29/06/2018

Un état des lieux des cyber-risques

Les cyberattaques, un risque croissant pour le monde industriel

Avec des conséquences financières estimées à 11.7 million de dollars en moyenne, les risques de cyberattaques représentent une des principales difficultés rencontrées par les organisations de nos jours. Si l’on considère notre dépendance croissante aux technologies digitales, que cela soit pour les moyens de production, les infrastructures, ou dans notre vie de tous les jours, l’impact d’attaques malicieuses peut se révéler désastreux. Pourtant, de nombreuses entreprises sont en retard en matière de cyber-sécurité, laissant leur organisation vulnérable aux nombreuses menaces qui les entourent.

Si le risque de cyberattaque existe dès lors qu’un système informatique est utilisé, c’est l’essor d’Internet et de la communication entre les systèmes qui a réellement ouvert la porte aux hackers. En effet, avec la démocratisation des moyens d’attaques, celles-ci deviennent accessibles à n’importe quel informaticien malveillant, qu’elles visent les particuliers, les entreprises ou les institutions.

L’attrait du gain économique et l’accessibilité des attaques séduisent de plus en plus de hackers, preuve est le nombre grandissant d’articles traitant de cyberattaques dans les journaux grand public. Dans le milieu de la production, le risque économique se chiffre en centaines de millions d’euros. Pourtant, les industriels sont encore insuffisamment sensibilisés au problème et tendent à fermer les yeux sur la menace.

Démocratisation des cyberattaques

Nécessitant des compétences pointues ou à défaut, des fonds substantiels, les cyberattaques d’envergure ont longtemps été l’apanage des organisations pourvues de moyens importants – de fait, des organisations étatiques. Dans le monde industriel, la première attaque massive connue remonte à 2009. À l’époque, la prolifération du nucléaire en Iran inquiète le monde occidental. Stuxnet, un ver informatique créé par les services secrets américains et israéliens, s’attaque aux systèmes informatiques des centrifugeuses iraniennes, contrant ainsi leur système d’enrichissement en uranium. Visant les systèmes de contrôle industriels, le ver informatique a infecté plus de 200 000 ordinateurs et causé la dégradation matérielle de milliers de machines, bloquant par la même occasion le programme nucléaire iranien.

Depuis Stuxnet, le monde industriel a dû faire face à une démocratisation des moyens d’attaque, entraînant une fuite en avant des cyber-risques. En effet, dès lors qu’une cyberattaque est perpétrée, celle-ci est la plupart du temps partagée sur le Darknet – un réseau anonyme superposé au réseau Internet traditionnel – et peut ainsi être reproduite à l’infini par des hackers du monde entier. Si le Darknet ne se limite pas aux activités illégales, on y trouve cependant tout un ensemble d’activités et de propositions illégales, jusqu’à la commercialisation de certaines failles informatiques ou de moyens d’attaques cyber…

« Le digital étant de plus en plus utilisé dans les métiers, la surface d’attaque augmente au sein des entreprises. »

Avec le développement du Darknet, on assiste à la dissémination des cyberattaques. Les moyens se diffusent rapidement d’un secteur à l’autre, les hackers réutilisant une méthode déjà éprouvée pour atteindre leur cible. D’autre part, le digital étant de plus en plus utilisé dans les métiers, la surface d’attaque augmente au sein des entreprises. En effet, audelà des systèmes informatiques de gestion, les grands industriels font de plus en plus appel à l’informatique pour contrôler, superviser, échanger des données au plus proche de leurs chaînes de production.

Des cyber-risques aussi variés que dangereux

Les hackers sont généralement animés par l’un de ces deux buts : nuire à leur cible (pour des raisons économiques, politiques ou militaires), ou obtenir un gain financier. La méthode utilisée varie en fonction de l’objectif : ADS (Attaque par Déni de Services, qui consiste à neutraliser un système informatique pour le rendre inopérant), cyberespionnage, cyberfraude, cyberfinance criminelle, cybercambriolage… Douze grandes familles ont ainsi été définies.

Dans le premier cas (les pirates visant à nuire à leur cible), on retrouve notamment des agences étatiques disposant de moyens importants et cherchant à porter atteinte à un pays ennemi. En décembre 2016 par exemple, un piratage informatique visant le réseau électrique ukrainien a provoqué une importante coupure d’électricité dans l’Ouest de l’Ukraine. Le virus s’est introduit dans le système de commande à distance de l’entreprise de distribution d’électricité, coupant le courant des commutateurs et effaçant tous les fichiers de configuration des systèmes de contrôle. Une situation désastreuse pour les individus impactés, privés d’électricité en plein cœur de l’hiver, et un coup dur pour le gouvernement ukrainien.

