En mai 2021, les réseaux de pipelines de la société américaine Colonial Pipeline ont essuyé une attaque cyber. Les assaillants n’avaient pas d’accès physique aux gazoducs et n’étaient probablement même pas dans le pays au moment où ils ont orchestré les faits. Identifiés comme étant le gang DarkSide, les cyberattaquants ont pris en otage les systèmes de contrôle numérique qui commandaient les réseaux de pipelines de l’entreprise.
Pour recouvrer l’accès à ses propres systèmes, la société Colonial Pipeline a initialement versé 75 bitcoins, soit l’équivalent de 4,4 millions de dollars, à DarkSide. Heureusement, un mois plus tard le département de la Justice américain a pu récupérer près de 2,3 millions de dollars sur la somme versée en cryptomonnaies aux rançonneurs.
On parle d’attaque par rançongiciel ou ransomware pour désigner le type d’attaque menée contre Colonial Pipeline. Mais cela ne représente que l’une des nombreuses armes de l’arsenal dont disposent les cybercriminels pour déstabiliser des sites et complexes industriels.
La frappe cyber la plus emblématique sur l’un de ces sites remonte à 2 015 et visait une centrale ukrainienne de la société régionale de distribution d’électricité Ukrainian Kyivoblenergo. L’attaque sur ses systèmes informatiques et systèmes de contrôle et d’acquisition de données en temps réel – dits « systèmes SCADA » (Supervisory Control And Data Acquisition) – avait provoqué la déconnexion de 30 sous-stations pendant trois heures. Jusqu’à 230 000 usagers avaient alors été privés d’électricité, soit près de la moitié des foyers dans la région d’Ivano-Frankivsk en Ukraine (qui compte environ 1,4 million d’habitants). L’arme du cybercrime : un malware du nom de BlackEnergy.
Des sites transformés par le numérique
Les technologies digitales ont fait leur apparition dans les installations industrielles dès les années 1960. L’invention de l’automate programmable industriel et le développement des systèmes SCADA ont permis à l’activité manufacturière de profiter de la puissance de l’automatisation. Avec l’utilisation de circuits intégrés, la mise en œuvre de systèmes d’automatisation est devenue plus facile, plus simple et plus abordable. L’essor d’Internet, de la technologie des réseaux et du cloud computing a ensuite transformé les sites automatisés en installations pilotées par la data.
La nouvelle phase de l’histoire industrielle, baptisée industrie 4.0, fait des technologies de l’information la couche de base de l’infrastructure opérationnelle. Des machines et capteurs connectés à Internet (l’Internet des objets ou IoT) enregistrent et collectent toutes les informations à connaître sur le fonctionnement d’un site de production. Avec le flot continu de données et l’infrastructure numérique, la gestion des installations dans l’industrie d’aujourd’hui nécessite une multitude de technologies numériques.
Cybervulnérabilité des sites industriels
La transformation numérique des sites industriels présente de nombreux avantages qui se traduisent par des gains d’efficacité opérationnelle et des réductions de coûts. Mais elle s’accompagne aussi de vulnérabilités liées à la dépendance de ces sites aux infrastructures numériques. Avant que le numérique prédomine, on ne pouvait qu’accéder physiquement aux actifs fixes et aux opérations d’un établissement. Le malfaiteur qui voulait en découdre avec une installation et une entreprise devait se livrer à des manœuvres directes et physiques. Face à ce mode d’attaque très visible, se défendre est assez simple.
Le fait d’être dépendant des systèmes numériques change la donne et ouvre la porte à de nombreux vecteurs d’attaque susceptibles d’être exploités. On appelle vecteur d’attaque une opportunité, un chemin, un scénario ou une méthode qu’un cybercriminel peut exploiter afin d’accéder aux systèmes numériques d’une organisation. Le nombre de vecteurs d’attaques croît avec l’augmentation du nombre de dispositifs numériques. Dans une usine, l’IoT fait, certes, dote certes l’ensemble des dispositifs de capacités numériques et réseau, qui sont autant de brèches potentielles pour une cyberattaque. De même, le stockage centralisé des données dans le cloud présente une autre vulnérabilité.
Les responsables de sites d’hier n’avaient à se préoccuper que de la gestion des actifs fixes, des opérations de maintenance et de l’intégrité physique des installations qu’ils supervisaient. Les installations modernes ont toutefois multiplié les difficultés pour ces facility managers qui doivent désormais se soucier aussi de la cybersécurité de l’installation.
Aujourd’hui, le responsable de site doit savoir défendre son site contre les cyberattaques, prévoir les redondances pour la reprise après sinistre et savoir remettre les installations en route après une attaque cyber. Or, la multitude de moyens à la disposition des cyberattaquants ne fait que compliquer sa mission.
Amélioration de la sécurité des installations
La posture de sécurité d’une installation correspond à l’état de sécurité global de tous ses dispositifs, réseaux, logiciels, et des personnes présentes. La posture de cybersécurité est une évaluation de la capacité d’une organisation ou d’une installation à prévenir les cyberattaques et à s’en remettre. Pour garantir la sûreté des opérations, la posture de sécurité d’une installation doit être robuste et s’appuyer sur des principes fondamentaux solides.
De nombreuses mesures peuvent être prises par les responsables de sites pour améliorer la posture de cybersécurité de leur installation. Voici une liste, non exhaustive, des principales actions de renforcement de cette posture.
- Audit régulier de la sécurité des actifs IT, y compris ceux liés à l’IoT.
Cette mise en lumière des vulnérabilités des installations permet ensuite de créer une feuille de route afin de les corriger.
Cartographie des vecteurs d’attaque potentiels sur l’unité de production. Cette opération permet de mieux comprendre les risques de cybersécurité auxquels le site est exposé.
Mise en place de systèmes permettant de contrôler tous les actifs en temps réel. Face aux difficultés rencontrées pour surveiller d’importantes quantités de dispositifs et vecteurs d’attaque, l’utilisation de solutions intégrant des algorithmes d’apprentissage automatique est indispensable.
Identification et résolutions des faiblesses technologiques du système IT. Dans la plupart des cas, ces lacunes se matérialisent sous la forme de systèmes redondants, de matériels et de logiciels obsolètes. Les systèmes informatiques doivent aussi être mis à jour.
Formation régulière du personnel aux fondamentaux de la cybersécurité et aux principes de base pour les interactions en ligne. Les collaboratrices et collaborateurs représentent l’une des vulnérabilités les plus couramment exploitées par les hackers.
Dans les structures modernes conformes aux normes de l’industrie 4.0, les responsables de sites exercent un rôle de plus en plus difficile à tenir. Les progrès technologiques apportent, d’un côté, de nombreux avantages en termes de productivité et d’efficacité. Mais de l’autre, la mise en œuvre de technologies sur plusieurs niveaux et appareils fait le jeu de ceux qui cherchent à nuire.
Les responsables de sites doivent être de plus en plus conscients des risques de cybersécurité auxquels leur installation est confrontée. Pour être efficace, la gestion d’un site est devenue pluridisciplinaire et voit le poids de la cybersécurité croître de jour en jour. Mais avec une planification et une prévision précises des tendances et des événements, la mission n’a rien d’impossible.
Ces faits ne font qu’illustrer la nécessité pour les responsables de sites industriels d’élargir leur rôle. Au-delà de la gestion d’équipe, leur mission est vouée à se développer encore davantage à l’avenir !
