En 2016, une usine de production d’eau potable est attaquée par des hackers qui prennent le contrôle de l’exploitation pour modifier les process de traitement chimique. Cet exemple est un marqueur dans l’industrie de l’eau et montre la vulnérabilité potentiel des systèmes SCADA.

La gestion de l’eau en France fait d’ailleurs aujourd’hui partie des 12 secteurs d’activités identifiés comme d’importance vitale.

Comment se protéger des cyber-risques et cyber-attaques ?

Comment se protéger des cyber-risques et cyber-attaques ?

Pour éclairer le sujet, nous reproduisons ici, avec leur autorisation, l’interview réalisée par actuouest.fr de Arnaud Gressel, Expert en Cyber Assurance, CEO de RESCO Courtage.

 

Quels sont les risques et les menaces auxquels les entreprises sont potentiellement exposées sur le web dans le cadre de leur activité ?

Ils sont très nombreux.

Cela va du ransomware (extorsion) capable de paralyser la totalité du système informatique, à l’espionnage dans des secteurs exposés, en passant par la transmission de virus et le vol de données. Les hackers ne sont jamais à court d’imagination. Ils ont même souvent un temps d’avance.

Ajoutez à cela qu’aujourd’hui, le RGPD rajoute un risque juridique d’amende potentiellement très lourde. Le sujet ne peut plus être traité à la marge au niveau des TPE/PME. Derrière ces risques cyber, c’est leur pérennité même qui est en jeu.

L’autre intérêt de ma spécialisation en sûreté, c’est que ces sujets sont interconnectés : par exemple, il est vivement déconseillé de partir dans certains pays du monde avec un PC portable contenant des données. Elles pourraient fuiter avant d’avoir passé la douane !

A relire :

L'internet des objets face au RGPD

Les entrepreneurs, de l’indépendant au patron de TPE ou PME voire ETI ont-ils vraiment conscience de ces risques ?

La prise de conscience progresse, mais moins vite que les profits de la cyber criminalité. On a vu début 2019 une demande de rançon cyber d’un montant inégalé d’1M€, je pourrais vous citer également une récente « fraude au président » de 19 M€ en France. D’autant plus que la prise de risque est limitée pour les hackers malveillants, ciblant nos entreprises et administrations depuis l’étranger.

Ce qui est certain c’est qu’en 2017, les attaques NotPetya et Wanacry ont fortement mobilisé l’attention du public. Et que 2018 a augmenté le niveau de conscientisation des décideurs avec le RGPD.

Il reste cependant beaucoup à faire sur les TPE et PME. La grande majorité ne sont pas assurées contre ces risques, et sont plus ou moins bien protégées.

 

Comment se protéger ? Adopter de bonnes pratiques préventives ? Lesquelles ?

Le sujet de la protection contre les risques cyber reste une affaire de spécialistes, c’est pour cela que je me suis entouré de partenaires de très haut niveau dans ce domaine. Cela rend l’approche plus passionnante encore.

Ce qui est certain, c’est que meilleure sera la protection du risque, meilleures seront les conditions d’assurance. L’assureur prendra en compte les systèmes de protection tels que les pare-feux et les anti-virus, les mesures de protection en place telles l’organisation des sauvegardes, la gestion des mots de passe, et bien sûr l’effort de sensibilisation et de formation.

La formation des personnels aux bons usages informatiques est même primordiale dans un domaine où une seule erreur peut coûter très cher à toute l’organisation.

 

Y-at’il un moyen de savoir si ses noms de domaine, ses adresses mails ou son entreprise sont compromises sur le Dark Web ?

Aujourd’hui oui, c’est pourquoi il faut raison garder sur le sujet. Les cyber criminels progressent, mais le niveau de réponse aussi, et très vite.

Des outils sont à disposition du grand public tout d’abord, tel https://haveibeenpwned.com qui permet à chacun de savoir si son adresse mail a été compromise (NDLR : site en anglais, voir les explications en français ici). Les acteurs de la cyber sécurité ont également des moyens pour rechercher des informations volées dans le dark web.

Cela fait d’ailleurs parti des services d’assistance dont on dispose dans un contrat d’assurance contre les risques cyber.

 

Qu’est-ce qu’une étude de “Cyber assurance” ?

Comportements à risque ou non, on peut malheureusement être la cible d’attaques malveillantes et c’est là que la cyber résilience s’applique.

La vocation de RESCO Courtage, courtier en assurance, est d’aider les entreprises et les organisations à se protéger contre tout type de malveillance.

S’agissant de la menace cyber, mon rôle est d’aider les entreprises à identifier les principales menaces auxquelles elles sont exposées, à faire le diagnostic des couvertures éventuellement en place, et à rechercher pour elles le meilleur niveau d’assurance au meilleur prix. Car contrairement aux idées reçues, faire appel à un courtier ne coûte pas plus cher, il fait jouer la concurrence entre les assureurs.

