Téléviseurs, montres, réfrigérateurs, machines à café… De plus en plus d’appareils domestiques sont dits « connectés ». De nombreux secteurs industriels intègrent aussi ces capteurs connectés pour obtenir en temps réels différentes mesures ou pour optimiser la maintenance de machines et d’automates.
Or, l’intégration de ces appareils a un impact sur la vie privée des consommateurs. Quelles données sont récupérées par ces appareils et sont-elles sauvegardées de façon sécurisée ? Pour les industriels, le déploiement de ces capteurs augmente ce que les experts en cybersécurité appellent la « surface d’attaque ». En clair, plus il y a de logiciels, d’ordinateurs, d’automates et d’objets connectés et plus il y a de potentielles tentatives d’intrusion malveillante dans les réseaux et donc d’exfiltration de données.
Cette semaine, la Commission européenne a sifflé la fin de la récré, car depuis des années, les experts tiraient la sonnette d’alarme : trop d’appareils connectés n’intègrent aucune sécurité des connexions et trop d’éditeurs ne mettent pas en place un niveau de sécurité adapté.
Des autorités de surveillance et des amendes
La Commission a donc présenté sa proposition de loi sur la cyber-résilience, qui vise à protéger les consommateurs et les entreprises contre les produits connectés numériquement dont les caractéristiques de cybersécurité sont insuffisantes. La législation sera obligatoire pour tous les États membres de l’UE. Mais elle aura probablement aussi des répercussions à l’échelle mondiale puisque toute entreprise vendant des produits dans l’UE devra s’y conformer.
La loi a été annoncée en septembre 2021 et s’appuie sur la stratégie de cybersécurité de l’UE de 2020. L’objectif est de faire en sorte que les produits numériques, souvent regroupés sous l’appellation « Internet des objets », soient plus sûrs pour les personnes qui vivent et travaillent dans l’Union européenne, et d’accroître la responsabilité des fabricants en matière de respect des exigences minimales.
Selon une fiche d’information publiée par la Commission européenne, 90 % des produits seront autoévalués par les fabricants. Environ 10 % des produits feront l’objet d’une évaluation par un tiers, en raison de leur caractère critique (interfaces réseau, pare-feu, processeurs, etc.).
Les États membres désigneront des autorités de surveillance du marché qui seront chargées de faire respecter les obligations de la loi sur la cyber-résilience. En cas de non-conformité, ces autorités pourront demander aux opérateurs de mettre fin à la non-conformité et d’éliminer le risque, d’interdire ou de restreindre la mise à disposition d’un produit sur le marché, ou d’ordonner le retrait ou le rappel du produit.
L’IoT, nouvelle cible des pirates
Chacune de ces autorités sera en mesure d’infliger des amendes aux entreprises qui ne respectent pas les règles. La loi sur la cyber-résilience établit des niveaux maximums pour les amendes administratives qui devraient être prévues dans les lois nationales en cas de non-conformité.
Il y a urgence, car les réseaux des entreprises et des industriels ressemblent à des gruyères. Reconnaissons que la tâche n’est pas simple pour les équipes chargées de la sécurité informatique de leur entreprise : comment gérer et surveiller précisément un réseau informatique qui ne cesse de grossir, comme un mille-feuille auquel on ne cesse d’ajouter des couches ?
Les cyberattaquants disposent avec l’IoT d’une porte d’entrée idéale pour s’y infiltrer, disséminer des ransomwares, voler des données ou bien encore lancer des opérations de minage clandestines (cryptojacking). Mais la situation est-elle encore sous contrôle quand 69 % des décideurs informatiques interrogés en France déclarent que leur organisation a constaté une augmentation du nombre d’appareils IoT connectés au réseau d’entreprise en 2020 selon « The Connected Enterprise : IoT Security Report 2021 » de Palo Alto Network, un des poids lourds mondiaux de la cybersécurité.
Preuve que la situation devient explosive, un récent rapport de Nozomi Networks – une entreprise américaine spécialisée dans la protection des réseaux industriels – affirme que les cybercriminels exploitent les capteurs industriels pour lancer des attaques. Selon ce spécialiste, « l’activité des botnets IoT s’est intensifiée au premier semestre 2022 ».
À l’instar de ce qui se passe avec l’informatique où des pirates prennent le contrôle d’ordinateurs (des botnets ou « réseaux zombie »), la finalité des capteurs industriels est également détournée par des cybercriminels pour lancer des attaques DDoS (Distributed Denial of Service, déni de service distribué). Le but est de paralyser l’activité d’un serveur ou d’une ressource web en le submergeant de requêtes.
