Article
15/1/2024

Holiseum, spécialiste de la cybersécurité des infrastructures industrielles et critiques

Holiseum, spécialiste de la cybersécurité des infrastructures industrielles et critiques

Chiffres-clés :

• Les cyberattaques industrielles ont augmenté de 34% en 2022, selon un sondage mené par Kaspersky ICS.
• Dans 47% des cas de cyberattaques industrielles, les environnements OT et les systèmes de contrôle industriels (ICS) sont également touchés selon une enquête réalisée par Pollfish.
• Les cyberattaques sur les infrastructures de production bondiront de 70 % en 2025, selon les projections d'une étude menée par Kaspersky, Accenture et Orange.

1. Les attaques contre l'industrie en hausse

En matière de cybersécurité industrielle (OT), il y a un avant et un après Stuxnet. Conçu pour perturber les plans de développement nucléaire iraniens, ce virus qui s'est propagé dans le monde entier en 2010 avait profité d'une faille humaine pour endommager durablement des milliers de centrifugeuses d'enrichissement d'uranium au sein de la centrale nucléaire de Natanz.

Depuis, le niveau de sensibilité des entreprises industrielles face aux risques de cybersécurité s’est considérablement accru. Les attaques menées sur les systèmes industriels défraient régulièrement la chronique :
En 2017, le malware Triton visant les installations pétrolières de la société Petro Rabigh, en Arabie Saoudite, aurait pu causer de nombreux dégâts : morts en cas d’explosion, pollution maritime, ou encore flambée du prix du baril...

L’année passée, le réseau informatique de la société Maersk à Copenhague s’effondre rendant inopérants 17 ports dans le monde. Il s’agit de la crise la plus monumentale de l’histoire de l’informatique maritime. En cause ? Le virus NotPetya. Ce même virus coûtera à la société Saint-Gobain 250 millions d’euros de dommages.

Une recrudescence de cyberattaques sur les systèmes industriels qui n’épargne personne, surtout pas les PME et les ETI. Souvent moins structurées en termes de gouvernance numérique, elles présentent davantage de vulnérabilités face aux attaques. Des vulnérabilités qui peuvent être exploitées par des attaquants qui visent de grands groupes en ciblant leurs prestataires. Or, « une PME sur deux fait faillite dans les 18 mois suivant une cyberattaque » affirmait il y a peu Jean-Noël Barrot, Ministre délégué auprès du ministre de l'Économie, des Finances et de la Souveraineté industrielle et numérique, chargé du Numérique.

Le défi est de taille, comme l’indique l’ANSSI dans son guide de la cybersécurité des systèmes industriels « comme l’ensemble de la société, les industries ont bien souvent intégré le numérique au fil de l’eau et sans stratégie initiale, des systèmes hétérogènes s’interconnectant avec comme soucis majeurs la productivité, l’efficacité et la sûreté – mais rarement la sécurité... »

2. Enjeux de la cybersécurité industrielle

a. L’industrie 4.0 ou la quatrième révolution industrielle

Automatisation accrue, maintenance prédictive, auto-optimisation des améliorations de processus, efficacité et réactivité accrues vis-à-vis des clients, l’industrie 4.0 est une évolution majeure de l’industrie synonyme de fabrication intelligente, de productivité et de transformation numérique des opérations industrielles. Rendue possible grâce à l’émergence des nouvelles technologies, telles que l’Internet des objets (IoT), l’analytique, l’IA, le Big Data, la robotique et l’automatisation ; L’industrie 4.0 profite également aux cyberattaquants…

b. De multiples vecteurs d'attaques et de vulnérabilités

Des systèmes industriels ou « Industrial Control System » (ICS) de plus en plus connectés, interconnectés et complexes qui ont rarement intégré une approche « secure by design », laissant exposées de nombreuses vulnérabilités.

A cela s’ajoute une inertie générale, tant pour la mise à jour des systèmes que pour leur sécurisation car « la priorité des industriels est la disponibilité de leurs outils de production au détriment de la confidentialité ou de l’intégrité des données. Ils ne veulent pas que leur activité soit interrompue. Tout arrêt ou transformation/amélioration du système informatique par de nouveaux programmes ou processus est considéré comme une perte d’argent », indiquait Renaud Lifchitz, Directeur scientifique de Holiseum au magazine Techniques de l’Ingénieur en décembre 2022.

Parallèlement aux ICS, la Gestion Technique de Bâtiment (GTB), qui regroupe les systèmes tels que la ventilation, la vidéoprotection, l’approvisionnement en eau, le contrôle d’accès sécurisé, etc. des installations industrielles peut également représenter une cible de choix pour les attaquants.