A titre personnel, j’ai suivi également une formation très poussée délivrée par l’INHESJ sur le thème de la Protection des Entreprises et de l’intelligence économique.

La promesse de RESCO Courtage c’est d’être en veille sur la menace, l’environnement et les différents types de solutions d’assurance.

 

Que couvrent les assurances face à ces risques ? Quels conseils leur donneriez-vous ?

De prendre le sujet très au sérieux. Contre l’incendie, les entreprises sont équipés d’extincteurs, de sprinklers… Et pourtant elles s’assurent !

Face à la menace cyber, qui est pourtant le risque numéro 1, moins de 10% des TPE et PME sont assurées. Essentiellement par méconnaissance.

Un contrat de « cyber assurance » vient compléter le dispositif en place (protection/sensibilisation) par un volet assistance de haut niveau pour faire face à la crise (experts IT, avocats, conseil en communication de crise), une couverture responsabilité civile adaptée, la prise en charge de la perte d’exploitation, et des garanties spécifiques selon les offres telles que le remboursement de la rançon ou des amendes RGPD.

Le coût d’une police d’assurance contre les risques cyber est pour 90 % des entreprises inférieur au prix d’une seule journée d’intervention d’un expert en gestion de crise cyber. Lorsque les dirigeants en prennent conscience, ils n’hésitent plus longtemps.

L’autre intérêt de ce type d’assurance, c’est tout simplement de pouvoir justifier auprès de ses clients et partenaires que l’entreprise a pris les devants afin d’être résiliente face à cette menace. On voit d’ailleurs se développer l’exigence de produire des attestations d’assurance cyber pour participer à certains marchés.

Cinq scénarios de cyberattaque que peuvent subir les usines

(source infographie de Usine Nouvelle)

Attaque par déni de service

Un pirate repère un accès internet non sécurisé accessible depuis l’extérieur qui débouche sur le réseau informatique industriel de l’usine. Il choisit d’inonder de requêtes la station de contrôle et de supervision de l’opérateur. Elle devient inopérante. L’usine ne peut plus piloter sa production.

Attaque via les réseaux sans fil

Pour des raisons d’ergonomie et pour faciliter l’arrivée des appareils nomades, les ateliers sont parfois connectés à travers un réseau sans fil. S’il n’est pas suffisamment sécurisé, un pirate peut s’infiltrer dans le réseau depuis l’extérieur de l’entreprise et ainsi accéder à des secrets de fabrication.

Attaque par la messagerie d’entreprise

Un salarié au siège de l’entreprise ouvre un e-mail et clique sur la pièce jointe infectée. Il active en fait un code malveillant. Grâce aux connexions entre l’informatique de gestion et de production, le virus va se propager et pouvoir infecter le réseau informatique industriel.

Attaque par un employé mal intentionné

Le sabotage peut avoir une origine interne. Un salarié corrompu ou en froid avec son employeur, et disposant de droits d’accès importants sur le réseau, peut rendre inopérant une partie du système informatique industriel. L’attaque peut entraîner l’arrêt de la production.

Attaque de l’automate par clé USB

L’usine n’a pas besoin d’être connectée pour subir une cyberattaque. Lors d’une phase de maintenance, le prestataire charge, grâce à sa clé USB, un nouveau programme dans l’automate. Si le programme est malveillant, il peut faire tourner les équipements industriels à des cadences anormales entraînant leur détérioration voire leur destruction.

Pour aller plus loin, recevez par email la plaquette sur la sécurité des activités d’Importances Vitales éditée par le SGDSN :

Merci de lire notre Déclaration de confidentialité avant de donner votre email.

LA SÉCURITÉ DES ACTIVITÉS D’IMPORTANCE VITALE

Service du Premier ministre travaillant en liaison étroite avec le Président de la République, le secrétariat général de la défense et de la sécurité nationale (SGDSN) assiste le chef du Gouvernement dans l’exercice de ses responsabilités en matière de défense et de sécurité nationale. Il est chargé de l’animation et de la coordination interministérielles.

Fil d'actualités

Comment rester en contact avec l'actualité des réseaux d'eau ?

Comment rester en contact avec l'actualité des réseaux d'eau ?


La solution ? La newsletter mensuelle Monreseaudeau.fr !
 
Nous publions, à chaque fin de mois, 10 fois dans l'année, une newsletter qui informe des dernières actualités et tendances de l'industrie de l'eau potable, de l'assainissement et des eaux pluviales.

Pour compléter votre veille de marché, nous vous proposons aussi de recevoir une alerte dès qu'un article publié sur notre site porte sur votre centre d'intérêt principal.

Profitez gratuitement de notre travail et suivi du marché !





Votre abonnement a été bien pris en compte

Aller à la barre d’outils