Cybersécurité : prêt à investir ?

Les récentes cyberattaques mondiales ont montré que toutes les entreprises, de la PME au grand groupe industriel, sont désormais concernées par la cybersécurité. Sécuriser ses actifs en amont constitue une démarche bien moins coûteuse que réparer les dommages liés à une attaque.

D’ici 2020, 907 milliards de dollars vont être investis par an dans le monde pour la transformation digitale des entreprises (1). Quelle sera alors la part du budget allouée à la cybersécurité ? Les dirigeants sont-ils prêts à investir ? Quels sont les premières étapes d’une de démarche de cybersécurité ? Autant de questions auxquelles Cybelius va tenter de répondre dans cet article.

Les risques cyber : plus nombreux et plus graves !

Les exemples de piratages industriels sont plus rares que le vol de données bancaires. Mais les conséquences sont potentiellement énormes et les risques d’autant plus grands que les industriels, souvent exposés car très interconnectés avec leurs sous-traitants ou leurs équipementiers, tardent à acquérir les bons réflexes en termes de prévention.

Au printemps dernier, nous avons eu un aperçu de l’effet de chaîne lors des attaques massives WannaCry et NotPetya. Cette dernière, notamment, démarrée d’un logiciel comptable ukrainien, a montré que les process et infrastructures d’entreprises de tous secteurs, situées dans le monde entier, pouvaient être touchés très rapidement.

Des sociétés russes, américaines et françaises, dont la SNCF, Auchan et Saint-Gobain (ce dernier chiffre ses pertes à 220 millions d’euros) en ont subi les frais. En Grande-Bretagne, plusieurs hôpitaux ont été visés. Le piratage a contraint les antennes médicales à des annulations de rendez-vous et à la redirection de certains patients vers d’autres services. Les systèmes automatisés de mesure et d’alerte des détecteurs de radiation de la centrale nucléaire de Tchernobyl ont aussi été visées. L’attaque a mis à terre les systèmes de surveillance de la centrale, nécessitant une intervention sur le terrain pour contrôler la radioactivité du site. Ces exemples laissent envisager qu’il puisse y avoir un impact sur la vie ou la sécurité physique de personnes ainsi que sur l’environnement. Ce que l’on redoute, ce sont des attaques dites cyberphysiques, avec des blessés ou des morts.

Par ailleurs, en 2014, c’est une aciérie allemande qui a été en grande partie plongée dans l’inactivité forcée, subissant de lourds dégâts matériels. En 2015, le réseau électrique de Prykarpattyaoblenergo  en Ukraine a été piraté via le malware BlackEnergy, 250 000 foyers ont été privés d’électricité. Fin décembre 2016, Industroyer, également connu sous le nom de CrashOverride, a frappé une sous-station électrique ukrainienne dont le contrôle à échappé aux opérationnels pendant au moins une heure. Les postes de Kiev ont cessé de fonctionner, entraînant une panne d’électricité dans la capitale qui a duré plusieurs heures juste à la veille de Noël.

L’impact financier est aussi bien réel. Renault, par exemple, a été contraint de mettre à l’arrêt complet ou partiel plusieurs de ses usines de production. Ces interruptions génèrent des manques à gagner très importants.

De plus, les conséquences d’un vol de données industrielles confidentielles sont souvent dramatiques pour les sociétés qui en sont victimes : risques de pertes de secrets de fabrication, de contrefaçons, d’espionnage industriel etc.

Des ports de marchandise à l’arrêt, des usines immobilisées et des entreprises ralenties…Plusieurs mois après cette vague d’attaques sans précédent, les entreprises infectées ont pour la plupart établi un premier bilan financier. Et ce dernier est très lourd : si elles sont diversement touchées, leurs pertes s’élèvent à plus de 1 milliard d’euros (1,073), selon un décompte – partiel et donc inévitablement sous-estimé – réalisé par Le Monde. Les coûts des dommages causés par les rançongiciels au plan mondial devraient dépasser 5 milliards de dollars en 2017, en forte hausse par rapport aux 325 millions de dollars de 2015. Les attaques de rançongiciels contre des organismes de santé, le secteur le plus attaqué, devrait quadrupler d’ici 2020.

Dans ce contexte de risques, les industriels prennent conscience que leurs infrastructures sont des cibles potentielles et doivent désormais allouer les ressources nécessaires à la protection de leurs systèmes.

