Inscrivez-vous à la newsletter

Cyberattaques : peut-on craindre des conséquences sur l’intégrité physique des personnes ?

Mis en ligne le 04 Juin 2019

Source : CREOGN

Sylvain CHAUMETTE

Cyberattaques : peut-on craindre des conséquences sur l’intégrité physique des personnes ?
Voir le profil

Avec cet article, l’auteur aborde la question des risques potentiels à l'intégrité physique des personnes posée par les cyber-menaces. Les cyberattaques ne sont en effet pas limitées aux menaces informatiques. Ces attaques pourraient aussi avoir de graves conséquences sur la santé et l’intégrité physique des personnes qui travaillent dans les installations sensibles ou qui vivent aux alentours et appellent à des mesures de prévention.


Les opinions exprimées dans cet article n’engagent pas le CSFRS.

Les références originales de ce texte sont : « Cyberattaques : peut-on craindre des conséquences sur l’intégrité physique des personnes ? », de Sylvain Chaumette, Revue de la Gendarmerie Nationale, n°264,  avril 2019

Ce texte, ainsi que d’autres publications peuvent être visionnés sur le site du CREOGN


Certaines TPE/PME [1] exploitent des installations mettant en œuvre des matières dangereuses. Ces installations disposent pour la plupart de systèmes automatisés de contrôle qui peuvent être connectés à différents dispositifs de commande ou de supervision souvent reliés directement ou indirectement au réseau extérieur de l’entreprise. Une prise de contrôle à distance de ces installations par des cyber-attaquants pourrait leur permettre de provoquer des phénomènes physiques dangereux pour les personnels, les utilisateurs ou les riverains tels que des explosions, incendies ou rejets toxiques.

Les transformations en cours dans l’industrie (numérisation et standardisation des technologies du contrôle commande, transition énergétique, industrie 4.0) ainsi que la montée des actes de terrorisme tendent à augmenter la vraisemblance de cyberattaques visant à provoquer des conséquences humaines.

Quelles conséquences d’une cyberattaque ?

Pour bon nombre de personnes, les cyberattaques consistent en des actes de malveillance visant la destruction ou le vol de données avec des objectifs d’espionnage, de manipulation, financiers ou d’atteinte à l’image par exemple.

L’impact sur l’outil de production est rarement cité comme une conséquence potentielle d’une cyberattaque. Pourtant, plusieurs d’entre-elles ont eu ces dernières années des effets directs ou indirects sur les installations industrielles, les plus médiatisées étant celles liées à un arrêt de production généré par une cyberattaque tel que le blackout électrique en Ukraine de Décembre 2015 [2]).

L’impact sur l’outil de production qui pourrait générer des effets dommageables sur l’intégrité physique des hommes ou sur l’environnement naturel n’est quant à lui quasiment jamais pensé. Pour autant, bon nombre d’entreprises disposent d’installations qui stockent, utilisent ou produisent des produits dangereux (gaz naturel, propane, butane, ammoniac, acides, bases, etc…) pouvant être à l’origine d’explosions, d’incendies et/ou de rejets d’effluents toxiques en cas de dysfonctionnements. La corruption des systèmes de contrôle de ces installations (modifications de mesures ou de seuils de régulation, envoi de commandes via la supervision, désactivation de fonction de sécurité) peut aboutir aux mêmes phénomènes dangereux.

Quel historique ?

Plusieurs cyberattaques ayant pour finalité de provoquer des dégâts matériels ou humains ont été recensées [3] par le passé. À noter que pour certaines d’entre elles, la prise en main sur le système informatique a été précédée d’une intrusion in situ et que pour d’autres, l’attaque vient de l’intérieur (personnel ou sous-traitant). À titre d’illustration, certaines sont brièvement décrites dans les paragraphes suivants. En 2000, un ancien employé de la société, ayant installé le SCADA [4] d’une centrale de traitement des eaux usée en Australie, s’est vengé suite à un refus de la société gérant la centrale de l’embaucher. Il a volé un équipement radio de son employeur et a envoyé des commandes au SCADA générant le déversement dans la nature de 800 m3 d’eaux usées.

En 2008, des attaquants ont exploité la vulnérabilité des caméras de surveillance installées le long du pipeline de Baku-Tbilisi- Ceyhan en Turquie pour accéder au serveur de gestion des alarmes et des moyens de communication. Puis, ils se sont rendus physiquement à une station de pompage et ont généré, par l’intermédiaire du système de contrôle local, une montée en pression dans le pipeline qui a entraîné une explosion. En 2011, un ver informatique très complexe (Stuxnet) a endommagé 100 centrifugeuses du site d’enrichissement d’uranium de Natanz (Iran) en modifiant leur vitesse de rotation pour atteindre une fréquence de résonance. Ce virus exploitait 4 failles de Windows et du système de contrôle de Siemens qui étaient inconnues avant cette attaque (« Zero Day »).

