Cybersécurité : les choses avancent

Plus de doute, la défense face aux pirates de tous crins est devenu une priorité pour tous, industriels comme pouvoirs publics. Un an après l’édition du guide de l’Anssi les initiatives se multiplient encore pour protéger les industriels et leurs données.

 

En 2014 comme en 2013, il ne se passe pas une semaine sans que l’on nous parle de sécurité informatique ! De fait, la cybersécurité est devenu une priorité pour les industriels et l’Etat. « On observe une véritable prise de conscience et des changements notables sont opérés. Les équipementiers renforcent la sécurité de leurs équipements, les utilisateurs comprennent la nécessité de sécurises leurs installations, on voit l’introduction de la cybersécurité dans certaines offres et l’Etat engage des actions importantes », note Stéphane Meynet, chef de projet sécurité des systèmes industriels à l’Agence nationale de la sécurité des systèmes d'information (Anssi). La dernière en date ? Selon la dernière mouture de la Loi de Programmation Militaire, les entreprises au caractère critique pour le bon fonctionnement de la Nation (on parle d’OIV, pour organismes d’importance vitale) devront bientôt faire preuve de leur capacité à résister à de potentielles cyber-attaques. Cette LPM renforcera la sécurité des systèmes critiques autour de quatre grands thèmes : obligation de déclarer les incidents, obligation de mettre en place des moyens de détection, contrôle par les services de l’Etat de l’installation et possibilité d’agir en cas de besoin. Ça bouge, donc…

 

Tout évolue

L’univers de la cybersécurité est encore très flou. « Quelle est la menace ? Je n’en sais rien », lançait ainsi Stéphane Meynet à la dernière réunion du Club Automation, consacrée à ce sujet. Mais une chose est sûre, « toute entreprise fera l’objet d’une attaque ciblée à un moment ou à un autre, explique-t-il. Si vous n’êtes pas attaqué, c’est que votre boîte ne vaut pas un clou ! » Et les techniques des pirates évoluent aussi. On parle ainsi désormais de pillage de données de façon totalement invisible, de demandes de rançons logicielles, qui consistent à vous infester avec un virus et à vous faire payer pour obtenir l’antidote, évidemment sans garantie de résultat… Certains pirates emploient également des techniques dites du « point d’eau ». Comme dans la savane, les cybercriminels, patients, empoisonnent un site que vous fréquentez souvent (votre point d’eau) plutôt que de s’attaquer directement à votre structure informatique.

Fort heureusement, « depuis 2010, les choses changent et le niveau de sécurité augmente dans les équipements », note Stéphane Meynet. Et au-delà de la LPM, l’Etat s’engage. Il a notamment récemment lancé un programme d’investissements d’avenir sur les moyens de sécurité et un plan de relance industrielle, le plan 33, dédié à la cybersécurité et dirigé par l’Anssi. Et un an après la sortie d’un premier « guide sur la cybersécurité des systèmes industriels », les travaux se poursuivent au sein de l’Agence. Le groupe de travail créé en février 2013 bûche désormais sur une classification des systèmes industriels et la création d’un label pour les produits et les prestations. Objectif : « labelliser, d’ici à deux ans, tous les nouveaux systèmes industriels critiques », annonce le chef de projet. L’Anssi se dirige ainsi vers une classification à trois niveaux et proposera des mesures adaptées à chacune des classes. Deux documents devraient donc bientôt être édités : l’un décrivant la méthode de classification et les mesures principales correspondantes, l’autre indiquant les mesures détaillées pour protéger les systèmes. Ensuite, « nous allons décliner le référentiel par secteur, labéliser des produits et des prestations. Nous sommes en début de réflexion », déclare Stéphane Meynet. Affaire à suivre…