Étude sur la protection des

systèmes de contrôle industriels

Belgique 2014
Rédigée par Stephen Smith
Révisée par Anja Van Geert
Table des matières

Introduction 4

Résumé 5

Méthodologie de l’étude 6

1. Informations génériques de l’étude 7

1.1 Informations sur les entreprises sondées 7

1.2 Importance des systèmes de contrôle industriels dans l’entreprise 8

1.3 Prise de conscience des risques en matière de cybersécurité 10

2. Programme de sécurité des systèmes de contrôle industriels 11

3. Mesures & pratiques en matière de sécurité des systèmes industriels 15

4. Conclusion 15

À propos de l’auteur 18

Remerciements 18

Ressources utiles 19

ÉTUDE SUR LA PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS ONRIX 3

 Introduction

Il est impossible de ne pas se préoccuper des menaces potentielles qui visent les appareils et les
systèmes numériques lorsque l’on aide les utilisateurs et les entreprises à limiter ces risques. Ce
faisant, on se rend également compte que, dans la plupart des entreprises, les efforts nécessaires
à sécuriser les systèmes sont bien plus importants que l’évaluation de la menace réelle. Ces
considérations, ainsi que d’autres études telles que la SANS SCADA & Process Control Security
Survey*, ont éveillé ma curiosité quant à la maturité et l’état de préparation concernant de tels risques
au niveau local. J’ai voulu connaître la situation en Belgique, et ai donc décidé de réaliser cette étude
pour une meilleure compréhension de la situation, mais également une plus grande conscientisation
au sujet de cette problématique.

Le terme de systèmes de contrôle industriels (SCI – « Industrial control systems ») est employé pour
décrire des systèmes numériques utilisés dans des environnements de production. De tels systèmes
servent généralement à contrôler et superviser des activités opérationnelles. Ces systèmes permettent
également de contrôler des systèmes d’alarme, des systèmes de sécurité et nombre d’autres fonctions.
Les SCI deviennent progressivement plus dépendants des technologies informatiques « standard » ;
des technologies telles que Microsoft Windows, TCP/IP, les navigateurs Web et les technologies sans
fil remplacent les systèmes propriétaires conventionnels. Les systèmes industriels propriétaires plus
anciens sont soit remplacés, soit renforcés par des logiciels « prêts à l’emploi ». Une grande partie des
mesures de protection standard en matière de sécurité informatique sont difficilement applicables
dans des environnements de contrôle industriel. C’est pourquoi les mesures de sécurité existantes
sont insuffisantes pour protéger les systèmes de contrôle et garder l’environnement sûr et sécurisé.
Aujourd’hui, Windows XP est encore largement utilisé dans les environnements industriels. La fin du
support des systèmes Windows XP, annoncée en avril 2014, ne fait qu’augmenter le risque. Microsoft
ne livrera plus de mises à jour pour faire face aux problèmes de sécurité liés au système.

Alors qu’un grand nombre de rapports sur les menaces de cybersécurité indiquent une augmentation
des incidents, les entreprises s’appuyant sur l’informatique pour des opérations critiques doivent être
encore plus vigilantes. Un manque de sécurité adéquate contre les cybermenaces pourrait devenir un
enjeu majeur pour un grand nombre d’entreprises en Belgique.

Néanmoins, de telles situations peuvent être évitées, notamment si les entreprises prennent
conscience du danger et agissent de façon organisée pour se protéger contre les cybermenaces.

*SANS Scada & Process Control Security Survey

4 ONRIX ÉTUDE SUR LA PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS

Résumé

L’indisponibilité des systèmes informatiques peuvent, dans certaines circonstances, avoir un

