Cybersécurité : les failles qui laissent l’industrie française vulnérable

Le secteur indus­triel français a longtemps été isolé des tech­nolo­gies de l’information. De la régu­la­tion des feux de cir­cu­la­tion au tri automa­tisé des bagages en pas­sant par la coor­di­na­tion des robots assem­bleurs sur une chaîne de mon­tage, ces tech­nolo­gies opéra­tionnelles se sont longtemps dévelop­pées à l’écart de la révo­lu­tion numérique. Aujourd’hui, l’interconnectivité entre machines, réseaux et sys­tèmes frag­ilise ce tis­su indus­triel face à des cyber­at­taques en con­stante pro­gres­sion. Mais tous les secteurs ne sont pas logés à la même enseigne. 

Les dernières don­nées de la Direc­tion générale des entre­pris­es (DGE) sont formelles : les cyber­me­n­aces pesant sur le tis­su indus­triel français n’ont jamais été aus­si grandes. Une ten­dance con­fir­mée par une étude Check Point Research, qui note une hausse de 26 % des attaques infor­ma­tiques pour la seule année 2022. Des sociétés comme Leader, spé­cial­iste en intérim et en recrute­ment, ont notam­ment été la cible de cyber­at­taques. Et cer­tains pans de l’in­dus­trie ont depuis longtemps com­pris l’in­térêt de met­tre en place une cyber­sécu­rité de pointe. « Le secteur de la défense a le plus rapi­de­ment pris en compte cette dimen­sion de la cyber­sécu­rité, un domaine très vite rebap­tisé cyberdéfense. » indique Jean-Luc Giber­non, directeur cyber­sécu­rité chez Sopra-Ste­ria et admin­is­tra­teur du Cam­pus Cyber. « Aujourd’hui, si l’on par­le de défense, on pense à des com­bats ter­restres avec des chars, par exem­ple. On pense égale­ment aux com­bats navals avec les bateaux ou les fré­gates. Il y a égale­ment le com­bat aérien avec les avions. Mais il y a aujour­d’hui un qua­trième départe­ment qui n’est autre que le cybere­space. »

Dès 2010, sous l’im­pul­sion du min­istre de la Défense de l’époque Jean-Yves Le Dri­an, la cyberdéfense est dev­enue un volet à part entière des opéra­tions mil­i­taires comme le con­firme Guil­laume Poupard, ancien directeur de l’Anssi, l’Agence nationale de la sécu­rité des sys­tèmes d’in­for­ma­tion : « Quand on par­le de sécu­rité avec des gens issus de l’in­dus­trie de l’arme­ment, ils ont déjà le vocab­u­laire et savent de quoi il est ques­tion fon­da­men­tale­ment. À l’in­verse, il y a d’autres acteurs dans l’industrie lourde, comme le domaine du gaz ou de la chimie, où, his­torique­ment, la ques­tion de la sécu­rité était essen­tielle­ment cir­con­scrite à l’intégrité physique des sites indus­triels. Je car­i­ca­ture un peu, mais il suff­i­sait de trois ronds de bar­belés autour des lieux à pro­téger et on avait fait le tour du prob­lème, en quelque sorte. » 

Cette cul­ture de la sécu­rité périmétrique a été boulever­sée par la tran­si­tion numérique.

Cette cul­ture de la sécu­rité périmétrique a été boulever­sée par la tran­si­tion numérique, entraî­nant une fragilité crois­sante de ces dis­posi­tifs face aux besoins en inter­con­nec­tiv­ités. C’est une véri­ta­ble rup­ture philosophique dans l’ap­proche même de la sécu­rité selon Jean-Luc Giber­non : « Aujourd’hui encore, le numérique con­tin­ue sa pro­gres­sion, mais la ques­tion de la cyber­sécu­rité arrive tou­jours plus tard. On va met­tre du numérique dans les sys­tèmes indus­triels ou l’espace urbain par exem­ple, mais la sécu­rité des dis­posi­tifs n’arrive tou­jours qu’après. La bonne nou­velle, c’est que la cyber­sécu­rité ne ralen­tit pas la tran­si­tion numérique. En revanche, c’est aus­si une bonne nou­velle pour les cyber­at­taquants, car il y a des vul­néra­bil­ités dont ils peu­vent prof­iter. »

La pre­mière men­ace, prob­a­ble­ment la plus dan­gereuse et la plus insi­dieuse, est d’origine éta­tique avec comme final­ité l’espionnage et la désta­bil­i­sa­tion d’industries stratégiques comme l’armement, le spa­tial, la phar­ma­cie, etc. « Les don­nées sen­si­bles des indus­tries de pointe sont évidem­ment les plus prisées par les attaquants de très haut niveau. » con­firme Guil­laume Poupard. « Nous sommes dans le monde du ren­seigne­ment, de l’es­pi­onnage. Il n’y a pas vrai­ment d’amis ou d’en­ne­mis et tout le monde se méfie de tout le monde. Ces attaques bien réelles sont peu médi­atisées, car tout cela reste dis­cret. » 

Le sec­ond type de men­aces est d’origine crim­inelle. Moins dis­crètes, elles ont générale­ment pour objec­tif l’extorsion de fonds avec une men­ace de blocage de l’ac­tiv­ité de la cible et des con­séquences économiques très fortes pour l’entreprise. Phish­ing, usurpa­tion d’identité, mal­ware, cheval de Troie, spam, les attaques sont dev­enues mon­naie courante. Pour les attaquants, le type d’entreprises visées importe peu du moment que leur sys­tème d’in­for­ma­tion est défail­lant. Quant aux ran­somwares, ces logi­ciels qui chiffrent les fichiers du sys­tème infor­ma­tique de la future vic­time, ils représen­tent une men­ace très impor­tante pour les entreprises.