Prise de conscience cyber des entreprises

Les grands groupes ont intégré la sécurité dans leur réflexion et la plupart ont lancé des plans de sensibilisation en direction de l’ensemble de leur personnel. Par ailleurs, les nouvelles réglementations et la médiatisation des récentes cyberattaques sont un facteur de sensibilisation des directions générales et incitent les entreprises à investir davantage dans la cybersécurité.

Petya a réalisé ce que les experts avaient du mal à faire : propulser les questions de cybersécurité à la table de la direction générale des entreprises et éveiller les consciences. Entre blocages de sites web, retards de livraison ou arrêts de la production, les attaques ont coûté entre 100 et 300 millions de dollars par entreprise touchée. Des chiffres qui parlent immédiatement au board. Les cyberattaques peuvent coûter une partie significative des revenus d’une entreprise. Cependant, les budgets de dépenses en sécurité informatique pèsent encore trop peu par rapport à la menace. En France, ils tournent autour de 4% alors qu’ils sont à 12% en Corée ou en Israël.

Une réglementation qui pousse les entreprises à s’équiper

A nouveaux risques, nouvelles pratiques. Conscient des enjeux, le gouvernement français, pionnier en la matière, a mis sur pied la loi de programmation militaire qui impose à quelque 200 opérateurs d’importance vitale (OIV –entreprises privées, structures publiques ou parapubliques, dont la défaillance pourrait mettre en jeu la sécurité nationale) de sérieusement muscler leur cybersécurité. Cette loi prévoit 20 mesures de gouvernance, maîtrise des risques, maîtrise des SI, gestion des incidents et protections des systèmes.

Parmi ses nombreuses missions, l’ANSSI tente de sensibiliser les acteurs du monde industriel, utilisateurs finaux, intégrateurs, équipementiers ou encore cabinets de conseil, à la réalité de la cybersécurité et à la nécessité vitale de traiter ce sujet. Aujourd’hui, groupes pharmaceutiques, opérateurs d’eau, de télécoms, banques, devront accroître sensiblement leurs dépenses pour répondre aux nouvelles réglementations en matière de cybersécurité.

Par ailleurs, cette prise de conscience concerne tout type d’entreprise. Les plus grandes structures tardent à investir car plus le risque est élevé, plus la protection coûte cher. Quand aux PME, – cible de deux tiers des attaques – elles sont touchées par une cybercriminalité beaucoup moins élitiste mais pas moins dommageable. Plus fragiles, elles risquent de devoir mettre la clé sous la porte après une cyberattaque.

La cyber assurance se développe

Pour y faire face, certaines entreprises se tournent désormais vers la cyber-assurance. Avec la multiplication des attaques, les compagnies d’assurances évaluent de mieux en mieux le préjudice potentiel et donc les primes. Et, pour rester couvertes, les entreprises sont incitées à adopter des comportements vertueux.

Allianz France vient d’annoncer le lancement d’une offre de garantie des risques liés aux attaques informatiques, taillée pour les PME : Extension Cyber Risques. Dans un communiqué, l’assureur explique que cette offre doit permettre aux PME de profiter de « la couverture de l’essentiel de leurs besoins : la prise en charge des coûts de remise en état des données informatique et des notifications à leurs clients, ainsi que la couverture de la responsabilité civile ». Toutefois, on sait que ce nouveau type d’assurance qui concerne essentiellement l’IT impliquera prochainement les systèmes industriels.

La sécurité a un coût mais n’a pas de prix !

Les dépenses cyber

Tout dirigeant d’entreprise aujourd’hui devrait se demander quel est le niveau de sécurité nécessaire à son entreprise, comment mesurer le rapport coûts-protection et comment rentabiliser au maximum son investissement dans la cybersécurité.

Jusqu’à présent, les dépenses en cybersécurité ont connu une évolution en demi teinte et restent une composante secondaire du budget informatique de l’entreprise (24% dans le monde, 29% en France) à comparer avec l’évolution nettement plus importante du rythme des incidents. Elle constitue désormais une priorité en matière de compétitivité des entreprises.

Les analystes estiment que 5 à 10% du budget d’une entreprise devrait être consacrée à la cybersécurité. Cette dernière a certes un coût mais c’est peu comparé au prix à payer lorsqu’on est victime d’une attaque informatique. Les dépenses mondiales en cybersécurité dépasseront 1 000 milliards de dollars en 2021. La montée de la cybercriminalité a poussé la sécurité des systèmes d’information à plus de 86,4 milliards de dollars de dépenses en 2017, selon le cabinet d’études Gartner.

