Les logiciels malveillants sont à l’affût de la moindre failles pour pénétrer et se propager dans les systèmes informatiques jusqu’à prendre le contrôle, perturber et bloquer le fonctionnement d’équipements industriels. La menace concerne toutes les entreprises qui peuvent cependant s’en protéger en menant une réflexion sur le sujet puis par la mise en pratique de règles simples.
La cybersécurité concerne toute entreprise quelle que soit sa taille et son activité. Des mesures d’ordre organisationnel permettent de se protéger de 80 % des risques.
Le guide “ La cybersécurité et les PME manufacturières ’’ en délivre l’arsenal complet. Alors que la sensibilisation des collaborateurs est primordiale, d’autres actions peuvent être mises en place pour garantir la production, protéger les données, sécuriser ses relations clients/fournisseurs, et développer des produits ou services connectés sécurisés.
Hélène Determe, responsable des partenariats au Cetim, synthétise les principales thématiques présentées dans ce guide.
SENSIBILISER LES COLLABORATEURS
Ce sont souvent les comportements individuels plutôt que les failles logicielles qui sont exploités pour installer des programmes malveillants, dérober des informations confidentielles… La vigilance et la sensibilisation régulière du personnel à certaines règles de base sont donc indispensables. Il est nécessaire d’adapter sa campagne de formation aux différents métiers de l’entreprise et de faire travailler ensemble et de manière décloisonnée les équipes autour des problématiques de sécurité.
Il est recommandé de former un ou plusieurs référents internes en cybersécurité, de mettre en place une charte de bonne conduite, de ne jamais faire confiance à un tiers inconnu (ne pas ouvrir les pièces jointes d’expéditeur inconnu), de renouveler fréquemment les identifiants d’accès, d’interdire les installations de logiciels sans autorisation préalable et supprimer toutes les applications inutiles, désactiver ou enlever les comptes par défaut, les ports (USB ou autres) et les supports amovibles inutilisés, les services web non indispensables, etc.
Il faut éviter d’employer les outils de supervision de production comme terminaux bureautiques. Il est indispensable de sauvegarder régulièrement données et logiciels sur des supports distincts et de mettre à jour les systèmes d’exploitation et les applications de sécurité.
GARANTIR LA PRODUCTION
Les équipements de production connectés ou non sont exposés aux attaques via par exemple la connexion d’une clé USB contaminée. La sécurisation des accès physiques ne suffit plus à s’en prémunir.
Il est indispensable de contrôler les accès via des mots de passe personnalisés, et de protéger l’accès physiques et numériques aux stations de développement SCADA, consoles de programmation, automates, terminaux portables…
Il est primordial d’établir une cartographie des flux d’informations, de les filtrer au moyen de pare-feu, et de tracer et analyser les échecs de connexion. Il faut séparer les réseaux (bureautique, ateliers, etc.) et les connexions entre les îlots de production. Il faut proscrire les configurations par défaut et les fonctionnalités inutilisées. Les accès à distance, les protocoles et fonctionnalités vulnérables et non sécurisés (serveur Web, NetBios, FTP,…) doivent être désactivés.
Seuls les logiciels indispensables doivent être installés. Les outils de développement doivent être écartés des serveurs de production ou des stations opérateurs. Tous les correctifs et les mises à jour logiciels doivent être systématiquement appliqués.
PROTÉGER SES DONNÉES
Avec la dématérialisation des documents, la préservation de la confidentialité des données sensibles est essentielle. Les solutions Cloud ouvertes au public sont souvent plus sûres que les développements « maison ».
Il convient toutefois d’être vigilant et de choisir le type d’hébergement en tenant compte de son besoin en terme de disponibilité, d’intégrité et de confidentialité. Les documents à archiver doivent être identifiés et leur conditions d’archivage définis selon leur nature. Les données sensibles doivent être cryptées.
