Systèmes industriels : la conscience de la menace progresse

La réglementation ? Quelle réglementation ?

Ainsi, la gestion des risques ressort comme la première priorité des sondés – 65 % d’entre eux la qualifient de majeure. Surtout, ils sont 77 % à considérer la cybersécurité comme une priorité majeure. Les risques associés à une éventuelle cybersécurité sont bien identifiés avec, par ordre d’importance décroissante : des atteintes à la qualité des produits et services ; des blessures, voire des décès d’employés ; la perte de confiance client ; des atteintes à l’image de l’entreprise ; ou encore le vol d’informations propriétaires ou confidentielles. Le risque de violation de contraintes réglementaires n’arrive qu’en sixième position. Et l’on est tenté d’y voir un signe positif : dans le monde des ICS, ce n’est pas manifestement pas la pression réglementaire qui motive, en premier lieu, la prise en compte de la cybersécurité. En même temps, seulement 23 % des sondés indiquent que leur organisation est conforme aux impératifs réglementaires ou industriels concernant leurs systèmes informatiques opérationnels…

Des menaces aussi concrètes…

Quoi qu’il en soit, sans surprise, plus des trois quarts des sondés estiment au moins probable que leur organisation soit la cible d’incidents de sécurité informatique impliquant leurs systèmes opérationnels. A 77 %, c’est trois points de mieux que l’an passé. C’est au Moyen-Orient que la menace apparaît la plus prise au sérieux – et après la découverte de Trisis, ce n’est guère surprenant –, mais elle est loin d’être ignorée en Europe de l’Ouest.

Les trois types d’incidents les plus redoutés sont les attaques ciblées, les contaminations par maliciels « conventionnels », suivis des compromissions par rançongiciels. L’ordre n’apparaît pas incongru : si des logiciels malveillants « classiques » peuvent entrer, pourquoi pas des ransomwares… Et pour les premiers, on se souviendra que l’on n’a pas manqué de découvrir des échantillons de Conficker sur des systèmes industriels, par le passé.

En fait, 51 % des sondés indiquent avoir connu un incident de cybersécurité sur leurs ICS au cours des 12 derniers mois, contre 46 % pour l’édition précédente de l’étude. Et ce sont les contaminations par maliciels classiques qui arrivent en tête, mentionnés par 64 % des sondés.

Mais seulement 43 % des sondés indiquent avoir rapporté tous les incidents qui les ont affectés. La discrétion absolue reste de mise pour 16 % – contre 22 % l’an dernier. Enfin, 40 % des sondés affirment que leur organisation a rapporté « certains incidents », contre 35 % lors de l’édition précédente de l’étude.

… que les obstacles à surmonter

Las, la situation apparaît difficile aux yeux des sondés. Leur principal défi consiste ainsi à recruter des personnes compétentes en cybersécurité des ICS. Viennent ensuite les risques induits par une connectivité croissante et la multiplication des objets connectés. Et c’est sans oublier la difficulté à s’entourer de partenaires « fiables » pour mettre en œuvre des solutions de sécurité dédiée au monde de l’ICS. En janvier dernier, au Forum International de la Cybersécurité (FIC), Jean-Michel Orosco, vice-président sénior de Naval Group (ex-DCNS), ne manquait pas de souligner ce point. Mais les choses sont peut-être appelées à progresser cette année, avec plusieurs annonces, à l’occasion du même événement, laissant entrevoir un effort de structuration de l’offre de protection ICS/Scada dans l’Hexagone.

En tout cas, la demande devrait être au rendez-vous : 56 % des sondés s’attendent à une augmentation du budget cybersécurité de leurs ICS ; et 44 % à une autre de celui dédié aux ressources humaines. Et ce ne sera pas du luxe. Car seulement 29 % des sondés indiquent disposer d’une équipe dédiée à la cybersécurité de leurs systèmes industriels. Dans 39 % des cas, c’est au moins une personne de la sécurité des systèmes d’information qui se penche, au moins à temps partiel, sur le domaine. Un peu plus d’un quart des sondés font appel, au moins en partie, à un prestataire externe pour la sécurité de leurs ICS. Pour PAC, « il y a encore trop peu de prestataires d’externalisation capable d’assumer ce type de charge ».

Une prise en compte qui progresse

Mais s’il fallait un indicateur de l’importance accordée à la cybersécurité des systèmes opérationnels, ce serait peut-être celui de l’implication des directions. Et là, 88 % des sondés indiquent qu’elle l’est – et même fortement, pour 53 %. Le sujet concerne également les équipes de gestion des risques pour 98 % des sondés. Selon 86 % des répondants, les intégrateurs externes sont tout aussi impliqués. Le lien avec la sécurité physique n’est pas oublié : 89 % des sondés indiquent que les équipes chargées de la maintenance et des installations sont impliquées (fortement pour 40 %).

Il faut dire que 54 % indiquent disposer d’un programme de sensibilisation au sujet, et 34 % en prévoient un pour les douze prochains mois – un tel programme pour les sous-traitants et fournisseurs serait en place pour 82 % des sondés. Mieux encore : 52 % auraient en place un programme de réponse à incidents spécifique, et 37 % en préparent un. Mais seulement 34 % des sondés indiquent disposer d’un budget spécifique à la sécurité des ICS – une telle organisation serait prévue à court terme chez 34 % des sondés.