Protéger la Pérennité des Entreprises Industrielles en déployant une Stratégie de Résilience Cyber
30 % des entreprises industrielles françaises anticipent jusqu'à 100 millions de pertes en cas de cyberattaque. Comment gèrent-elles le risque cyber et leur mise en conformité ?
Alors que le nombre de cyberattaques par rançongiciel avait un peu diminué en 2022, il explose en 2023 rendant la cybermenace plus importante que jamais.
Le Microsoft Digital Defense Report 2023 indique une croissance de 200 % des attaques par ransomware non automatisées depuis septembre 2022 dans le monde. La France reste une cible de choix. Le rapport de Microsoft montre que l’Hexagone est la première victime, au rang mondial, du malware Magniber, par exemple. Toujours dans ce même rapport, Microsoft prévoie une croissance continue des vols de données souvent associées aux attaques par ransomware en double extorsion.
L’augmentation quasi exponentielle du nombre de vulnérabilités (+ 13 % depuis 2022) ainsi que l’amélioration des messages de phishing grâce à l’avènement de l’IA générative vont rendre les attaques encore plus efficaces.
Les entreprises industrielles sont-elles plus à risques que les autres ?
Les cyberattaques représentent une menace grave pour les elles, avec le potentiel de perturber gravement les processus de production et d'entraîner des conséquences financières désastreuses. Le panorama de la cybermenace 2022 de l’ANSSI rapporte qu’une des motivations des attaquants est la déstabilisation volontaire des organisations critiques et des chaines d’approvisionnement vitales dont font parties de nombreuses organisations industrielles.
L'industrie se démarque comme l'un des secteurs les plus vulnérables, comme l'a révélé une étude approfondie menée par CXO Priorities en partenariat avec Quest. La France ne fait pas exception, avec les deux tiers des cadres informatiques supérieurs français du secteur s'attendant à une cyberattaque dans les 12 prochains mois.
De manière générale, à la lumière des résultats de l'enquête, de nombreux défis se posent au secteur industriel français, qu'il faudra relever pour assurer efficacement la sécurité et la pérennité dans les années à venir.
- Plus de 38 % des entreprises industrielles françaises connaîtraient des pertes de revenus comprises entre 20 et 50 millions de dollars si leur Active Directory était compromis pendant 24 heures. 30 % subiraient des pertes allant de 50 à 100 millions de dollars.
- Plus de 60 % des entreprises du secteur estiment que la cybersécurité est importante. Cependant, lors de l'adoption de nouvelles technologies, un tiers des entreprises s'appuient sur les mesures de sécurité existantes sans effectuer d'évaluations supplémentaires pour une optimisation potentielle.
- 84 % des personnes interrogées reconnaissent que le manque de personnel qualifié compromet la cybersécurité au sein de leur entreprise. La perte de compétences du fait de départ à la retraite des experts de technologies anciennes mais toujours critiques comme l’Active Directory ne va pas améliorer ce point. Pour plus de la moitié des personnes interrogées, la cybersécurité un enjeu majeur lors de l’adoption de nouvelles technologies, bien que des préoccupations concernant d’éventuelles pertes de performances existent. Les deux tiers des personnes interrogées craignent que les risques liés à la cybersécurité n'affectent négativement la vitesse à laquelle de nouvelles technologies pourraient être mises en œuvre.
Principaux incidents de sécurité subis dans l’industrie
Les pertes de données peuvent être liées à des cyberattaques mais peuvent aussi être non intentionnelles et liées à des erreurs (mauvais paramétrage, envoi d’informations au mauvais destinataire ...). La majorité des organisations industrielles interrogées dans l’étude CXO Priorities / Quest ont subies des vols d’identifiants ou des compromissions de comptes qui sont, évidemment, une première étape pour un vol de données et la mise en place d’accès persistants entre autres risques.
Une récente étude de One Identity a révélé que neuf organisations sur dix avaient été victimes d'une attaque basée sur l'identité. La conception d’une stratégie Zero Trust associée à une surveillance des indicateurs de compromission (IoC) est une étape indispensable pour se protéger contre une compromission d’identités. La mise en silo des ressources sensibles doit être envisagée le plus rapidement possible si elle n’est pas déjà en cours.
Une analyse de la surface d’attaque encore perfectible
L’identification des vulnérabilités ainsi que la cartographie des chemins d’attaque sont des mesures extrêmement importantes, pour anticiper une éventuelle attaque.
Cependant, malgré les risques, seuls 32 % des organisations industrielles françaises effectuent des analyses mensuelles ou plus fréquentes. 8 % seulement, le font sur une base hebdomadaire.
L’industrie utilise de nombreux systèmes qui lui sont propres. Des technologies OT aux systèmes d’exploitation anciens embarqués dans des machines-outils en passant par les annuaires locaux aux sites de production, les organisations du secteur ont besoin de moyens techniques pour faciliter leur prise en compte dans la stratégie cyber. D’ailleurs, 37 % des organisations industrielles françaises interrogées considère l’alignement de leur organisation avec un Framework de cybersécurité comme une haute priorité et ce, malgré les difficultés budgétaires.
Cyber Résilience et Conformité
Comme évoqué précédemment, les entreprises industrielles sont très souvent impliquées dans la chaine d’approvisionnement nationale critique. La directive européenne NIS 2 sera transcrite en droit français au quatrième trimestre 2024. Son objectif est de protéger les infrastructures et fournisseurs les plus importants en harmonisant les pratiques de sécurité et leurs mesures au niveau européen.
Si NIS 1 concernait principalement des organisations de taille importante, NIS 2 va concerner des entreprises de plus de 50 salariés dans différents secteurs principalement industriels. Pour certaines activités vitales, aucun critère de taille ne viendra limiter l’application de la directive.
De nombreuses organisations vont donc devoir se mettre en conformité en se donnant les moyens de de mettre en œuvre des pratiques de cybersécurité de base (analyse de risques, gestion d’incidents, PRA, sécurisation de leur chaine d’approvisionnement, sensibilisation du personnel, protection des accès et des identités etc.) sous peine de sanctions financières comparables à celles de la GDPR.
En conséquence, les fournisseurs des organisations régulées vont, eux aussi, devoir renforcer leur cyber sécurité.
Les enquêtes, comme celle récemment menée par CXO Priorities et Quest, mettent une fois de plus en évidence le besoin urgent d'agir dans le secteur industriel.