Abonnez-vous Identifiez-vous

Identifiez-vous

Vos codes d'accès sont erronés, Veuillez les saisir à nouveau. Mot de passe oublié ?

[Cybersécurité] Les usines sont encore trop vulnérables

,

Publié le

De plus en plus connectés, les sites de production sont devenus des cibles pour les cyberattaques. L’industrie 4.0, sécurisée par conception, pourrait être le remède. 

[Cybersécurité] Les usines sont encore trop vulnérables
Lu, Renault, la SNCF et Saint-Gobain figurent parmi les victimes connues en France des virus WannaCry et Industroyer.

Glossaire

L’API (automate programmable industriel) est un dispositif électronique programmable qui pilote les équipements de production de l’atelier. Il est programmé par des automaticiens à l’aide de logiciels spécifiques.

Le MES (manufacturing execution system) est intégré à la planification des ressources de l’entreprise. Ce système informatique assure le suivi des processus industriels en assurant leur traçabilité. Il collecte les données essentielles de production (performance, consommation, qualité…).

L’ERP (entreprise resource planning) est un outil informatique qui sert à gérer et à suivre au quotidien l’ensemble des informations et des services opérationnels d’une entreprise (comptabilité, gestion des achats et des ventes, logistique...).

Scada (supervisory control and data acquisition)est un système informatique de contrôle et d’acquisition des données qui pilote en temps réel les automates industriels. Il alerte les opérateurs en cas de fonctionnement anormal.

Rançons à payer en bitcoins, blocage d’une ligne de production, sabotage industriel… À leur tour, les usines découvrent qu’elles sont la cible des pirates informatiques. WannaCry, le virus a qui contaminé la planète en quelques heures en mai dernier, n’a pas touché uniquement les PC des particuliers et l’informatique de gestion des entreprises. Bon nombre de sites de production ont été paralysés. La France n’a pas été épargnée. Renault a dû stopper sa production de véhicules durant deux jours. L’usine de fabrication de croquettes de Royal Canin, située aux Rues-des-Vignes (Nord), a été hors-service une semaine… Saint-Gobain, lui, a carrément perdu son informatique une dizaine de jours entraînant des interruptions de la chaîne logistique. Le groupe de matériaux de construction l’a payé au prix fort, reconnaissant un manque à gagner de 250 millions d’euros sur l’année.

Les usines qui reconnaissent publiquement avoir subi une cyberattaque sont rares. Leur nombre serait toutefois significatif. Sans citer le nom de leurs clients, des professionnels de la cybersécurité industrielle évoquent des usines à l’arrêt de quelques heures à plusieurs jours, des demandes de rançons, des suspicions d’attaque… « Sur la quarantaine d’audits que nous avons réalisés en 2017, cinq sites ont subi des cyberattaques », nous confie un vendeur d’automates industriels programmables. Une proportion cohérente avec les résultats de l’étude de Sans Institute sur la sécurité des systèmes de contrôle industriel parue en juin dernier. Selon elle, 12 % des entreprises reconnaissaient avoir subi une intrusion ou avoir été infectées par un code malveillant au cours de ces douze derniers mois.

En menant ses propres audits, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) a été catastrophée de certaines situations. « On se fait peur quand on audite la cybersécurité des sites industriels », reconnaissait son directeur général Guillaume Poupard, en juin dernier, à l’occasion de la présentation du bilan annuel de l’agence. Une situation d’autant plus alarmante, que l’agence concentre son attention sur les opérateurs d’importance vitale (OIV), soit des entreprises essentielles au bon fonctionnement du pays. Pas étonnant dès lors que le dirigeant craint avant tout le sabotage des installations industrielles.

La lente prise de conscience

Les raisons de cette vulnérabilité sont bien connues. La connectivité croissante expose les usines davantage au risque cyber. Aujourd’hui, les systèmes d’information de gestion et le système d’information industrielle sont de plus en plus imbriqués. Les logiciels ERP [lire le glossaire page 36] qui gèrent les commandes, les achats et la logistique communiquent directement avec les systèmes MES (manufacturing execution system) qui pilotent la production. Il s’agit de produire au plus près de la demande du marché et de remonter des précieuses données de l’usine (production, qualité…). Résultat : un virus ciblé pour l’information de gestion peut se propager jusqu’aux fameux systèmes Scada, ces machines de supervision et de contrôle des automates basés sur des serveurs informatiques sous Windows ou Linux. « L’évolution des automates ces dernières années est comparable à celle des smartphones. Ils sont devenus des systèmes de contrôle à part entière, assurant une intégration poussée entre la production et les logiciels de gestion et de supply chain », explique Jérôme Poncharal, le responsable du développement commercial chez Rockwell Automation France.

Si les usines ont adopté les standards informatiques (réseau ethernet, protocole IP, système d’exploitation Microsoft…), elles ont négligé la cybersécurité qui allait de pair. La forte culture de la sûreté de fonctionnement prime avant tout. « Dans l’usine, on raisonne avec l’idée que la menace susceptible d’arrêter la production, vient de l’intérieur et qu’il faut se protéger d’un accident interne. Mais pas de l’extérieur », observe Laurent Delaporte, le PDG d’Akerva, un prestataire de sécurité informatique. Avec des effets collatéraux parfois malheureux. Le déploiement d’un correctif de sécurité, qui nécessite souvent l’arrêt d’un voire plusieurs automates, peut être reporté jusqu’à la prochaine opération de maintenance programmée pour ne pas devoir stopper la production. Selon l’étude de Sans Institute, moins de la moitié des gestionnaires d’usines appliqueraient régulièrement les patchs de sécurité. Un laxisme qui pourrait expliquer pourquoi le virus WannaCry, qui exploitait une faille connue de Windows XP et pour lequel Microsoft avait fourni un remède, a fait tant de dégâts dans les sites de production.

