La multiplication des attaques informatiques illustre la nécessité de protéger les systèmes d’une entreprise, dont ceux destinés à la production. Mais comment contrer efficacement les cybercriminels ?
« Il faut considérer l’entreprise non pas comme un tout, mais comme un ensemble de technologies, explique James Cabe, directeur des alliances techniques chez ZPE Systems, une firme basée à Fremont en Californie. En fait, il existe deux grandes familles de systèmes : le contrôle et les données. »
Pourquoi cet expert en cybersécurité fait-il cette distinction ? Parce que l’accès à ces deux types de technologies est complètement différent. Pour les systèmes de contrôle, comme ceux qui gèrent des machines, et qui sont souvent des technologies de type « propriétaire », les accès se trouvent souvent directement dans les centres de production, voire sur les machines elles-mêmes. À l’opposé, les bases de données, y compris celles qui concernent l’administration de l’entreprise, sont souvent en ligne, avec tous les risques que cela suppose, car elles sont réputées ouvertes ou accessibles en permanence.
Mais aucun de ces systèmes n’est à l’abri des intrusions malveillantes. « Cette distinction s’applique en fonction des risques découlant d’une attaque, poursuit James Cabe. Par exemple, si un incident de sécurité entraîne l’arrêt de pompes, vous pouvez vous retrouver avec des explosions, donc des installations fortement endommagées, un déversement de matières toxiques, des blessés ou, pire, des morts. Le risque est différent avec les bases de données. »
Une fausse bonne solution
On a vu lors d’attaques par rançongiciels des systèmes de gestion paralysés pendant un certain temps, empêchant l’organisation de joindre employés, clients, utilisateurs et fournisseurs comme c’est le cas dans les conditions habituelles. Cette situation représente un incommensurable risque pour la réputation de l’entreprise.
Certains experts en sécurité informatique prônent le principe de séparation des systèmes gérant la production et les données (le fameux principe de l’« air gap »). C’est un mythe, selon James Cabe. Certes, dans certains domaines, les systèmes de contrôle sont isolés du monde extérieur, comme pour les bateaux ou les avions. Mais ce principe, issu des environnements militaires, est de moins en moins vrai.
« Il faut voir les cybermenaces à partir du plancher des vaches, reprend James Cabe. On doit adopter une approche bottum up, soit du bas vers le haut, même si ça déplaît à beaucoup d’ingénieurs en informatique ! » En fait, même si tous les systèmes d’une organisation sont intégrés, l’entreprise représente deux organisations en une seule. « Les gens en production n’évoluent pas comme ceux en gestion. Les stratégies, les technologies et les crises diffèrent. Mais les systèmes sont pourtant souvent reliés. »
Adopter une culture de la sécurité
James Cabe ne croit pas aux solutions technologiques qui promettent de régler tous les problèmes. En fait, les solutions sont la plupart du temps moins compliquées et coûteuses qu’il n’y paraît : « Il faut avant tout adopter une culture de la sécurité, dit-il. Ça passe par une révision de tous les risques, partout dans l’entreprise, avec des experts et non des vendeurs de technologie. »
Par la suite, et c’est fondamental, il faut adopter un relevé simple de tous les incidents de sécurité qui se produisent, et si possible en temps réel. Et il faut s’assurer qu’il est correctement rédigé, mis à jour et interprété. « On s’améliore seulement si on mesure adéquatement nos faiblesses », indique-t-il.
James Cabe affirme par ailleurs que la menace vient à 80 % des employés. « Il faut les conscientiser à adopter des comportements moins risqués. La formation est fondamentale lorsqu’il est question de sécurité. »
Enfin, il faut implanter des redondances et des plans de réponse pour tous les systèmes de l’entreprise. L’organisation doit être en mesure de redémarrer rapidement, de manière agile, peu importe l’incident. « La résilience numérique prendra bientôt beaucoup de place dans la tête des gestionnaires, conclut James Cabe. Ce n’est pas technologique, c’est humain. »