En 2016, une usine de production d’eau potable est attaquée par des hackers qui prennent le contrôle de l’exploitation pour modifier les process de traitement chimique. Cet exemple est un marqueur dans l’industrie de l’eau et montre la vulnérabilité potentiel des systèmes SCADA.
La gestion de l’eau en France fait d’ailleurs aujourd’hui partie des 12 secteurs d’activités identifiés comme d’importance vitale.
Comment se protéger des cyber-risques et cyber-attaques ?
Pour éclairer le sujet, nous reproduisons ici, avec leur autorisation, l’interview réalisée par actuouest.fr de Arnaud Gressel, Expert en Cyber Assurance, CEO de RESCO Courtage.
Ils sont très nombreux.
Cela va du ransomware (extorsion) capable de paralyser la totalité du système informatique, à l’espionnage dans des secteurs exposés, en passant par la transmission de virus et le vol de données. Les hackers ne sont jamais à court d’imagination. Ils ont même souvent un temps d’avance.
Ajoutez à cela qu’aujourd’hui, le RGPD rajoute un risque juridique d’amende potentiellement très lourde. Le sujet ne peut plus être traité à la marge au niveau des TPE/PME. Derrière ces risques cyber, c’est leur pérennité même qui est en jeu.
L’autre intérêt de ma spécialisation en sûreté, c’est que ces sujets sont interconnectés : par exemple, il est vivement déconseillé de partir dans certains pays du monde avec un PC portable contenant des données. Elles pourraient fuiter avant d’avoir passé la douane !
La prise de conscience progresse, mais moins vite que les profits de la cyber criminalité. On a vu début 2019 une demande de rançon cyber d’un montant inégalé d’1M€, je pourrais vous citer également une récente « fraude au président » de 19 M€ en France. D’autant plus que la prise de risque est limitée pour les hackers malveillants, ciblant nos entreprises et administrations depuis l’étranger.
Ce qui est certain c’est qu’en 2017, les attaques NotPetya et Wanacry ont fortement mobilisé l’attention du public. Et que 2018 a augmenté le niveau de conscientisation des décideurs avec le RGPD.
Il reste cependant beaucoup à faire sur les TPE et PME. La grande majorité ne sont pas assurées contre ces risques, et sont plus ou moins bien protégées.
Le sujet de la protection contre les risques cyber reste une affaire de spécialistes, c’est pour cela que je me suis entouré de partenaires de très haut niveau dans ce domaine. Cela rend l’approche plus passionnante encore.
Ce qui est certain, c’est que meilleure sera la protection du risque, meilleures seront les conditions d’assurance. L’assureur prendra en compte les systèmes de protection tels que les pare-feux et les anti-virus, les mesures de protection en place telles l’organisation des sauvegardes, la gestion des mots de passe, et bien sûr l’effort de sensibilisation et de formation.
La formation des personnels aux bons usages informatiques est même primordiale dans un domaine où une seule erreur peut coûter très cher à toute l’organisation.
Aujourd’hui oui, c’est pourquoi il faut raison garder sur le sujet. Les cyber criminels progressent, mais le niveau de réponse aussi, et très vite.
Des outils sont à disposition du grand public tout d’abord, tel https://haveibeenpwned.com qui permet à chacun de savoir si son adresse mail a été compromise (NDLR : site en anglais, voir les explications en français ici). Les acteurs de la cyber sécurité ont également des moyens pour rechercher des informations volées dans le dark web.
Cela fait d’ailleurs parti des services d’assistance dont on dispose dans un contrat d’assurance contre les risques cyber.
Comportements à risque ou non, on peut malheureusement être la cible d’attaques malveillantes et c’est là que la cyber résilience s’applique.
La vocation de RESCO Courtage, courtier en assurance, est d’aider les entreprises et les organisations à se protéger contre tout type de malveillance.
S’agissant de la menace cyber, mon rôle est d’aider les entreprises à identifier les principales menaces auxquelles elles sont exposées, à faire le diagnostic des couvertures éventuellement en place, et à rechercher pour elles le meilleur niveau d’assurance au meilleur prix. Car contrairement aux idées reçues, faire appel à un courtier ne coûte pas plus cher, il fait jouer la concurrence entre les assureurs.
