Inquiétante multiplication des cyber-incidents sur les installations industrielles

Avec la digitalisation tous azimuts, les sites industriels – spécialement ceux qui relèvent de l’importance vitale – sont exposés aux attaques des hackers et d’une nouvelle catégorie de criminels, les maîtres-chanteurs. Une attaque peut aller jusqu’à la destruction physique d’équipements voire, la création d’un préjudice humain. Il est temps de prendre la mesure du risque.


Le printemps 2017 a été riche de rebondissements en matière de sécurité informatique. A seulement quelques semaines d’intervalles entre mai et juin dernier, deux tentatives d’extorsion de fonds ont été entreprises à grande échelle en se servant de virus chiffrant les données stockées sur les machines infectées.

L’aspect quelque peu puéril de la démarche qui guide les auteurs de ransomwares – s’acquitter d’une somme donnée pour obtenir un code de déblocage – en a fait sourire plus d’un… à l’exception évidemment, des personnes directement touchées.

A y réfléchir de plus près, ces malversations se révèlent nettement plus inquiétantes qu’il n’y paraît. On peut en effet, douter de la réalité des intentions affichées par le ou les auteurs de ces opérations. S’il s’agissait de faire fortune, le fiasco est patent mais si les auteurs cherchaient à mesurer l’efficacité des méthodes de dissémination utilisées, le succès est en revanche, total.

Pour mesurer la réalité d’une menace, il convient de s’interroger sur la nature et la portée des dégâts qu’elle est en mesure d’achever. On peut évidemment craindre la pagaille qui peut résulter de la déconnexion d’un système de gestion mais une telle panne peut être corrigée en réinitialisant la machine fautive avant de réinstaller une sauvegarde de sa configuration opérationnelle. Tout va – presque – pour le mieux dans le meilleur des mondes du côté des services informatiques généraux.

Où ? Quand ? Comment ?

La situation n’est évidemment pas comparable si l’on porte le fer à l’intérieur d’un système d’information industriel, a fortiori s’il appartient à un opérateur d’importance vitale (OIV). Un incident quand bien même serait-il de courte durée, qui va toucher des équipements opérationnels (vannes, refroidisseurs, pompes, compresseurs, moteurs, régulateurs, etc.) peut aller jusqu’à endommager ces derniers, faire peser un risque sur les opérateurs, sur les populations alentour, sur l’environnement…

Depuis de nombreuses années, le Club de la sécurité de l’information français (Clusif) favorise les échanges d’idées et les retours d’expériences à travers des groupes et des espaces de travail, des publications ou encore, des conférences thématiques. L’un des points forts de l’association est précisément que les réflexions menées sur la cybersécurité s’élaborent au sein de groupes de travail spécialisés.

Par exemple, le groupe Scada créé en 2013, réunit des acteurs de la sécurité informatique du monde industriel comme des RSSI, des architectes, des éditeurs de logiciels et des consultants. Les objectifs du groupe sont d’échanger sur les pratiques en matière de cybersécurité des systèmes industriels, d’analyser les tendances actuelles et les évolutions réglementaires.

En 2016, le groupe s’est penché sur les enseignements à tirer des cas d’incidents et d’attaques survenus sur des systèmes industriels avec des conséquences plus ou moins graves selon les sites visés. Au printemps dernier, une synthèse de ce travail a été rédigée sous la forme d’une collection de fiches décrivant des attaques et des incidents réels survenus sur des équipements ou des installations situés un peu partout dans le monde.

Nous avons retenus les cas les plus emblématiques qui vont bien sûr, interpeller les RSSI mais aussi, tous les intervenants opérationnels comme les techniciens de maintenance, les intégrateurs, les chefs d’exploitation et bien sûr, les automaticiens.