La supply chain face aux cyber-menaces

12 mai 2017. Un vague d'attaques diffusant le rançongiciel (ransomware) WannaCry touche près de 250 000 entités utilisant la faille de sécurité EternalBlue divulguée par le groupe de hackeurs Shadow Brokers. Une détonation à l'échelle mondiale qui se répand dans plus de 150 pays et vient impacter des milliers d'entreprises petites ou grandes au même titre que des services publics. Renault en fait les frais, et se trouve contrainte de mettre à l'arrêt de nombreux sites de production pour éviter de diffuser la menace. 27 juin 2017, s'appuyant sur la vulnérabilité de l'exploit EternalBlue, le code malveillant NotPetya se diffuse, à des fins de sabotage, en Europe suite à la mise à jour d'un logiciel ukrainien, piégeant plus de 2 000 sociétés. Parmi elles, l'entreprise française Saint-Gobain qui estime à 220 millions d'euros sa perte en revenus sur les six premiers mois de l'année et voit les réseaux de ses filiales Lapeyre et Point P paralysés par l'attaque. Le groupe de transport maritime Maersk est quant à lui forcé d'interrompre le fonctionnement de certaines de ses activités et évalue ses pertes à 300 millions de dollars.

À ce titre, l'année 2017 aura marqué un « tournant pour la sécurité numérique en France » annonce l'ANSSI (Agence nationale de la sécurité des systèmes d'information), se fixant comme objectif d'élever le niveau global de cybersécurité en France pour 2018. La quatrième édition du Baromètre de la Cybersécurité des entreprises du Cesin (Club des experts de la sécurité de l'information et du numérique) paru en janvier 2019 dévoile dans une étude OpinionWay que, parmi 174 répondants responsables sécurité des systèmes d'information (RSSI) de grands groupes français, huit entreprises sur dix continuent d'être impactées par des cyber-attaques avec, pour 59 % d'entre elles, des conséquences sur le business (arrêt de la production, indisponibilité significative du site internet, perte de chiffre d'affaires…) en augmentation de 10 points par rapport à l'année précédente.

De multiples formats d'attaques

Lorsqu'elles mettent des chaînes de production à l'arrêt, parviennent à infiltrer les systèmes d'information des entreprises en charge de gérer l'activité de production ou les automatisations, les cyber-attaques dévoilent tout leur potentiel destructeur pour une supply chain toujours plus digitalisée, donc intrinsèquement fragilisée par ses multiples interconnexions et la kyrielle d'acteurs qui la composent, susceptibles de générer des réactions en cascade. Aujourd'hui, la première menace provient de la cybercriminalité : capable de toucher n'importe quel secteur, logistique y compris, elle passe par des demandes de rançon. Les rançongiciels ou ransomwares, en hausse constante selon l'ANSSI, consistent en l'envoi à la victime d'un logiciel malveillant qui chiffre l'ensemble de ses données et lui demande une rançon en échange du mot de passe qui permettra le déchiffrement de ses données. Les risques cyber peuvent également découler du cyber-espionnage, traquant les informations sensibles et visant particulièrement les laboratoires de recherches et les grandes entreprises, pourvoyeurs de données sensibles.

Trois types de virus peuvent opérer sur un ordinateur : « La première famille de risque consiste tout simplement à rendre inopérant le système. Je dirais que c'est la moins dangereuse : il vous suffit d'avoir une sauvegarde, de la recharger et vous n'avez plus de problème », détaille Rémy Février, ancien officier supérieur de la gendarmerie, maître de conférence au Cnam, spécialiste en intelligence économique et sécurité des systèmes d'information. Deuxième grande famille de risques, le ver qui, lorsqu'il a trouvé un réseau, s'y diffuse : « Il peut très bien envoyer des instructions aux automates en leur demandant de faire l'inverse de ce pour quoi ils sont programmés », avec des conséquences désastreuses, dès lors, sur les sites logistiques mécanisés. Lié à l'espionnage économique, les « chevaux de Troie » vont, pour leur part, faire deux choses : « Tout d'abord ouvrir un canal depuis votre ordinateur via une borne Wifi ou un câble RJ45 vers l'ordinateur du pirate. Et ensuite, grâce à un keylogger, enregistrer tout ce que vous tapez sur votre clavier et l'envoyer à intervalles réguliers dans le canal qui vient d'être créé précédemment », détaille Rémy Février. Derrière ces actes malveillants, qui trouve-t-on ? La menace cyber est aujourd'hui polymorphe : il peut s'agir d'activistes, de mafias, de terroristes, voire d'États. Dans la sphère économique, les concurrents peuvent également devenir cyber-attaquants, faisant appel à des officines pour lancer leurs attaques.

La supply chain impactée

« Quel a été l'impact des cyber-attaques sur votre business ? ». À cette question, posée aux membres du Cesin, 59 % indiquent avoir subi des répercussions, 26 % parlent d'un ralentissement de la production pendant une période significative, 23 % indiquent une indisponibilité du site Internet pendant une période significative, 12 % un retard sur la livraison auprès des clients, 11 % une perte de chiffre d'affaires et 9 % un arrêt de la production pendant une période significative. Les attaques viennent donc parfois directement toucher le coeur de l'activité de l'entreprise, se répercutant de bout en bout de la chaîne logistique. Si la logique adoptée aujourd'hui de « security by design » consiste à se préoccuper de sécurité dès la conception du logiciel, ce n'est pas le cas des systèmes de contrôle et d'acquisition de données (Scada : Supervisory control and data acquisition) vieux de dix à quinze ans mais toujours en activité, qui cohabitent avec de nouveaux systèmes très ouverts.

Une cohabitation forcée créatrice de failles de sécurité en puissance et qui vient toucher tous les environnements industriels. « Historiquement, la partie informatique dédiée aux automates qui gérait les chaînes de production était distincte de l'informatique bureautique classique comprenant les e-mails et la navigation internet. Or, avec les progrès de l'informatique industrielle, les nouvelles générations d'automates sont devenues de plus en plus connectées et utilisent dorénavant les mêmes réseaux car il est intéressant de pouvoir piloter ces centrales à distance en utilisant un accès internet classique », explique Emmanuel Gras, cofondateur et CEO d'Alsid, membre du Cesin. Les deux systèmes agissent alors en commun : d'un côté l'informatique bureautique classique, habilitée à parer de nombreux attaquants avec des systèmes de sécurité robuste et de l'autre, les systèmes industriels avec leur niveau de sécurité datant des années 90 qui vivaient quasiment en autarcie jusqu'alors. « Ils se sont retrouvé d'un coup exposés à un niveau de menaces très élevé face à des acteurs malveillants dotés d'un haut niveau de compétence, observe Emmanuel Gras. C'est ce qui s'est passé dans le cas de Saint-Gobain et Renault où il s'agit d'une attaque informatique sur de la bureautique classique qui a complétement dérapé et qui, par effet de bord, a paralysé des chaînes de montage et de distribution parce que cellesci étaient interconnectées ». Si ces interactions constantes des systèmes informatiques jouent en faveur de la performance globale des sociétés, elles sont aussi pourvoyeuses de failles en puissance qu'il s'agit pour elles d'appréhender et de gérer finement.