0

Votre panier



TOTAL HT
TOTAL TTC

[T2 - MAÎTRISE DES RISQUES]

Interview


Aujourd’hui, les Rendez-vous majeurs donnent la parole à François MASSÉ, Responsable de l'unité Quantification des Risques et Evaluation des Barrières de l’Ineris, pilote avec l’ANSSI du débat T2 - [Maîtrise des risques] : Quelles conséquences d’une cyber-attaque sur un site à risques ?

Quels sont les risques d’une cyber-attaque ?


Chaque progrès s’accompagne de nouveaux risques. Le développement des systèmes d’information et leur entrée dans la gestion des éléments de contrôle et de sécurité constitue un bénéfice évident en termes d’efficacité, de suivi et de performance. Mais un nouveau danger en découle : la cyber-attaque de sites à risques.

Les installations industrielles utilisent des automatismes de contrôle-commande pour leur conduite, leurs systèmes de sécurité et dans la gestion d’accidents majeurs. Leur dysfonctionnement ou leur indisponibilité peut donc avoir des conséquences physiques avec des impacts humains ou matériels potentiels. Elles peuvent amener à arrêter des installations, avec des conséquences locales ou nationales. Elles peuvent entrainer un fonctionnement en mode dégradé, la perte de systèmes essentiels à la maîtrise des risques, etc.



D’où viennent ces failles ?


Aujourd’hui, les systèmes de contrôle industriels sont connectés. Il s’agit d’une évolution majeure et positive, mais aussi d’une possible source de vulnérabilités. Il y a quelques années, ces systèmes reposaient sur des protocoles peu connus et peu susceptibles d’être attaqués. Désormais, ils utilisent des protocoles standards et offrent des vulnérabilités similaires à celles de systèmes informatiques. Par ailleurs, les installations industrielles sont de plus en plus dépendantes de ces technologies pour leur fonctionnement et leur sécurité.

La fiabilité de ces systèmes est un sujet bien connu depuis de nombreuses années. En revanche, leur cybersécurité est pour l’heure moins bien maîtrisée. Cette question demande d’élargir le périmètre de l’analyse : on ne s’intéresse plus uniquement aux éléments de terrain (automates, capteurs, actionneurs), mais on doit prendre en compte les éléments avec lesquels ils interagissent (systèmes informatiques avec lesquels ils communiquent mais aussi différents intervenants en conception, exploitation et maintenance), et cela aussi bien sur les couches matérielles que logicielles. C’est en effet par le biais de ces interactions que vont émerger des vulnérabilités potentiellement exploitables par un attaquant malveillant.



D’où peut provenir le danger ?

La maîtrise de la cybersécurité demande également de s’intéresser à l’état de la menace, et donc aux attaquants potentiels, à leurs moyens, aux objectifs qu’ils peuvent chercher à atteindre et aux vulnérabilités exploitables.

Historiquement les menaces pesant sur les systèmes industriels étaient principalement du fait d’organisations à fort moyens souvent associées de prêt ou de loin à des acteurs étatiques. De ce fait, les attaques visant ce type d’infrastructures critiques étaient rares et mobilisaient des moyens importants : hautes technicités et moyens humains importants. Ces attaques étaient souvent associées à des considérations géopolitiques. C’est typiquement le cas de l’attaque Stuxnet (2011) visant des infrastructures d’enrichissement d’uranium en Iran. Ce premier exemple médiatisé d’une attaque visant à provoquer des dommages sur un site industriel est peu représentatif des risques auxquels sont exposés la majorité des installations.



Quelles sont les grands types d’attaques existantes ?


On pourrait différencier principalement quatre :

1 - Les attaques non ciblées de type Malware
Il s’agit de diffusion de virus, comme Petya et Not Petya (2017), conduisant à bloquer certains systèmes, voire la production de sites industriels. Not Petya a ainsi provoqué l’arrêt de plusieurs infrastructures portuaires gérées par Maersk, infligé des pertes de données et de production à Saint Gobain pour un montant estimé de 384 millions de dollars, et rendu inopérant le suivi informatique de la radioactivité dans la zone de Tchernobyl.

2 - Les attaques ciblées avec des visées pécuniaires (Big Game Hunting)
Attaques réalisées par des groupes organisés et disposant de compétences variées mais avec une contrainte de rentabilité. Exemples de rançongiciels visant des installations industrielles (NorskHydro) ou hospitalières par exemple. Le malware Trisis ciblant des automates de sécurité Triconex peut également entrer dans cette catégorie.

3 - Les attaques visant des infrastructures critiques
Attaques de types APT (Advanced Persistent Threat) mettant en œuvre des moyens importants et sur le long terme. Par exemple l’attaque BlackEnergy sur les infrastructures de distribution électrique en Ukraine en 2015 et 2016.

4 - Les attaques visant à provoquer des dommages matériels et humains
Bien que moins fréquentes, ces cyberattaques doivent être prises en compte. Dans ce registre, on peut citer l’attaque sur une station de potabilisation en Floride (2021) ou celle visant des automates de sécurité Triconex (Trisis, 2017).

Face à ces risques, il apparait nécessaire que les industriels mettent en œuvre des mesures de protection adaptées. Des exigences réglementaires existent au niveau français pour les Opérateurs d’Importance Vitale (LPM) et européen pour les opérateurs de services essentiels (Directive NIS). Pour les industriels non soumis à ces réglementations, de nombreuses normes et référentiels sont en cours de développement. L’Etat et la commission européenne contribuent à développer des solutions notamment au travers de la stratégie nationale d’accélération pour la cybersécurité publiée en février 2021.

Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI)


L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est un service français créé par décret en juillet 2009. Elle est rattaché au secrétaire général de la défense et de la sécurité nationale (SGDSN), autorité chargée d'assister le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale. Son rôle vise à de faciliter une prise en compte coordonnée, ambitieuse et volontariste des questions de cybersécurité en France.

L'agence assure la mission d'autorité nationale en matière de sécurité des systèmes d'information. À ce titre elle est chargée de proposer les règles à appliquer pour la protection des systèmes d’information de l'État et de vérifier l'application des mesures adoptées.

Dans le domaine de la défense des systèmes d'information, elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques, notamment sur les réseaux de l'État. ».

L’ANSSI apporte son expertise et son assistance technique aux administrations et aux entreprises avec une mission renforcée au profit des opérateurs d’importance vitale (OIV).

Elle est chargée de la promotion des technologies, des produits et services de confiance, des systèmes et des savoir-faire nationaux auprès des experts comme du grand public. Elle contribue ainsi au développement de la confiance dans les usages du numérique.

Son action auprès de différents publics comprend la veille et la réaction, le développement de produits pour la société civile, l’information et le conseil, la formation ainsi que la labellisation de produits et de prestataires de confiance.