Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.
Cybersécurité des entreprises en Tunisie | Ali Laribi, consultant en cybersécurité IT/OT à La Presse : "Les entreprises tunisiennes doivent agir face aux cyberrisques imminents"
A mesure que les cyberattaques sont devenues monnaie courante dans le monde entier, la sécurisation des systèmes d'information est devenue une tâche ardue nécessitant une vigilance accrue et une veille constante. Souvent perçue comme un secteur épargné, l'industrie figure pourtant parmi les environnements les plus menacés. Les attaques qui ont ciblé de grands groupes industriels à travers le monde en sont la preuve irréfutable. Dès lors, la cybersécurité des systèmes industriels présente des spécificités et nécessite une approche adaptée. Ali Laribi, consultant en cybersécurité, revient sur cette question et nous apporte son éclairage. Interview. On a tendance à croire que les secteurs financiers sont les plus menacés en matière de sécurité informatique. Mais en réalité, d'autres secteurs, moins évidents, comme l'industrie, sont tout autant menacés que les autres... D'abord, il faut distinguer deux types de sécurité informatique : la cybersécurité IT (Information Technology), qui concerne essentiellement les secteurs financiers, mais aussi toutes les autres entreprises et organisations, car elle implique les serveurs. Ce type de cybersécurité traite de la confidentialité de l'information, de sorte qu'elle ne soit ni altérée, ni divulguée, et que les systèmes d'information restent disponibles. Contrairement à la cybersécurité IT, la cybersécurité OT (Operational Technology ou la cybersécurité des technologies opérationnelles) impacte en premier lieu la disponibilité de l'information, ensuite son intégrité, et enfin sa confidentialité. Pour mieux comprendre cette différence, prenons l'exemple d'une usine : une modification des informations relatives au processus de fabrication peut entraîner de graves conséquences et des risques inestimables. En d'autres termes, les cyberattaques touchant l'IT peuvent avoir des répercussions financières, juridiques et même stratégiques pour l'entreprise, dont la réputation serait entachée par ces attaques. A l'inverse, les attaques OT visent les environnements industriels et peuvent avoir des conséquences très graves sur la sécurité des personnes. Je citerais ici l'exemple de l'attaque qui a ciblé, en 2010, un réacteur nucléaire en Iran, déjouée à la dernière minute. Une telle attaque aurait pu affecter non seulement le pays, mais toute la région, voire le continent. Quels sont les types de cyberattaques les plus fréquents dans les environnements OT ? Tout comme pour la cybersécurité IT, les attaques par ransomware restent aujourd'hui parmi les plus lourdes et les plus fréquentes dans le secteur industriel. Je prendrais l'exemple du célèbre ransomware NotPetya, dont les dégâts ont été estimés à plus de 10 milliards de dollars à travers les entreprises touchées dans le monde. La Tunisie est-elle dans le viseur de ces hackers ou est-elle à l'abri de ces cybermenaces? La Tunisie est exposée aux risques des cyberattaques qui découlent d'un ensemble d'enjeux auxquels elle est confrontée. Tout d'abord, il y a le contexte géopolitique, qui influence le paysage des cybermenaces. La Tunisie appartient à une région qui est sous fortes tensions géopolitiques ce qui peut favoriser les attaques informatiques. En outre, l'absence aujourd'hui d'un cadre réglementaire à jour et conforme aux normes et bonnes pratiques internationales constitue une source de vulnérabilité. Hormis la loi de 2004, qui a été par ailleurs actualisée en 2023, il n'existe pas de loi relative à la cybersécurité qui s'intéresse particulièrement aux infrastructures critiques car il ne faut pas oublier que, pour les systèmes industriels, ce sont les infrastructures critiques, publiques et privées, qui comptent. Par exemple, en France, il y a toute une loi qui a été consacrée aux opérateurs d'importance vitale (OIV). Il y a également une autre loi dite loi de programmation militaire (LPM) qui oblige les organisations, qu'elles soient privées ou publiques, de respecter certaines exigences en matière de cybersécurité. Ces lois ont permis d'identifier 12 secteurs d'activités vitaux et les ministères régaliens où il est impératif de sécuriser certains points vitaux, c'est ce qu'on appelle les systèmes d'information à importance vitale (SIIV). La Tunisie ne s'est pas encore dotée d'un cadre réglementaire similaire. Peut-être que les organisations ne se sentent pas menacées ou qu'elles estiment qu'on est à l'abri des cybermenaces. Mais ce n'est pas vrai. Un autre enjeu est le manque d'investissement dans la cybersécurité. Aujourd'hui, il faut que toute la direction et tout le leadership de l'entreprise soient pleinement engagés. Ceci est d'ailleurs valable même pour la cybersécurité informatique classique. Les dirigeants de l'entreprise doivent être conscients des enjeux et des dangers inhérents à la sécurité informatique. C'est pour cette raison qu'il est important d'organiser des sessions de sensibilisation dont l'objectif est de convaincre les dirigeants de l'entreprise de l'importance de cette problématique et des risques courus en cas d'inaction. Le quatrième enjeu, sur lequel il faut s'attarder, est le manque de cybermaturité qui caractérise nos entreprises. Pour faire le parallèle avec le contexte français, je cite une étude qui a été réalisée, l'année dernière, par le bureau de conseil Wavestone, auprès de sociétés françaises. Les résultats ont montré que seul le secteur financier, notamment les banques et les assurances, sont au-dessus de la moyenne, avec un score de maturité avoisinant les 