Un hacker qui prend le contrôle d’une usine de distribution d’eau, une cyberattaque qui paralyse le fonctionnement d’un réseau d’électricité, le système informatique d’un hôpital bloqué… Les attaques informatiques contre les secteurs d’importance vitale se sont multipliées ces dernières années un peu partout dans le monde, laissant craindre des conséquences potentiellement catastrophiques pour les populations concernées.

Illustration lundi, quand un pirate informatique a hacké le réseau d’une usine d’approvisionnement d’eau à Oldsmar, en Floride, parvenant à donner des instructions pour augmenter à un niveau dangereux la concentration d’un additif chimique. Si l’anomalie a été décelée très tôt, permettant d’éviter le pire, elle a mis en lumière le risque que font peser ces cyberattaques sur les secteurs comme l’eau, l’énergie, la santé ou les transports, qui tentent de s'organiser pour prévenir ce type de menace.

Un risque réel pour la population

En matière de cyberattaques industrielles, les exemples sont nombreux. Les Etats-Unis et Israël ont été de grands précurseurs en la matière, avec Stuxnet, le fameux virus introduit en 2010 par les services secrets des deux pays dans un ordinateur du complexe nucléaire iranien. Il a entraîné des dysfonctionnements majeurs dans leur parc de centrifugeuses utilisées par Téhéran pour l’enrichissement de son uranium. En Ukraine, en 2015, une cyberattaque a provoqué une importante coupure d’électricité pendant plusieurs heures dans l’ouest du pays. L’attaque a été attribuée à la Russie, qui n’a jamais reconnu sa responsabilité. En 2017, à la suite de dysfonctionnements dans un complexe pétrochimique au Moyen-Orient, le groupe français Schneider Electric s’est rendu compte que son système Triconex, pilotant la sécurité industrielle du complexe, avait été piraté et que de mystérieux acteurs avaient pu le manipuler.

Et la France n’est pas épargnée. Pas plus tard que mardi, l’hôpital de Dax a été victime d’une cyberattaque d’ampleur qui a affecté le fonctionnement de l’établissement et celui de certains matériels médicaux. Cette attaque « met en lumière pour le grand public un risque réel sur les environnements industriels, qui est souvent moins bien connu que celui de l’informatique classique », a indiqué David Grout, responsable pour l’Europe de la société de cybersécurité américaine FireEye à l’AFP.

Un cahier des charges strict

Qui en veut aux hôpitaux, au réseau électrique, au transport ferroviaire ou aux hôpitaux ? « Il y a les cybercriminels, qui agissent par idéologie ou par défi, qui réclament de l’argent. Et il y a ceux qui ont des motivations étatiques (un Etat contre un autre Etat) ou terroristes », décrypte Nicolas Arpagian, enseignant à l’Ecole de Guerre Economique et auteur du livre La Cybersécurité aux Presses Universitaires de France (PUF). Cette vulnérabilité civile a été repérée de longue date par certains Etats, qui y ont vu l’occasion de créer et de tester des armes informatiques potentiellement aussi destructrices que des bombes. Il n’y a pas de raison que les criminels agissant à des fins lucratives ne s’y intéressent pas aussi, soulignent les experts. « Les attaques sur les systèmes industriels qui ont été documentées sont plutôt d’origine étatique », explique David Grout.

Pour éviter que les grands réseaux d’utilité publique ne deviennent trop vulnérables, la France a adopté une nouvelle stratégie, par le biais dela loi de programmation militaire (LPM), en 2016. Elle définit plus de 200 « opérateurs d’importance vitale » (OIV), répartis dans 12 secteurs stratégiques, dont les systèmes doivent répondre à des exigences durcies de cybersécurité, sous l’œil vigilant de l’Anssi (Agence nationale pour la sécurité des systèmes d’information). Il s’agit d’entreprises « ayant des activités indispensables dont la défaillance mettrait en grave difficulté le fonctionnement et la survie de la Nation », détaille Nicolas Arpagian. Pour des raisons de sécurité nationale, la liste des OIV n’est pas publique et il est demandé aux entreprises désignées de ne pas communiquer sur leur implication au dispositif.

La numérisation pointée du doigt

Ces 200 entreprises doivent suivre un cahier des charges strict, qui vise à établir un socle minimum de sécurité, et rendre des comptes à l’Anssi. « Le but est de prévenir les cyberattaques et de garantir l’intégrité et la continuité de l’activité de ces entreprises », poursuit Nicolas Arpagian. Qui ajoute : « On n’est pas dans une logique de réprimande, mais d’anticipation. L’idée, c’est comment on peut faire pour que vous ne soyez pas une cible ? » Les machines et systèmes industriels, autrefois coupés des réseaux, sont aujourd’hui de plus en plus connectés à Internet, directement ou via le réseau de l’entreprise, ce qui les rend vulnérables aux attaques.

« Ces systèmes ont été conçus historiquement pour être utilisés de manière fermée. Mais avec l’évolution vers des technologies numériques, comme la santé connectée, le transport connecté ou l’électricité connectée, ils se sont ouverts, favorisant les cyberattaques », explique Gérôme Billois, expert en cybersécurité au cabinet Wavestone.

Mesures d’authentification multipliées, mises à jour de sécurité, isolation des réseaux… Des mesures ont permis d’augmenter la sécurisation des secteurs d’importances vitales. Mais pour l’expert, des mesures de sécurité physiques sont aussi nécessaires pour assurer une sécurité complète. « Si on prend l’exemple du train, il se pilote automatiquement, le système contrôle la vitesse et le freinage, mais il y a quand même un bouton d’arrêt d’urgence. Si l’aiguillage se faisait pirater, le conducteur peut toujours arrêter le mécanisme physiquement. » Et Gérôme Billois tempère : « Les attaques contre ces secteurs vitaux restent rares. La principale motivation des cybercriminels, c’est de gagner de l’argent. Ce n’est pas en faisant dérailler un train ou en empoisonnant l’eau d’une commune qu’on gagne de l’argent. »