Cybersécurité : les failles qui laissent l’industrie française vulnérable

Le sec­teur indus­triel fran­çais a long­temps été iso­lé des tech­no­lo­gies de l’information. De la régu­la­tion des feux de cir­cu­la­tion au tri auto­ma­ti­sé des bagages en pas­sant par la coor­di­na­tion des robots assem­bleurs sur une chaîne de mon­tage, ces tech­no­lo­gies opé­ra­tion­nelles se sont long­temps déve­lop­pées à l’écart de la révo­lu­tion numé­rique. Aujourd’hui, l’interconnectivité entre machines, réseaux et sys­tèmes fra­gi­lise ce tis­su indus­triel face à des cybe­rat­taques en constante pro­gres­sion. Mais tous les sec­teurs ne sont pas logés à la même enseigne. 

Les der­nières don­nées de la Direc­tion géné­rale des entre­prises (DGE) sont for­melles : les cyber­me­naces pesant sur le tis­su indus­triel fran­çais n’ont jamais été aus­si grandes. Une ten­dance confir­mée par une étude Check Point Research, qui note une hausse de 26 % des attaques infor­ma­tiques pour la seule année 2022. Des socié­tés comme Lea­der, spé­cia­liste en inté­rim et en recru­te­ment, ont notam­ment été la cible de cybe­rat­taques. Et cer­tains pans de l’in­dus­trie ont depuis long­temps com­pris l’in­té­rêt de mettre en place une cyber­sé­cu­ri­té de pointe. « Le sec­teur de la défense a le plus rapi­de­ment pris en compte cette dimen­sion de la cyber­sé­cu­ri­té, un domaine très vite rebap­ti­sé cyber­dé­fense. » indique Jean-Luc Giber­non, direc­teur cyber­sé­cu­ri­té chez Sopra-Ste­ria et admi­nis­tra­teur du Cam­pus Cyber. « Aujourd’hui, si l’on parle de défense, on pense à des com­bats ter­restres avec des chars, par exemple. On pense éga­le­ment aux com­bats navals avec les bateaux ou les fré­gates. Il y a éga­le­ment le com­bat aérien avec les avions. Mais il y a aujourd’­hui un qua­trième dépar­te­ment qui n’est autre que le cybe­res­pace. »

Dès 2010, sous l’im­pul­sion du ministre de la Défense de l’é­poque Jean-Yves Le Drian, la cyber­dé­fense est deve­nue un volet à part entière des opé­ra­tions mili­taires comme le confirme Guillaume Pou­pard, ancien direc­teur de l’Anssi, l’Agence natio­nale de la sécu­ri­té des sys­tèmes d’in­for­ma­tion : « Quand on parle de sécu­ri­té avec des gens issus de l’in­dus­trie de l’ar­me­ment, ils ont déjà le voca­bu­laire et savent de quoi il est ques­tion fon­da­men­ta­le­ment. À l’in­verse, il y a d’autres acteurs dans l’industrie lourde, comme le domaine du gaz ou de la chi­mie, où, his­to­ri­que­ment, la ques­tion de la sécu­ri­té était essen­tiel­le­ment cir­cons­crite à l’intégrité phy­sique des sites indus­triels. Je cari­ca­ture un peu, mais il suf­fi­sait de trois ronds de bar­be­lés autour des lieux à pro­té­ger et on avait fait le tour du pro­blème, en quelque sorte. » 

Cette culture de la sécu­ri­té péri­mé­trique a été bou­le­ver­sée par la tran­si­tion numérique.

Cette culture de la sécu­ri­té péri­mé­trique a été bou­le­ver­sée par la tran­si­tion numé­rique, entraî­nant une fra­gi­li­té crois­sante de ces dis­po­si­tifs face aux besoins en inter­con­nec­ti­vi­tés. C’est une véri­table rup­ture phi­lo­so­phique dans l’ap­proche même de la sécu­ri­té selon Jean-Luc Giber­non : « Aujourd’hui encore, le numé­rique conti­nue sa pro­gres­sion, mais la ques­tion de la cyber­sé­cu­ri­té arrive tou­jours plus tard. On va mettre du numé­rique dans les sys­tèmes indus­triels ou l’espace urbain par exemple, mais la sécu­ri­té des dis­po­si­tifs n’arrive tou­jours qu’après. La bonne nou­velle, c’est que la cyber­sé­cu­ri­té ne ralen­tit pas la tran­si­tion numé­rique. En revanche, c’est aus­si une bonne nou­velle pour les cybe­rat­ta­quants, car il y a des vul­né­ra­bi­li­tés dont ils peuvent pro­fi­ter. »

La pre­mière menace, pro­ba­ble­ment la plus dan­ge­reuse et la plus insi­dieuse, est d’origine éta­tique avec comme fina­li­té l’espionnage et la désta­bi­li­sa­tion d’industries stra­té­giques comme l’armement, le spa­tial, la phar­ma­cie, etc. « Les don­nées sen­sibles des indus­tries de pointe sont évi­dem­ment les plus pri­sées par les atta­quants de très haut niveau. » confirme Guillaume Pou­pard. « Nous sommes dans le monde du ren­sei­gne­ment, de l’es­pion­nage. Il n’y a pas vrai­ment d’a­mis ou d’en­ne­mis et tout le monde se méfie de tout le monde. Ces attaques bien réelles sont peu média­ti­sées, car tout cela reste dis­cret. » 

Le second type de menaces est d’origine cri­mi­nelle. Moins dis­crètes, elles ont géné­ra­le­ment pour objec­tif l’extorsion de fonds avec une menace de blo­cage de l’ac­ti­vi­té de la cible et des consé­quences éco­no­miques très fortes pour l’entreprise. Phi­shing, usur­pa­tion d’identité, mal­ware, che­val de Troie, spam, les attaques sont deve­nues mon­naie cou­rante. Pour les atta­quants, le type d’entreprises visées importe peu du moment que leur sys­tème d’in­for­ma­tion est défaillant. Quant aux ran­som­wares, ces logi­ciels qui chiffrent les fichiers du sys­tème infor­ma­tique de la future vic­time, ils repré­sentent une menace très impor­tante pour les entreprises.

