Le réseau d’oléoducs de la société Colonial Pipeline, l’un des acteurs les plus importants aux Etats-Unis pour le transport d’essence et de diesel, a été touché par une cyberattaque le 7 mai dernier. La société a été contrainte de stopper son activité de distribution tout un week-end avant de pouvoir rouvrir progressivement ses services.
Cela sonne comme un signal d’avertissement sur la vulnérabilité de ce type de réseaux. L’attaque a d’ailleurs été prise au sérieux au plus niveau de l’Etat américain : Joe Biden, le président des Etats-Unis, a souhaité que les mesures de renforcement en cybersécurité s’appliquant déjà aux réseaux électriques soient rapidement étendues aux réseaux de transport de gaz naturel et d’eau.
Attaque sur une station d'épuration
Il ne s’agit pas de la première infrastructure critique attaquée aux Etats-Unis. En février dernier, une cyberattaque avait ciblé une station d’épuration d'Oldsmar, une ville de 15 000 habitants en Floride. En prenant le contrôle de certains automates industriels, des pirates avaient pu modifier dangereusement le niveau de soude caustique dans l’eau. Heureusement, la vigilance des employés avait permis de repérer et stopper l’opération en cours.
Ces cyberattaques interrogent une nouvelle fois sur la vulnérabilité et le niveau de protection des infrastructures industrielles critiques. La sécurisation de l’informatique industrielle, celle qui permet de faire tourner les usines, devient critique. "Les systèmes industriels sont aujourd’hui fortement informatisés et interconnectés avec les systèmes d’information classiques, voire avec Internet. À ce titre, ils sont exposés aux mêmes menaces, avec des conséquences potentiellement plus graves", souligne en préambule le guide de l’Anssi (l'agence nationale des systèmes d’informations) sur la cybersécurité industrielle.
Sécuriser les automates industriels comme les PC
Comment protéger les usines et les infrastructures vitales pour la nation ? Tout d’abord, il faut reconnaître le caractère sensible des opérateurs d’infrastructures critiques du point de vue du risque cyber. La France a été pionnière dans ce domaine en contraignant par la loi les opérateurs d’importance vitale (dont beaucoup sont opérateurs d’infrastructure critique) à élever leur niveau de cybersécurité en respectant les meilleurs standards de sécurité informatique et en les obligeant à s’équiper de systèmes de détection des cyberattaques. L’objectif est dorénavant d’élargir ce dispositif à un nombre plus large d’acteurs dont l’activité est considérée comme essentielle pour la nation.
Le risque plus grave du sabotage
Les offreurs de solutions de sécurité numérique poursuivent leurs efforts et adaptent leurs dispositifs pour protéger les automates industriels connectés comme on protège les PC. Les chercheurs ont également lancé des programmes spécifiques sur la sécurité informatique industrielle notamment à base d’intelligence artificielle.
Il y a clairement urgence. D’autant plus qu’au-delà de réclamer une rançon comme dans le cas de Colonial Pipeline, les pirates pourraient se livrer à des actes de sabotage industriel bien plus graves. La menace est loin d’être virtuelle. Dès 2019, Guillaume Poupard, patron de l’Anssi, confiait que des réseaux sensibles étaient attaqués par des organisations de bon niveau préparant clairement des capacités futures de sabotage, de destruction et d’extinction de réseaux informatiques critiques.