Comme pour les entreprises, les industriels doivent renforcer leur niveau de sécurité afin d’assurer leur pérennité en appliquant des mesures simples, mais efficaces : mots de passe durcis, segmentation des réseaux, contrôle des accès.
Cet article se trouve dans le dossier :
Quels défis pour l'industrie française ?
- La sécurité des infrastructures industrielles reste trop vulnérable aux attaques
- Des virus de plus en plus sophistiqués
- Les réseaux industriels sont confrontés à de multiples attaques et… contraintes
- Haithem Gardabou : « En matière de cybersécurité, les industriels sont en train de rattraper leur retard »
- Attaques informatiques : le hardware devient une cible
- Les failles de cybersécurité dites « 0-day » ne connaissent pas la crise
- CyberScore : des codes couleurs pour connaître le niveau de sécurité des sites
- L’Europe veut plus de sécurité dans les objets connectés
- Qu'est-ce que le métavers ?
- Philippe Fuchs : « Il ne faut être ni technophobe ni technophile par rapport au Métavers mais analyser sérieusement son intérêt et ses limites »
- Laval Virtual : les nouveaux horizons de la RA
- La réalité virtuelle en aide à la conception et à l’évaluation dans l’industrie
- Réalité et environnement virtuels : à quand leur acceptation comme outil de communication ?
- Industries : la formation en réalité virtuelle entre dans les habitudes
- La crise force l’industrie à la sobriété énergétique
- L'Etat et l'Europe au secours de l'industrie
- Prix de l’énergie : à qui la faute ?
- Europe énergétique : l'espoir d'une union ?
- Négawatt propose 50 mesures chiffrées de sobriété énergétique
- Les industriels français face à une situation énergétique "catastrophique"
- L’industrie circulaire, un modèle pour transformer l’industrie suivant les principes de l’économie circulaire
- Passer d'un modèle d'industrie linéaire à l'industrie circulaire, pourquoi est-ce une nécessité ?
- Repenser les modèles économiques pour pivoter vers une industrie circulaire
- Comment accélérer sa transition vers un modèle d’industrie circulaire ?
- Déprogrammer l’obsolescence grâce à l'écoconception
- Une plateforme de vente pour les stocks dormants de pièces de maintenance industrielle
- 5 secteurs industriels ciblés pour tenter de relocaliser
- Composants électroniques : « Il faut favoriser l’émergence d’un fournisseur européen de haut niveau »
- « Développer des outils de production modulaires et délocalisables »
- Penser l'après Covid-19 : vers quels modèles économiques se tourner ?#3 Entre relocalisation et résilience
- Rôle de la relocalisation sur le développement durable
- De la réalité virtuelle aux métavers : finalités et usages
- Faire carrière dans l'industrie en France : les entreprises recrutent
- L’intrapreneuriat dans l’industrie : un pari gagnant !
- Métiers et compétences : les nouveaux besoins de l’industrie
- Les enjeux de la réindustrialisation au regard de la situation actuelle
Dans l'actualité
- Les failles de cybersécurité dites « 0-day » ne connaissent pas la crise
- Véhicules autonomes : les risques liés à la cybersécurité doivent être mieux pris en compte
- Les technologies quantiques : les entreprises doivent s’y préparer dès maintenant
- Attaques informatiques : le hardware devient une cible
- Les voitures connectées : prochaines cibles des pirates ?
- Guerre en Ukraine : faut-il désinstaller les logiciels russes ?
- Guerre en Ukraine : la cyberguerre redoutée, mais absente !
- Pour contrer le cyberespionnage, la start-up Snowpack propose de cacher les informations dans des « flocons »
- Ingénieurs : quels sont les secteurs les plus créateurs d’emplois ?
- Un « Nutriscore » pour connaître le niveau de sécurité des appareils connectés
- La sécurité des infrastructures industrielles reste trop vulnérable aux attaques
- Puces électroniques : l’Europe veut limiter sa dépendance
- Un réseau invisible pour ne pas être repéré par les pirates
- Les données des appareils connectés pourraient permettre de mieux comprendre l’origine d’incendies
- Sécurité des objets connectés : l’Europe passe à l’action
Dans les ressources documentaires
- Maîtrise des risques cyber - Identification, détection, analyse, traitement et transfert de risque
- Pare-feu - Couteau suisse de la sécurité informatique
- Cybersécurité des installations industrielles - SCADA et Industrial IoT
- Sécurité informatique pour la gestion des risques - Application aux systèmes d’information
- Comment protéger ses données et bases de données ?