Risques cyber-industriels : face à une menace croissante, un manque de réglementation

Le constat est unanime, pouvait-on constater aux Rendez-vous majeurs de mai 2021 : le risque cyber se multiplie. "On voit clairement une prolifération des outils d’attaque informatique", explique Sylvie Andraud, coordinatrice sectorielle à l’Anssi (agence nationale de sécurité de système d’information). Des outils, des attaquants de plus en plus nombreux et professionnels, mais aussi "une augmentation de la surface d’exposition aux attaques", car, illustre-t-elle, "on numérise, on externalise, on développe les interventions à distance, on intègre des systèmes d’information dans les automates…".

HSE

Hygiène, sécurité et environnement (HSE) est un domaine d’expertise ayant pour vocation le contrôle et la prévention des risques professionnels ainsi que la prise en compte des impacts sur l’environnement de l’activité humaine. L’HSE se divise donc en deux grands domaines : l’hygiène et la sécurité au travail (autrement appelées Santé, Sécurité au travail ou SST) et l’environnement. 

Découvrir tous les contenus liés

Tandis que la menace prolifère, les sites industriels se révèlent vulnérables. Dans un article paru dans Silicon.fr en 2017, le manager en gestion des risques et sécurité du cabinet de conseil Wavestone Gérôme Billois remarquait que les entreprises pouvaient ne pas appliquer les mises à jour de leurs systèmes d’exploitation, de peur de se heurter à une incompatibilité avec leurs logiciels métiers. "Les systèmes industriels n’ont pas été conçus pour faire face aux menaces cyber", remarque Sylvie Andraud. François Massé, ingénieur sûreté à l’Ineris, ajoute que les systèmes informatiques des automates sont conçus pour durer longtemps, au minimum une dizaine d’années. "Reconcevoir un système coûte cher. Quant au lancement de mises à jour, ce sont des procédures longues et compliquées", souligne-t-il.

Loi Energies renouvelables : 10 mesures pour les entreprises

Je télécharge gratuitement

Concrètement, comment se passe une attaque ? "Tout d’abord, le cyberattaquant va essayer de reconnaître sa cible, c’est la reconnaissance, détaille Sylvie Andraud. Ensuite il va tenter d’entrer dans le système d’information de sa victime. Très souvent, c’est le courriel piégé". Avant de s’étendre,  d’établir un canal de communication et de réaliser son objectif – généralement chiffrement ou exfiltration d’informations.

"Le plus souvent les attaques externes sur des installations industrielles sont à finalité pécuniaire", remarque François Massé, de l’Ineris. Des "rançongiciels" chiffrent le système d’exploitation et renvoient vers une demande de rançon en échange du déchiffrement. Les attaques mondiales Wannacry et NotPetya de 2017, qui utilisaient ainsi une faille de versions antérieures à Windows 10, ont ainsi notamment touché des sites industriels – par exemple chez Renault ou Saint-Gobain en France, mais aussi chez le groupe pétrolier russe Rosneft. "Bien que leur visée soit pécuniaire, ces attaques peuvent conduire à une perte de contrôle de l’exploitation, et donc in fine à un phénomène dangereux", alerte François Massé.

"Une autre menace dont on parle beaucoup moins, c’est l’espionnage, qui est beaucoup plus furtif",  considère Sylvie Andraud. Enfin, certaines attaques à visée géopolitique sabotent des installations et risquent donc d’entraîner des accidents industriels. Le premier exemple connu de ce type d’attaque s’appelle Stuxnet, un malware découvert en 2010 et qui aurait été conçu par les États-Unis et Israël pour s’attaquer aux centrifugeuses iraniennes d’enrichissement d’uranium. Le malware Trisis a quant à lui été mis à jour en 2017 ; il cible les automates de sécurité de la gamme Triconex du constructeur Schneider Electric. Tout récemment, en mai 2021, un logiciel malveillant lancé par le groupe de piratage DarkSide a paralysé le réseau du Colonial Pipeline – un système d’oléoduc américain.

En France, côté réglementation, les articles L.1332-6-1 et suivants du code de la défense introduits en 2013 obligent les opérateurs d’importance vitale (OIV) – c’est-à-dire les organisations identifiées par l’État comme ayant des activités indispensables à la survie de la nation – à se conformer à des règles de sécurité et à soumettre leur installation à des contrôles de l’Anssi.

Dans le prolongement, la directive sur la sécurité des réseaux et des SI de 2016, transposée via un décret en 2018, impose des règles cyber aux opérateurs de services essentiels (OSE, tributaires des réseaux informatiques ou de systèmes d’information). "Un grand nombre d’ICPE et d’installations Seveso ne sont couvertes ni par la réglementation sur les OIV ni sur celle des OSE, et sont donc à ce titre moins bien protégées", pointe toutefois François Massé, de l’Ineris. Sans encadrement, la sécurité informatique de nombreuses usines dépend donc uniquement des bonnes pratiques des firmes concernées.