Autant de portes d’entrée pour des individus malfaisants qui peuvent mener leurs opérations n’importe où dans le monde et, pourquoi pas, au sein des installations industrielles elles-mêmes.

c. Les dommages potentiels

Une cyberattaque industrielle peut avoir de lourdes conséquences comme par exemple :
- Dommages humains ou sur les outils de production
- Pertes financières : l’interruption de la production industrielle peut engendrer des pertes de chiffre d’affaires significatives. Par ailleurs, une production non conforme suite à un process de fabrication compromis peut également représenter un coût important.
- Dégâts environnementaux : une prise de contrôle malveillante des équipements peut générer la défaillance des installations (ouverture de vannes de produits polluants par exemple) et provoquer la pollution du site et de l’environnement.
- Extorsion de données : perte / divulgation du fichier clients, de secrets de fabrication, etc.
- Dégradation de l’image de l’industriel
- Engagement de la responsabilité civile, voire pénale des infrastructures critiques si mise en danger du consommateur.

d. Quels sont les systèmes industriels à protéger ?

Les « systèmes industriels » ou « Industrial Control System » (ICS) représentent l’ensemble des moyens informatisés et automatisés qui assurent le contrôle et le pilotage des procédés industriels. L’industrie et les infrastructures critiques sont autant de secteurs qui utilisent les ICS. Les systèmes industriels utilisent actuellement les technologies de l’information sans modération bien qu’ils n’aient pas été conçus pour parer aux menaces qu’elles induisent. Et une fois la menace présente sur le réseau IT, elle peut, du fait des interconnexions systèmes, infiltrer l’OT ...

Même si les ICS sont spécifiques à chaque installation, ils se composent généralement des systèmes industriels suivants :
- Automates Programmables Industriels (API ou PLC)
- Systèmes Numériques de Contrôle-Commande (SNCC) ;
- Systèmes Instrumentés de Sécurité (SIS)
- Capteurs et actionneurs (intelligents ou non)
- Bus de terrain
- Logiciels de supervision et de contrôle : SCADA
- Logiciels de gestion de production assistée par ordinateur (GPAO, MES)
- Logiciels d’ingénierie et de maintenance
- Systèmes embarqués.

En résumé, la menace cyber fait désormais partie du quotidien des entreprises industrielles, et pas seulement des grands groupes mais des PME et ETI également en les exposant à des risques humains, financiers et stratégiques conséquents. Une menace qui ne fera que prendre de l’ampleur au cours des prochaines années.Pourtant, de nombreuses sociétés du secteur industriel, faute de temps, d’outils et/ou de compétences, relèguent la cybersécurité au second plan et utilisent des outils de production peu voire pas sécurisés…

3. La SSI, ou comment Holiseum vous accompagne dans la sécurisation de vos actifs industriels

Les enjeux de la sécurité des systèmes d'information (SSI) sont considérables pour toutes les organisations industrielles. Holiseum, prestataire terrain expert et pure player de la cybersécurité industrielle et des infrastructures critiques vous accompagne dans l’audit de vos installations et dans le déploiement de votre plan de remédiations.

Le périmètre d’action de nos experts en cybersécurité industrielle :
1. Sensibilisation des personnels à la sécurité
2. Cartographie des installations et analyse de risque
3. Prévention : concept de la défense en profondeur
4. Surveillance des installations et détection des incidents
5. Traitement des incidents, chaîne d’alerte
6. Veille sur les menaces et les vulnérabilités
7. Les plans de reprise et de continuité d’activité :
- Gouvernance : Politiques de Sécurité des systèmes d’Information (PSSI) / PSSI industrielle / Plan de Reprise d’Activité (PRA) / Plan de Continuité d’Activité (PCA) / Disaster Recovery Plan (DRP) / Procédure de gestion des incidents et de gestion de crise
- Opérationnel : déclinaison des documents de gouvernance tels que les fiches réflexes, procédure de sauvegardes / restaurations, procédure de gestion du changement, etc.
- Organisationnel : déploiement d’Intégration de la Sécurité dans les Projets, de Third-Party Management (PAS, évaluation fournisseurs, etc.), gestion des risques

Pourquoi choisir Holiseum ?
- Une solide expertise en matière de cybersécurité OT / IoT / IIoT / IT
- Une expertise reconnue dans le domaine de la cybersécurité des systèmes de contrôle industriel (ICS) et de multiples expériences en matière de conformité aux réglementations relatives aux infrastructures critiques.
- Une approche globale de la cybersécurité (conseil, innovation, audit 360)
- Une approche innovante et des capacités d'ingénierie (ex. Security Box)
- Une expertise en matière d'évolutivité (expérience prouvée au sein d'un groupe industriel : 40+ personnes et 75 sites industriels sécurisés en 2 ans)
- Une connaissance établie de l'industrie au sein de divers environnements industriels (gaz, électricité, usine manufacturière, etc.) avec des missions de différentes natures (gouvernance, analyse de risques, audits, remédiation, opérations, etc.)
- Holiseum est qualifié PASSI par l’ANSSI (Autorité Nationale de Sécurité des Systèmes d’Information) sur l’ensemble des portées
- Holiseum est membre officiel d'HEXATRUST, consortium d'éditeurs français de confiance en cybersécurité, et est le seul membre qui propose une approche globale de la sécurité des sites industriels.

