Cyber OT : la prise de conscience du secteur industriel
Publié par Alain Clapaud le - mis à jour à
Les systèmes industriels s'ouvrent et s'exposent bien plus largement aux risques de cybersécurité que par le passé. À l'heure de leur transformation digitale, la stratégie du château fort ne tient plus.
Dans son rapport annuel sur l'état de la sécurité des systèmes industriels, Fortinet pointe une forte augmentation des tentatives d'intrusion en 2024. 31 % des industriels interrogés expliquent avoir détecté plus de six intrusions. Si le nombre de malware est en baisse, les attaques par phishing et par emails compromis sont très fréquentes.
De risque potentiel et très exceptionnel, une attaque sur un système industriel est devenue un risque systémique. « On observe une prise de conscience sur le fait que l'industrie regroupe aujourd'hui des activités numérisées et interconnectées. À ce titre, la question de la cybersécurité est devenue cruciale. On observe un rattrapage par rapport à un historique », soutient Nicolas Arpagian, vice-président Cybersecurity strategy & Digital risks au cabinet Headmind Partners.
Une forte interdépendance sur la supply chain
L'expert souligne qu'outre le poids de l'industrie dans l'économie, les entreprises sont souvent internationalisées, avec des supply chains intégrant de multiples acteurs, et travaillent sur des marges faibles. Or, quand un industriel se trouve immobilisé par un malware, les pertes économiques sont immédiates et une attaque peut potentiellement avoir des conséquences dans le monde physique... « Le concept d'interdépendance des acteurs s'applique particulièrement bien à RTE, puisque nous ne produisons rien, mais nous sommes extrêmement dépendants des fournisseurs d'énergie et des consommateurs », explique Xavier Carton, son RSSI. « Les niveaux de maturité en termes de résilience de ces acteurs sont très différents.
Une autre particularité de notre marché porte sur les échelles de temps : de quelques millièmes de seconde, pour réagir en cas d'incident sur le réseau, et de 10 à 15 ans pour les investissements », précise-t-il. Et de souligner qu'en cas d'incident majeur chez RTE, la lumière va immédiatement s'éteindre chez les abonnés, puis ce seront les télécoms et les hôpitaux quand ils arriveront au bout des capacités de leurs groupes électrogènes, ce qui se traduira par des pertes en vies humaines. Nicolas Arpagian pointe le retard des fournisseurs de technologies cyber vis-à-vis de ce marché OT (des technologies opérationnelles ou d'exploitation) très spécifique : « Comme il s'agissait d'un domaine économique moins numérisé, les industriels étaient moins attractifs pour les éditeurs de solutions de sécurité. Le jeu de l'offre et de la demande a fait que les éditeurs n'ont pas jugé utile d'investir dans des solutions propres au monde industriel. Il y a eu une phase où on a cherché à plaquer des solutions qui n'étaient pas issues du monde industriel. Or l'industrie a de fortes spécificités techniques. »
Les attaques sur l'IT rebondissent sur l'OT
Les industriels doivent muscler les défenses de leurs systèmes industriels, mais restent tout autant exposés aux attaques IT très classiques. C'est le souci de Loïs Samain, RSSI EDF Hydro : « On parle de plus en plus de cyberattaques contre les systèmes industriels, mais les vraies attaques spécifiques se comptent encore sur les doigts d'une main. Il s'agit majoritairement d'attaques sur l'IT qui rebondissent sur l'OT ; soit par un défaut dans l'architecture, soit une simple clé USB. On se souvient tous de l'attaque Stuxnet. Ce risque de rebond doit nous pousser à réfléchir à la façon dont on cloisonne ces systèmes, notamment avec l'arrivée du Cloud et des données industrielles qui vont sur AWS ou GCP. »
Ce risque de rebond est d'autant plus fort que les grands industriels travaillent avec des supply chains très intégrées, avec des sous-traitants et des prestataires qui collaborent et échangent des données via de multiples plateformes et applications. Philippe Verhé, Head of Managed Services chez Airbus Protect raconte les conséquences d'une cyberattaque sur un fournisseur de rang 2 qui a affecté la livraison des avions de ligne : « Le groupe Airbus est avant tout un intégrateur et, sur ce plan, la sécurité de la supply chain est capitale. Nous avons connu l'année dernière une attaque sur un fournisseur de rang 2 qui produit des équipements plutôt anodins et pas de haute technologie. L'attaque a paralysé sa chaîne de production. Or, travaillant à flux tendu, celui-ci n'a pu livrer notre fournisseur de rang 1 qui n'a pu nous livrer. Cela à eu un impact sur la chaine d'assemblage et, au final, un impact sur la livraison des avions. »
Les montants financiers de tels retards de livraisons sont conséquents, sans compter l'impact en termes d'image pour l'industriel... Si Airbus a mis en place des exigences cyber vis-à-vis de ses fournisseurs, le décalage entre le rythme cyber et celui des investissements OT reste criant. Il faudra des décennies pour sécuriser les grandes installations industrielles.
Témoignage - Loïs Samain, RSSI de EDF Hydro
« Que ce soit le nucléaire ou l'hydraulique, en tant que protecteur d'énergie, nous avons un lien avec le physique et il y a un risque qui pèse sur des vies humaines. Cela a un impact systémique sur comment on doit gérer notre production industrielle. Avant tout était physique et aujourd'hui tout se numérise. Ainsi, il y a deux ans apparaissait le premier automate virtualisé, une solution 100 % numérique. La question est aujourd'hui d'accompagner ces projets avec un nombre de vulnérabilités qui explose dans le milieu industriel essentiellement sur les anciens systèmes. On interconnecte des installations très anciennes et qui n'ont pas été conçues pour être décloisonnées. Il faut s'adapter pour travailler avec les métiers afin d'amener cette numérisation qui est essentielle, mais en la sécurisant. »
Propos recueillis lors du Cyber for Industry Day au Campus Cyber
Témoignage - Xavier Carton, RSSI de RTE
« On parle beaucoup de convergence IT/OT et il est vrai qu'auparavant, on pouvait avoir des systèmes industriels enfermés dans des châteaux forts et qui étaient protégés physiquement. La question de la cybersécurité ne se posait quasiment pas. Aujourd'hui, les postes de transformation doivent communiquer avec le dispatching et il faut communiquer des données aux acteurs de marché qui ont besoin de connaitre en temps réel l'état du réseau pour faire du trading, etc. Enfin, il y a aussi le problème du cycle de vie des matériels. Le cycle de vie des matériels industriels est de 10 à 15 ans contre 3 à 5 ans maximum dans le monde de l'IT... »
Propos recueillis lors du Cyber for Industry Day au Campus Cyber