Face à la menace cyber, les industriels et organismes d’importance vitale doivent muscler la sécurité de leurs infrastructures industrielles. 6 ans après Stuxnet, la règlementation entre enfin en vigueur, mais beaucoup reste à faire.
L’article 22 de la Loi de Programmation Militaire entre en application. Industriels et gestionnaires d’infrastructures concernés doivent désormais appliquer les règles de sécurité édictées avec eux par l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information. La cybersécurité est devenue un véritable enjeu géopolitique. L’attaque de Stuxnet sur le programme nucléaire iranien en 2010 a été un coup de semonce pour tous les industriels et a placé Siemens sur la sellette. Jean-Christophe Mathieu, officier de sécurité chez Siemens France, explique comment Siemens a réagi après cette attaque : “Ce fut une épine dans le pied pour nous, c’est aujourd’hui une force. Nous nous sommes organisés au sein du groupe et la cybersécurité est un sujet qui est traité à tous les niveaux de l’entreprise, jusqu’au comité directeur.” 300 personnes sont désormais exclusivement dédiées à la sécurité dans l’organigramme Siemens, et l’industriel met en conformité ses sites avec la norme internationale IEC 62443. Illustration de cet engagement, Siemens a été le premier à faire certifier par l’ANSSI un automate et un commutateur industriel, devançant en cela son rival Schneider Electric dont les produits sont encore en cours de tests.
Une nouvelle génération de solutions de sécurité arrive sur le marché
Schneider Electric s’est allié à StormShield afin de proposer des pare-feux industriels et avec Thales pour proposer des équipements dotés de diodes, une technologie d’isolation des réseaux d’origine militaire. Autre nouvel acteur, Sentryo, une startup créée en 2014 par les deux anciens dirigeants d’Arkoon Network Security. “En cybersécurité, il faut aujourd’hui adopter une démarche surveillance et détection”, explique Laurent Hausermann, co-fondateur de Sentryo. “Notre solution cartographie l’installation industrielle, établit les flux de données entre ses différentes composantes. L’analyse comportementale permet ensuite de comparer le comportement de référence du système à la situation actuelle et immédiatement signaler une attaque en cours sur un automate”. Yann Bourjault, directeur de cybersécurité Process Automation France de Schneider Electric, souligne l’émergence de cette nouvelle génération d’équipements de sécurité mais pointe le retard pris par les industriels : “Beaucoup de projets d’audit ont été menés, mais il faut maintenant intégrer ces solutions. Or nous manquons de prestataires spécialisés dans la sécurité sur le marché français.”
Partage d’expérience
Patrick Baldit,
DSI du centre CEA de Caradache
« L’attaque de Stuxnet de 2010 qui touchait le nucléaire iranien nous a conduits à réagir immédiatement »
“L’attaque de Stuxnet de 2010 qui touchait le nucléaire iranien nous a conduits à réagir immédiatement, puis nous lancer dans un projet de cartographie de nos systèmes de manière très détaillée. Nous avons monté une plateforme de sécurité des systèmes industriels où nous répliquons à l’identique nos installations industrielles afin de travailler sur leur sécurisation. Aujourd’hui, nous mettons en place un SOC industriel, un SOC où travaillent des automaticiens, des spécialistes réseau, des gens venus de l’IT classique. Il est aujourd’hui devenu indispensable de mélanger ces cultures bien différentes.”