Le processus de restauration des sauvegardes doit être régulièrement testé. Les sauvegardes doivent être déconnectées du système d’information et effectuées sur plusieurs supports physiques.
SÉCURISER SES RELATIONS
Les échanges numériques avec ses fournisseurs et ses sous-traitants constituent une vulnérabilité. Un cyber-attaquant peut parfois plus facilement arriver à ses fins via un sous-traitant moins protégé que l’entreprise cible.
Afin de conserver le niveau de sécurité requis, il est nécessaire pour une PME de s’assurer que ses sous-traitants répondent à des exigences de cybersécurité acceptables par rapport à celles qu’elle s’impose.
La relation avec les clients est dématérialisée dans de nombreux domaines : échanges financiers, documents contractuels, e-commerce… Dans ce contexte, les tentatives de fraudes par « ingénierie sociale » s’intensifient.
Les collaborateurs peuvent être contactés par un fraudeur se faisant passer pour leur responsable hiérarchique, afin d’exécuter un virement hors des procédures de vérifications usuelles. La dématérialisation des contractualisations requiert notamment des moyens appropriés tels que les signatures électroniques à valeur légale.
L’archivage des documents comptables et financiers dématérialisés doit par ailleurs répondre aux normes en vigueur (NF Z 42-013 ou ISO 14641-1).
SÉCURISER LES APPLICATIONS IOT
Les objets ou services connectés sont par nature exposés aux cyberattaques. Il faut donc s’assurer de la protection des clients, des tiers et de l’entreprise qui les commercialise. La diversité des protocoles d’échange utilisés complique la sécurisation.
Pour le développement d’applications IoT, il est cependant recommandé d’utiliser autant que possible des logiciels et des matériels standards, de prévoir des mécanismes de mise à jour logicielle déployable sur les objets, de limiter les communications au strict nécessaire et d’intégrer des mécanismes de chiffrement adaptés.
Il est également possible de faire certifier et auditer la conformité des produits et services par un tiers tel qu’un centre d’évaluation de la sécurité des technologies de l’information (CESTI). L’utilisation de composants de niveau CSPN (Certification de Sécurité de Premier Niveau) réduit également les risques.
Enfin, il peut s’avérer nécessaire de mettre en place des dispositifs de contrôle des fournisseurs de systèmes critiques et des sous-traitants qui interviennent dans la fabrication des produits.
LAISSEZ VOUS GUIDER
La cyber-sécurité est un sujet difficile à appréhender. C’est pourquoi, les Centres techniques industriels (CTI) ont cherché à mettre à disposition une réponse adaptée aux PME. Ensemble, ils ont produit un guide destiné aux chefs d’entreprise, décideurs et responsables de sites de production. Ce guide présente des mesures concrètes et pragmatiques pour initier une démarche dédiée et progresser pas à pas : d’abord être capable de mesurer les enjeux de sécurité numérique pour son entreprise et d’identifier les vulnérabilités et les risques, puis accéder à des outils pragmatiques pour sensibiliser ses collaborateurs, entrer progressivement dans une démarche de prise en compte de la sécurité numérique dans ses processus, ses outils et ses produits, et, enfin, faciliter le dialogue avec des prestataires de solutions en cybersécurité. Ce guide comporte trois parties. Il débute avec une description des enjeux dans une PME manufacturière, complétée de fiches pratiques avec des recommandations et une évaluation de leur mise en œuvre, et d’un glossaire des termes couramment utilisés dans le domaine de la cybersécurité. Pour construire ce document, les CTI ont mis à profit leur expérience de terrain auprès des PME manufacturières et ont sollicité l’expertise des membres de l’Alliance pour l’Industrie du Futur. Un consortium, coordonné par le Réseau CTI, a ainsi rassemblé les CTI Cetim, CTICM, FCBA, Cetiat, Cerib, IPC, ainsi que l’institut Mines-Telecom, Synthec numérique et le CEA.
