Les sites industriels vont devoir se mettre à jour rapidement sur la Cybersécurité

Cybersécurité dans les usines : Des sites industriels doivent se mettre à jour

21 oct. 2017 - 2 min

QHSE

Fonctionnant en réseau, les sites industriels sont une cible privilégiée des hackeurs. D’autant plus que les industriels sont encore peu armés face à ces nouveaux risques.

« La sécurité des industries est désormais la priorité des priorités ». En juin, Guillaume Poupard, le directeur de l'Agence nationale de sécurité des systèmes d'information (Anssi), a émis un avertissement très clair. « Mon intuition est que dans les années à venir, le champ des cyberattaques va probablement se déplacer (…) vers le sabotage des systèmes industriels, énergétiques, de transports (…) soit à des fins de conflit entre Etats, soit à des fins de terrorisme ».

Des centrales nucléaires stoppées

Ces dernières années ont en effet été marquées par une succession d’attaques contre des complexes industriels, plus impressionnantes les unes que les autres. En 2010, le virus Stuxnet a provoqué l’arrêt d’un cinquième des centrifugeuses atomiques en Iran. En 2015, selon un rapport de l’opérateur Verizon, des hackeurs ont manipulé la composition chimique de l’eau dans une station d’épuration. En mai dernier, le logiciel WannaCry a chiffré des données industrielles de Renault, n’acceptant de les débloquer qu’en échange du paiement d’une rançon. Arrêt durable de la production, destruction des équipements, prise de contrôle de l’usine, crise sanitaire… les conséquences économiques auraient pu être dévastatrices.

Si les « opérateurs d’importance vitale », ces quelque 200 sociétés considérées comme sensibles en France, doivent mettre en œuvre des dispositifs de sécurité pour se protéger des cyberattaques, les autres entreprises n’ont aucune obligation de le faire. Pourtant, elles sont souvent très vulnérables. « Les industries ont bien souvent intégré le numérique au fil de l’eau et sans stratégie initiale, des systèmes hétérogènes s’interconnectant avec comme soucis majeurs la productivité, l’efficacité et la sûreté – mais rarement la sécurité », indique un rapport de l’Anssi.

L’époque où la combinaison antivirus-firewall suffisait est révolue. Les directions générales doivent mandater un coordinateur SSI et lui donner les moyens financiers, matériels et humains pour renforcer la politique de sécurité de leur industrie.

Maxime GENET, Responsable du service Sûreté de fonctionnement chez Bureau Veritas

Rempart virtuel

« L’époque où la combinaison antivirus-firewall suffisait est révolue, détaille Maxime Genet, responsable du service Sûreté de fonctionnement chez Bureau Veritas. Aujourd’hui, les directions générales doivent mandater un coordinateur SSI et lui donner les moyens financiers, matériels et humains suffisants pour renforcer et définir la politique de sécurité de l’industrie concernée. » Sa première mission sera de mener une analyse de risques afin notamment d’identifier les vulnérabilités du système informatique et d’identifier des actions adaptées pour chaque programme informatique utilisé.

« Avant, la sécurité des systèmes d’information (SSI) couvrait principalement la protection des postes informatiques des salariés et des serveurs d'entreprise, analyse Franck Sadmi, chef de projet Safety & CyberSecurity chez Bureau Veritas. Aujourd’hui, les systèmes industriels sont tout aussi concernés, car les usines sont de plus en plus connectées et seront donc demain toujours plus ouvertes aux .attaques informatiques. C’est donc aujourd’hui qu’il faut commencer à bâtir un rempart virtuel qui nous permettra demain d’éviter le pire. »

Un Guide pour protéger les softwares des usines

Une usine moderne – « 4.0 » - fonctionne aujourd’hui avec des dizaines de softwares. « Ces programmes récoltent les données recueillies des capteurs et contrôlent les différentes commandes dans l’usine, résume Franck Sadmi. Omniprésents, ils sont autant de portes d’entrée pour les pirates. Si ces derniers en prennent le contrôle, ils peuvent, en ajoutant des lignes de codes, modifiant les paramètres, ou envoyant de fausses informations, prendre le contrôle d’un site industriel. » Pour accompagner les développeurs et les industriels, Bureau Veritas a publié un guide technique dédié à la cybersécurité des logiciels. Ce document présente un ensemble d’objectifs de sécurité et de bonnes pratiques à mettre en place en amont, dès la phase de développement des logiciels.

Réalisé en partenariat avec le Pôle « recherche technologique » du CEA, ce manuel accompagne pas à pas le développeur dans l’élaboration du logiciel : choix du langage de programmation, architecture du système, outils d’analyses statiques du code… Dans chaque partie, les ingénieurs de Bureau Veritas et du CEA ont sélectionné les meilleures normes en matière de cybersécurité. Maxime Genet précise que « les directions générales ou les directions des systèmes d’information peuvent également l’utiliser pour spécifier à leurs sous-traitants un cahier des charges portant sur la cybersécurité. » Ce guide technique est téléchargeable gratuitement sur le site de Bureau Veritas.