La différence entre les années 90 et aujourd’hui ? Internet, la multiplication des échanges et l’interconnexion des réseaux qui ont ouvert la brèche à une cyber délinquance experte et hétérogène menaçant jusqu’aux systèmes industriels les plus vitaux. Pour faire face, les entreprises et l’Etat français s’arment pour mieux se protéger.  Cybercriminalité, espionnage, sabotage, « la sécurité informatique n’est plus un sujet d’expert, c’est un sujet qui doit être considérée au plus haut niveau des entreprises car il y va de leur survie » énonçait encore récemment Guillaume Poupard, Directeur Général de l’ANSSI* En effet, dernière ces attaques, ce sont des enjeux financiers [plusieurs milliards détournés selon l’ANSSI] et de sûreté nationale dont il s’agit.

Systèmes d’Information vs. Systèmes Industriels 

Alors que les Systèmes d’Information, dits de gestion (messageries électroniques, systèmes RH,…) traitent l’information à caractère plus « administratif », les Systèmes Industriels quant à eux, permettent d’assurer les processus métier, le pilotage des installations, la régulation des procédés, l’acquisition et le traitement des données d’exploitation en temps réel, ou horodatées. 

Haute disponibilité, mise à disposition immédiate des données ou rapidité des temps de réponse ; les infrastructures informatiques des Systèmes Industriels qui incluent de nombreux équipements (automates programmables industriels, logiciels de contrôle-commande et de supervision, et autres systèmes embarqués, etc.) doivent s’astreindre à de fortes exigences techniques et informatiques.

Paradoxalement, alors que ces derniers relèvent d’enjeux économiques et de sécurité majeurs comme ceux des opérateurs d’importance vitale (OIV) dans les secteurs du transport, de l’énergie ou de la production d’eau potable, ces systèmes d’information restent encore aujourd’hui les parents pauvres de la sécurité informatique. Plus isolés, souvent différents et plus complexes que les systèmes de gestion, ils se sont longtemps cru protégés, puisqu’autonomes, voire indépendants. C’était sans compter la transformation des organisations exigeant de plus en plus de passerelles d’un système à l’autre, et l’ouverture des échanges vers l’extérieur via Internet. 

Pourtant, les systèmes d’information industriels ne sont pas en reste en matière de vulnérabilité. Parmi les nombreux cas d’attaque, on peut citer celui du virus STUXNET en 2010 : introduit involontairement par un employé d’un site nucléaire iranien, il aurait retardé le programme du pays de près de 2 ans. Transmis par le biais d’une simple clé USB, le programme complexe s’est propagé en quelques heures depuis l’ordinateur d’un ingénieur, puis sur Internet, et finalement dans le monde entier. 

De la Loi de Programmation Militaire à la Cybersécurité

Conscient que ces failles menacent tout autant les intérêts nationaux, le gouvernement français a intégré la lutte contre les cybermenaces dans sa Loi de Programmation militaire de 2013. Ce n’est cependant qu’en 2015 que deux décrets d’application ont converti des recommandations en véritables réglementations pour les systèmes d’information industriels des OIV.

Les impacts pour ces opérateurs sont majeurs tant d’un point de vue organisationnel que technique. Audit des systèmes existants, mise en place de mesures de protection préventive, gestion des situations de crise, maintien en conditions opérationnelles, prévention et formation,… La mise en œuvre de ces prescriptions est estimée à 5% des coûts d’exploitation des infrastructures techniques**. Un effort financier important mais qui doit, en théorie, rester inférieur à l’impact maximal d’une cyber-attaque. 

* Agence Nationale de la Sécurité des Systèmes d’Information
** Selon l’Institut national des hautes études de la sécurité et de la justice.

Contact projets SI et Cybersécurité chez SUEZ Smart Solutions : michel.reveniault@suez.com