• La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Une du journal La Tribune

Dernière édition

Flèche menu déroulant
Newsletters
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat

Sélectionnez votre région

Logo La Tribune

RECHERCHER

Loupe

LTD
La Tribune Dimanche
Ouvrir dans une nouvelle fenêtre
Air&Cosmos icon
Air&Cosmos
Ouvrir dans une nouvelle fenêtre

À la une
  • Finances publiques
  • Fiscalité
  • Immobilier
  • Consommation
  • Distribution
  • Politique internationale
  • Finances personnelles
  • Banque & assurances
  • Marchés financiers
  • Intelligence artificielle
  • High tech
  • Télécoms
  • Start-up
  • Énergie
  • Politique industrielle
  • Chimie & pharmacie
  • Automobile
  • Mobilités
  • Aéronautique
  • Défense
  • Spatial
  • Environnement
  • Agriculture & agroalimentaire
Idées & débats
Kiosque numériqueNewsletters
La Tribune DimancheLa Tribune AfriqueAir&Cosmos
  • La Tribune Now
  • Votre argent avec Finance Héros
  • Construire les mobilités de demain
  • Fonction Finance 2.0 avec Cegid
  • Transformations durables avec Forvis Mazars
  • Accélérer avec le Cloud par AWS
  • Fisher Investments
  • Au coeur du business
  • VisionAir avec Bpifrance
  • Adaptabilité permanente : Le pouvoir d’agir avec IBM Consulting
  • Succès d'entreprises avec Deloitte
  • L'Œil sur vos Finances
  • Les Rencontres de Roissy Meaux Aéropôle
  • France Travail accompagne le Salon des Maires
  • La CCI Paris Ile-de-France, le réflexe des entrepreneurs
  • #La Tribune Business Interviews
  • #La Tribune Business Dossiers
  • #La Tribune Business TV
  • Instant Sélection
Événements
OpinionsTribunes

Formation et gouvernance, au chevet des systèmes industriels toujours plus vulnérables aux cyberattaques

Doug Wylie

Publié le 26 septembre 2017 à 14:56 - Mis à jour le 26 septembre 2017 à 15:08

Le Quotidien Numérique

18 juillet 2026

Photo d'illustration de l'article
LireS'abonner

Les plus lus

  • 1

    Incendies : Positive Aviation franchit une étape décisive pour transformer un ATR en alternative au Canadair

  • 2

    Moyen-Orient : la guerre du détroit aura bien lieu

  • 3

    Cyclisme : du changement dans la direction de l'équipe de Paul Seixas

  • 4

    Pétrole : le Panama va prendre la main sur un oléoduc, « l'une des infrastructures stratégiques les plus importantes du pays »

  • 5

    Saturation du réseau électrique : 2 500 producteurs d’énergie renouvelable dans l’attente de solutions de raccordement

  • 6

    « L'effort concerne tout le monde » : David Amiel, ministre des Comptes publics, alerte sur le budget

Régions

  • Auvergne-Rhône-Alpes
  • Bourgogne-Franche-Comté
  • Bretagne
  • Centre-Val de Loire
  • Corse
  • Grand Est
  • Hauts-de-France
  • Île-de-France
  • Normandie
  • Nouvelle-Aquitaine
  • Occitanie
  • Pays de la Loire
  • Provence-Alpes-Côte d'Azur

La Tribune +

  • Espace abonné
  • Kiosque numérique
  • Annonces légales
  • Déposer vos annonces légales

Services

  • Supplément
  • La Tribune now

Evénements

  • ACT50
  • Aéroforum
  • AIM
  • Bordeaux Solar Summit
  • Family & Business Forum
  • Forum Europe Afrique
  • Impacts Santé
  • Les Lauréates
  • Paris Air Forum
  • Sommet Aéronautique & Spatial de Bordeaux
  • Sommet Économique de la Corse
  • Tech For Future
  • World News Media Congress
  • Tous nos événements en régions