impact financier direct et causer de graves dommages. Les menaces pour la sécurité des systèmes
informatiques et tout particulièrement pour les systèmes de contrôle industriels (SCI) constituent
donc une menace globale de plus en plus prégnante. Le développement continu de la numérisation
et de l’automatisation aggrave cette menace, étant donné que des systèmes plus interconnectés
font de meilleures cibles. Les entreprises achetant de nouveaux systèmes doivent se montrer
plus exigeantes en ce qui concerne la sécurité proposée par les vendeurs, les intégrateurs et les
consultants qui installent ces outils.
Parmi près de 100 participants à cette étude, 63 ont répondu que leurs systèmes de contrôle
industriels sont cruciaux ou très importants pour les activités opérationnelles de leur entreprise.
Plus de la moitié ont déclaré que l’interruption ou l’indisponibilité de ces systèmes pourrait
perturber leur entreprise. Pourtant, seul un quart des personnes interrogées envisageait une mise
à niveau ou une extension de ces systèmes dans les 5 ans. L’usage répandu de Windows XP dans
les environnements industriels va accroître les risques encourus par ces systèmes immédiatement
après la fin du support de ce système d’exploitation, le 8 avril 2014.
Cette étude montre que la prise de conscience et la compréhension du cyber risque vis-à-vis des SCI
ne sont pas suffisamment développées en Belgique. Les entreprises qui veulent réduire activement
leurs risques se trouvent plutôt parmi les grandes multinationales, les acteurs mondiaux, les
secteurs spécialisés qui accordent beaucoup d’importance aux facteurs de qualité et de conformité,
et les entreprises appartenant à des secteurs critiques dans le domaine de l’infrastructure (tels
que l’énergie, le transport, la gestion de l’eau et des déchets). Ce sont les petites et moyennes
entreprises qui sont les plus exposées aux risques en matière de cybersécurité.
L’estimation de l’impact de l’interruption ou du piratage dans les SCI varie parmi les personnes
interrogées. Les principales inquiétudes sont les dommages matériels potentiels, les fuites
d’informations et les risques pour la santé et la sécurité. D’autres sondés ont évoqué la perte
de temps de production, se prolongeant plusieurs jours, les pertes financières et les fermetures
temporaires. Plusieurs entreprises ont également cité des dommages environnementaux parmi les
conséquences possibles.
La capacité de récupération des systèmes suite à un incident de cybersécurité est un élément
crucial pour limiter les pertes et éviter un préjudice plus important. Il est clair qu’il faut faire
davantage d’efforts dans ce domaine, étant donné que les tests des plans de récupération sont fort
peu répandus. Les incidents en matière de cybersécurité devraient en outre être gérés et signalés
de manière à servir à des fins d’apprentissage. Cela implique également le signalement de tels
incidents au niveau national à l’équipe fédérale d’intervention d’urgence en sécurité informatique
(CERT.be) afin que les cybermenaces et les analyses de tendances soient partagées au bénéfice de
tous.
L’étude montre que certaines entreprises prennent des mesures pour améliorer leur défense, mais
que le chemin est encore long pour permettre une plus grande prise de conscience du problème.
La lutte contre les menaces pour le cybersécurité ne devrait jamais être considérée comme un
effort ponctuel. La réduction des risques de sécurité est un processus continu qui requiert une
attention de tous les instants et des améliorations qui doivent suivre les avancées technologiques
et l’intelligence des criminels. Notre espoir est que cette étude puisse aider à comprendre les
démarches qui doivent être envisagées et à convaincre davantage d’entreprises à s’engager dans
l’atténuation des cybermenaces.

ÉTUDE SUR LA PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS ONRIX 5

 Méthodologie de l’étude

Objectif
L’objectif principal de l’étude est de comprendre le degré de maturité des entreprises belges en
ce qui concerne les risques de cybersécurité relatifs aux systèmes d’automation et de contrôle
industriels.

Participants
Entreprises établies en Belgique (filiales de multinationales, BEL20, PME) qui utilisent des
systèmes d’automation et de contrôle industriels dans leurs environnements opérationnels et de
production ont été contactées.
Le contact initial servait à expliquer l’objet de l’étude (identifier la prise de conscience et la
maturité de la prise de conscience de la cybersécurité pour les systèmes de contrôle industriels)
et à identifier l’individu le mieux placé pour répondre aux questions de l’étude.
L’étude en tant que telle est basée sur les réponses de 95 personnes interrogées, dont 67 ont
indiqué qu’elles utilisaient des systèmes de contrôle industriels dans le cadre de leurs activités
opérationnelles quotidiennes.

Méthodologie
Étant donné que les études en matière de sécurité peuvent être difficiles à mener en raison du
caractère sensible des informations, il a été décidé que l’ensemble de l’étude passerait par des
interviews téléphoniques.

Contenu
Nous avons préparé 3 groupes de questions afin d’extraire les informations nécessaires à l’étude.
Le premier groupe se concentrait sur des informations générales concernant l’entreprise de
la personne interrogée, la prise de conscience des cybermenaces pesant sur la sécurité et
l’importance des systèmes de contrôle industriels. Le deuxième groupe de questions concernait
les problèmes organisationnels (67 personnes interrogées) relatifs aux menaces de sécurité pour
les SCI. Un troisième groupe de questions a été préparé pour les personnes interrogées motivées,
soit 28 de ces personnes, disposées à répondre à des questions sur les mesures de sécurité déjà
appliquées dans leurs environnements de production.

Remerciements
Je voudrais profiter de cette opportunité pour remercier toutes les personnes interrogées pour
le temps et les efforts qu’elles ont fournis afin de m’aider à mener cette étude à bien. Sans leur
implication, ce rapport n’aurait pas eu le poids nécessaire pour permettre à toutes les entreprises
belges de prendre conscience de la menace.

6 ONRIX ÉTUDE SUR LA PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS

1
Informations génériques de l’étude

1.1 Informations sur les entreprises sondées

L’étude s’est concentrée sur les secteurs qui utilisent des quantités significatives d’automation
industrielle dans leurs environnements opérationnels et de production.

QUEL EST LE SECTEUR D’ACTIVITÉ

DE VOTRE ENTREPRISE?

Agro-alimentaire
Produits chimiques
Industrie
Pharmacie
Textiles
Matériaux de construction
Énergie
Logistique
Médical
Raffinage & recyclage du métal
Transports publics
Gestion de l’eau

Graphique 1. Domaine d’activité de l’entreprise.

L’industrie manufacturière (32 %) et l’industrie agroalimentaire (31 %) sont les mieux représentées,
mais des entreprises de plusieurs secteurs ont participé à l’étude.

Les entreprises contactées avaient diverses tailles organisationnelles, allant des multinationales
de plus de 1 000 employés (24 %) aux entreprises de grande et moyenne tailles (30 %) de 100 à
1 000 employés, en passant par des petites entreprises (45 %) de moins de 100 employés.

NOMBRE TOTAL DE TRAVAILLEURS

DANS VOTRE ENTREPRISE ?

< 100 travailleurs

100 à 499 travailleurs
500 à 1000 travailleurs
> 1000 travailleurs

Graphique 2. Taille de l’entreprise.

ÉTUDE SUR LA PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS ONRIX 7

 1 Les réponses individuelles à l’étude sont venues d’un plus large éventail de fonctions que prévu.
Celles-ci ont été réunies dans des fonctions similaires afin de faciliter l’analyse. Les fonctions
de loin les plus nombreuses parmi les personnes interrogées – plus de la moitié – provenaient
des activités opérationnelles ou de la production, suivies par les fonctions de direction générale
(propriétaires et directeurs) (15 %) et les fonctions de type informatique/technique/maintenance
(14 %). Il est intéressant de noter qu’aucune des personnes interrogées n’identifiait sa fonction
principale comme une fonction de sécurité.

RÔLE DES SONDÉS

Propriétaire/Directeur
Opérations/Production
IT/Technique/Maintenance
Achat/Stock/Logistique
Commercial/Service au client
Qualité/Santé et sécurité

Graphique 3. Fonctions des personnes interrogées.

1.2 Importance des systèmes de contrôle industriels dans l’entreprise

Le degré d’automation industrielle est important pour chaque personne interrogée, comme cela se
reflète dans le degré de dépendance de l’entreprise vis-à-vis de ces systèmes. Pas moins de 40 %
des personnes interrogées ont indiqué qu’une large proportion de systèmes industriels sont utilisés
ou qu’elles ont pratiquement entièrement automatisé leurs environnements de production. Vingt
autres pour cent des personnes interrogées utilisent l’automation dans leur environnement de
production et 10 % ont déclaré que leurs systèmes d’automation fonctionnent en mode autonome,
ce qui signifie que ces systèmes ne sont pas en réseau. Les personnes interrogées restantes
n’utilisent pas l’automation numérisée dans leur environnement de production. Cela recouvre des
logiciels ou des applications qui ne sont pas considérés comme des systèmes de type industriel
(tels que le contrôle d’accès, la détection d’incendie, etc.), des systèmes opérationnels menant des
activités logistiques ou d’autres activités analytiques, voire d’activités manuelles.