« Au-delà des coûts, c’est l’image de marque des entreprises qui est impactée négativement. »

Les attaques ayant pour objectif un gain financier peuvent faire tout autant de ravages. Ces dernières années, des cyberattaques de rançonnage ont visé des grandes entreprises dans tous les domaines. Le principe est simple : le virus s’introduit dans différents systèmes informatiques de l’organisation et encrypte les données des ordinateurs. L’entreprise est ainsi paralysée, et ne peut réaccéder à ses données qu’en payant une rançon. L’année dernière, des entreprises et institutions du monde entier ont été ciblées par Cerber Ransomware, un rançongiciel fonctionnant sur ce principe. Rien qu’en France, de grandes entreprises sur différents marchés (grande distribution, fabricants automobiles, transports publics ou industriels) ont été ciblées. Suite à cette cyberattaque, certaines d’entre elles ont  annoncé une perte financière de 300 millions d’euros. D’autres ont vu les connexions de ses usines coupées, entraînant l’arrêt de sa production – et une perte chiffrée à 200 millions d’euros. Au-delà de ces coûts, c’est l’image de marque des entreprises qui est impactée négativement.

Quelle protection pour les industriels ?

« Le risque nul n’existe pas pour les entreprises. Cependant la surveillance constante des signaux faibles peut permettre de déjouer les tentatives de cyberattaques. »

Tout comme les français pensaient être protégés de l’armée allemande par la ligne Maginot, le risque nul n’existe pas pour les entreprises. S’ils disposent de moyens financiers et temporels suffisants, les pirates informatiques trouveront toujours un moyen de contourner les systèmes de protection mis en place. Cependant, la surveillance constante des signaux faibles peut permettre de déjouer les tentatives de cyberattaques.

L’évolution de la menace étant constante, le dispositif de cybersécurité doit être régulièrement mis à jour sous peine de risquer d’être dépassé. La situation est problématique dans le milieu de la production, qui répond à deux priorités : produire, et ne rien modifier tant que le système fonctionne. En effet, changer un élément, c’est prendre le risque d’introduire des effets de bord qui n’avaient pas forcément été anticipés.

Certaines entreprises prennent les devants ou sont tenues par obligation légale de placer la cybersécurité en tête de leurs priorités. C’est le cas notamment des OIV, les Organismes d’Importance Vitale, jouant un rôle prépondérant dans la société. D’autres vivent dans le déni et attendront d’être directement concernées pour se préoccuper réellement de cybersécurité. En moyenne, une entreprise subissant une perte d’un million de dollars investira 43% du montant des préjudices, soit 430 000 dollars, pour sécuriser ses systèmes suite à une cyberattaque.

Chez Assystem, les experts des cyber-risques des systèmes de production interviennent dans tous les secteurs, du milieu industriel ou nucléaire aux entreprises de transports. Pour identifier les failles et contrer les attaques potentielles, la cybersécurité se joue à trois niveaux :

  • La connaissance fine des moyens informatiques de production et de leurs interactions. Ceux-ci ont tendance à être modifiés régulièrement par les équipes pour répondre à l’évolution des besoins de la production, sans réflexion d’ensemble. Résultat, il n’existe pas de cartographie globale des systèmes, et certains contournent les règles de sécurité mises en place dans l’entreprise, rendant vulnérable le réseau informatique dans son ensemble.
  • La mise à jour des architectures de communication. Certains systèmes fonctionnent à partir d’Operating Systems obsolètes et qui ne sont donc plus supportés par le constructeur. Dans ce cas-là, le constructeur ne propose plus de mises à jour pour corriger failles et bugs de l’OS, rendant le système vulnérable aux attaques. Il est donc primordial d’adapter l’architecture de protection pour contrer les risques.
  • Et enfin une approche plus globale de la sécurité. Souvent l’attaque cyber est permise car il y a une faille en amont. Une procédure non respectée, une connexion non autorisée, un passage non prévué. C’est pourquoi nous préférons parler de sécurité globale, intégrant dans le scope de l’analyse la sécurité physique, fonctionnelle et cyber. Ces 3 domaines se complétant pour permettre une approche holistique vis-à-vis du risque.

Face à la multitude et la variété des cyberattaques, certaines entreprises sont tentées de choisir la solution de facilité : « pas vu pas pris ». Cependant, les risques sont grands et la facture peut être salée. Imaginez un instant un virus informatique ciblant un domaine aussi critique que les centrales nucléaires et provoquant un arrêt de tranche. Au-delà de l’impact financier (non négligeable tout de même, 1 million d’euros par jour d’arrêt) et de la complexité de la remise en marche d’une tranche nucléaire, l’image de l’entreprise en serait fortement impactée et la confiance des français définitivement perdue. Alors, mieux ne vaut-il pas prévenir que guérir ?

 

Vincent Boulanger
Publié par :
Vincent Boulanger
VP International Business Development Assystem Connect. Article co-ecrit avec Sylvie Houlière, vice-présidente d’Assystem Connect

Assystem

Quelque chose à dire ?

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.