« Dans la pra­tique, les ran­som­wares visent à per­tur­ber le bon fonc­tion­ne­ment de la cible via son sys­tème d’in­for­ma­tion, son site web voire son outil de pro­duc­tion. C’est alors que la demande de ran­çon inter­vient. », pré­cise Jean-Luc Giber­non. Si la cible paye la ran­çon, l’at­ta­quant lui per­met alors de retrou­ver l’intégrité de son sys­tème grâce à une clé de déchif­fre­ment. « Mais dans les faits, rien ne l’as­sure que tout mar­che­ra comme avant. », sou­pire Jean-Luc Giber­non. « D’ailleurs, une fois le sys­tème remis en marche, il y a géné­ra­le­ment un deuxième chan­tage qui repose sur les don­nées indus­trielles récu­pé­rées au pas­sage par les atta­quants. Ces der­niers menacent de dif­fu­ser ces docu­ments, sou­vent confi­den­tiels, sur inter­net. Ce sont des cri­mi­nels, ils n’ont aucune loi, aucune limite. »

Beau­coup pré­fèrent payer plu­tôt que de faire face à une fuite mas­sive de don­nées et une image de marque dété­rio­rée vis-à-vis des clients, des par­te­naires et des uti­li­sa­teurs. Si l’on constate aujourd’hui une rela­tive sta­bi­li­sa­tion du nombre d’attaques de type ran­som­wares selon les der­niers chiffres du par­quet de Paris, le niveau demeure éle­vé et tous les for­faits ne sont pas révé­lés au grand jour, dis­cré­tion oblige.

Face aux cybe­rat­taques, les moins vul­né­rables sont fina­le­ment les grands acteurs indus­triels. Ils ont à la fois les moyens d’as­su­rer leur sécu­ri­té et sont déjà struc­tu­rés en ce sens avec une direc­tion dédiée à l’informatique, à la sûre­té et à la sécu­ri­té. La gou­ver­nance est en place et s’a­dapte plus aisé­ment aux nou­velles menaces.

De plus, l’o­bli­ga­tion de mettre en place une cyber­sé­cu­ri­té par la loi, au niveau natio­nal ou euro­péen, fait que la plu­part des grands acteurs peuvent y faire face. « Mais si l’on regarde du côté de plus petits acteurs comme les PME ou les ETI, la situa­tion est plus com­plexe. », comme le sou­ligne Guillaume Pou­pard. « Elles sont beau­coup moins struc­tu­rées en termes de gou­ver­nance numé­rique et elles peuvent deve­nir des cibles plus inté­res­santes, soit pour des cri­mi­nels, soit pour des espions. Cette fra­gi­li­té entraîne un autre cas de figure déjà obser­vé à plu­sieurs reprises, celui d’attaquants s’en pre­nant à un grand groupe indus­triel en ciblant l’un de ses pres­ta­taires. C’est une sorte de raid indi­rect très à la mode qu’on appelle “attaque par la chaîne de valeur”. Comme la sécu­ri­té des grands groupes s’est ren­for­cée, les pirates pro­fitent des fai­blesses des sous-trai­tants pour mener ces attaques indi­rectes et atteindre leur sys­tème d’in­for­ma­tion. »

L’ordre de gran­deur du coût de la cyber­cri­mi­na­li­té dans le monde en 2021 est de 1 000 mil­liards de dol­lars dans le monde.

Si les cybe­rat­ta­quants sont de plus en plus nom­breux et de plus en plus pro­fes­sion­nels, « il est dif­fi­cile de mesu­rer pré­ci­sé­ment la cyber­cri­mi­na­li­té. Mais l’ordre de gran­deur du coût de cette der­nière dans le monde en 2021 est de 1 000 mil­liards de dol­lars dans le monde. C’est colos­sal. Le chiffre est en hausse et touche tous les sec­teurs. » ana­lyse Jean-Luc Gibernon. 

Si une sécu­ri­té effi­cace à 100 % n’existe pas, les pro­fes­sion­nels du sec­teur savent désor­mais rendre les sys­tèmes d’information suf­fi­sam­ment com­plexes à atta­quer pour pous­ser les cyber­cri­mi­nels à aban­don­ner et pas­ser à une autre cible. Une situa­tion qui doit pous­ser les grands indus­triels à prendre un rôle de lea­der pour convaincre les sous-trai­tants d’appliquer leurs normes de sécurité. 

« Dans le nucléaire par exemple, quelles que soient les filières, il y a des myriades de sous-trai­tants avec qui les risques sont par­ta­gés. Il faut sécu­ri­ser l’en­semble des acteurs. C’est ce qu’on appelle la sécu­ri­sa­tion de la sup­ply chain, la chaîne de valeur. », explique Jean-Luc Giber­non. « Mais il y a encore du tra­vail, beau­coup de tra­vail. » Dans ce nou­veau monde, il ne s’a­git plus de sécu­ri­ser un acteur iso­lé, mais tout un éco­sys­tème. « Et cela ne vien­dra pas de la base, c’est-à-dire de PME sous-trai­tantes. Il faut que cela vienne par le haut. » En inté­grant de plus en plus d’interconnectivités, les indus­tries sont désor­mais confron­tées aux mêmes menaces que les entre­prises. Et si la prise de conscience des acteurs est réelle, elle n’est pas encore complète.

Jean Zeid