Pour gérer vos consentements,

Suivez-nous sur les réseaux sociaux

YouTube
LinkedIn
Facebook
Instagram
X

Application mobile

App Store
Google Play

  • Nous Contacter
  • Charte d'indépendance et de déontologie
  • Mentions Légales
  • CGU
  • CGU Pro
  • Gestion des cookies
  • Exercez vos droits
  • Politique de confidentialité

Droits de reproduction et de diffusion réservés @LaTribune

Partenaire digital de confiance - Certification de qualité
  • La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Google icon
Ajouter La Tribune à vos sources préféréesAjouter La Tribune à vos sources préférées
Si les cyberattaques touchent plus les entreprises industrielles, ce n'est pas tant qu'elles sont plus ciblées que les autres, mais surtout parce qu'elles sont plus perméables aux piratages informatiques. Une partie de la réponse vient de ce qu'elles ont été conçues avant l'Internet et fonctionnaient en vase clos. Avec l'avénement de l'IoT, et l'introduction d'une masse d'objets aisément piratables, la menace est en train de changer de dimension. Par Doug Wylie, directeur du secteur de l'industrie et de...

___

INTRODUCTION

« 69% des praticiens en sécurité interrogés et spécialisés dans les systèmes industriels estiment que les menaces qui pèsent sur ces systèmes sont élevées, ou bien graves, voire critiques. Il paraît clair que les entreprises doivent faire preuve d'attention au plus haut niveau pour assurer la sécurité, la fiabilité et l'intégrité de leurs systèmes de contrôle industriel (ou "ICS", Industrial Control System). »

Ce sont avec ces mots que Doug Wylie, directeur du secteur de l'industrie et de l'infrastructure au SANS Institute a fait état des résultats de l'enquête du SANS Institute sur la sécurité des systèmes industriels intitulée « Securing ICS-2017 ». Pour cette nouvelle édition, les résultats montrent que les risques touchant les systèmes industriels continuent de se développer et d'évoluer. Paradoxalement, l'étude note une nette amélioration de la protection des infrastructures. Si le niveau de risque s'explique par une forte mutation des systèmes industriels créatrice de nouvelles vulnérabilités, la formation des personnels et la gouvernance de la sécurité n'y sont pas étrangères.

Les systèmes industriels ne font malheureusement pas exception dans le tableau de chasse des menaces cyber. Ils sont eux aussi frappés par la sophistication des attaques, au premier rang desquels se trouvent les ransomwares. Contrairement à la plupart des systèmes d'information, une attaque sur un système industriel peut causer des dommages tangibles et immédiats tels que des dommages matériels, des pertes de matières premières (eau, gaz, pétrole,..), des pannes ou des comportements de machines anormaux. Dans les cas les plus graves, cela peut aller jusqu'à de la destruction d'équipements, pire encore causer la mort des opérationnels.

Probable recours à l'intelligence artificielle dans un proche avenir

L'automatisation par ailleurs est un facteur qui tend à accroître l'ampleur des dommages. Les dégâts s'accumulent avant que la vigilance humaine n'intervienne. L'intelligence artificielle aura d'ailleurs à l'avenir peut-être cette fonction de détecter les comportements anormaux d'ICS...

Le dernier enseignement à ce sujet tient à ce que la hausse des risques n'est pas tant liée au fait que les industries soient plus ciblées que les autres, mais qu'elles sont surtout plus perméables aux attaques que les autres.

Un défi pour des industries nées avant l'Internet

A l'époque où la plupart des grands systèmes industriels de transport, du nucléaire, de la production d'eau potable ou encore du pétrole et de l'électricité ont été conçus, l'Internet n'existait tout simplement pas. Ces systèmes tournaient parfaitement isolés. C'était sans compter la frénésie de la vie moderne. Les ICS qui relient des ordinateurs à des composants matériels pour surveiller et contrôler les opérations industrielles (par exemple : l'ouverture et la fermeture de vannes) sont désormais de plus en plus connectés.

