Abonnez-vous Identifiez-vous

Identifiez-vous

Vos codes d'accès sont erronés, Veuillez les saisir à nouveau. Mot de passe oublié ?

Industriels, protégez-vous !

, , ,

Publié le

Enquête Informatique de gestion, données dans le cloud, systèmes industriels : les attaques sont de plus en plus ciblées. Les parades existent.

Industriels, protégez-vous !
L’informatique de production est devenue une cible des attaques.

Quelques PC, des logiciels de hacking disponibles gratuitement sur internet, des outils informatiques plus pointus faits maison, une bonne dose d’ingéniosité et de persévérance, un informaticien averti… Il n’en faut souvent pas plus pour pénétrer à distance dans le réseau d’une entreprise. La société de sécurité informatique Atexio, installée à Rueil-Malmaison (Hauts-de-Seine), réalise des tests d’intrusion à la demande de ses clients soucieux de mesurer la robustesse de leur réseau. "En quelques jours, nous trouvons des vulnérabilités, explique Lionel Mourer, le président d’Atexio et administrateur du Club de la sécurité de l’information français (Clusif). On accède assez souvent à des informations sensibles comme la base des prix réels d’une entreprise."

"Une bonne moitié des entreprises n’a pas un niveau de sécurité suffisant", assure Lionel Mourer. La menace informatique n’a jamais été aussi élevée. La SNCF subit, par exemple, des dizaines de milliers d’attaques par mois. Dans leur grande majorité, elles ne présentent pas de réel danger et sont rapidement neutralisées. D’autres incursions sont plus sérieuses. Comme celle qui a permis d’espionner des mois durant le groupe Areva il y a deux ans. Au plus haut niveau de l’État, la menace est prise très au sérieux. "Les vols d’informations et l’espionnage sont des réalités [...] La première menace pour l’industrie nationale, c’est cet espionnage industrialisé. Énormément de savoir-faire et de contrats disparaissent au profit de concurrents étrangers […] Ce qui surprend, c’est le tempo avec lequel cette menace grossit", expliquait le contre-amiral Arnaud Coustillère, officier général de cyberdéfense à l’état-major des armées, en mai, au cours d’un séminaire sur la sécurité informatique.

Bureautique et gestion Gare aux attaques organisées 

Pour l’informatique bureautique et de gestion, la chasse aux messages indésirables (les spams) et aux courriels infectés de virus reste incontournable. "La plupart des attaques passent par les e-mails. En réduisant le nombre de spams, on réduit les risques qu’un utilisateur télécharge à son insu des logiciels malveillants sur son poste de travail", explique Sandro Lancrin, le responsable de la sécurité du système d’information (RSSI) de Radio France.

Les assaillants redoublent d’inventivité, notamment en menant des attaques dites de "social engineering". En subtilisant des documents à en-tête mais aussi en usurpant l’adresse e-mail d’un manager, un escroc peut tromper la secrétaire et les services de comptabilité pour demander, par exemple, le paiement en urgence de factures à de faux fournisseurs. "Pour neutraliser ces attaques, nous avons sensibilisé les utilisateurs et mis en place des signatures électroniques pour être sûrs de l’identité de l’émetteur de l’e-mail", explique Patrick Weisse, le RSSI du spécialiste des stations-essence Tokheim.

Mais ce que les responsables de services informatiques redoutent le plus, ce sont les "advanced persistent threats", des attaques sur mesure, calibrées en fonction de la société visée et quasiment indétectables. "Les entreprises mettent plus de 400 jours avant de se rendre compte qu’elles sont touchées", explique Jean-Michel Orozco, le président de Cassidian CyberSecurity. Pour les prévenir, un outil de sécurité s’impose : le Siem, un logiciel qui analyse en profondeur les moindres événements liés à la sécurité du système d’information. Il s’agit de collecter des milliers d’événements informatiques, individuellement anodins et de les corréler afin de détecter les traces d’une attaque. De tels dispositifs sont encore rares en France. "La mise au point d’un Siem demande un à trois ans et mobilise plusieurs experts. Son exploitation exige aussi des ressources", explique Patrick Chambet, le RSSI de C2S, une filiale informatique du groupe Bouygues.

