« Cyber-attaques : le risque augmente car les installations industrielles sont de plus en plus connectées »

   

François Massé
Responsable de l'unité Quantification des risques et évaluation des barrières à l'Institut national de l’environnement industriel et des risques (Ineris)

   

Actu-Environnement : Quelles sont les menaces existantes en matière de cyber-sécurité des sites industriels ?

François Massé : On parle de cyber-sécurité des installations industrielles dans le sens où des personnes malveillantes vont essayer de s'introduire ou de corrompre le système de conduite d'une installation industrielle ou les systèmes de sécurité pour les risques accidentels. On considère que le risque augmente car les installations sont de plus en connectées (opérations à distance, récupération de données pour la gestion de production, télémaintenance, etc.). On utilise de plus en plus de technologies réseaux venant de l'informatique classique qui, elle, est soumise depuis longtemps à des cyber-attaques. Dans l'ancienne industrie, on avait des systèmes isolés, donc peu communicants, avec peu de personnes qui intervenaient dessus et des réseaux de communication très simples. Les nouvelles technologies, plus connues et plus vulnérables, sont potentiellement plus attaquées.

AE : Les cyber-attaques sont donc en forte croissance ?

FM : Les premières cyber-attaques sur des sites industriels datent du début des années 2000. La première attaque fortement médiatisée est l'attaque Stuxnet de 2011 qui visait les systèmes d'enrichissement d'uranium iranien. Il s'agissait d'une attaque étatique qui avait demandé des moyens très importants. Ces dernières années, des organisations non étatiques, mafieuses ou criminelles, commencent à avoir les moyens d'attaquer des sites industriels en raison de ces évolutions technologiques. Aujourd'hui, on peut avoir des attaques demandant beaucoup de moyens, d'investissements humains et de compétences, et d'autres beaucoup plus simples.

AE : A-t-on des exemples d'attaques en France ?

FM : Les attaques sont relativement courantes mais celles ayant des conséquences matérielles importantes sont moins nombreuses ou ne donnent pas lieu à beaucoup de communication. On peut citer en 2017 les malware Wannacry et NotPetya, des virus qui visaient tous les systèmes informatiques et qui, par rebond, ont touché certains systèmes de gestion dans l'industrie. La conséquence a été le blocage de la production d'un grand nombre d'industries telles que Renault, Saint-Gobain, ou, à l'étranger, des entreprises de logistique et de transport maritime telles que Maersk.

AE : Les secteurs industriels à risque comme le nucléaire ou la chimie sont-ils plus menacés ?

FM : Tous les secteurs industriels sont potentiellement soumis à des attaques. Le nucléaire repose sur des technologies plus anciennes et moins évolutives. On va donc plutôt chercher à faire de l'isolement et de la défense périmétrique. Les sites chimiques, quant à eux, sont beaucoup plus évolutifs avec plus de systèmes numérisés et connectés, donc potentiellement plus de vulnérabilités.

AE : Certaines attaques ont-elles été à l'origine d'accidents industriels ?

FM : Nous avons fait face à des attaques qui ont eu des conséquences physiques sur les systèmes. Il n'y a pas eu de conséquences humaines mais on s'en est approché. En 2017, l'attaque Trisis visait spécifiquement les automates de sécurité industrielle. L'objectif était de provoquer des phénomènes dangereux. En ce début d'année en Floride, une attaque a visé des stations de potabilisation d'eau et a multiplié par 100 la concentration de certains réactifs chimiques. On a également eu des attaques sur des barrages écrêteurs de crue dans l'État de New York qui auraient pu donner lieu à des inondations. Il existe aussi des exemples d'épandage d'eaux usées par des prestataires mécontents qui ont pris la main sur le système profitant des droits d'accès qu'ils détenaient.

AE : Quelles sont les réponses que peuvent apporter les industriels  ?

FM : Il y a différents types de réponses. En France, la loi de programmation militaire impose des mesures aux opérateurs d'importance vitale, mais ils ne représentent qu'une petite partie de l'industrie. Au niveau européen, les opérateurs de services essentiels doivent également mettre en place un certain nombre de mesures. Pour les industries non visées par ces législations, de bonnes pratiques doivent être appliquées pour éviter des arrêts de production et des phénomènes dangereux.

AE : Quelles sont ces mesures ?

FM : Il faut d'abord connaître son système et son réseau en faisant une cartographie. À partir de là, il faut mettre en place des mesures minimales d'hygiène informatique : gestion des privilèges et des droits d'accès, règles de moindre privilège, gestion des différents intervenants, veille sur les vulnérabilités. Ensuite, il faut chercher à savoir s'il est nécessaire d'aller plus loin dans la sécurisation à travers une analyse de risques sur certains équipements ou services. Cette analyse doit permettre de savoir qui est susceptible d'attaquer, d'identifier les systèmes les plus critiques et de chercher à les sécuriser. Pour cela, on va appliquer des règles de ségrégation pour avoir une architecture du système informatique plus facile à défendre. La sécurisation passe par le contrôle des connexions entrantes et sortantes, la suppression des services non nécessaires, la détection des intrusions pas sondes, ainsi que par des plans de reprise et de continuité d'activité.

AE : Les mesures à mettre en œuvre sont-elles seulement techniques ?

FM : Non, il y a aussi des éléments organisationnels et humains. L'humain est prépondérant dans les vulnérabilités d'un système. D'où l'importance de sensibiliser et de former les opérateurs intervenant sur les réseaux afin qu'il puissent répondre aux différents questions qui se posent : Comment traiter un mail suspicieux ? Peut-on utiliser une clé USB ? Dans quelle mesure a-t-on le droit d'intervenir sur un système ? Cela passe aussi par le contrôle de tous les intervenants extérieurs qui font de la maintenance ou de la programmation par exemple.

AE : La formation est-elle ici la seule réponse ?

FM : Non, cela passe aussi par de la contractualisation. L'industriel doit intégrer des clauses relatives à la cyber-sécurité dans les contrats qu'il signe avec ses prestataires. La connaissance et la sensibilisation des industriels sur ces sujets est très variable. Si on veut contractualiser, il faut faire appel à des référentiels de cyber-sécurité. Dans l'industrie, le référentiel qui s'impose, c'est la norme IEC 62443 qui s'adresse à différents types d'intervenants. Mais on peut aussi faire appel à d'autres référentiels nationaux ou européens.

AE : La mise en place de ces mesures de protection impose-t-elle aux entreprises de faire appel à de nouvelles compétences ?

FM : L'évolution de la connaissance des employés en poste n'est pas forcément suffisante car des connaissances techniques assez approfondies sont nécessaires. On rentre dans le domaine de l'informatique et de l'automatisme. Cela demande des connaissances techniques spécifiques sur les réseaux de communication ou les types d'automates. Ce qui est essentiel, c'est d'intégrer le système de contrôle industriel dans le champ d'action du responsable de la sécurité des systèmes d'information. Il y a différentes façons de le faire mais, dans tous les cas, cela demande des connaissances spécifiques.