A titre personnel, j’ai suivi également une formation très poussée délivrée par l’INHESJ sur le thème de la Protection des Entreprises et de l’intelligence économique.
De prendre le sujet très au sérieux. Contre l’incendie, les entreprises sont équipés d’extincteurs, de sprinklers… Et pourtant elles s’assurent !
Face à la menace cyber, qui est pourtant le risque numéro 1, moins de 10% des TPE et PME sont assurées. Essentiellement par méconnaissance.
Un contrat de « cyber assurance » vient compléter le dispositif en place (protection/sensibilisation) par un volet assistance de haut niveau pour faire face à la crise (experts IT, avocats, conseil en communication de crise), une couverture responsabilité civile adaptée, la prise en charge de la perte d’exploitation, et des garanties spécifiques selon les offres telles que le remboursement de la rançon ou des amendes RGPD.
Le coût d’une police d’assurance contre les risques cyber est pour 90 % des entreprises inférieur au prix d’une seule journée d’intervention d’un expert en gestion de crise cyber. Lorsque les dirigeants en prennent conscience, ils n’hésitent plus longtemps.
L’autre intérêt de ce type d’assurance, c’est tout simplement de pouvoir justifier auprès de ses clients et partenaires que l’entreprise a pris les devants afin d’être résiliente face à cette menace. On voit d’ailleurs se développer l’exigence de produire des attestations d’assurance cyber pour participer à certains marchés.
(source infographie de Usine Nouvelle)
Un pirate repère un accès internet non sécurisé accessible depuis l’extérieur qui débouche sur le réseau informatique industriel de l’usine. Il choisit d’inonder de requêtes la station de contrôle et de supervision de l’opérateur. Elle devient inopérante. L’usine ne peut plus piloter sa production.
Pour des raisons d’ergonomie et pour faciliter l’arrivée des appareils nomades, les ateliers sont parfois connectés à travers un réseau sans fil. S’il n’est pas suffisamment sécurisé, un pirate peut s’infiltrer dans le réseau depuis l’extérieur de l’entreprise et ainsi accéder à des secrets de fabrication.
Un salarié au siège de l’entreprise ouvre un e-mail et clique sur la pièce jointe infectée. Il active en fait un code malveillant. Grâce aux connexions entre l’informatique de gestion et de production, le virus va se propager et pouvoir infecter le réseau informatique industriel.
Le sabotage peut avoir une origine interne. Un salarié corrompu ou en froid avec son employeur, et disposant de droits d’accès importants sur le réseau, peut rendre inopérant une partie du système informatique industriel. L’attaque peut entraîner l’arrêt de la production.
L’usine n’a pas besoin d’être connectée pour subir une cyberattaque. Lors d’une phase de maintenance, le prestataire charge, grâce à sa clé USB, un nouveau programme dans l’automate. Si le programme est malveillant, il peut faire tourner les équipements industriels à des cadences anormales entraînant leur détérioration voire leur destruction.
Merci de lire notre Déclaration de confidentialité avant de donner votre email.
Service du Premier ministre travaillant en liaison étroite avec le Président de la République, le secrétariat général de la défense et de la sécurité nationale (SGDSN) assiste le chef du Gouvernement dans l’exercice de ses responsabilités en matière de défense et de sécurité nationale. Il est chargé de l’animation et de la coordination interministérielles.
Découvrez comment la fusion révolutionnaire du carbone et de l’argent pur dans une poudre innovante offre une solution de purification d’eau sans précédent, tout en explorant l’importance vitale de garantir la qualité de notre approvisionnement en eau.
Vous vous êtes déjà interrogés sur le potentiel énergétique dormant dans les flux d’eau de votre réseau urbain ? Découvrez comment le turbinage émerge comme une solution ingénieuse pour convertir l’excès de pression en une source d’énergie renouvelable.
Visualisez toutes les Capsules ITW filmées au #CGLE 2024 par l’équipe Monreseaudeau.fr.
Pour recevoir nos articles et actualités, abonnez-vous à notre newsletter mensuelle :
Le podcast sur l'eau, ses infrastructures et ses acteurs