L'Internet des objets (IoT), nouvelle surface d'attaque

La surveillance et la commande à distance des processus industriels offre sans aucun doute une nouvelle surface d'attaque.

Cette transition de convergence entre les technologies opérationnelles et les technologies de l'information (OT et IT) gomme les distances géographiques, permet un travail en temps réel et donc de la réactivité, des télémesures pour ajuster et permettre une efficience du système, en somme une agilité inégalée. Cependant, les ingénieurs, les techniciens, les administrateurs et les opérateurs des systèmes de commande n'ont, la plupart du temps, pas été accompagnés pour acquérir les nouvelles connaissances nécessaires à cette intégration des technologies de l'information, a fortiori celles de leur gestion et de leur sécurité.

Newsletter

Ma Tribune

L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Illustration de la newsletter Ma Tribune

IoT : des masses d'objets piratables qui cassent les cloisons étanches

Pourtant l'Internet des objets industriels, en plein essor dans les industries 4.0, consiste à mettre en réseau des équipements non informatiques et à les faire communiquer pour qu'ils échangent des données via Internet. Cela en fait donc des objets piratables, cassant des cloisonnements jusqu'alors étanches entre les différents sous-systèmes et donc de grandes portes ouvertes sur l'ensemble du système. Cette nouvelle distribution entre l'opérationnel et l'information devrait être synonyme d'implémentation de règles de base de sécurité, de tests et d'audits. Cela nécessite donc d'abord des connaissances et une formation à la sécurité physique et logique des personnels internes.

Des personnels à former, une gouvernance à concevoir

Malgré la large couverture médiatique des derniers ransomwares, les résultats du SANS nous apprennent que seulement 46% des répondants appliquent régulièrement des correctifs de sécurité. C'est assez révélateur pour des industries où - comme vu plus haut - la culture de la sécurité numérique est quelque peu défaillante. Les personnels en charge des technologies opérationnelles sont néanmoins particulièrement sensibles à l'impératif de haute disponibilité des opérations industrielles, ce qui en fait ainsi des profils ouverts à la gestion du risque. Pourquoi ne maîtrisent-ils donc pas encore les risques d'ordre numérique ?

S'il est incontestable que les industries ont accru leur niveau, elles se sont souvent cantonnées à un angle essentiellement technologique. Si les activités d'ordre bureautiques ont acquis quelques bonnes pratiques en matière de sécurité de l'information, il faut bien reconnaître aussi que, a contrario, dans les activités industrielles, les profils dédiés se font plutôt rares. Un large panel d'industries n'a pas non plus nommé de RSSI industriel (RSSI, pour "responsable de la sécurité des systèmes d'information", Ndlr).

Technos opérationnelles et de l'information : convergence en cours...

La convergence entre technologies opérationnelles (OT) et de l'information (IT), passage quasi obligé pour une industrie 4.0 qui doit - elle aussi - prendre son virage numérique, est en cours. Elle est en train d'éclore à travers de grands projets stratégiques d'ampleur et c'est une nouvelle dimension que l'industrie doit intégrer dans toutes ses constituantes, tant techniques qu'organisationnelles. Or, il faut bien reconnaître que le technique a pris le pas sur l'organisationnel et l'humain. Cela ne va pas encore forcément de soi malgré la rapidité et l'amoncellement des risques chaque fois qu'une idée est testée.

Paralléliser les grandes innovations

Un autre problème vient de la perception des projets de sécurité, vu comme des projets d'ampleur concurrents plus que complémentaires, comme ils devraient l'être. Ne pas paralléliser de grandes innovations avec une préoccupation sécuritaire dès leur conception et leur développement et ce, pendant tout le cycle de vie du projet, c'est assurément prendre le risque de lourds chantiers de mise à niveau ultérieurs particulièrement coûteux voire pire d'un incident majeur.

La prise de conscience des dirigeants, condition sine qua non

Investir au plus tôt dans la formation des personnels, c'est donc prendre le parti d'analyser et de gérer les risques au plus tôt, d'arrêter les procédures en cas d'attaques, de roder les équipes à travailler de concert.

Encore faut-il que les dirigeants prennent conscience des retours sur investissement que ces formations peuvent apporter. Il y a déjà fort à parier que la pression réglementaire va se poursuivre pour pousser tout le tissu économique à veiller à sa sécurité numérique. Mieux vaut donc être prêt, et en faire un avantage concurrentiel.

___
LIRE AUSSI : le rapport complet intitulé Securing Industrial Control Systems-2017 du SANS Institute

ou en suivant ce lien :

https://www.sans.org/reading-room/whitepapers/analyst/securing-industrial-control-systems-2017-37860

Doug Wylie

Sur le même sujet

Lucas Lefebvre

OPINION. « Loi Duplomb 2 : protéger le bio, c’est protéger la santé des Français »

Le 16 juillet, sept députés et sept sénateurs se réuniront en commission mixte paritaire sur le projet de loi d’urgence agricole. Un rendez-vous parlementaire de plus ?

Idées & Débats
Maxime Delbarre

OPINION. « Les yeux de nos adolescents ne devraient pas servir de laboratoire aux tendances TikTok »

Se raser les cils, tester des « astuces vue naturelle », acheter des lunettes de soleil bon marché repérées sur les réseaux : ce qui aurait semblé absurde il y a dix ans est aujourd’hui reproduit quotidiennement par des millions d’adolescents. En tant qu’ophtalmologue, je vois émerger une nouvelle menace pour la santé visuelle des jeunes : la viralité.

Idées & Débats
Didier Chataing et Pierre Vion-Lombard

OPINION. « Hausse du SMIC : le paradoxe qui fragilise les emplois de proximité »

La revalorisation du SMIC au 1er juin répond à une nécessité sociale évidente. Mais le gel concomitant des allègements de cotisations patronales crée un effet pervers pour les secteurs très intensifs en main-d’œuvre. Le gouvernement risque de fragiliser précisément les métiers de proximité dont la France a besoin, à commencer par ceux des services à la personne.

Idées & Débats
Xavier Bézio

OPINION. « Congé de naissance : le choc organisationnel que les entreprises n'ont pas vu venir »

Le 1er juillet 2026, une réforme entre en vigueur. Pas dans le bruit. Dans le silence. Et c'est précisément ce silence qui devrait alerter les directions des ressources humaines.

Idées & Débats
Constance Lorenzi

OPINION. « Transformer sous contrainte : comment les entreprises peuvent-elles encore se réinventer dans une économie d’austérité ? »

La transformation des entreprises a longtemps été portée par une forme d’abondance : argent peu cher, croissance relativement stable, budgets d’innovation confortables, multiplication des projets. Dans ce contexte, beaucoup d’organisations pouvaient absorber des transformations lentes ou imparfaitement exécutées.

Idées & Débats
Sanjay Pulipaka

OPINION. « Souveraineté numérique : l'Europe ne peut plus se contenter de réagir aux ingérences »

Idées & Débats
Sébastien Boussois

OPINION. « Meloni, Takaichi : une nouvelle droite féminine décomplexée au pouvoir »

Pendant des décennies, l’arrivée des femmes aux plus hautes responsabilités a été accompagnée d’une promesse implicite : elles introduiraient une politique plus douce, plus consensuelle, plus horizontale et plus sensible. Comme si l’autorité, la puissance et l’affirmation de l’intérêt national étaient nécessairement des attributs masculins et qu’il fallait desormais tout autre chose pour réussir en politique.

Idées & Débats
Bertrand Piccard

OPINION. « ETS et long-courriers : l’Europe ne doit pas rater l’embarquement »

Alors que la Commission européenne s’apprête à réviser son système d’échange de quotas d’émission (SEQE), l’une des questions importantes qui se posent est de savoir si les vols internationaux doivent rester en dehors du système ou y être enfin intégrés.

Idées & Débats