État des lieux
La France compte environ 1300 sites SEVESO et tant de silos et autres installations agro-industrielles explosives. Combien voient leur système d’information industriel connecté, d’une manière ou d’une autre au réseau des réseaux, à Internet ?
C’est une réponse statistique que nous n’avons pas chez PiaLab. En revanche, d’expérience, nous avons pu constaté dans nos interventions que les systèmes d’information de plusieurs sites sont accessibles très largement dès lors qu’une personne a la simple connaissance d’une adresse IP publique. Autant dire qu’il existe des sites très sensibles, portant des risques environnementaux (à impact toxique, thermique et/ou de surpression) totalement ouverts, où chacun, avec un minimum de connaissances et d’audace, peux actionner boutons, manettes, robinets et autres pompes.
Sur le terrain
Nous avons constaté que ce risque industriel (porté par un risque informatique) est souvent isolé de la gestion des risques liés au système d’information « administratif » des entreprises. En effet, il n’est pas rare d’y trouver un DSI ou parfois un RSSI dont le périmètre des missions s’arrête à la porte des bâtiments administratifs et commerciaux.
« Le système d’information industriel, c’est l’exploitation qui gère ça. Le risque informatique par contre c’est moi et, regardez, notre PSSI est au carré, nous auditons régulièrement notre système, nos personnels sont formés, etc. »
Un client PiaLab, grand compte de l’agro-industrie
Au delà de nos expériences propres, soulignons quelques expériences passées afin d’envisager les conséquences éventuelles des cyberattaques en terme de production industrielle :
- La prise de contrôle à distance d’un tracteur de la marque John Deer est démontrée en octobre 2011 ;
- Maersk, le 1er groupe de logistique maritime, a été victime d’une gigantesque panne résultant d’une attaque en 2017, qui a fait école depuis et qui lui a coûté des centaines de millions de Dollars ;
- Triskalia indique en 2019 qu’elle a du faire face à « des incidents » ;
- Fleury Michon a été arrêtée 5 jours suite à une cyberattaque en 2019 ;
- Avril renforce sa sécurité informatique en 2021, pour essayer d’être pro-active sur le sujet ;
- Lactalis victime d’une cyberattaque en février 2021 ;
- JBS Foods est mis à genoux par un groupe malveillant en juin 2021, et paiera ensuite 11 millions de dollars de rançon ;
- Jean FLOC’H et DALLOYAU victimes à leur tour en novembre 2021 ;
Quelques enseignements à tirer
L’expérience de PiaLab serait-elle biaisée par manque de représentativité ? Elle prouve en tout cas que ce type de situation existe. La première bonne nouvelle dans tout cela est que, par bienveillance ou fainéantise, ces accidents industriels graves causés par un piratage informatique n’ont pas trouvé leur place dans la presse nationale. La seconde bonne nouvelle est donc qu’il est encore l’heure de s’en inquiéter et de prendre toutes les mesures nécessaires pour atténuer ce risque, à défaut de pouvoir le faire disparaître.
l’agro-terrorisme, né il y a près d’un siècle, entre maintenant dans l’ère du cyber-terrorisme ».
Stéphane Prévost sur le site de Stormshield
Les mots sont marquants, mais l’idée est juste.
Quant aux actualités trouvées par voie de presse, elles démontrent que la pression s’intensifie sur le secteur. Au regard de la récurrence qu’il est possible d’y trouver, il ne s’agit pas là d’une expérience isolée propre à PiaLab. Il s’agit d’une tendance de fond sur un risque réel. Si le risque informatique des services administratif et commercial semble dors et déjà envisagé voire couvert, celui du volet industriel semble encore bien négligé par rapport à ses impacts potentiels.
Mesures à prendre
PiaLab invite donc toutes les industries agroalimentaires, les coopératives du secteur, les acteurs de la cybersécurité, à intégrer le risque « cyber » dans leur gestion du risque industriel de leurs installations, et à intégrer le risque industriel dans leur gestion des risques cyber. Cette lacune est une énorme vulnérabilité pour nos territoires et le vivant qui les compose, générant risque démesuré ou en tous cas non-mesuré. Elle fait également porter un risque très fort aux entreprises elles-mêmes, et à leurs compagnies d’assurance qui ne manqueront pas de se désengager dès que cela sera possible. À date, nous les comprenons tant que ce sujet n’est pas (encore) traité professionnellement.
Au besoin, demandez à PiaLab conseils, formations et audits pour vous accompagner dans la consolidation de votre infrastructure industrielle et numérique.
Des ressources spécifiques
La revue de l’observatoire des IAA de juillet 2017 (Chambre Régionale d’Agriculture de Bretagne)
« Industrie agroalimentaire et cyberattaques : vers un choc systémique ? » (Stormshield)
Glossaire
Adresse IP: Internet Protocol, système d’adressage semblable aux adresses postales ou aux numéros de téléphone pour trouver un correspondant
DSI: Directeur du Système d’Information
RSSI: Responsable de la Sécurité des Systèmes d’Information
SEVESO: Classification des sites industriels présentant des risques d’accidents majeurs