Cloud le diable est dans les détails

Autres biens à protéger : les données dans le cloud. Le scandale Prism, qui a révélé l’espionnage des boîtes de courrier électronique et des comptes téléphoniques par la NSA – l’Agence nationale de sécurité américaine –, a réveillé la sensibilité des utilisateurs sur la question de la souveraineté des données. "L’entreprise doit se poser les bonnes questions et savoir jusqu’à quel point ses données sont confidentielles. Si elles sont hébergées par un fournisseur américain, l’État américain peut y accéder sur simple réquisition dans le cadre du Patriot Act", rappelle Lionel Mourer, du Clusif. Gare aux subtilités. Le fournisseur Amazon dispose par exemple d’un datacenter à Dublin, en Irlande… pays sous la coupe du Patriot Act !

Pour éviter les mauvaises surprises, une entreprise du CAC 40 décidée à passer au cloud a établi une liste de 220 questions pour sélectionner son prestataire ! Dans les contrats cloud, le diable se cache dans les détails. "Qui se charge de l’effacement de vos données si vous quittez votre prestataire ? Avec quelle méthode ? En cas de chiffrement, qui détient les clés ? À quelle fréquence déploie-t-il les patchs de sécurité liés à la découverte de vulnérabilités ?" demande Cyril Autant, expert en cybersécurité chez Thales.

Informatique de production la nouvelle menace

Les usines sont devenues des cibles potentielles pour les hackers de tout poil, criminels comme… étatiques. Le virus américain Stuxnet, qui a saboté en 2010 les centaines de centrifugeuses du programme iranien d’enrichissement d’uranium, a fini de convaincre les sceptiques. Les dégâts peuvent être considérables même dans des scénarios plus terre à terre. "Imaginez que l’on prenne le contrôle des robots d’une chaîne automobile, ou du système du tri des bagages d’un grand aéroport ?" interroge Michel Van Den Berghe, le PDG de la société de sécurité informatique Athéos.

Deux causes de vulnérabilité sont à étudier : l’informatique de production de plus en plus en connectée au système informatique de l’entreprise et à internet, et les systèmes de production qui reposent toujours plus sur les technologies de l’informatique classique. Les industriels n’ont pas pris la mesure de la menace. "Parce que leurs installations industrielles ne sont pas connectées à internet ou au réseau de l’entreprise, certains se croient hors de danger, explique Stéphane Meynet, chef de projet industriel à l’Agence nationale de la sécurité des systèmes d’information (Anssi). Il suffit qu’un technicien de maintenance connecte son portable sur le système de production pour [que l’on puisse] introduire un logiciel malveillant !" Pour sensibiliser les utilisateurs, l’Anssi organise des démonstrations de prise en main à distance d’une plate-forme représentative d’un système industriel allant jusqu’à provoquer son dysfonctionnement. "Les utilisateurs sont surpris de la facilité avec laquelle on y parvient", explique Stéphane Meynet. Au bureau comme à l’atelier, le respect des règles de base de l’hygiène informatique s’impose à tous !  

Les dix précautions à prendre

  • Pratiquer des tests d’intrusion externe
  • Déconnecter d’internet les postes des administrateurs de réseaux
  • Passer les clés USB par un sas de décontamination
  • Avoir des antivirus, antispam et firewall à jour
  • Sensibiliser les utilisateurs
  • Cartographier son réseau pour réagir vite en cas de crise
  • Sécuriser les équipements personnels des utilisateurs
  • Chiffrer les communications
  • Désactiver les options de serveurs internet des automates industriels
  • Analyser les signaux faibles pour détecter les attaques 

Des entreprises plus sensibles que d’autres

La SNCF, opérateur d’infrastructures vitales, redouble de vigilance.