4. Bonnes pratiques

En complément d’un accompagnement réalisé par un prestataire terrain expert dans la sécurisation des actifs industriels, Holiseum vous recommande l’application de ces quelques bonnes pratiques afin d’assurer la protection de vos outils industriels :
- Contrôle d’accès physique aux équipements et aux bus de terrain
- Cloisonnement des réseaux
- Gestion des médias amovibles
- Gestion des comptes (accès logique, authentification)
- Gestion des sous-traitants
- Durcissement des configurations
- Surveillance, détection et gestion des journaux des événements et alarmes
- Gestion des configurations
- Sauvegardes / restaurations
- Documentation des procédures, processus et politiques
- Protection antimalware
- Mise à jour des correctifs (planification)
- Protection des automates (PLC)
- Stations d’ingénierie, postes de développement

Découvrez nos différents services ici
Contactez-nous pour en savoir plus : contact@holiseum.com

L'ANSSI recommande aux organisations de démarrer dès maintenant les travaux de mise en conformité NIS 2.
Publiée le 27 décembre 2022, l’adaptation dans le droit national français de la directive NIS 2 est prévue pour le 17 octobre 2024.
En tant qu'expert en cybersécurité des infrastructures critiques et industrielles, Holiseum vous accompagne dans ces démarches essentielles dès aujourd'hui.
Pour en savoir plus sur nos accompagnements, RDV ici !

De la directive NIS 1 à NIS 2

La directive européenne NIS 1 (Network and Information System Security), adoptée en 2016, visait à renforcer la cybersécurité des opérateurs de services essentiels (OSE) et des Fournisseurs de services numériques (FSN). Depuis, les cybermenaces ont explosé, avec une augmentation de 30 % des attaques par ransomware entre 2022 et 2023 en France [1]. Pour répondre à cette escalade des menaces, la directive NIS 2 s'impose comme une mise à jour cruciale pour mieux protéger les organisations, y compris les administrations des États membres de l'Union européenne.

Mon organisation est-elle concernée par la directive NIS 2 ?

La directive NIS 2 étend son champ d’application à plus de 10 000 entités, dans 18 secteurs d’activité clés, contre 7 pour la NIS 1 [2].

Secteurs hautement critiques :

Administrations publiques
Eaux potables
Eaux usées
Énergies
Espace
Gestion des services Technologies de l’Information et de la Communication (interentreprises)
Infrastructures des marchés financiers
Infrastructures numériques
Santé
Secteur bancaire
Transports

Autres  secteurs critiques :

Fabrication, production et distribution de produits chimiques
Fournisseurs numériques
Gestion des déchets
Industrie manufacturière
Production, transformation et distribution de denrées alimentaires

Recherche
Services postaux et d’expédition
Ces organisations sont des collectivités territoriales, administrations, moyennes ou grandes entreprises. Pour assurer une proportionnalité des traitements, la directive distingue deux catégories d’entités selon leur degré de criticité, taille, chiffre d’affaires (pour les entreprises).
Bon à savoir : Comment savoir si votre entité (publique ou privée) est concernée par la directive NIS 2 ?
Vous pouvez réaliser gratuitement un test sur MonEspaceNIS2. Ce service est proposé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), en lien avec BetaGouv de la Direction interministérielle du numérique (DINUM).
https://fr.freepik.com/photos-gratuite/nature-morte-illustrant-concept-ethique_26407562.htm#fromView=search&page=1&position=6&uuid=a7f8ac4a-18df-4a3f-97d5-b8393e17939a

Préparez-vous à la directive NIS 2 avec Holiseum

Spécialiste de la cybersécurité des infrastructures industrielles et critiques, Holiseum vous accompagne dès maintenant dans votre mise en conformité NIS 2.

Choisir Holiseum pour prendre en charge votre mise en conformité NIS 2, c’est aussi choisir un acteur qualifié PASSI (Prestataires d’audit en sécurité des systèmes d’information) sur l’ensemble des portées d’audit, en cours de qualification PACS (Prestataire d’Accompagnement et de Conseil en Sécurité des systèmes d’information) sur les activités Analyse de risque et homologation, et ainsi bénéficier d’une présomption de conformité pour les audits de sécurité sur vos systèmes d’information.