VOTRE ENTREPRISE UTILISE-T-ELLE DES

SYSTÈMES DE CONTRÔLE INDUSTRIELS
DANS LE CADRE DE SES OPÉRATIONS ?

Pas d’automation
Automation partielle
Largement automatisé
Automation autonome

Graphique 4. Automation industrielle utilisée

8 ONRIX ÉTUDE SUR LA PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS

1 Le principal groupe de personnes interrogées a décrit ces systèmes comme importants (40 %)
pour les activités opérationnelles journalières de leur entreprise. En outre, un quart considèrent
que ces systèmes sont très ou modérément importants pour leurs activités opérationnelles. Un
tiers pense que les systèmes sont soit faiblement importants, soit pas importants, ce qui est
confirmé par le nombre de personnes interrogées déclarant une absence d’automation dans
leurs environnements de production.
Les entreprises accordant de l’importance aux SCI sont actives dans tous les secteurs et ont
toutes les tailles.

CES SYSTÈMES DE CONTRÔLE INDUSTRIELS

SONT/SERONT-ILS IMPORTANTS POUR VOS
OPÉRATIONS/PRODUCTION ?

Pas importants
Peu importants
Modérément importants
Très importants
Cruciaux

Graphique 5. Importance des systèmes d’automation

industrielle.

Plus de la moitié des personnes interrogées ont indiqué qu’elles n’avaient pas de plan concret
pour mettre à niveau ou développer leur automation actuelle au cours des douze prochains mois.
Seul un quart envisage une mise à niveau ou une extension dans les cinq prochaines années.
Nous pouvons en conséquence nous interroger sur la manière dont les entreprises traiteront la
sécurité de leurs systèmes actuels.
Un plus grand nombre d’entreprises (30 %), celles de moins de 100 employés, ont mentionné un
investissement différé dans des mises à niveau ou des achats futurs.
COMPTEZ-VOUS ACHETER/COMPLÉTER
VOS SYSTÈMES DE CONTRÔLE
INDUSTRIELS À L’AVENIR?

Je l’ignore
Pas de projets
Dans l’année
Dans 1 à 5 ans

Graphique 6. Plans de mise à niveau/augmentation

de l’automation.

ÉTUDE SUR LA PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS ONRIX 9

 1 1.3 Prise de conscience des risques en matière de cybersécurité

La prise de conscience des risques en matière de cybersécurité de la part des personnes

interrogées est plus faible que prévu vu l’importance du traitement médiatique de la cybersécurité.
Un tiers des sondés considèrent que leur secteur est pleinement conscient de la menace en
matière de cybersécurité. Pourtant, 20 % pensent que la prise de conscience de la sécurité
informatique dans leur secteur n’est pas adéquate. De grandes incertitudes subsistent donc
quant à l’évaluation et la connaissance des risques liés à la cybersécurité.

PENSEZ-VOUS QUE LES ENTREPRISES DE

VOTRE SECTEUR SONT CONSCIENTES DES
RISQUES DE CYBERSÉCURITÉ ENCOURUS
PAR LES SYSTÈMES INFORMATIQUES ?

Pas de réponse
Pas sûr
Pas conscientes
Un peu
Absolument

Graphique 7. Prise de conscience des risques en

matière de cybersécurité.

La prise de conscience des menaces en matière de cybersécurité qui pèsent sur les systèmes
d’automation industrielle est encore plus préoccupante. Une bonne moitié des personnes
interrogées pensent que les entreprises de leur secteur ne sont pas conscientes de telles
menaces pour la sécurité. Seuls 10 % certifient que ces risques sont connus dans leur secteur.
Celles-ci sont plutôt des multinationales et des secteurs plus à l’écoute de telles menaces (tels
que des entreprises identifiées comme une infrastructure critique).
Il est important de noter que près de la moitié des entreprises interrogées signalant que
leur industrie n’était pas consciente du cyber risque pour les SCI font partie de l’industrie
agroalimentaire.
PENSEZ-VOUS QUE LES ENTREPRISES
DE VOTRE SECTEUR CONSIDÈRENT
QUE LES SYSTÈMES DE CONTRÔLE
INDUSTRIELS SONT MENACÉS ?

Pas de réponse
Je ne pense pas
Généralement
Absolument

Graphique 8. Prise de conscience des risques en matière de

cybersécurité pour les systèmes industriels.

10 ONRIX ÉTUDE SUR LA PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS

2 Programme de sécurité des systèmes de
contrôle industriels

Cette section se concentre sur l’état de préparation organisationnelle vis-à-vis de la sécurité

pour les SCI. En conséquence, nous nous basons uniquement sur les résultats des personnes
interrogées disant utiliser des systèmes de contrôle industriels pour leurs activités opérationnelles.
67 personnes ont été interrogées pour cette section, au lieu des 95 de la section précédente.
Interrogées au sujet de l’impact potentiel de l’indisponibilité sur les systèmes industriels, plus de
trois quarts des personnes interrogées déclarent des niveaux d’impact élevés à moyens pour leurs
entreprises. Les personnes interrogées restantes considèrent que l’impact en est faible ou sont
incertaines.
Les personnes interrogées représentent uniformément tous les secteurs et tailles d’entreprise.

QUEL SERAIT L’IMPACT DE

L’INDISPONIBILITÉ DES SYSTÈMES
INDUSTRIELS CRITIQUES SUR VOS
OPÉRATIONS ?
Pas de réponse
Je l’ignore
Faible
Moyen
Important

Graphique 9. Impact de l’indisponibilité des

systèmes industriels.

Il a ensuite été demandé aux personnes interrogées d’identifier trois problèmes pour leurs activités
opérationnelles qui pourraient être causés par l’interruption de leurs systèmes industriels. Toutes les
personnes interrogées ont déclaré appréhender des dommages matériels (c’est-à-dire un dommage
physique causé aux systèmes, machines, produits, …), la fuite d’informations, les risques pour la santé
et la sécurité.
Le deuxième niveau de problèmes concernait la perte de production, les dommages environnementaux
ou les pertes financières. Une personne interrogée a également mentionné une perte de contrôle de la
qualité mais ce point a été inclus par plusieurs personnes interrogées dans la catégorie perte matérielle.
Il va sans dire que toute interruption aurait inévitablement pour conséquence une forme de perte
financière pour l’entreprise.
COMMENT LA PERTURBATION/
LE PIRATAGE DES SYSTÈMES
INDUSTRIELS CRITIQUES
AFFECTERAIT VOTRE ENTREPRISE ?

ore té
n tau
x
ièr
es ali
i e ls i o ns santé é u c tio e n n c l’ ign e qu
tér a t la urit rod em na Je d
ma orm pour séc de p nn s fi rte
es ’ inf a v iro rte Pe
a g d e s t l r te n Pe
mm ite isqu e Pe se
Do Fu R ge
m ma
Do Graphique 10. Impact de l’interruption pour les systèmes industriels.

ÉTUDE SUR LA PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS ONRIX 11

 2 L’existence de politiques et procédures formalisées est une indication du degré de maturité d’une
entreprise en matière de sécurité informatique. L’étude montre qu’une telle objectivation des
règles est respectée par la moitié des personnes interrogées. Dans ce groupe, les politiques
formelles découlaient soit des exigences de sécurité, soit des exigences de conformité du
contrôle de qualité (alimentation & boissons). 39 autres pour cent ne disposent pas de procédures
formalisées pour traiter les menaces en matière de cybersécurité que courent leurs systèmes
informatiques, y compris leur automation industrielle. Cela ne veut pas dire qu’aucune mesure de
sécurité n’existe, certaines personnes interrogées ayant indiqué que des actions ont été menées
mais pas de manière formalisée.

VOTRE ENTREPRISE A-T-ELLE DES

POLITIQUES ET DES PROCÉDURES
FORMALISÉES POUR LES EXIGENCES DE
SÉCURITÉ ?

Pas de réponse
Non
Partiellement
Oui

Graphique 11. Politiques et procédures de

sécurité formalisées.

Interrogées au sujet de leur approche vis-à-vis d’une vision ou d’une stratégie de sécurité, près
de trois quarts des personnes interrogées déclarent qu’elle est menée en interne. Les personnes
interrogées restantes précisent que cette activité est soutenue par un support externe, par le biais
de leurs vendeurs de systèmes (15 %) ou d’un spécialiste (6 %). Il n’y avait aucune indication du
fait que le support externe était privilégié par les multinationales ou par des secteurs spécifiques.

QUI DÉTERMINE LA VISION QU’A

VOTRE ENTREPRISE DES RISQUES DE
CYBERSÉCURITÉ ENCOURUS PAR LES
SYSTÈMES INDUSTRIELS ?

Spécialiste
Pas de réponse
Autre
En interne
Vendeur

Graphique 12. Vision de la sécurité pour les systèmes industriels.

12 ONRIX ÉTUDE SUR LA PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS

2 On a pu noter un signe positif quand les questions se sont concentrées sur les raisons de
l’implémentation des objectifs de sécurité au sein de l’entreprise de la personne interrogée.
40 % ont ainsi plaidé clairement pour la limitation des accès non autorisés, 9 % pour la poursuite
des meilleures pratiques et 6 % étaient préoccupés par les logiciels malveillants. Toutefois, le
pourcentage alarmant de 30 % des sondés n’avait pas de réponse ou n’était pas certain de la
raison des exigences en matière de sécurité de leur entreprise.
Bien que la conformité (13 %) soit également considérée comme un objectif de sécurité, il faut dire
clairement que celle-ci n’offre pas de protection contre les menaces en matière de cybersécurité.

QUEL EST LE PRINCIPAL OBJECTIF DE

VOTRE ENTREPRISE LORSQU’IL S’AGIT
D’ÉTABLIR DES CONTRÔLES ET MESURES
DE SÉCURITÉ POUR LES SYSTÈMES
INFORMATIQUES ET LES SCI ?
Pas de réponse
Je l’ignore
Conformité
Pratiques d’excellence du secteur
Limiter les accès non autorisés
Protection contre les programmes malveillants

Graphique 13. Objectif de sécurité informatique.

L’étude montre une variété de fonctions qui sont cruciales dans la détermination
des mesures de sécurité informatique pour les SCI. Plus de la moitié des personnes
interrogées ont sélectionné invariablement le département informatique. Les autres
fonctions importantes sont étroitement liées à la protection de tels systèmes : directeur
d’usine, directeur technique ou ingénieur. 4 % se basent sur le support externe des
vendeurs ou des consultants. L’autre catégorie est un mélange de différentes fonctions,
ce qui n’est pas surprenant étant donné que les petites et moyennes entreprises confient
plus d’une fonction aux individus, une responsabilité supplémentaire accompagnant ainsi
généralement leur fonction principale.

QUI, DANS VOTRE ENTREPRISE,

EST EN CHARGE DE LA SÉCURITÉ
DE VOS SYSTÈMES DE CONTRÔLE
INDUSTRIELS ?

nt ie
e ue lta ier
ue tre sin niq su én
ati
q Au rd
’u ch on Ing
teu r te r/c
orm ec teu de
u
inf Dir ec Ve
n
en
t Dir
m
rte
pa Graphique 14. Responsabilité en matière de sécurité.
Dé

ÉTUDE SUR LA PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS ONRIX 13

 2 Le processus d’achat de systèmes industriels est problématique. Près de la moitié des personnes
interrogées ont déclaré qu’une sécurité élevée est moyennement à très importante lors de l’achat
de nouveaux systèmes. Un cinquième a répondu que cela avait peu d’importance et un autre
cinquième a révélé ne pas savoir si c’était pris en considération lors de tels achats. Cela ajoute
du poids à l’argument du manque de maturité en matière de sécurité, étant donné qu’elle n’est
pas entièrement intégrée dans tous les départements. Un manque d’exigences de sécurité au
niveau de l’achat indique également un défaut potentiel d’attention pour la responsabilité lors
d’incidents de sécurité dans les accords contractuels.

QUELLE EST L’IMPORTANCE DE LA

CYBERSÉCURITÉ LORS DE L’ACHAT DE
SYSTÈMES DE CONTRÔLE INDUSTRIELS ?

Pas de réponse
Je l’ignore
Faible
Moyenne
Élevée

Graphique 15. Importance de la sécurité dans les

systèmes d’achat.