EDF, Areva, Orange, Veolia… la sûreté des systèmes informatiques de certaines entreprises est vitale pour le pays. L’État a identifié 200 opérateurs d’infrastructures vitales (OIV) dans les transports, l’énergie, la gestion de l’eau, les télécommunications, la banque, entre autres. La SNCF en fait partie. Imaginez que l’on prenne la main sur son système de contrôle-commande assurant la signalisation ferroviaire ! Le risque serait quasi nul. Ce système est déconnecté du réseau de la SNCF et d’internet. Mais ces grands opérateurs sont de plus en plus tentés d’ouvrir leurs réseaux, ne serait-ce que pour réaliser de la télémaintenance et gagner en réactivité. "C’est à l’étude. Si nous le faisions, nous mettrions en place des systèmes d’authentification forte fondée sur la technologie carte à puce associée à des certificats électroniques", explique l’un de ces OIV. Pour tester la robustesse de ces entreprises, l’Agence nationale de la sécurité des systèmes d’information (Anssi) réalise des audits. Le récent Livre blanc de la défense et de la sécurité préconise de lui conférer des pouvoirs pour imposer aux entreprises l’adoption de mécanismes de sécurité renforcés, voire la déconnexion d’internet en cas de crise.

"La menace a changé d’échelle"

Patrick Pailloux, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi)

  • Comment évaluez-vous la menace informatique qui pèse sur les entreprises ?

Aucune grande entreprise n’est épargnée par l’espionnage. Les entreprises découvrent de plus en plus qu’elles sont victimes d’intrusions ou de tentatives d’intrusions afin de leur voler des données. L’Anssi traite en permanence trois ou quatre affaires simultanément. Dans certains cas, les pirates peuvent obtenir un accès illimité au système d’information de l’entreprise ! Mais les actes de sabotage nous préoccupent plus. Le but de l’attaque est alors la destruction du système d’information. Les systèmes contrôle-commande des usines peuvent aussi être visés. Avec cette forme de cyberattaque, l’échelle en matière de risques change. Par exemple, en Arabie Saoudite, 30 000 ordinateurs du groupe pétrolier Aramco ont été touchés en août 2012, ou en Corée du Sud où des attaques ont empêché de retirer des billets de banque pendant plusieurs heures.

  • A-t-on enregistré des cas de cyberterrorisme de ce type en France ?

À ma connaissance, non. Mais nous sommes vulnérables. Que se passerait-il si un pirate prenait le contrôle d’un système d’aiguillage ou d’un centre de dispatching électrique ? Les usines constituent aussi des cibles. Il est parfois simple pour un attaquant de prendre le contrôle à distance d’un système informatique industriel et de casser une chaîne de production en modifiant ses paramètres de fonctionnement.

  • Comment contrer ces attaques ?

Le Livre blanc de la défense et de la sécurité confie au Premier ministre de nouvelles prérogatives : il pourra fixer des obligations de sécurité pour les opérateurs d’infrastructures vitales, les contraindre à déclarer les incidents survenus, et imposer des mesures exceptionnelles en cas de crise grave.

  • Et pour les autres entreprises ?

Le respect de règles élémentaires de sécurité aurait suffi à neutraliser les attaques sur lesquelles nous avons eu à travailler, ou du moins permis de les découvrir rapidement. Ce socle minimum d’"hygiène informatique" n’est pas connu, ni respecté. Un bon démarrage serait de contrôler l’application dans l’entreprise des 40 règles de base définies dans notre guide d’hygiène informatique.

  • Le coût de la sécurité est-il un frein ?

Installer des antivirus et autres firewalls représente un coût, que les entreprises prennent souvent comme excuse pour ne rien faire. La sécurité informatique n’est pas inabordable : en y consacrant entre 3% et 10% du budget informatique, on peut bien se protéger. Ce qui est coûteux, c’est surtout le temps et l’énergie nécessaires pour faire respecter les règles de base. 

Le "Guide d’hygiène informatique" est téléchargeable sur www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf

Réagir à cet article

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte
Suivez-nous Suivre Usine Nouvelle sur Facebook Suivre Usine Nouvelle sur Twitter RSS Usine Nouvelle