Le secteur industriel face aux cyberattaques

 |   |  1229  mots
Les besoins en recrutement de la filière numérique devraient progresser de 10,5% cette année selon Thierry Jardin. Reuters.
"Les besoins en recrutement de la filière numérique devraient progresser de 10,5% cette année selon Thierry Jardin. Reuters. (Crédits : DR)
Les industries sont surexposées aux attaques des hackers. Mieux protéger ses données sur Internet représente un travail de longue haleine. Par Thierry Jardin, directeur des activités sécurité et gestion des risques chez CGI Business Consulting

Nicolas J. est un jeune homme heureux. A 24 ans, tout juste sorti d'une grande école, il gagne déjà confortablement sa vie. Avant même d'être diplômé, il avait reçu quatre propositions d'embauche. La morosité du marché de l'emploi des cadres* ne le concerne pas.

Travaille-t-il dans la finance ? Non, il fait partie de la filière du numérique dont les besoins en recrutement devraient progresser de 10,5% cette année. Un chiffre qui masque toutefois des besoins encore plus criants dans des domaines tels que la sécurité des systèmes d'information, où notre ingénieur en informatique exerce ses talents. Car l'entreprise étendue, devenue virtuelle, se caractérise par la dispersion de ses données dont le volume explose de manière exponentielle avec le Big Data. Dans ce contexte, protéger ce patrimoine s'avère être une tâche de plus en plus complexe.

Les cyberattaques ont coûté 300 milliards d'euros

Subissant la double poussée d'Internet et de la mobilité, les Etats et les entreprises ouvrent grand leurs systèmes d'information, les uns à leurs citoyens, administrés et contribuables, les autres à leurs fournisseurs, clients, salariés... C'est bon pour la démocratie, les finances publiques et le développement des entreprises.

Mais, au fur et à mesure de cette ouverture, qui a d'abord porté sur les systèmes d'information de gestion, sont apparues des menaces, toujours plus sophistiquées : cybercriminalité et espionnage industriel. Dans son "Panorama de la Cybercriminalité pour l'année 2013", le Clusif, citant un autre rapport**, fait état d'un coût global des cyberattaques estimé à 300 milliards d'euros pour les entreprises en 2013. Soit l'équivalent du produit net annuel des impôts perçus par l'Etat français l'année dernière.

Aussi impressionnants qu'ils soient, les préjudices financiers et d'image ne sont toutefois pas comparables aux défaillances des systèmes d'information eux-mêmes, qui, suite à des attaques ou des défauts de conception et de maintenance des entreprises ou de leurs prestataires, peuvent avoir des conséquences beaucoup plus graves. Nous parlons plus particulièrement des systèmes d'information industriels et des systèmes embarqués, qui truffent nos usines, nos systèmes de gestion d'électricité et d'eau, les trains ou les avions.

Des systèmes industriels interconnectés

Le problème de ces systèmes, outre leur conception souvent vieillissante, est qu'ils fonctionnaient auparavant en circuits fermés : ils n'étaient donc pas aisément accessibles de l'extérieur. Aujourd'hui, les organisations rationalisent leurs coûts : Internet est préféré à des infrastructures de communication dédiées - plus chères - et la téléopération est privilégiée à des salariés autrefois nécessaires à l'exploitation et à la maintenance des sites de production.

Résultat : il est aujourd'hui possible, depuis l'extérieur, d'infiltrer le réseau d'information industriel ! Les hackers et autres cybercriminels n'en demandaient pas tant. Ils pourraient à présent bloquer la sortie d'un médicament en attaquant le système de traçabilité des lots, créer de fausses alertes à la pollution de l'eau, couper la distribution d'électricité ou modifier le logiciel embarqué des avions de nouvelle génération…

La nécessité commerciale d'apporter de nouveaux services aux consommateurs a amené par ailleurs nombre de grandes entreprises à interconnecter leurs systèmes industriels avec leurs systèmes de gestion et ce, alors que ces derniers étaient déjà très exposés aux cyberattaques. Par exemple, certains fournisseurs d'énergie ont procédé de cette façon lors de la mise en place des compteurs intelligents. Ce faisant, ils ont rendu accessibles aux cyberattaques les réseaux de gaz et d'électricité.

Réviser les systèmes d'information industriels

Nous imaginons sans peine les dégâts d'une intrusion dans un réseau d'électricité. Des pannes électriques pourraient par exemple conduire à des pillages au bout de deux heures et donc in fine, générer des troubles à l'ordre public. Autre exemple, dans l'aviation civile : les consommateurs veulent pouvoir être connectés pendant leur vol et réclament à présent le wi-fi dans les avions. Imaginez ce qui pourrait se passer si le PC d'un passager se connecte, via le wi-fi, au système d'information de l'avion ?

La vulnérabilité des systèmes d'information industriels et embarqués nécessite donc une révision en profondeur de toutes les analyses des risques les concernant et ce, sous l'angle de la malveillance et des attaques « logiques », et non plus seulement sur le plan des pannes physiques, ainsi que la mise en place de mesures de sécurité déjà en vigueur dans les systèmes de gestion. L'Etat***, à travers l'Agence nationale de la sécurité des systèmes d'information (ANSSI), s'est saisi de ce problème. Cette dernière a publié une série de documents afin de sécuriser les nouveaux systèmes d'information industriels.

En outre, l'ANSSI a été dotée de prérogatives nouvelles : elle pourra imposer aux « Opérateurs d'Importance Vitale » des mesures de sécurité et des contrôles de leurs systèmes d'information les plus critiques. Ces opérateurs devront également déclarer les incidents constatés sur leurs systèmes d'information. Ces mesures vont évidemment dans le bon sens mais ne concernent pas les systèmes déjà en place depuis 10 ou 15 ans qui eux, n'ont pas été conçus dans une optique d'ouverture et sont à l'heure actuelle les plus nombreux et les plus disparates.

Retard de l'industrie dans la lutte contre les cyberattaques

Toutes les entreprises qui possèdent des systèmes d'information industriels vont donc devoir réviser leurs analyses de risques, prendre les mesures techniques et surtout, sensibiliser leurs salariés alors même que ce type d'action est généralement le parent pauvre de la sécurité informatique.

Le monde industriel part de très loin dans ce domaine et doit gagner en maturité. Heureusement, malgré la sacro-sainte rationalisation des coûts, les dirigeants des grands groupes ont pris conscience de la dangerosité de cette situation à l'ère de la cyberguerre et mettent en place des moyens pour mieux protéger les systèmes d'information de leurs sites de production. Une démarche qui va également s'étendre aux sous-traitants. La volonté et les fonds existent, on pourrait donc penser que l'affaire est bien engagée. Reste juste un "petit" problème : les compétences disponibles pour pouvoir mener à bien ces missions complexes qui s'inscrivent dans la durée.

Le seul mot qui décrit la situation actuelle en matière de ressources est "pénurie". Ce qui nous rend encore plus vulnérables puisque des projets qui doivent être menés risquent de ne pas l'être faute de compétences en nombre suffisant. Tous les acteurs du marché vont donc continuer à courir après Nicolas J. qui, décidément, n'a aucun souci à se faire pour son avenir.

____

*Etude Apec menée en novembre 2013 et citée dans l'article des Echos du 14 février 2014 : « Nouvelle année morose en vue pour le marché de l'emploi des cadres »

**Rapport McAfee/CSIS

***Promulguée le 18 décembre 2013, la loi de programmation militaire fait suite aux orientations fixées par le Livre blanc sur la défense et la sécurité nationale 2013. Son article 22 prévoit l'adoption de mesures de renforcement de la sécurité des opérateurs d'importance vitale.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :