Un risque croissant lié à l’arrivée du numérique dans l’informatique industrielle
Avec la transformation numérique, la sécurité des systèmes industriels est devenue un véritable enjeu. Il faut non seulement assurer la disponibilité des infrastructures et du système d’information (SI) industriel, mais aussi tenir compte de menaces extérieures croissantes comme les intrusions, les attaques de virus, les demandes de rançon ou même le vandalisme. En effet, les systèmes informatiques ouvrent parfois involontairement des brèches dans leur sécurité en s’interconnectant avec des partenaires ou des prestataires – par exemple chargés d’assurer la maintenance à distance. L’impact peut être important : on a vu, en 2017, Saint Gobain être contraint de fermer plusieurs sites, paralysés par l’attaque du ransomware NotPetya. En Allemagne, en 2014, des hackers ont réussi à prendre le contrôle d’un haut fourneau, générant de très importants dégâts sur les installations. Les industriels parlent très peu des attaques dont leur SI est la cible mais une chose est sûre : ces menaces sont une réalité dont l’entreprise doit tenir compte.
Une nouvelle posture à adopter
Virus « commun » introduit involontairement par un collaborateur utilisant une clé USB ou un Smartphone, virus ciblant les entreprises et associé à une demande de rançon, prise de contrôle à distance du SI… Les risques, nombreux, ne concernent pas seulement les nouvelles installations entièrement connectées, il suffit par exemple d’un automate pilotable à distance ou d’un poste connecté pour que le risque soit présent.
Si la prise de conscience est progressive, il s’avère parfois difficile de sensibiliser et de mobiliser l’ensemble des collaborateurs, jusqu’aux opérateurs sur le terrain. Parallèlement, les équipes pilotant l’informatique industrielle sont composées d’experts en automatisme et ingénierie… mais pas forcément en informatique et encore moins en sécurité informatique. Ils analysent le risque en pensant à la panne ou l’indisponibilité du système, et n’ont pas nécessairement en tête le risque d’intrusion sur le système informatique provoquant une panne.
Métiers et DSI, ensemble face au risque Cyber
Il est donc indispensable que les métiers collaborent avec la DSI. Et que celle-ci comprenne les enjeux métiers pour apporter une réponse pertinente en faisa nt appel à un expert en matière de sécurité, éventuellement extérieur à l’entreprise. Orange Cyberdefense est ainsi de plus en plus sollicité pour sécuriser des sites industriels. Les experts en sécurité doivent appréhender les enjeux métiers dans des domaines variés : chaque projet est différent, et la complexité est souvent croissante.
Penser à la sécurité tout au long de la vie du système
Parfois, les experts sécurité sont appelés dès la conception du SI. Mais souvent, c’est lors de la recette du SI industriel que l’entreprise prend conscience du risque et demande un audit.
Toute démarche de sécurisation démarre souvent par la réalisation d’un schéma de l’installation, souvent inexistante ou incomplète. Ensuite, les experts analysent l’existant avec les mesures de sécurité et les vulnérabilités qui peuvent exister. Puis, ils présentent à l’entreprise les différents risques auxquels elle est exposée et lui proposent des solutions chiffrées. À l’entreprise alors de décider, en connaissance de cause, des mesures qu’elle souhaite mettre en place. Néanmoins, veiller à la sécurité en amont est plus efficace et ne génère pas de surcoût. À l’inverse, intégrer a posteriori la sécurité est souvent long et coûteux : l’entreprise devra alors faire des choix et ne traiter que les cas les plus impactants pour son activité.
David Bigot
La passion de la sécurité
Après un début de carrière dans des SSII, comme Solution Leader, puis déjà consultant sécurité, je suis aujourd’hui consultant sécurité pour Orange Cyberdefense. J’interviens en tant qu’expert sur des missions d’audit et de conseil. Je suis également en charge de la formation en cybersécurité industrielle pour sensibiliser les entreprises.
Je me suis particulièrement spécialisé dans les problématiques autour des systèmes industriels et des objets communications (IoT). Je valorise également mes nombreux retours d’expérience en animant des conférences (Automation Club, EXERA…) ou des formations en intra-entreprises chez nos clients. La sécurisation de l’informatique industrielle m’attire particulièrement pour son caractère concret. Nous sommes au plus près du terrain, le risque est matériel, voire humain : c’est particulièrement motivant !