En 2013, des attaquants se sont introduits dans une station d’eau potable en Géorgie (USA) et ont, via le système de supervision, modifié les réglages des taux de fluor et de chlore injectés dans l’eau, la rendant impropre à la consommation et privant ainsi 400 personnes d’eau potable. En 2014, des hackers ont pris les commandes des systèmes de contrôle d’une aciérie située en Allemagne via les logiciels de gestion et le réseau bureautique pénétrés par une campagne de mails infectés (variante du phishing). Ils ont fait dériver la température du haut fourneau et ont inhibé les fonctions automatiques de sécurité sur température haute, ce qui a causé de gros dégâts à l’infrastructure. Ces exemples illustrent la diversité des types d’attaquants et des moyens humains, techniques et financiers mis en oeuvre pour réaliser ces attaques.

Quel est le contexte actuel ?

Les entreprises connaissent actuellement de nombreuses évolutions de toutes formes, dont certaines sont très dépendantes de leurs secteurs d’activités, qui les rendent plus vulnérables à une cyber-attaque. De façon globale, on assiste au déploiement massif d’objets connectés (et notamment l’internet des objets) et l’on s’attend à un déploiement d’installations de production plus petites (pour certaines installations reproductibles à grande échelle), plus proches des consommateurs (voire chez lui) qui, pour beaucoup d’entre elles, seront surveillées et pilotées à distances et toutes connectées au réseau internet. L’un des exemples les plus parlants est sans nul doute celui de la transition énergétique ou sera disséminée au sein des territoires toute une panoplie d’installations de production, de stockage et de distribution d’énergie. Ce déploiement s’accompagnera donc d’une interconnexion forte et de la nécessité de piloter finement l’ensemble de ces moyens pour assurer la disponibilité de l’énergie quelles que soient les demandes. Enfin, les systèmes électroniques et logiciels liés à la sécurité des personnes et de l’environnement (automates de contrôle commande, automates de sécurité, réseaux de communications industriels) présents sur les sites industriels sont des systèmes de plus en plus ouverts et connectés avec l’extérieur. Ils réalisent des fonctionnalités avancées (télé- maintenance, supervision à distance…) et utilisent des technologies issues des systèmes d’information (réseaux sans fils, PC de bureau, routeurs) les rendant vulnérables aux cyberattaques.

En parallèle, les attaquants, aux motivations diverses et aux moyens plus ou moins importants, ayant les compétences pour attaquer les systèmes industriels, sont de plus en plus nombreux. Ainsi, l’entreprise de sécurité Kaspersky a détecté des attaques sur 41 % des ordinateurs intégrés à des SCADA qu’elle protège au 1er semestre 2018 contre 37,75 % au second semestre 2017 et 36,61 % au premier semestre 2017 [5].

Quel risque ?

L’attaque d’une installation dangereuse, dans le but de générer des dommages physiques, n’a d’intérêt a priori que si le site est sensible (en termes d’image par exemple), que si l’environnement de l’installation attaquée est sensible (forts enjeux dans l’environnement immédiat du site en termes de population, de cours d’eau etc.) ou que l’attaque peut toucher en même temps de nombreuses installations de même type. Ainsi, des installations plus petites, bien que potentiellement moins dangereuses que leurs aînés et se rapprochant des enjeux humains (mix énergétique au cœur des villes), deviennent plus vulnérables aux cyber-attaques car elles sont connectées en réseau et potentiellement clônées en beaucoup d’exemplaires ou utilisant des équipements identiques et connectés, entraînent à terme pour un attaquant des cibles privilégiées.

La détermination et les moyens mis en oeuvre par les attaquants dépend de l’importance des conséquences qu’ils escomptent obtenir. L’ANSSI [6] estime que des organisations étatiques font actuellement du pré-positionnement stratégique : elles s’introduisent dans les réseaux industriels pour être capable de déclencher des attaques massives en cas de crise géopolitique. Des organisations terroristes chercheraient plutôt de manière opportuniste des sites vulnérables provoquant des effets visibles, des réseaux criminels cherchent à démontrer leur capacité à réaliser ces attaques pour vendre leurs services. Dans ce contexte, les exploitants de PME/TPE, acteurs qui n’ont ni les moyens ni l’expertise des grands groupes qui mettaient en œuvre les grosses installations, peuvent être des cibles d’attaque privilégiées.

Quoi faire pour prévenir ce risque ?

Pour prévenir ce risque, il est nécessaire en premier lieu d’étudier la possibilité qu’une cyber-attaque puisse engendrer des phénomènes dangereux pour l’homme et l’environnement par l’intermédiaire notamment des systèmes d’information et des SCADA. Il faut donc intégrer dans l’analyse des risques l’impact d’une cyber-attaque sur les installations physiques. En deuxième lieu, il s’agit d’en évaluer la gravité, c’est-à-dire les conséquences éventuelles de ces attaques sur les biens, les personnes et l’environnement (estimation des rayons d’effets d’une explosion par exemple). En troisième lieu, la vraisemblance de chaque scénario doit être étudiée sur la base notamment de la vulnérabilité des systèmes (systèmes informatiques, contrôle commande, interfaces avec les installations : capteurs et actionneurs), des installations et de leur environnement.