61%. Tous les autres secteurs sont en dessous de la moyenne et présentent des risques cyberélevés. Cette étude a révélé que la sécurité des tiers (partenaires, fournisseurs... de plus en plus interconnectés) qui est à 46.9% de maturité, la sécurité du Cloud à 44.0% et celle des systèmes industriels à 37.6, sont des domaines clés de la cybersécurité qui restent en souffrance. En Tunisie, les résultats peuvent être similaires avec un écart estimé à 10% ou plus. La maturité des systèmes industriels en Tunisie est certainement en dessous de la moyenne, et peut être égale à 20%, si ce n'est moins. Un autre aspect qui impacte la sécurité informatique dans l'environnement industriel concerne la faible posture des sociétés. Aujourd'hui, si on parle de systèmes industriels, on parle d'automates programmables, de systèmes SCADA, de chaînes industrielles... On peut dire que ces systèmes ne sont pas par ailleurs des systèmes classiques tels qu'on entend pour les serveurs, les switches, les routeurs, les firewalls, etc. Mais qui sont des systèmes un peu désuets et donc exposés à des risques accrus d'attaques. Du moment qu'ils ne sont pas en phase avec les bonnes pratiques de la nouvelle ère technologique telles que la double authentification, la gestion du durcissement, etc., ces systèmes ne sont pas capables de se conformer aux normes en vigueur. Contrairement aux systèmes IT qui sont continuellement mis à jour, les systèmes industriels ne sont pas aussi sophistiqués. Ce qui peut accroître les risques d'attaques. Les pirates peuvent exploiter une faille qui existe dans ces systèmes industriels pour faire ce qu'on appelle le lateral movement et s'infiltrer dans le système IT. Par exemple, la majorité des hackers peuvent se faufiler dans les systèmes de l'entreprise via une caméra de surveillance, dont la sécurisation n'est pas à jour, pour atteindre toute l'architecture des systèmes. Quelles sont les démarches à suivre pour se prémunir contre ces risques ? Il est impératif d'investir à la fois dans la cybersécurité IT et OT, parce qu'une usine comporte les deux. L'erreur généralement commise par les dirigeants de ces usines consiste à investir souvent dans la sécurité corporate, c'est-à-dire les serveurs, parce qu'ils considèrent que l'usine est épargnée de tout risque. Ils pensent que ces systèmes industriels sont déconnectés et ne sont pas conçus pour l'Internet et par conséquent ne sont pas hackables. Mais en réalité ces systèmes sont connectés et parfois même à Internet. Il y a des accès à distance qui constituent un vecteur d'attaque. D'ailleurs on parle de plus en plus de la convergence IT et OT. Il ne faut pas oublier aussi, qu'aujourd'hui, l'industrie 4.0 devient une réalité. Les industriels ont tendance à croire que les hackers ne comprennent pas les systèmes industriels. Or, ce n'est pas le cas, parce qu'aujourd'hui, ces pirates-là ne sont pas de simples hackers qui sont dans leur coin, à tatonner mais on parle plutôt de groupes mafieux. Et pas que. Il y a également des Etats qu'on appelle des Etats voyous et qui sont plutôt dans l'offensif que dans la défensive. Les Etats peuvent être dans une logique de défense et donc investissent pour se défendre contre les attaques. Mais certains Etats ont adopté une posture offensive pour investir dans toute la chaîne d'attaque, allant de la reconnaissance jusqu'à l'intrusion. Ces Etats recrutent aujourd'hui des conseillers qui sont des experts en systèmes industriels et qui comprennent les protocoles utilisés. Ils peuvent détecter les failles et les vulnérabilités pour procéder à des attaques avec des visées malveillantes. Par exemple, en 2022, des hackers ont essayé d'empoisonner une réserve d'eau, une attaque qui a été heureusement déjouée à la dernière minute. Les attaques peuvent également cibler les barrages qui contiennent des automates programmables pouvant être manipulés à distance. Un autre scénario non moins dangereux est celui d'une attaque dans l'industrie pharmaceutique qui peut aboutir à un changement de formule d'un médicament et qui peut entraîner des pertes énormes de production. C'était le cas d'une attaque déjouée par la société américaine Merck dont les pertes ont dépassé les 670 millions de dollars. La société en a durablement pâti, étant donné que sa réputation s'est entachée. Dans le cas du ransomware NotPeya qui a visé Saint Gobain, les pertes causées par le déficit de production ont atteint 200 millions d'euros. En somme, les entreprises tunisiennes doivent agir, parce qu'elles sont certainement exposées à des cyberrisques. Il est aussi recommandé d'élaborer un inventaire des infrastructures critiques publiques et privées qui existent en Tunisie. Je pense que la mise en place d'une réglementation obligeant les entreprises à respecter certaines normes et règles à l'instar des normes européennes NIS et LPM est aujourd'hui indispensable. Les entreprises doivent également évaluer leur maturité, et améliorer leur posture. Je leur recommande vivement d'investir dans la cybersécurité selon l'approche PPT (People, Process and Technology). Beaucoup croient à tort que l'investissement dans les équipements techniques (firewall) devrait les protéger contre les menaces. Or, il faut investir dans l'humain, l'information et dans le process. Il faut mettre en place tout un programme clair de sécurité de systèmes d'information, et de systèmes industriels. Il est indispensable d'avoir des politiques en la matière et investir dans la technologie également, sans oublier la chaîne d'approvisionnement et les risques liés aux tiers, (car les sous-traitants peuvent être une source de vulnérabilité pour l'entreprise), et ce, en s'appuyant sur les standards et les bonnes pratiques.