Vous souhaitez en savoir plus sur nos capacités d’accompagnement ? Contactez nos équipes dès aujourd’hui, en cliquant ici. Nous serons heureux de vous aider à entreprendre vos travaux de mise en conformité dans les plus brefs délais tout en vous aidant à prendre en compte le coût des travaux nécessaires dans votre budget 2025 !

Quels sont les principaux changements apportés par la directive NIS 2 ?

La directive européenne NIS 2 impose aux entités concernées de respecter trois grandes obligations [4].
L’ANSSI laisse trois ans aux entités pour se mettre en conformité avec la directive NIS 2. Toutefois, des contrôles du déploiement des plans d’action ne sont pas à exclure durant ce laps de temps. Mieux vaut donc démarrer dès maintenant les travaux, pour ne pas prendre du retard. Les auditeurs expérimentés de Holiseum (+7 ans d’expérience en moyenne) mettent à profit de votre organisation leur haut niveau d’expertise dans la mise en conformité réglementaire cyber. Cliquez ici pour en savoir plus sur nos accompagnements.
Bon à savoir : Quel coût financier pour les entités ?
Le budget à prévoir pour se mettre en conformité avec la directive NIS 2 varie selon plusieurs éléments. Parmi eux, l’état actuel du niveau de sécurité numérique de l’entité, sa dépendance aux technologies numériques ou encore le nombre d’équipements numériques possédés [5].Moins cette dernière est mature d’un point de vue cybersécurité, plus ses dépenses sont élevées.

Contactez-nous pour en savoir plus !

NIS 2 : quels sont les risques en cas de non-conformité à la nouvelle directive européenne ?

https://fr.freepik.com/photos-gratuite/arrangement-nature-morte-liberte-financiere-espace-copie_18987178.htm#fromView=search&page=1&position=31&uuid=5152ac6d-785f-4998-b67c-88d037fa58e8
Des actions de supervision sont menées par l’ANSSI, en France, pour garantir la mise en œuvre effective de la directive NIS. Le non-respect des obligations imposées par la nouvelle réglementation expose les entités à des mises en demeure, mais aussi des sanctions financières. Les amendes sont proportionnées à la gravité du manquement constaté, comme ce qui est prévu dans le Règlement général sur la protection des données (RGPD). Elles peuvent atteindre jusqu’à 2 %du chiffre d’affaires mondial (ou 10 millions d’euros) pour les entités essentielles, 1,4 % (ou 7 millions d’euros) pour les entités importantes [6].

Responsabilité des organes de direction en matière de cybersécurité sous la directive NIS 2

La directive NIS 2 renforce la responsabilité des organes de direction des entités concernées en matière de cybersécurité [7]. Ils peuvent être considérés comme responsables, par l’entité, du non-respect des obligations relatives à la gestion de ces risques, notamment en cas de :
L’adoption de la directive NIS 2 marque un tournant majeur dans la lutte contre les cybermenaces en Europe. Elle vise à renforcer la sécurité des secteurs critiques face à des risques croissants, de plus en plus sophistiqués. Son succès dépendra de la mobilisation collective des acteurs publics comme privés.
Les 3 points clés à retenir :
L’ANSSI recommande aux organisations de ne pas tarder à mettre en place les travaux de mise en conformité NIS 2. Holiseum vous accompagne dès aujourd’hui. Des sanctions importantes sont prévues pour les organisations et/ou leurs dirigeants en cas de non-respect des obligations.
En France, l’ANSSI sera chargée du contrôle du respect des obligations par les entités concernées, dès octobre 2024.
De nombreuses infrastructures industrielles et critiques font déjà confiance à Holiseum pour leur accompagnement. Contactez-nous pour en savoir plus !
[1]https://cyber.gouv.fr/actualites/lanssi-publie-le-panorama-de-la-cybermenace-2023[2]https://monespacenis2.cyber.gouv.fr/directive#hero[3]https://monespacenis2.cyber.gouv.fr/directive#hero[4]https://monespacenis2.cyber.gouv.fr/directive#hero[5]https://aide.monespacenis2.cyber.gouv.fr/fr/article/quel-sera-le-cout-financier-pour-les-entites-1u487hw/[6]https://monespacenis2.cyber.gouv.fr/directive#hero[7]https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32022L2555

Articles récents

Article
October 9, 2024
L’intelligence artificielle, alliée ou ennemie de votre cybersécurité ?
Flash info
August 27, 2024
Holiseum obtient un nouveau Visa de sécurité de l’ANSSI pour sa qualification PACS : une étape décisive pour la cybersécurité des organisations
Article
August 1, 2024
Ne manquez pas les dates-clés des réglementations Cyber à respecter !
Contactez-nous en cliquant ici

Nos services :

ConseillerAuditerSécuriserFormerInvestiguer

Informations :

IdentitéActusCarrièreMentions légalesPolitique de confidentialité

Suivez-nous :

© 2023 Holiseum.