Plus de doute, la défense face aux pirates
de tous crins est devenu une priorité pour tous, industriels comme pouvoirs
publics. Un an après l’édition du guide de l’Anssi les initiatives se
multiplient encore pour protéger les industriels et leurs données.
En 2014
comme en 2013, il ne se passe pas une semaine sans que l’on nous parle de
sécurité informatique ! De fait, la cybersécurité est devenu une priorité
pour les industriels et l’Etat. « On observe une véritable prise de conscience
et des changements notables sont opérés. Les équipementiers renforcent la
sécurité de leurs équipements, les utilisateurs comprennent la nécessité de
sécurises leurs installations, on voit l’introduction de la cybersécurité dans
certaines offres et l’Etat engage des actions importantes », note Stéphane
Meynet, chef de projet sécurité des systèmes industriels à l’Agence nationale
de la sécurité des systèmes d’information (Anssi). La dernière en date ? Selon
la dernière mouture de la Loi de Programmation Militaire, les entreprises au
caractère critique pour le bon fonctionnement de la Nation (on parle d’OIV,
pour organismes d’importance vitale) devront bientôt faire preuve de leur
capacité à résister à de potentielles cyber-attaques. Cette LPM renforcera la
sécurité des systèmes critiques autour de quatre grands thèmes :
obligation de déclarer les incidents, obligation de mettre en place des moyens
de détection, contrôle par les services de l’Etat de l’installation et
possibilité d’agir en cas de besoin. Ça bouge, donc…
Tout évolue
L’univers de
la cybersécurité est encore très flou. « Quelle est la menace ? Je
n’en sais rien », lançait ainsi Stéphane Meynet à la dernière réunion du
Club Automation, consacrée à ce sujet. Mais une chose est sûre, « toute
entreprise fera l’objet d’une attaque ciblée à un moment ou à un autre,
explique-t-il. Si vous n’êtes pas attaqué, c’est que votre boîte ne vaut pas un
clou ! » Et les techniques des pirates évoluent aussi. On parle ainsi
désormais de pillage de données de façon totalement invisible, de demandes de
rançons logicielles, qui consistent à vous infester avec un virus et à vous
faire payer pour obtenir l’antidote, évidemment sans garantie de résultat…
Certains pirates emploient également des techniques dites du « point
d’eau ». Comme dans la savane, les cybercriminels, patients, empoisonnent
un site que vous fréquentez souvent (votre point d’eau) plutôt que de
s’attaquer directement à votre structure informatique.
Fort
heureusement, « depuis 2010, les choses changent et le niveau de sécurité
augmente dans les équipements », note Stéphane Meynet. Et au-delà de la
LPM, l’Etat s’engage. Il a notamment récemment lancé un programme
d’investissements d’avenir sur les moyens de sécurité et un plan de relance
industrielle, le plan 33, dédié à la cybersécurité et dirigé par l’Anssi. Et un
an après la sortie d’un premier « guide sur la cybersécurité des systèmes
industriels », les travaux se poursuivent au sein de l’Agence. Le groupe
de travail créé en février 2013 bûche désormais sur une classification des
systèmes industriels et la création d’un label pour les produits et les
prestations. Objectif : « labelliser, d’ici à deux ans, tous les
nouveaux systèmes industriels critiques », annonce le chef de projet.
L’Anssi se dirige ainsi vers une classification à trois niveaux et proposera
des mesures adaptées à chacune des classes. Deux documents devraient donc
bientôt être édités : l’un décrivant la méthode de classification et les
mesures principales correspondantes, l’autre indiquant les mesures détaillées
pour protéger les systèmes. Ensuite, « nous allons décliner le référentiel
par secteur, labéliser des produits et des prestations. Nous sommes en début de
réflexion », déclare Stéphane Meynet. Affaire à suivre…
