La transformation numérique de l’industrie a, notamment, servi à perfectionner certains processus, optimiser les chaînes d’approvisionnement et répondre plus rapidement aux demandes du marché. Plus agile, l’industrie française s’est adaptée aux nouveaux défis du secteur grâce à ces solutions.
Revers de la médaille, les risques de cyberattaques ont, quant à eux, augmenté : « En connectant des objets qui ne l’étaient pas ou peu, on étend la surface d’exposition aux attaques. Certains composants informatiques peuvent intégrer plus de vulnérabilités, avec de plus en plus d’appareils connectés à distance » explique Benjamin Leroux, Directeur Marketing chez Advens.
Selon Benjamin Leroux, il existe deux points d’entrée pour les cyberattaques en milieu industriel :
- Les attaques via l’informatique traditionnel (IT – Information Technology). Dans ce cas, l’attaquant peut s’infiltrer via un ordinateur classique, une borne Wi-Fi, un photocopieur…Ce lui-même utilisé pour se connecter à une machine ou à un ordinateur industriel. « La faille peut se trouver n’importe où dans l’entreprise : ordinateur de comptabilité, de RH… et peut avoir des effets directs sur le système industriel »
- Les attaques via le système industriel (OT – Operational Technology).Dans ce cas, l’attaquant va s’infiltrer directement dans l’informatique industriel : automates, machines, robots…
Dans les deux cas, l’impact sur l’industrie peut être très important : ralentissement, voire arrêt des machines, vol des procédés ou de la propriété industrielle… « Les cyberattaques peuvent même modifier le fonctionnement d’une machine pour fabriquer un produit de moins bonne qualité ou non conforme, dans l’agroalimentaire par exemple. »
Ces attaques peuvent être motivées par différents objectifs. Parmi les plus répandues, le rançongiciel repose sur l’appât du gain. En bloquant l’accès à l’ordinateur ou à ses fichiers, l’attaquant réclame le paiement d’une rançon pour en obtenir de nouveau l’accès. « Ces attaques sont généralement très médiatisées car elles sont visibles et peuvent paralyser toute l’organisation. Il existe, cependant, des attaques bien plus ciblées qui s’infiltrent dans le système d’information et peuvent y rester pendant des mois. Certaines permettent, par exemple, aux attaquants de récupérer des informations, comme des procédés industriels, sans que personne ne s’en rende compte » précise Benjamin Leroux.
Ces attaques ont un potentiel tout aussi destructeur que les rançongiciels.
Davantage ciblées, chirurgicales et plus discrètes, elles témoignent d’une volonté de nuire à l’entreprise ou à son pays d’implantation. Dans ce cas, les industries se retrouvent plus régulièrement visées, avec des impacts plus conséquents sur l’économie ou la population : espionnage industriel, cyberterrorisme, intérêts politiques ou géopolitiques, intelligence économique…
Mais qu’il s’agisse de rançongiciel ou de vol de données, les entreprises de toutes tailles sont visées par les attaques : grands groupes, ETI, mais aussi PME ou TPE : « Les petites entreprises n’ont souvent pas conscience du risque et sont, la plupart du temps, moins bien loties en matière de cybersécurité. »
Contrairement aux systèmes informatiques « traditionnels », les systèmes industriels possèdent des contraintes particulières à prendre en considération lorsque l’on parle de cybersécurité. Elles concernent le cycle de vie des appareils, les difficultés de redémarrage ou encore le coût d’installation par machine. « Il est impossible d’éteindre une chaîne de production ou un fourneau tous les jours pour effectuer une mise à jour. Les solutions de sécurité proposées doivent être pérennes, car la durée de vie d’un système industriel est bien plus longue que celle d’un ordinateur classique, par exemple » explique l’expert en cybersécurité. Proposant auparavant des offres peu adaptées à ces contraintes, les sociétés de cybersécurité se sont désormais conformées à cette réalité et fournissent aujourd’hui des solutions spécifiques aux entreprises industrielles.
La législation est un autre point clé pour l’adaptation de l’industrie. Aujourd’hui, de nouvelles normes de cybersécurité émergent via la réglementation qui s’intensifie et va concerner de plus en plus d’entreprises. Transposée en droit français en octobre 2024, la seconde directive « Sécurité des Réseaux et Communication » dite directive NIS 2, exige la mise en place d’un niveau élevé de sécurité des réseaux d’information commun à tous les pays de l’Union européenne. En élargissant les secteurs d’activité et la taille des entreprises concernées, cette nouvelle directive concernera plus de 15 000 entreprises françaises.
Toujours au niveau européen, la loi sur la cyber-résilience introduit des exigences obligatoires en matière de cybersécurité pour les produits matériels et logiciels, tout au long de leur cycle de vie. Pour les entreprises qui souhaitent structurer leur démarche, certaines normes apportent également un cadre comme la norme IEC 62 443 pour la cybersécurité des systèmes de contrôle industriel ou encore la norme ISO 27 000 qui fournit une vision d’ensemble de la cybersécurité pour tous les types d’entreprise. En bref, si elle ne vient pas d’un facteur interne (prise de conscience, crainte de la cyberattaque, exigence des clients), la cybersécurité est en train de s’imposer progressivement pour les industries.
Pour Benjamin Leroux, les industries doivent avant tout prendre conscience des risques qui pèsent sur elles : « Très souvent, les entreprises ne pensent pas être la cible d’attaques et ne s’inquiètent pas de leur cybersécurité. Pourtant, il s’agit d’un risque réel qui doit être traité au même niveau que les risques d’augmentation des prix de l’énergie ou du coût des matières premières. »
La mise en place d’une politique de cybersécurité est une première étape primordiale. Il est essentiel de sensibiliser les collaborateurs aux règles de sécurité élémentaires, comme verrouiller son poste de travail après chaque session, ne pas utiliser le même mot de passe partout ou encore ne pas noter les mots de passe sur des post-it. « Encore trop d’entreprises font ces erreurs-là » pointe Benjamin Leroux.
Plus spécifiquement liée au domaine industriel, la question de l’accès à l’environnement OT se pose également : est-il accessible uniquement depuis l’usine ? depuis les bureaux ? les sous-traitants et fournisseurs ont-ils un accès spécifique ? Chaque accès, même strict, constitue une porte d’entrée pour les potentiels attaquants qu’il est nécessaire de surveiller, voire de limiter.
La question de la mise en place des moyens de sécurisation de l’entreprise est, bien entendu, garante de la fiabilité de la sécurisation. Ils doivent être proportionnés à la taille de la société et aux risques encourus. De manière générale, ils intègrent un ensemble de mesures techniques (logiciel, matériel, service de sécurité) et organisationnelles, avec la mise en place de formations et de sensibilisation à ce sujet. « La sécurité est un ensemble de mesures, il faut avoir une vision à 360 ° tout en restant cohérent. Tout comme la protection d’une habitation, on ne peut pas tout miser sur une seule porte d’entrée. »
Avant de mettre en place ces moyens, il est essentiel de mener une réflexion approfondie sur les besoins de l’entreprise. L’audit est la première étape pour identifier les risques et les points faibles en matière de cybersécurité. Par la suite, établir une feuille de route permet d’implanter des mesures préventives afin de se préparer à une attaque. Elles peuvent, par exemple, concerner l’installation d’un service externalisé de surveillance ou la mise en place de tests d’intrusion qui garantiront une sécurité optimale.
« Il faut agir sans attendre, car les risques sont présents. L’arrivée de la NIS 2 ne concerne pour l’instant qu’une partie des entreprises du secteur industriel, mais le risque est pourtant bien réel pour les PME et les TPE. »