Stuxnet, un électrochoc

La sensibilisation au risque cyber est récente. Elle a été pourtant brutale. L’électrochoc date de l’attaque du ver Stuxnet qui a mis à terre en 2010 le programme d’enrichissement d’uranium iranien. Un code malveillant inoculé par une clé USB au sein de systèmes Scada a modifié la vitesse des moteurs des centrifugeuses, entraînant leur destruction. Des certitudes se sont écroulées. « Stuxnet a fait tomber le mythe de l’installation isolée. L’usine a beau être isolée sur le papier, il y a un bien un jour où l’on s’y connecte, que ce soit pour faire une maintenance ou charger un nouveau programme d’automate », insiste Jean-Christophe Mathieu, en charge des aspects de sécurité dans l’offre de Siemens France.

Ce type d’attaque ultra-sophistiquée a déjà ressurgi. En 2015, puis en 2016, le virus Industroyer a frappé les réseaux électriques en Ukraine. La destruction de postes de distribution électrique a entraîné des pannes d’électricité géantes affectant plusieurs centaines de milliers d’individus. « Une telle attaque révèle le niveau de compétences des hackers, mais également leur capacité et leur intérêt à s’attaquer aux réseaux informatiques industriels », alerte Laurent Hausermann, l’un des cofondateurs de la start-up de cybersécurité Sentryo qui a pu analyser le code malveillant. La leçon est claire : les installations industrielles qui se pensaient à l’abri des actes de malveillance risquent d’en être pour leur frais.

La riposte s’organise

Toutefois, le combat contre le piratage informatique est loin d’être perdu. La sensibilisation et la prise de conscience face au risque cyber progressent. Sous l’effet (contraignant) de la réglementation d’une part. La loi de programmation militaire de 2013 et ses arrêtés sectoriels obligent les 250 OIV à protéger leur informatique, parc industriel compris. La prochaine transposition de la directive européenne NIS (Network and information security) démultipliera cet impact, obligeant cette fois-ci des milliers d’entreprises en France qualifiées d’opérateurs essentiels à se mettre au niveau en termes de cybersécurité et à notifier les incidents qu’elles subiraient. Et il y a l’action de l’écosystème cyber d’autre part. Outre la publication de guides de bonnes pratiques sur la protection des systèmes industriels, l’Anssi a élargi son programme de certification aux automates industriels programmables. Avec un certain succès. Les Siemens, Schneider Electric et autres Rockwell Automation renforcent les mécanismes de sécurité de leurs équipements pour décrocher le fameux label [lire page 40]. Les alliances sont de mise pour additionner les savoir-faire des automaticiens et des spécialistes de la sécurité informatique. En octobre, Schneider Electric a signé un partenariat technologique avec Sentryo en vue de renforcer leur offre de surveillance des systèmes industriels.

Toutes ces initiatives pourraient cristalliser au sein de l’industrie du futur. Soit la promesse d’une usine ultra-connectée, jusqu’à ses clients qui pourraient commander et suivre la fabrication de leurs produits. Ses partisans y voient un premier avantage évident : le remplacement des vieux automates. L’âge moyen du parc machine français est estimé à 17 ans ! Surtout, la cybersécurité sera prise en compte dès la conception. « Les utilisateurs ont pris conscience des risques potentiels. Si cette ultra-connectivité n’est pas sécurisée, elle ne sera pas », assène Jean-Christophe Mathieu. Les nouveaux protocoles de communications utilisés pour l’évolution vers l’industrie 4.0 embarquent des mécanismes de protection des données (chiffrement, vérification d’intégrité, authentification…).

La médaille a son revers. « L’industrie du futur porte un enjeu fort en matière de cybersécurité, avertit Laurent Peliks, associé au cabinet E & Y. En favorisant le développement des objets industriels connectés, le pilotage à distance des installations, les robots automatisés…, on expose davantage les données avec un risque important d’éparpillement et de perte de maîtrise. » 

 

 

2010 Stuxnet Lever informatique aurait été conçu comme une arme par les États-Unis et Israël pour stopper le programme d’enrichissement d’uranium iranien. Transmis par clé USB et reprogrammant les automates Siemens, il a saboté environ un millier de centrifugeuses.

2014 Un virus est entré grâce à un e-mail frauduleux sur le réseau bureautique d’une aciérie allemande. Il a pris les commandes des systèmes de contrôle de l’usine et empêché un haut-fourneau de se mettre en sécurité.

2015 Industroyer ce code malveillant a provoqué de gigantesques coupures d’électricité en Ukraine affectant plus d’un million d’abonnés. Après avoir pris le contrôle de machines critiques, les pirates ont pu faire sauter une partie de l’infrastructure électrique (disjoncteurs, transformateurs…).

2016 Mirai en octobre 2016, plusieurs grands sites internet sont inaccessibles. Le coupable : le code malveillant Mirai qui a détourné des milliers d’objets connectés pour inonder de requêtes le prestataire DynDNS, qui gère les adresses des serveurs web.

2017 Wannacry il s’agit de la plus grande attaque de type rançongiciel. Le virus exploitant une faille de Windows XP a touché des centaines de milliers de machines informatiques sur toute la surface du globe en quelques heures.

 

Réagir à cet article

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte
Suivez-nous Suivre Usine Nouvelle sur Facebook Suivre Usine Nouvelle sur Twitter RSS Usine Nouvelle

Les cookies assurent le bon fonctionnnement de nos sites et services.
En utilisant ces derniers, vous acceptez l’utilisation des cookies.

En savoir plus