La cybersécurité des systèmes industriels connectés

Le FBI affirme que plus de 7000 entreprises américaines ont été victimes d’attaques à partir de smartphones qui ont permis de pénétrer le réseau des entreprises ciblées.
Plus que jamais,  arriver à combler rapidement le retard des administrations publiques face aux évolutions des réseaux ou celui des entreprises face aux technologies liées aux objets connectés, est un enjeu majeur.

La multiplication des cyberattaques menées contre des entreprises pourrait représenter un coût de 260 à 340 milliards d’euros par an, selon l’Agence Européenne chargée de la sécurité des réseaux et de l’information.
Pour y faire face, le Parlement Européen a récemment publié une directive sur la sécurité des systèmes d’information dans l’Union Européenne permettant d’adopter une vision commune sur les questions de cybersécurité.

Selon l’étude 2016 réalisé par Tripwire sur la sécurité informatique dans le secteur de l’énergie, du pétrole et du gaz, de plus en plus d’industriels seront victimes des incidents de production et de pannes électriques, comme celle provoquée récemment par une cyberattaque, en Ukraine.
L’État tente de prendre en compte ces nouvelles menaces via la loi de programmation militaire (LPM).
Hélas, elles s’appliquent uniquement aux Opérateurs d’Importance Vitale (OIV) tels qu’ils sont définis dans les articles L1332-1 et 2 du Code de la défense1.
Ceux-ci ont, par ailleurs, été classés en trois grands domaines : Domaine Etatique : Activités Civiles de l’État ; Activités Militaires de l’État ; Activités Judiciaires ; Espace et Recherche ; Domaine de la Protection des Citoyens : Santé ; Gestion de l’Eau ; Alimentation ; Domaine de la Vie Economique et Sociale de la Nation : Energie ; Communication, Electronique, Audiovisuel et Information ; Transports ; Finances ; Industrie.

L’État a répertorié les OVI et a classé la liste « confidentiel défense pour des raisons de sécurité nationale ».
Toutefois, il est possible de souligner que les OVI, dotés de systèmes d’information (SI) connectés (parce que les SI participent à un processus vital de l’opérateur), peuvent être, une organisation publique ou privée, une installation ou un ouvrage d’art.
L’indisponibilité de ceux-ci ou leur destruction par suite d’actes de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement, d’altérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, mais également de mettre en cause la santé ou la vie de la population.

En conséquence, les systèmes d’information automatisés de gestion sont de mieux en mieux sécurisés contre les attaques des pirates informatiques.
Dès lors, ces derniers se tournent vers des opérations de déstabilisation plus accessibles comme les systèmes industriels connectés.
C’est parce que les systèmes automatisés de ces outils industriels sont moins bien protégés qu’ils sont plus faciles d’accès.
Elles sont des proies faciles pour les cybers attaquants qui agissent pour des raisons diverses : activisme, politique, financière, vol de données, sabotage, déstabilisation, action militaire, etc.

Ce que la loi impose

En France, la loi de programmation militaire 2014-2019 contraint les opérateurs d’importance vitale (12 secteurs, 250 entreprises) à :
mettre en œuvre des systèmes qualifiés de détection (centres opérationnels de sécurité, SOC) des événements susceptibles d’affecter la sécurité de leurs systèmes d’information ;
informer sans délai les autorités des incidents affectant le fonctionnement ou la sécurité des systèmes d’information (détectés au moyen de sondes dites « souveraines » accréditées par l’ANSSI[1]) ;
soumettre leurs systèmes d’information à des contrôles – par des prestataires accrédités par l’ANSSI – destinés à vérifier le niveau de sécurité et le respect des règles de sécurité.

En cas d’incident majeur, ils doivent se soumettre aux instructions données par les autorités, telles que la déconnexion du réseau Internet, par exemple.