Analyse des risques cyber dans l'industrie

L’arrivée de l’internet industriel a exposé les sites aux cyberattaques. Pour y faire face, la cybersécurité doit être pleinement intégrée dans les méthodes d’analyse des risques en environnement industriel.

Les risques inhérents aux sites industriels peuvent être classés en une dizaine de catégories en se basant sur les normes liés au secteur impacté. Ainsi, dans ces catégories, il existe les risques liés aux chutes ou à la manutention, les risques chimiques, biologiques, les risques d’incendie, les risques sismiques, les risques électriques et d’autres encore. Cette identification claire des risques permet une gestion précise de la façon dont ils peuvent être identifiés et donc mitiger si besoin pour assurer la sécurité industrielle.

L’internet industriel a ouvert les systèmes industriels à l’extérieur, les exposant aux cyberattaques

L’arrivée de l’internet industriel depuis une quinzaine d’années a largement complexifié la problématique de la gestion des risques industriels en rajoutant un nouveau risque. En effet, bien qu’il ait permis une plus grande efficacité des systèmes de contrôle industriel, l’internet industriel a eu pour contrepartie de les avoir connectés à l’extérieur. Cette nouvelle fonctionnalité d’interconnexion des systèmes industriels a donc ajouté un nouveau risque : les cyberattaques. Ce risque fait le lien entre la security : risques portant sur le système d’informations industriel venant de sources externes ; et la safety  : risques que fait porter l’activité industrielle sur les personnes et l’environnement.
Les cyberattaques sont d’autant plus redoutables pour les systèmes industriels qu’ils n’ont pas été nativement conçus pour se protéger contre de telles menaces. A l’origine fabriqués pour fonctionner de manière isolée, ils ont en plus des cycles de vie extrêmement longs (20 ans, voire plus), ce qui rend leur évolutivité et leur adaptabilité complexe, voire impossible à réaliser sans remplacement de matériel.
Et pourtant, l’internet industriel implique que les systèmes de contrôle industriels se protègent des cyberattaques au même titre que les systèmes d’information de gestion. C’est pour cela qu’il est plus que nécessaire d’inclure la menace “cybersecurity” sur l’environnement industriel dans les analyses de risques.

Le nécessaire rapprochement des automaticiens et des informaticiens pour lutter contre les cyberattaques

Pour ce faire, il est nécessaire de continuer l’amélioration des méthodes de gestion des risques des technologies opérationnelles en gardant le retour d’expériences des experts du monde de l’IT. Le problème est que les automaticiens et les informaticiens n’ont ni les mêmes méthodes de travail, ni le même vocabulaire, ni pour habitude de communiquer ensemble. Ainsi, alors que les automaticiens sont préoccupés par les notions de sûreté, de fiabilité ou de capteurs, les informaticiens se concentrent de leur côté sur la disponibilité du réseau, son intégrité, la capacité du serveur, etc. C’est donc à une véritable révolution des mentalités qu’il faut travailler.
Les systèmes industriels ne peuvent cependant pas être sécurisés de la même façon que les systèmes d’information de gestion. Les risques ne sont pas les mêmes. Une attaque contre un système d’information de gestion aura pour conséquence malheureuse des vols de la destruction / divulgation / falsifications de données, de quoi faire fermer des entreprises. Une attaque contre un réseau industriel, quant à elle, peut avoir des conséquences désastreuses sur l’environnement et le public.
De plus, il faut adapter les mesures de cybersécurité développées pour les systèmes de gestion aux impératifs de sûreté (“safety”) et de continuité de fonctionnement des systèmes industriels de type SCADA. Ces mesures sont mises en place après une analyse des risques, il est donc nécessaire de faire évoluer cette analyse.

Une méthode de gestion des risques en environnement industriel basée sur la notion de criticité de la menace

Patrice Bock, spécialiste de la cybersécurité industrielle, recommande sur son blog de démarrer une analyse des risques en environnement de production industrielle de deux manières :

  • soit en établissant une liste des zones – au sens des normes IEC 62443 –  à protéger, comme cela se fait en sécurité des systèmes d’information classique ;
  • soit en partant d’une analyse des failles de cybersécurité et en analysant les zones qui peuvent ainsi être attaquées.

La solution ICS CyberVision de Sentryo vous permet d’ailleurs de suivre ces recommandations.

Quelle que soit l’approche choisie, l’auteur recommande de trier les risques selon un ordre de priorité ou de criticité, lequel est calculé en multipliant l’impact
d’une cyberattaque par la probabilité qu’elle arrive.

Cette analyse d’impact devra s’appuyer sur un référentiel adapté à la cybersécurité industrielle. Ce qui signifie qu’en plus des risques liés à l’information, il faut prendre en compte les risques liés à l’infrastructure de production, à la capacité de production, à l’environnement ou encore aux personnes. Le responsable gestion des risques verra ainsi son métier évoluer et devra s’adapter à ces changements. Il s’agit là d’une analyse standard mais en environnement industriel on fait en sorte de caler les échelles sur les autres analyses de risque afin de gérer les risques cyber comme les autres.

 

Le risque cyber est aujourd’hui tellement important qu’il est régulièrement cité comme la première menace pour les groupes industriels, devant le risque terroriste et celui représenté par les catastrophes naturelles. Il représente une telle menace que les compagnies d’assurance se penchent très sérieusement sur le sujet et que la direction France d’AGCS n’hésite pas à dire que « le cyber va devenir une branche essentielle de l’assurance dans les 15 ans à venir ».

Crédit photo : Fotolia / © red150770