecter quelques bonnes pratiques pour en bénéficier sereinement. Explications.
Des cyber-risques importants pour l’entreprise et pour le consommateur
« Le champ des cyberattaques va probablement se déplacer vers le sabotage des systèmes industriels, énergétiques, de transports », déclarait déjà en 2017 Guillaume Poupard, directeur de l’Agence nationale de sécurité des systèmes d’information (Anssi).
L’industrie a longtemps été un secteur « low-tech », et donc peu ou pas concerné par les cyber-risques. Mais depuis quelques années, elle rattrape son retard en termes de transformation digitale. « Cobotique » (collaboration hommes-robots), machines intelligentes, opérateurs « augmentés » munis de tablettes, réalité virtuelle, réseaux opérationnels (OT) et informatiques (IT) se confondent : les sites de production rassemblent progressivement des merveilles de technologie ! Avec pour conséquence, une plus grande exposition aux cyber-risques.
Si les premières attaques consistaient surtout à subtiliser des données sensibles ou stopper la production, les risques actuels incluent également le dysfonctionnement des équipements, qui peut affecter la sécurité des personnes aussi bien à l’intérieur de l’usine que chez le consommateur final du produit ! Il s’agit donc d’enjeux très divers – non-qualité, rupture de contrats, pertes financières liées à la désorganisation de la chaîne de production, dégradation d’image, répercussion sur la santé des personnes – qui sont loin de ne concerner que les grandes entreprises. Alors que ces dernières mettent en place des solutions de sécurité toujours plus sophistiquées, les hackers se tournent vers leurs sous-traitants, moins bien équipés et de ce fait plus vulnérables…
Renforcer la sécurité des réseaux industriels
Prévenir vaut mieux que guérir, c’est pourquoi l’époque est à la « security by design ». Il s’agit d’intégrer, dès la conception, une protection adéquate du réseau, des postes de travail et des interfaces hommes-machines : antivirus, firewalls, isolation des flux industriels et informatiques… Il est également important de mettre en place des outils de surveillance et détection automatisées des comportements anormaux et des vulnérabilités. Cela suppose de réaliser une cartographie complète de vos systèmes et de chaque équipement impliqué, qu’il soit connecté ou non. La prévention passe aussi par des audits et des tests réguliers : tests d’intrusion, de sauvegarde des données, du matériel de secours.
Cela dit, de nombreux experts s’accordent à penser que pour toute entreprise aujourd’hui, la question numéro un en matière de cyber-sécurité est simplement de savoir quand et comment l’attaque va survenir. Dans cette optique, votre entreprise doit s’assurer d’être cyber-résiliente :
- en cas de piratage, combien de temps vous est-il nécessaire pour réparer les fichiers, reprendre la production, alerter les partenaires ?
- disposez-vous d’une procédure de continuité d’activité pour faire face à ce risque ?
L’ANSSI propose de bonnes pratiques d’hygiène informatique à destination des entreprises de toutes tailles : homologation et certification, cartographie, gouvernance, détection, gestion de crise, inspections… Et la norme IEC 62443 aborde des aspects de sécurité propres à l’industrie.
Le facteur humain : au cœur de la gestion des cyber-risques
L’humain est le maillon le plus faible dans la chaîne de sécurité informatique. C’est pourquoi il est indispensable de sensibiliser les équipes opérationnelles, qui se sentent parfois moins concernées que les techniciens informatiques, et de répéter régulièrement les messages. Les clés USB, mots de passe et réseaux wi-fi publics sont autant de sujets sur lesquels il est important de diffuser une culture du risque.
Par ailleurs, la sécurité informatique suppose aussi une gestion rigoureuse des droits d’accès de chaque collaborateur – accès aux données sensibles, droits de modification, mot de passe spécifique… – dans une logique du « moindre privilège » : on ne donne accès à une ressource qu’aux seules personnes en ayant un besoin légitime !
Mais ces initiatives ne doivent pas se limiter aux parties prenantes en interne. Alors que l’activité économique n’a jamais été aussi externalisée, chaque entreprise doit désormais se penser comme le maillon d’une chaîne de valeur plus grande qu’elle. Ainsi, vous devez vous assurer que vos prestataires – informatique mais aussi comptabilité ou maintenance – appliquent un cahier des charges adapté à vos besoins de cyber-sécurité. Il faut que vous sachiez précisément lesquels ont accès à votre réseau industriel et avec quels privilèges d’accès. Quant aux clients, il s’agit de renforcer la coopération avec eux. Prenez l’habitude de les informer sur votre politique de cyber-sécurité : faites-en un avantage différenciant pour pérenniser la relation de confiance !