Enfin des mesures doivent être mise en place, si besoin, en fonction de la gravité et de la vraisemblance des scénarios d’attaques identifiés. Ces mesures peuvent, voire doivent, selon les cas, être une combinaison de mesures prises au niveau des systèmes d’information (conception d’une architecture plus facile à défendre, gestion des intervenants, protection par antivirus, pare-feu, etc.), de mesures physiques, humaines et/ ou organisationnelles prises au niveau des installations physiques elles-mêmes (mise en place de barrières de sécurité physiques non connectées par exemple) ainsi que des mesures de détection et de traitement des incidents.

Les approches d’analyse des risques issues de la cybersécurité doivent ainsi être combinées à celles adoptées pour la maîtrise des risques accidentels, centrées sur les installations physiques et les phénomènes dangereux qu’elles peuvent générer. Cette analyse des risques devrait être réalisée de façon globale en intégrant et en s’assurant de sa cohérence avec la prévention des risques d’intrusion et des risques accidentels intrinsèques à l’exploitation des installations. Pour mettre en place ces différentes analyses et mesures, bon nombre des TPE / PME concernées devront être accompagnées par des prestataires externes dont il faudra s’assurer de la compétence.

Conclusion

Les cyber-attaques peuvent être, par la prise de contrôle d’équipements ou d’installations dangereuses, à l’origine de phénomènes dangereux ayant des effets dommageables sur le personnel, les riverains ou l’environnement. Pour raison de sécurité, il est nécessaire que ces conséquences soient prises en compte et que des mesures pertinentes soient mises en oeuvre pour limiter les conséquences de telles attaques. Au-delà de l’impact direct sur les personnes, une mauvaise prise en considération des cyber-attaques sur des équipements dangereux intégrés à des filières en cours de déploiement, avec des effets sur les personnes ou sur l’environnement, pourrait avoir un impact très négatif sur ce processus. On peut penser notamment au déploiement actuel de la filière hydrogène en France [7] et le comparer à celui de la filière véhicule GPL qui s’est arrêté du fait de l’explosion d’un réservoir GPL dans un véhicule.

References   [ + ]

1. Notamment, 94% du tissu des entreprises de la chimie en France est constitué de TPE / PME (source site internet https:// www.francechimie. fr/Positions-Expertises/ Economie- competitivite/ TPE-PME-ETI).
2. Référence : Fiches Incident Cyber SI Industriels – CLUSIF – GT SCADA (lien internet : https:// clusif.fr/publications/ fiches-incidents- cyber-industriels- 2017/
3. Fiches Incident Cyber SI Industriels – CLUSIF – GT SCADA (lien internet : https:// clusif.fr/publications/ fiches-incidents- cyber-industriels- 2017/).
4. Logiciels destinés au contrôle de processus et à la collecte de données en temps réel auprès de sites distants, en vue de contrôler des équipements et des conditions d’exploitation.
5. Source : https://ics-cert. kaspersky.com/ reports/2018/09/06/ threat-landscape- for-industrial- automation-systems- h1-2018/
6. Conférence d’ouverture du FIC 2019.
7. Plan de déploiement de l’hydrogène pour la transition énergétique – MTES (source :https:// www.ecologique- solidaire.gouv. fr/sites/default/files/ Plan_deploiement_ hydrogene.pdf).

Rédigé par Sylvain CHAUMETTE

Du même partenaire

Défense et Sécurité

Les algorithmes et l'Intelligence-Led Policing

Mis en ligne le 20 Dec 2018

Par Nicolas Valescant, Daniel Câmara

Source : CREOGN

Sociétés, Cultures, Savoirs

Souveraineté et confiance : les enjeux du RGPD

Mis en ligne le 18 Dec 2018

Par Jérôme LAGASSE, Anthony BRUILLARD

Source : CREOGN

Sociétés, Cultures, Savoirs

La Justice prédictive : Mythe ou réalité ?

Mis en ligne le 27 Sep 2018

Par Cécile Doutriaux

Source : CREOGN

Défense et Sécurité

Vers une dissuasion technologique fondée sur les systèmes d'armes autonomes

Mis en ligne le 27 Mar 2018

Par Thierry BERTHIER

Source : CREOGN

Articles de la catégorie Défense et Sécurité

Défense et Sécurité

Protecting Europe against hybrid threats

Mis en ligne le 04 Jun 2019

Par Gustav GRESSEL

Source : ECFR

Défense et Sécurité

Nos partenaires

 

afficher tout