« Dans la pra­tique, les ran­somwares visent à per­turber le bon fonc­tion­nement de la cible via son sys­tème d’in­for­ma­tion, son site web voire son out­il de pro­duc­tion. C’est alors que la demande de rançon inter­vient. », pré­cise Jean-Luc Giber­non. Si la cible paye la rançon, l’at­taquant lui per­met alors de retrou­ver l’intégrité de son sys­tème grâce à une clé de déchiffre­ment. « Mais dans les faits, rien ne l’as­sure que tout marchera comme avant. », soupire Jean-Luc Giber­non. « D’ailleurs, une fois le sys­tème remis en marche, il y a générale­ment un deux­ième chan­tage qui repose sur les don­nées indus­trielles récupérées au pas­sage par les attaquants. Ces derniers men­a­cent de dif­fuser ces doc­u­ments, sou­vent con­fi­den­tiels, sur inter­net. Ce sont des crim­inels, ils n’ont aucune loi, aucune lim­ite. »

Beau­coup préfèrent pay­er plutôt que de faire face à une fuite mas­sive de don­nées et une image de mar­que détéri­orée vis-à-vis des clients, des parte­naires et des util­isa­teurs. Si l’on con­state aujourd’hui une rel­a­tive sta­bil­i­sa­tion du nom­bre d’attaques de type ran­somwares selon les derniers chiffres du par­quet de Paris, le niveau demeure élevé et tous les for­faits ne sont pas révélés au grand jour, dis­cré­tion oblige.

Face aux cyber­at­taques, les moins vul­nérables sont finale­ment les grands acteurs indus­triels. Ils ont à la fois les moyens d’as­sur­er leur sécu­rité et sont déjà struc­turés en ce sens avec une direc­tion dédiée à l’informatique, à la sûreté et à la sécu­rité. La gou­ver­nance est en place et s’adapte plus aisé­ment aux nou­velles menaces.

De plus, l’oblig­a­tion de met­tre en place une cyber­sécu­rité par la loi, au niveau nation­al ou européen, fait que la plu­part des grands acteurs peu­vent y faire face. « Mais si l’on regarde du côté de plus petits acteurs comme les PME ou les ETI, la sit­u­a­tion est plus com­plexe. », comme le souligne Guil­laume Poupard. « Elles sont beau­coup moins struc­turées en ter­mes de gou­ver­nance numérique et elles peu­vent devenir des cibles plus intéres­santes, soit pour des crim­inels, soit pour des espi­ons. Cette fragilité entraîne un autre cas de fig­ure déjà observé à plusieurs repris­es, celui d’attaquants s’en prenant à un grand groupe indus­triel en ciblant l’un de ses prestataires. C’est une sorte de raid indi­rect très à la mode qu’on appelle “attaque par la chaîne de valeur”. Comme la sécu­rité des grands groupes s’est ren­for­cée, les pirates prof­i­tent des faib­less­es des sous-trai­tants pour men­er ces attaques indi­rectes et attein­dre leur sys­tème d’in­for­ma­tion. »

L’or­dre de grandeur du coût de la cyber­crim­i­nal­ité dans le monde en 2021 est de 1 000 mil­liards de dol­lars dans le monde.

Si les cyber­at­taquants sont de plus en plus nom­breux et de plus en plus pro­fes­sion­nels, « il est dif­fi­cile de mesur­er pré­cisé­ment la cyber­crim­i­nal­ité. Mais l’or­dre de grandeur du coût de cette dernière dans le monde en 2021 est de 1 000 mil­liards de dol­lars dans le monde. C’est colos­sal. Le chiffre est en hausse et touche tous les secteurs. » analyse Jean-Luc Gibernon. 

Si une sécu­rité effi­cace à 100 % n’ex­iste pas, les pro­fes­sion­nels du secteur savent désor­mais ren­dre les sys­tèmes d’information suff­isam­ment com­plex­es à atta­quer pour pouss­er les cyber­crim­inels à aban­don­ner et pass­er à une autre cible. Une sit­u­a­tion qui doit pouss­er les grands indus­triels à pren­dre un rôle de leader pour con­va­in­cre les sous-trai­tants d’appliquer leurs normes de sécurité. 

« Dans le nucléaire par exem­ple, quelles que soient les fil­ières, il y a des myr­i­ades de sous-trai­tants avec qui les risques sont partagés. Il faut sécuris­er l’ensem­ble des acteurs. C’est ce qu’on appelle la sécuri­sa­tion de la sup­ply chain, la chaîne de valeur. », explique Jean-Luc Giber­non. « Mais il y a encore du tra­vail, beau­coup de tra­vail. » Dans ce nou­veau monde, il ne s’ag­it plus de sécuris­er un acteur isolé, mais tout un écosys­tème. « Et cela ne vien­dra pas de la base, c’est-à-dire de PME sous-trai­tantes. Il faut que cela vienne par le haut. » En inté­grant de plus en plus d’interconnectivités, les indus­tries sont désor­mais con­fron­tées aux mêmes men­aces que les entre­pris­es. Et si la prise de con­science des acteurs est réelle, elle n’est pas encore complète.

Jean Zeid