Pour tous les secteurs industriels, la généralisation des connexions IP de leurs systèmes d’information et de production, la professionnalisation des cyberattaquants  représentent des menaces de plus en plus prégnantes. Et les enjeux en cas d’attaque peuvent être colossaux.

Publié le 27 juin 2014, mis à jour le 3 juillet 2015

industrial-security_UNETous les secteurs industriels sont vulnérables affirment les experts. Selon Hervé Guillou, Président du Conseil des Industries de Confiance et de Sécurité, le secteur bancaire est en avance sur les principes de sécurité mais pour la plupart des spécialistes, la finance, au même titre que les secteurs des énergies et réseaux (pétrole, gaz, électricité, eau), des télécoms, de la production manufacturière, des transports doivent concéder les efforts en adéquation avec les risques.

Les règles d’hygiène informatique à respecter selon l’ANSSI

Pour sensibiliser tous les industriels, en France, l’Agence Nationale de la Sécurité des Systèmes d’Information a édité un document sur la sécurité des SI (SSI)* qui concerne un large éventail d’équipements : automates programmables, système de contrôle-commande, capteurs et actionneurs, bus de terrain, logiciels de gestion de production, d’ingénierie et de maintenance, systèmes embarqués. Le document met l’accent sur les principes de la SSI, « pratiquement jamais appliqués » :

  • Sensibilisation des personnels
  • Cartographie des installations et analyse des risques
  • Prévention
  • Surveillances des installations et détection des incidents
  • Traitement des incidents, chaîne d’alerte
  • Veille sur les menaces et vulnérabilités
  • Plan de reprise et de continuité d’activité

Ces principes de base « d’hygiène informatique permettent pourtant d’éliminer 95 % des risques » ont  affirmé les responsables de l’ANSSI*. Mais à condition que les directions générales y allouent les moyens nécessaires, « matériels, financiers, organisationnels et humains».

Comment gérer une attaque informatique ?

Pour Sébastien Héon de Airbus Defence and Space*, les organisations doivent anticiper et se préparer aux attaques pour pouvoir prendre les bonnes décisions dans un contexte particulièrement stressant, ce qui fait défaut dans de nombreux cas a-t-il souligné. Cette préparation permettra de « gérer la situation de façon raisonnée et à la hauteur des enjeux, dans les périmètres réellement concernés ».

Pour cet expert, il est aussi impératif de « mettre en place une cellule de crise et mettre en lien différents profils, évidemment des gens de l’informatique, de la sécurité et aussi des gens des opérations pour mesurer les impacts de la gestion de crise sur le fonctionnement de l’entreprise ».

Un autre élément très important est la communication interne, a ajouté Sébastien Héon, car « les perturbations sur le réseau informatique touchent les tous les utilisateurs ».

En conclusion Sébastien Héon insiste sur le fait que ces réactions ne s’organiseront de manière sereine  « que s’il y a un minimum de préparation sur la gestion opérationnelle d’une attaque et en amont, une sensibilisation des personnels pour leur prise de conscience des enjeux ».

La sécurité face à la complexité du cyberespace

Hervé Guillou, Président du Conseil des Industries de Confiance et de Sécurité a exposé les enjeux de la cybersécurité et a rappelé  les spécificités du cyberespace où par les connexions IP, toutes les couches sont interconnectées « physique (câbles, réseaux sous-marins, liaisons radio ou satellite), informatique (ordinateur, serveurs, logiciel, etc.) et informationnelle (données, applications) et l’informatique générale, industrielle et embarquée ». Un espace global et poreux avec de multiples points d’entrée pour les cyberattaquants,  un espace vital pour « la résilience économique d’un pays, le fonctionnement de ses banques par exemple, l’approvisionnement énergétique » ( ParisTech Review*).

cybersecurity-mapping-web-traffic

* Les références