Des cyberattaques massives menacent les systèmes de contrôle industriel

Par Ridha Loukil - Publié le 04 octobre 2012, à 07h02


L’ANSII, l’agence française de cyberdéfense, alerte sur les menaces qui pèsent sur les systèmes de contrôle industriels. Elle recommande, pour s’en protéger, d’appliquer la même hygiène informatique que dans le système d’information de l’entreprise.

A l’ouverture des Assises de la Sécurité, qui se déroulent à Monaco du 3 au 6 octobre 2012, l’ANSII (Agence nationale de sécurité des systèmes d’information) a tiré une sonnette d’alarme sur les dangers d’attaques qui menacent les systèmes de contrôle industriel. "C’est un sujet extrêmement grave qui nous inquiète au plus haut point, et ce qui se passe depuis un an dans le monde industriel ne nous rassure pas, entonne Patrick Pailloux, le patron de l’agence française de cyberdéfence. La protection contre ce type de menaces devient un enjeu majeur pour les cinq prochaines années."

Les systèmes de contrôle industriel deviennent numériques et tendent à s’interconnecter avec le système d’information de l’entreprise, voire avec Internet. Ce qui en fait de plus en plus la cible des cyberattaques. L’enjeu est, non pas l’espionnage industriel, mais la mise hors de fonctionnement des usines en détruisant le cerveau qui les contrôle.

Après le ver Stuxnet qui a mis à l’arrêt pendant des mois les usines d’enrichissement d’uranium en Iran, d’autres cyberattaques ont sévi dans le monde industriel. Celle qui a frappé cet été une raffinerie d’Armaco, en Arabie Saoudite, est parmi les virulentes et les plus dévastatrices. Elle a détruit le disque dur et le système de reboutage de 30 000 ordinateurs. Autant dire une attaque massive. "Un véritable acte de sabotage industriel", selon Patrick Pailloux.

"Le phénomène est d’autant plus inquiétant que ce type d’attaques est plus facile à opérer que des attaques d’espionnage. Dans une attaque d’espionnage, on pénètre le système et y reste le plus discret possible pour subtiliser des informations. Or ici, on entre dans le système pour en prendre le contrôle. C’est plus simple à faire mais bien plus grave pour la victime."

UN GUIDE D’HYGIÈNE INFORMATIQUE EN VERSION BÉTA

Alors pour le patron de l’ANSII, un impératif s’impose à tous industriels : vérifier leur système de sécurité et en cas de doute déconnecter le système de contrôle industriel du système d’information de l’entreprise et d’Internet. Pour réduire les risques, il recommande d’appliquer la même hygiène informatique que dans le reste du système d’information.

L’ANSII vient d’ailleurs de publier un guide d’hygiène informatique destiné à aider les entreprises à mettre en place les préceptes de base de la sécurité informatique. Ce guide en version béta propose 40 règles à appliquer d’urgence pour assainir le système d’information. Il est évidemment disponible en téléchargement sur le site Internet de l’ANSII.

Les entreprises sont invitées à émettre leurs remarques et suggestions. Elles seront prises en compte dans une version finalisée, publiée ultérieurement.

Le développement de ce type de menaces pose le problème de la régulation. Tous les pays réfléchissent sur la meilleure façon de réguler la sécurité des systèmes de contrôle industriel jugés critiques. Faut-il instaurer un dispositif obligatoire d’audit et de contrôle de ces systèmes, comme cela existe pour la sûreté des systèmes embarqués dans l’aviation, le ferroviaire, le médical ou le nucléaire ? C’est possible.

Lors de sa création en 2009, l’ANSII consacrait 80 à 85% de son activité aux administrations et services publics. Aujourd’hui, ce taux s’applique aux entreprises privées. Signe d’un changement profond des priorités de l’Etat face aux cyberattaques.

© Tor Hakon - Flickr - C.C.
A LIRE SUR LE MÊME SUJET

Virus Flame : que risquent les entreprises ?

Cybercriminalité : un nouveau virus ultra-puissant en circulation

Comment Total et Sanofi protègent leurs smartphones

"De nouvelles cyberattaques mettent de plus en plus en danger les industriels"

Les cyberattaques en progression en 2011 dans le monde