Rien d’illogique : sur le terrain, l’impact maximal est devenu l’obsession des attaquants. Les systèmes les plus sensibles, notamment industriels, attirent les convoitises. Compte-tenu des failles de sécurité engendrées par les conditions de télétravail généralisé du fait de la crise COVID, des cryptowares repensés pour saboter l’informatique industrielle sont redoutés pour le second semestre. Leur magnitude potentielle dépassera vraisemblablement celle des premières générations d’attaques de ce type (Stuxnet), avec un coût de mise en œuvre qui restera très faible pour les attaquants.

Dans « la vraie vie », Lubrizol nous a rappelé récemment les impacts d’une perte de contrôle et d’un manque de préparation dans le monde industriel. Les grands accidents industriels (AZF, Fukushima…) nous incitent tous à la modestie face à l’impensable et pointent systématiquement notre manque de préparation.
Le monde de la cybersécurité échappe-t-il à cela ? Aucune raison de le penser.

Une Exposition croissante des SI industriels

Les attaques sont désormais pensées pour altérer le fonctionnement des entreprises et provoquer une nuisance maximale. Avec 18% des demandes d’indemnisation des polices de cyber assurances en 2019, les cryptowares deviennent l’un des premiers fléaux. Ces attaques conjuguent 2 caractères : mise en œuvre facilitée et dommages colossaux.

Une mise en œuvre ciblée des cryptowares avec une finalité de sabotage sur des SI industriels, c’est un pas de plus vers l’inacceptable. Car si les impacts financiers peuvent être intenables pour une entreprise, des impacts environnementaux ou humains le sont pour la société toute entière.
La perspective de ce type d’attaques, distribuées en masse, donne déjà des sueurs froides aux constructeurs d’équipements dont la fiabilité est vitale pour les personnes (avions, voitures, signalisation routière…). Mais il s’invite aussi de plus en plus dans l’esprit des dirigeants d’industries sensibles.

Les vecteurs de ces attaques d’ampleur existent déjà (Ekans, Snake : base d’une nouvelle génération de cryptowares) et ont un potentiel de nuisance plus large que les précurseurs de type Stuxnet. En clair, ces attaques sont en préparation pour causer le maximum de dégâts au plus grand nombre d’installations industrielles. Ceux qui les ont conçus ont répété leurs gammes ces dernières années et vont très certainement profiter des vulnérabilités engendrées par l’éclatement des organisations de travail ces dernières semaines pour s’introduire dans les systèmes.

Dans les modèles de risques, ces scénarios doivent s’inviter de toute urgence. Ils portent une probabilité forte et un impact maximal. Chacun doit prendre les mesures conservatoires nécessaires, afin d’être préparé au pire et en réduire les conséquences.

Des obligations réglementaires

Un contexte réglementaire s’impose déjà aux acteurs industriels pour éviter le pire. Il est très structuré en France et en Europe, voire même trop selon certaines entreprises. Mais il a pour avantage, pris en référence par la cybersécurité, de donner un cadre de référence.

Ces référentiels, se traduisent par des plans de prévention des risques industriels à l’échelle des groupes, et des « études de danger » au niveau local. Ces déclinaisons des principes de protection sont notamment en lien avec :

– La directive européenne Seveso 3, revue en 2012 et transposée dans chaque pays. Elle fixe des exigences élevées pour les sites industriels avec un lien fort entre chaque site industriel et les autorités administratives et civiles locales. Avec plus de 1300 sites classés Seveso (seuil haut et seuil bas) la France n’est pas en reste. Les sites doivent notamment être armés pour informer et protéger les populations locales. La directive vise à réduire les accidents majeurs impliquant des matières dangereuses.

– La loi Risques, promulguée en France en 2003, post traumatisme AZF, approfondit ce dispositif avec une logique de contrôle renforcée sur les moyens de sécurité mis en œuvre. Elle est centrée sur des « analyses de danger » spécifiques au contexte local, visant les populations comme les salariés. Les inspections par les autorités sont centrales. Cette loi mise aussi sur la capitalisation avec la base de données ARIA qui fédère les événements, et reste, à date, très pauvre en incidents d’origine cyber (quelques événements sur plus de 40.000).

