L'industrie face à la cybermenace : un colosse aux pieds d'argile
Le monde de l'industrie vit à flux tendu. Tout doit aller vite et être simple d'utilisation, la production doit être maintenue sur des horaires fixes et parfois jour et nuit pour certains secteurs spécifiques. Et c'est là que se situe la faille dans laquelle les cybercriminels risquent de s'engouffrer, comme l'explique Bruce Johnson, senior product marketing manager chez Cradlepoint. "Le problème de l'industrie, c'est qu'elle pense utilité avant sécurité, un peu comme le secteur de la santé". Par ailleurs, un autre problème se pose avec l'IT, comme le décrit Jean-Noël de Galzain, fondateur et CEO de Wallix : "L'IT a apporté du positif au monde industriel, une facilitation de certaines tâches, plus de fluidité, mais aussi du négatif. L'IT ne fonctionne pas tout le temps, et en plus il apporte avec lui le risque cyber." Ces deux facteurs créent un terreau fertile pour les cyberattaques.
Les failles cyber de l'industrie
Les objets connectés sont nombreux dans les usines. Les badgeuses sur les portes, les automates des chaines d'assemblage et toutes les machines pouvant être connectées aux réseaux de l'usine. Ces objets sont rarement mis à jour et même certains ne peuvent même pas être mis à jour. Pour des cybercriminels, ces objets connectés sont des portes d'entrée parfaites pour s'infiltrer et lancer une cyberattaque.
Ajoutons à cela le souci posé par les logiciels utilisés pour manager ces objets connectés, souvent peu protégés du piratage car ils n'ont pas été créés en intégrant le risque cyber. Et leurs fabricants ne sortent pas forcément de mises à jour régulières.
Arrive la dernière faille du cyber dans l'industrie, et celle-ci lui est propre. Il faut un véritable savoir-faire pour gérer le bon fonctionnement d'une infrastructure informatique liée à l'environnement industriel. La moindre erreur peut créer une faille de sécurité ou faire buguer le système et bloquer toute la structure.
Heureusement, cette faiblesse est à double tranchant : certes le défenseur doit avoir une bonne connaissance de cet environnement mais c'est aussi le cas pour l'attaquant. Lancer une cyberattaque contre une infrastructure industrielle n'est pas une mince affaire, explique David Grout, CTO EMEA & senior director presales chez Mandiant. "Nous surveillons les activités des cybercriminels, et nous avons découvert que les hackers ciblant le secteur industriel se divisent en groupes bien distincts. Les opportunistes qui arrivent par hasard, souvent via une campagne de phishing chez un membre du secteur de l'industrie, et les professionnels. Ceux-ci sont bien plus dangereux, ils s'entrainent au minimum six mois via des infrastructures qui simulent en tout point les systèmes informatiques d'une usine ou de toute autre structure du monde industriel."
Ces groupes sont rarement autonomes car pour développer un tel savoir-faire, il faut posséder une importante trésorerie et des membres dotés d'une parfaite connaissance du monde industriel. C'est pour cette raison que, régulièrement, ces cybercriminels sont rattachés à un Etat ou à une structure étatique. Comme ce fut le cas avec la cyberattaque ayant touché le réseau électrique indien.
Certes, il peut exister des groupes autonomes mais ces entités, en plus de supporter seules le coût élevé de la préparation d'une attaque, doivent aussi en assumer seules les conséquences. Car une cyberattaque réussie dans le monde industriel est beaucoup plus dévastatrice qu'une cyberattaque classique, souligne Florent Embarek, vice-président south EMEA chez Versa. "Une cyberattaque sur une structure industrielle peut coûter entre plusieurs dizaines et plusieurs centaines de millions d'euros. Il y a aussi le risque qu'un humain puisse être blessé par une machine devenue folle à cause de la cyberattaque."
Une cyberattaque sur une structure industrielle liée au secteur de l'énergie peut aussi impacter la vie de la population civile, comme ce fut le cas lors de l'attaque ayant ciblé le Colonial Pipeline aux Etats-Unis. Face au risque de poursuites venant de la part de structures étatiques américaines de tous types, le groupe de cybercriminels avait fait le choix de s'excuser et avait promis de ne pas rééditer une telle opération. Car à partir du moment où le cybercriminel touche aux organes vitaux d'un Etat, comme l'est le secteur de l'énergie, il passe de la case de simple hacker à celle de terroriste. Et ce ne sont plus les mêmes services qui sont chargés de s'occuper de vous… Face à ce risque, certains groupes de hackers décident tout bonnement de s'interdire d'attaquer une structure industrielle, les risques étant beaucoup trop élevés par rapport aux gains.