Les sites de production sont de plus en plus connectés et deviennent donc une cible privilégiée pour les cyber-attaques. La cyber-attaque WannaCry en est un bon exemple puisqu’il n’a pas seulement bloqué des centaines de PC, mais aussi paralysé de nombreux sites de productions. En France, Renault a été touché et a dû arrêter sa production de voitures durant deux jours.
Des dizaines d’usines sont touchées par des cyberattaques, mais la plupart ne rendent pas ces incidents publics. Pourtant, les conséquences financières d’une telle attaque peuvent être considérables.
On arrive à l’industrie 4.0 ou l’industrie du futur, qui désigne une nouvelle génération d’usines connectées et intelligentes qui permettront une nouvelle façon d’imaginer les moyens de production. Dans le futur, les acteurs de l’entreprise, les machines et les produits pourront interagir.
Des usines de plus en plus connectées et vulnérables
La plupart des usines ont intégré l’informatique dans tout le processus de la commande à la production mais ont négligé la cybersécurité.
Les logiciels ERP (Enginereed Ressource Planner) qui permettent le pilotage de l’entreprise concentrent dans un même logiciel et base de données, les fonctionnalités nécessaire à la gestion commerciale, la gestion comptable, la gestion des stocks et communiquent avec les systèmes MES (Manufacturing Execution System) qui permettant la gestion des processus industriels, et collectent en temps réel les données de production d’une partie ou de toute l’usine. Elles permettent un contrôle et un suivi de la production, de la qualité, de la maintenance.
Ainsi, un virus ciblé pour l’information de gestion peut se propager beaucoup plus loin.
Il peut aussi souvent arriver dans une usine qu’un correctif de sécurité soit retardé jusqu’à la prochaine opération de maintenance programmée pour ne pas devoir stopper la production.
Quelles attaques ?
L’attaque par dénis de service ou DDoS, distributed denial of services, vise à rendre innaccessible un serveur par l’envoi de multiples requêtes jusqu’à le saturer ou par l’exploitation d’une faille de sécurité afin de provoquer une panne. Ainsi, dans une usine, un cybercriminel peut repérer un accès internet non sécurisé, accessible depuis l’extérieur qui débouche sur le réseau informatique de l’usine et peut inonder de requête la station d’un opérateur. Par ce biais, il peut la rendre inopérante.
Il arrive aussi que les cybercriminels s’attaquent à la messagerie de l’entreprise. Par exemple, un salarié de l’entreprise ouvre un mail et clique sur la pièce jointe infectée d’un virus. Ce dernier pourra se propager et infecter le réseau informatique de l’industrie.
Un employé mal intentionné pourra aussi utiliser ses droits d’accès au réseau de manière malveillante et rendre inopérant le système industriel.
Enfin, on peut imaginer qu’un salarié ou prestataire utilise une clé USB pour, par exemple, formater un nouvel automate. Si elle contient un programme malveillant, il pourra y avoir d’importants problèmes de production.
Ces attaques peuvent être très coûteuse pour l’usine victime qui en plus du préjudice matériel, subi un préjudice d’image.
Affaires médiatisées
Diverses affaires de cyberattaques ont été médiatisées et ont provoqués de graves problèmes sur certains sites.
En 2010, l’affaire Stuxnet nous à fait découvrir ce virus qui ciblait les centrifugeuses de la centrale de Natanz. La vitesse des centrifugeuses a été modifié entrainant leur destruction.
Le virus s’attaque aux systèmes SCADA (Supervisory Control and Data Acquisition).
Il est introduit par des clés USB infectées et contamine ensuite d’autres ordinateurs.
Le ver est complexe et l’attaque nécessite de grandes connaissances en procédés industriels et failles de Windows.
En 2015, une cyberattaque a produit une panne d’énergie généralisée à Kiev. Un logiciel malveillant sophistiqué était en cause qui a été dénommé « Industroyer ». Cette menace a été la plus importante depuis Stuxnet. C’est un malware spécifiquement pensé pour les équipements constituants les réseaux électriques dans le but de provoquer des pannes d’électricité. Les cybercriminels ont exploité le décalage entre des protocoles mis au point il y a des décennies, dans un monde ou l’industrie n’était pas connectée.
Enfin, en 2017, la plus grande attaque de type rançon-logiciel a causé des dommages à des centaines de milliers de machines informatiques sur toute la surface du globe. Une fois installé sur un ordinateur, le logiciel malveillant chiffre le contenu pour le rendre inaccessible à son propriétaire et réclame une rançon de 300 dollars, en bitcoins, pour le déverrouiller. Ce qui distingue Wannacry des autres rançonslogiciels, qui sont très courants, c’est la rapidité de sa diffusion. Les conséquences ont été assez graves, de grandes entreprises tels que Renault ont connus des perturbations sur leurs chaines de productions et plusieurs sites de production français ont été a l’arrêt.
Wannacry s’est appuyé sur deux failles de sécurité de Microsoft Windows.
Conseils
La sensibilisation aux cyberattaques dans le monde industriel progresse et les acteurs prennent conscience des risques et des conséquences financières qui résultent de ces attaques.
Pour éviter les cyberattaques, il est important de cloisonner les différents réseaux et d’utiliser des pare-feux.
Il faut également penser à un processus de décontamination des clés USB avant toute connexion ou éviter d’en utiliser.
Les salariés doivent générer des mots de passe complexes et il faut une véritable gestion des droits d’accès.
Enfin, il est indispensable de disposer de données de sauvegardes pour pouvoir redémarrer complètement le site après une cyberattaque.
Pour le futur, la cybersécurité doit être prise en compte dès la conception. Nous nous dirigeons vers une évolution vers l’industrie 4.0 qui embarqueront des mécanismes de protection des données avec des outils tels que le chiffrement ou encore l’authentification.
Pour conclure, nous pouvons dire que l’industrie du futur porte de forts enjeux en matière de cybersécurité.
Sophie FOISSET
M2 Cyberjustice Promotion 2018-2019