– La LPM qui vise les OIV (Opérateurs d’Importance Vitale) dont une proposition significative comprend des sites industriels. Le niveau d’exigence pour la cybersécurité est significativement réhaussé pour la détection des compromissions, et la réponse à incident sous l’angle cyber. Ce cadre de référence n’est pas centré sur la réduction des désastres humains ou environnementaux.

La cybersécurité s’est fortement invitée via la LPM dans les SI industriels. Mais pas sous l’angle de la réduction des conséquences physiques ou environnementales des sinistres cyber. Seveso, Risques et LPM restent donc en partie disjointes. Il y a un angle mort à traiter, celui des conséquences d’un accident cyber industriel.

Répondre à un accident cyber industriel

Les accidents industriels sont quasi systématiquement la cause d’un enchaînement d’une cause principale et de facteurs aggravant. Et parmi ces facteurs aggravants, il y en a un qui est particulièrement critique : la perte de contrôle de l’IT et par conséquent de l’accès aux informations sensibles d’un site.

Nous pouvons identifier 4 impératifs qui s’imposent aux responsables et pour lesquels des capacités informatiques minimales et des informations à jour sont indispensables.

Impératif 1 : Accéder aux procédures et des données de sécurité/sûreté

Les procédures de réponse à un accident industriel (mise en sécurité des équipements, échanges avec les autorités, etc…) sont toujours un double système : SI et papier. Un accident industriel provoqué par une attaque cyber peut rendre inaccessibles ces procédures. Or, leur accessibilité doit être garantie en amont dans un système autonome, invulnérable et à jour. En complément bien sûr d’informations essentielles comme la liste des personnes présentes sur site.

Impératif 2 : Avoir les états de production, d’expédition et de stock à jour

Il a été reproché à Lubrizol, entre autres, de ne pas pouvoir donner l’état des stocks de matières dangereuses en quantité et en nature de produit. Les données traçant des matières dangereuses, issues en général des SCM, doivent être mise à l’abris, au fil de l’eau, dans un système (cluster) de séquestre inattaquable. Ces données doivent être accessibles dès les premières secondes d’un accident. Elles concernent toutes les étapes des cycles de vie des produits, de la matière première à l’expédition, en passant par la fabrication ou l’entreposage.

Impératif 3 : Pouvoir coordonner l’action de terrain

En cas d’attaque cyber locale et ciblée, l’hypothèse doit être prise que plus aucun outil informatique ne fonctionne. Postes de travail, applications et environnements d’ICS seront les premières cibles. Un site industriel qui ne dispose ni d’un système autonome pour coordonner ses équipes, ni des informations vitales évoquées subira plus violemment l’attaque et ses conséquences.

Impératif 4 : Redémarrer le plus vite possible une fois l’attaque neutralisée

Pour redémarrer suite à une attaque cyber, les sauvegardes et back-up sont indispensables mais leur mise en œuvre demande souvent des prérequis : moyens de travail opérationnels, informations techniques (plans de configuration, scripts de redémarrage, bases de référence IOT…), procédures de secours à jour, etc… L’entreprise doit disposer d’un Plan de Reprise Informatique rendu immune à des attaques qui paralysent aussi bien les systèmes nominaux que les systèmes de secours.

Cet article peut être prolongé sur chaque dimension qu’il aborde, l’impréparation à traiter les conséquences d’un « cyber accident industriel » est trop élevée en France comme dans de nombreux pays. Il convient de rappeler à chaque décideur de Groupe industriel que, par-delà l’exigence réglementaire, il est de sa responsabilité de mobiliser d’urgence des moyens de réponse adaptés à ce type d’accident. Il est vital de s’assurer, en toutes circonstances, d’un accès aux données essentielles pour la mise en sécurité de chaque site industriel, et de pouvoir coordonner les équipes et leurs relations avec les autorités. Passer de mieux protéger à mieux résister est une priorité.
*Cryptoware : logiciel de chiffrement de données à but de déstabilisation ou de rançon