Accueil Cybersécurité Industrielle, que doit-on craindre ?

Cybersécurité Industrielle, que doit-on craindre ?

Qu’on les appellent Industries 4.0, Smart Grids ou Bâtiments Intelligents, tous les secteurs industriels construisent aujourd’hui leurs usines du futur. Plus qu’une révolution, c’est une évolution, car depuis plusieurs années, des systèmes numériques contrôlent des environnements critiques. Quel serait l’impact une cyberattaque visant précisément ces systèmes industriels ? Perte d’exploitation, désorganisation de l’Etat Nation, risques mortels pour des individus sont aujourd’hui à portée de clics pour les acteurs malveillants. Tour d’horizon de ces impacts.

L’industrie, comme tous les autres secteurs économiques, doit réussir sa transformation digitale : plus de technologies numériques pour plus de services personnalisés et de meilleure qualité.
Les initiatives tournées vers le numérique sont multiples dans l’industrie. L’usine du futur se construit en utilisant le Big Data et en intégrant verticalement tous les composants. Les professionnels du bâtiment se tournent résolument vers les bâtiments intelligents et les Smart Cities pour augmenter le niveau de service fourni aux usagers. Le secteur de l’énergie cherche des solutions aux enjeux environnementaux et de veut rendre notre production, distribution et consommation d’électricité et de gaz plus intelligents au travers des réseaux et des compteurs intelligents. Les enjeux sont multiples : redynamiser l’économie européene, stopper le réchauffement climatique ou encore doper l’innovation.

Cette évolution est en marche depuis plusieurs années. Elle s’accélère et passe par un usage massif de systèmes de contrôle numérique. Ces derniers sont aujourd’hui présents au coeur même des procédés industriels qui contrôlent notre monde réel.

Malheureusement, ce nécessaire renouveau pourrait être anéanti par le risque cyber. De nombreuses études ont démontré sa dangerosité. La dernière en date a été publiée en Septembre par le think tank britannique Chatham House. En particulier, elle se concentre sur le secteur nucléaire et montre combien certaines centrales, de part le monde, sont vulnérables. Cette étude pointe aussi du doigt l’absence de culture de la cybersécurité dans l’industrie et le manque criant de budgets dédiés à cette problématique au niveau mondial.

Pour mesurer l’impact que pourrait avoir une cyber-attaque sur un système industriel, analysons en détail trois secteurs : l’industrie manufacturière, les infrastructures de transport et la la production d’énergie.

Tout d’abord, l’industrie manufacturière manipule des matières brutes, les transforme et génère des produits finis. Un criminel pourrait chercher à réaliser une extorsion de fonds auprès d’un industriel par le biais d’un chantage. En effet, les cuves remplies de produits chimiques transformés valent chacunes plusieurs dizaines de milliers d’euros. Le criminel introduit dans le système pourrait décider de mélanger, et ainsi corrompre, ou de vider tout simplement la cuve. L’impact serait alors une perte d’exploitation massive. Elle se répéterait tant qu’une rançon ne serait pas payée. Dans le milieu de l’entreprise, on a déjà vu des entreprises payer des maîtres chanteurs qui avaient chiffré leurs ordinateurs portables.

Dans le secteur des transports, l’impact est lié à la disponibilité des infrastructures. Imaginez un tunnel routier au coeur d’une ville. Il est contrôlé par un système SCADA. Si un groupuscule aux sombres motivations, prenait le contrôle du SCADA et coupait la ventilation, l’éclairage du tunnel et en changeait les feux régulant le sens de la circulation, il provoquerait à coup sûr une immense pagaille !

En 2006, des salariés mécontents de la ville de Los Angeles ont réussi à causer plusieurs jours de bouchons routiers en ayant uniquement modifié le programme de quatre feux tricolores. Ils ont reconnu s’être connectés depuis leur domicile durant une grève au réseau municipal. La disponibilité des routes, tunnels, ports, gares ou aéroports est essentielle à notre vie de tous les jours. Leur réseaux industriels sont critiques.

Enfin, les impacts les plus évidents sont liés à la dangerosité de certaines installations dans le domaine de l’énergie. Les industriels y manipulent des produits hautement réactifs ou inflammables qui peuvent exploser et provoquer des blessures graves ou causer la mort. Nous vivons tous à côté d’installations Seveso, de centrales nucléaires, de stockage de gaz. Désormais, un terroriste cherchant à provoquer un chaos colossal se tournera sûrement vers les réseaux industriels. Le FBI déclarait il y a peu que DAECH avait cherché à pirater le réseau électrique américain. A priori, ses capacités techniques sont aujourd’hui réduites et insuffisantes pour réussir une telle attaque, mais il est évident que l’impact serait catastrophique et provoquerait des milliers de morts.

Face à tous ces risques, faut-il stopper la transition digitale de l’industrie européenne ?

Non, bien sûr ! Mais des mesures doivent être prises. La cybersécurité doit désormais s’intégrer à l’ensemble des processus industriels. Elle doit être prise en compte dès la conception des systèmes. Plus urgent encore, les industriels eux-mêmes doivent entrer dans une posture de prévention et de surveillance : sortir du “ça ne peut pas m’arriver”, ne plus se croire protégés et surtout veiller à la sécurité de leurs installations. Cela est impératif pour la pérennité de leurs entreprises et la vie de leurs clients.

Laurent Hausermann – Co Founder de Sentryo

Sources

Chatham House, Cyber Security at Civil Nuclear Facilities: Understanding the Risks, https://www.chathamhouse.org/publication/cyber-security-civil-nuclear-facilities-understanding-risks
Gimelec, Industrie 4.0 : les leviers de la transformation, http://www.gimelec.fr/Actualites/Actualites-Gimelec/Le-Gimelec-publie-Industrie-4.0-les-leviers-de-la-transformation
Naked Security, Sophos, Cryptolocker surfaces in fake UK Royal Mail emails, many victims willing to pay, https://blogs.sophos.com/2014/03/03/cryptolocker-surfaces-in-fake-uk-royal-mail-emails-many-victims-willing-to-pay/
Motherboard, How LA’s Traffic System Got Hijacked, http://motherboard.vice.com/read/how-las-traffic-system-got-hacked
CNN, ISIS is attacking the U.S. energy grid (and faiiling) http://money.cnn.com/2015/10/15/technology/isis-energy-grid