Ce qu’il faut, c’est éviter les coûts d’une cyberattaque tout en exploitant les avantages d’une bonne sécurité. Les dirigeants compte sur des solutions de cybersécurité pour protéger leurs systèmes et leurs chaînes de production, mais aussi les données de leurs clients et partenaires. En engageant les bons investissements, ils protègent leur entreprise, conservent la confiance des clients et gèrent les coûts et ressources de sécurité de manière avisée.

L’analyse de risque

Pour les dirigeants qui sont conscients des menaces qui les entourent, l’une des décisions les plus difficiles à prendre est de déterminer exactement combien d’argent doit être investi pour sécuriser leur entreprise. Pour ce faire, la première étape est de mesurer les risques et d’établir un arbitrage budgétaire lié à la criticité du risque. Les DSI doivent réaliser une analyse de risques afin de dégager les vulnérabilités. A partir des résultats de cette analyse, les dirigeants sont en mesure d’évaluer les risques d’un incident ou d’une défaillance sur leurs réseaux sensibles. L’entreprise déploie alors le budget et les mesures pertinentes sur les systèmes pour que ne subsistent que les risques acceptables. Spécifiquement sur les systèmes industriels, les analyses doivent prendre en compte conjointement cybersécurité, sûreté de fonctionnement ainsi que l’ensemble des critères liés aux risques industriels pour être efficaces car contrairement au SI bureautique, la cybersécurité n’est pas un silo à part.

La résilience

Puisqu’il est impossible de garantir une cybersécurité absolue, les organisations devraient également se concentrer sur la détection précoce (se préparer avant même d’être menacé) et la réaction aux incidents: il faut être résilient. Ces aspects sont maintenant tout aussi importants que la protection proprement dite. Dans ce cadre, les investissements en cybersécurité ne sont pas superflus puisqu’ils réduisent exponentiellement les risques associés à une protection, une détection et une réaction insuffisantes.

Sécurité dès la conception

Les organisations ont besoin d’avoir une politique de cybersécurité complète qui adopte les meilleures pratiques telles que la sécurité par la conception et la défense en profondeur multicouches. A ce titre il parait essentiel de concevoir les nouveaux systèmes en prenant en compte les normes (IES 62443) et bonnes pratiques du domaine. Une approche globale est nécessaire car les cybercriminels sont extrêmement dynamiques et créatifs, et arrivent à contourner toute mesure unique et statique mise en place. Les cybercriminels ne devraient pas être sous-estimé, surtout parce qu’ils ont de leur côté  le temps, l’argent et l’initiative.

Les attaques sur les systèmes industriels se développent, se diversifient et peuvent avoir de graves conséquences sur l’outil de production, la production en elle-même voire dans certains cas, sur le personnel et le public. Dans ce contexte de risques humains, financiers et matériels, les industriels comprennent que leurs infrastructures sont des cibles potentielles.

Aujourd’hui, de plus en plus de dirigeants déclarent avoir augmenté leurs dépenses cyber. Toutefois, beaucoup d’entreprises considèrent encore la cybersécurité comme un obstacle au changement ou comme un centre de coût. Pour rester compétitives et protéger leurs actifs, ces dernières doivent désormais s’engager financièrement pour prendre en compte et intégrer des solutions de sécurité dès le début de leur transformation digitale.

Avant d’investir, il faut avant tout évaluer les coûts et l’analyse de risque est la meilleure solution. Il s’agit d’une part d’avoir une vision sur le niveau de sécurité de l’entreprise et d’autre part d’allouer les budgets nécessaires à la protection des systèmes industriels vulnérables.

Cybelius a mis en place une méthode qui permet de fédérer les analyses de risques d’un projet d’informatique industriel: sûreté de fonctionnement, cybersécurité, voire sûreté physique ou malveillance : la méthode APERO (Analyse Pour l’Evaluation des Risques Opérationnel). Cette méthode pragmatique rencontre un franc succès chez les industriels qui souhaitent rapidement voir apparaître les points les plus critiques de leurs installations industrielles. Retrouvez plus d’information sur APERO sur notre site ICI.

 

(1) Selon une récente étude PWC