De plus en plus exposés aux risques numériques, nos clients, autorités organisatrices des transports et exploitants de systèmes de transports, ont pris conscience de l’importance de se prémunir contre les cyberattaques, mais ne savent pas toujours quelle démarche entreprendre…
La cybersécurité se définit comme l’ensemble des mesures de protection, techniques et non techniques, qui permettent à un système d’information de résister à des événements susceptibles de compromettre la disponibilité, l’intégrité, la confidentialité, ou les preuves associées (identité, authenticité, traçabilité), des données stockées, traitées ou transmises. Dès 2008, le livre blanc sur la défense et la sécurité nationale a établi que la cybersécurité est un enjeu majeur. Les cyberattaques se sont fortement intensifiées. Des groupes organisés, mais aussi des Etats, contribuent directement à cette évolution en diffusant volontairement ou involontairement des outils qui peuvent être étudiés, modifiés, réutilisés et combinés.
Bien que la cybersécurité soit souvent réduite à sa composante technique, il est crucial de l’appréhender comme une démarche globale qui ne dépend pas seulement de mesures techniques mais, pour une part égale, de mesures organisationnelles : sensibilisation, formation, procédures, organisation, politique… Il faut également souligner que la cybersécurité ne consiste pas à appliquer à tous, de manière indiscriminée, des mesures contraignantes. Il s’agit d’une approche réfléchie qui, en fonction des enjeux, permet de trouver le juste équilibre entre protection et contrainte. Il faut garder à l’esprit que la sécurité absolue n’existe pas, et se préparer avec soin aux conséquences d’une attaque réussie. Quelques grands principes doivent guider toute démarche en matière de cybersécurité. On peut notamment citer :
- La sécurité à la source (secure by design), il s’agit de s’assurer que, dès les premières étapes de la réflexion sur un nouveau projet, la cybersécurité est déjà au cœur des préoccupations.
- La défense en profondeur, qui repose sur la superposition de couches de sécurité permettant, selon la détermination et les moyens des attaquants, de les dissuader, ou au moins de ralentir leur progression jusqu’aux zones les plus critiques.
- La cyber-résilience : la capacité d’une organisation à minimiser les impacts d’une attaque sur son activité nécessite une organisation de l’activité qui permette d’assurer la continuité et le retour à un fonctionnement nominal après une attaque.
L'industrie, un secteur sensible aux cybermenaces.
Les systèmes industriels sont exposés à ces risques même lorsqu’ils ne sont pas connectés à Internet. Apparu en 2010, le ver informatique Stuxnet a réussi à détruire un grand nombre de centrifugeuses dans un centre iranien d’enrichissement d’uranium, alors que le réseau informatique de ce site était physiquement isolé du reste du monde. Cette attaque est la preuve tangible que nos pires craintes sur la sécurité des installations sensibles peuvent se matérialiser. On pourrait également parler des pompes endommagées dans des stations d’épuration aux Etats-Unis en 2011, des coupures d’électricité en Ukraine en 2015 et 2016, des arrêts d’exploitation de pipeline aux Etats-Unis en 2018... Ce ne sont malheureusement pas les exemples qui manquent.
Les systèmes industriels sont donc tout autant concernés par les enjeux de la cybersécurité, et probablement même davantage, que les autres systèmes d’information. En effet, les industries ont intégré le numérique au fur et à mesure des évolutions technologiques, sans vision globale, parfois sans expertise technique suffisante dans les technologies de l’information, en interconnectant des systèmes hétérogènes avec comme soucis majeurs la productivité, l’efficacité et la sûreté, mais rarement la sécurité. Il revient donc aux directions générales des entreprises concernées de prendre la mesure des enjeux et d’assumer des politiques volontaristes visant à renforcer la sécurité des systèmes industriels en attribuant les moyens matériels, financiers, organisationnels et humains nécessaires.
Pour aider les acteurs de l’industrie, peu familiers avec les méthodologies et les techniques de gestion de la cybersécurité qui sont plus répandues dans les domaines de l’informatique traditionnelle ou de la banque, les organismes de normalisation et de standardisation se sont penchés sur les spécificités de la cybersécurité industrielle. Leurs efforts ont abouti, à partir de 2009, à la publication des premiers volumes d’un ensemble de documents techniques de référence : l’IEC 62443. Certains composants de cette norme sont encore en cours de rédaction mais les principaux concepts sont maintenant bien établis : politique de sécurité, menaces, risques, mesures de sécurité, maturité, zones de sécurité, niveaux de sécurité… et servent de socles aux approches propres à chaque métier spécifique. On peut noter également le travail de vulgarisation de l’ANSSI (autorité nationale en matière de cybersécurité et de cyberdéfense), avec la publication de guides dédiés qui permettent d’accéder facilement à l’analyse et à la définition des principales mesures nécessaires.
