Le sécurisé des systèmes d’information dans l’industrie est un enjeu. Les intervenants de la conférence organisée par Ingénieurs et Scientifiques de France le 11 décembre à l’INSA de Lyon, ont cerné les risques et indiqué les pistes pour une protection efficace.
Le développement des technologies numériques met en péril la sécurité des données personnelles. Ce développement met encore davantage en péril les systèmes industriels, en particulier les sites industriels à risques.
Jean-Christophe Mathieu, responsable de la cybersécurité pour le Groupe Siemens en France et un intervenant du Ministère de l’Intérieur, policier spécialisé dans les questions sont intervenus pour cerner les risques et indiquer les parades.
Les types de risques ont évolué, a rappelé le spécialiste du ministère de l’Intérieur. Les hackers sont des individus autonomes, doués en matière informatique, qui attaquent des systèmes sans vraiment avoir d’objectif économique ou financier. Mais d’autres types d’agresseurs sont beaucoup plus structurés. Des agresseurs ont pour but de rançonner les entreprises, en mettant en place une menace qu’ils retirent moyennant le paiement d’une rançon. Certaines agressions visent à s’emparer de secrets de fabrication, d’informations stratégiques.
Protéger les équipements et mieux organiser
La prévention des cyber-agressions repose sur deux approches principales. Les équipements reliés à des systèmes informatiques doivent être conçus de manière à résister aux tentatives d’intrusion. C’est la responsabilité d’entreprises qui proposent ces équipements connectés, comme Siemens. La sécurité doit être assurée par des barrières capables d’arrêter des intrusions. Les équipements doivent à la fois communiquer, mais ils doivent aussi pouvoir être étanches. Une barrière élémentaire est constituée par les identifiants et mots de passe qui doivent être gérés d’une manière très rigoureuse dès l’entrée en service des machines.
Au delà des équipements, c’est la robustesse des organisations qui permettra de résister aux agressions. Il convient de mettre en place dans les organisations des système de prévention pour gérer, là encore, toutes les relations entre les systèmes des entreprises et les réseaux externes. A ce niveau, les failles sont innombrables. Bien des entreprises utilisent pour communiquer, pour stocker dans les nuages, des données parfois essentielles. Le spécialiste du ministère de l’Intérieur a rappelé comment, à plusieurs reprises, il a pu montrer à des entreprises la manière dont il avait pu accéder à des informations sensibles en quelque sorte mises à disposition de tout hacker curieux.
Les responsables informatiques doivent aussi sensibiliser tous les utilisateurs aux risques créé par la connexion des systèmes d’entreprises avec des ordinateurs à usage privé. Un PC familial peut être la porte d’entrée pour des virus mais aussi pour les intrusions très motivées d’individus à la recherche d’informations sensibles.
Pour réduire les risques, il convient d’être informés, vigilants, rigoureux. Il est aussi nécessaire de connaitre les outils publics sécurisés mis à disposition par l’administration.
Plusieurs sites peuvent être consultés:
Le site www.ssi.gouv.fr est le site de l’Agence nationale de la Sécurité des Systèmes d’information, il permet de retrouver l’ensemble des guides et référentiels de bonne pratique sous forme de pdf. Le site propose aussi des formations en ligne. Il propose un Guide pour la protection numérique du potentiel scientifique, mais aussi la protection des risques liée à l’informatique dans les nuages. Il propose une liste d’outil et de prestataires qualifiés et certifié par l’Etat.
Le site www.certi.ssi.gouv.fr site secondaire de l’ANSSI émet des bulletins d’alerte sur les failles et vulnérabilités découverte dans le numérique par les spécialistes du ministère.
Le site www.internet-signalement.gouv.fr permet de signaler les tentatives d’escroquerie en ligne ou tout type de contenu numérique illicite.
Le site cybermalveillance.gouv.fr est un programme gouvernemental assurant la sensibilisation, prévention, soutien en matière de cybersécurité.