Pour finir, nous nous sommes enquis des plans de reprise sur sinistre du participant en cas
de défaillances du système. Plus de 70 % des personnes interrogées ont déclaré prendre
certaines mesures pour assurer la reprise des systèmes, que ce soit par le biais de sauvegardes
ou de remplacements de machines. Cependant, seuls 12 % des participants ont répondu qu’ils
testaient les plans de reprise. Il s’agit d’une exigence indispensable pour assurer la continuité de
l’entreprise, qui peut avoir un impact dans le cas où de graves incidents affectent la disponibilité
du système et la fiabilité des informations.
VOTRE ENTREPRISE A-T-ELLE DES
PLANS DE RÉCUPÉRATION SUR
SINISTRE EN CAS DE PERTURBATION
DE VOS SYSTÈMES DE CONTRÔLE
INDUSTRIELS CRITIQUES?

Pas de réponse
Je l’ignore
Pas nécessaire
Pièces détachées et machines
Sauvegarde prévue
Des plans sont en test

Graphique 16. Importance de la sécurité pour les

systèmes d’achat

14 ONRIX ÉTUDE SUR LA PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS

3 Mesures & pratiques en matière de sécurité
des systèmes industriels

Un troisième groupe de questions plus techniques ont été préparées pour les entreprises
disposées à y répondre. Sur les 67 personnes interrogées au sujet des SCI, 28 ont donné des
réponses supplémentaires pour la troisième section. Bien que celles-ci proviennent de tous les
secteurs, une majorité est active dans l’industrie agroalimentaire. Les personnes interrogées
sont réparties uniformément parmi toutes les tailles d’entreprises.
Au lieu de fournir des pourcentages pour cette section, nous donnons une indication du nombre
de personnes interrogées qui ont répondu aux questions liées à l’approche pratiquée. Nous
ajoutons ensuite des commentaires sur la manière de comprendre ou d’améliorer l’efficacité de
la correction de la vulnérabilité.

1 Quel est l’âge de vos systèmes actuels de contrôle industriels ?

Résultats
La majorité des sondés (13) ont déclaré que leur système avait entre 5 et 10 ans. 6 personnes
interrogées disposaient d’un système de moins de 5 ans, et 5 de plus de 15 ans.
Commentaires
Bien qu’il soit habituel de trouver des systèmes industriels utilisés depuis 10 à 15 ans, cette pratique
est plus risquée en raison du nombre d’outils logiciels standard utilisés dans l’environnement de
production.
À titre d’exemple, toutes les machines basées sur le système d’exploitation Windows XP seront
considérées comme des systèmes obsolètes le 8 avril 2014. Cela n’implique pas qu’elles
ne réaliseront plus leurs tâches, cela signifie que Microsoft ne fournira plus de support pour
ces systèmes par le biais de patchs ou de services de sécurité. En fait, ces machines seront
instantanément plus vulnérables aux logiciels malveillants et au piratage.

2 Vos systèmes de contrôle industriels sont-ils reliés au réseau

local de l’entreprise ?
Résultats
Sur toutes les réponses, 11 sondés ont indiqué qu’il n’y avait pas de connectivité entre le réseau
informatique de l’entreprise et le réseau de production. 16 personnes interrogées ont cependant
indiqué un certain degré de connectivité entre ces réseaux.
Commentaires
Une des plus grandes menaces pour les systèmes de contrôle industriels est l’accessibilité.
Cela signifie que si un système est connecté à un réseau, pratiquement n’importe qui sur ce
réseau ou d’autres réseaux interconnectés peut accéder au système. Il est important que les
systèmes industriels soient confinés (accès physique et au réseau limité) et que tous les accès
aux machines soient rigoureusement contrôlés.

ÉTUDE SUR LA PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS ONRIX 15

 3 3

Les systèmes de contrôle industriels sont-ils accessibles à
distance pour le support ou la maintenance ?
Résultats
17 sondés ont déclaré qu’il existait un certain type d’accès distant à tous ces systèmes ou à certains de
ceux-ci. Parmi ces personnes, 8 ont signalé que l’accès à distance aux systèmes n’était pas autorisé.
Commentaires
L’accès distant aux systèmes est généralement utilisé à des fins de maintenance et de support
par les vendeurs du système. Les moyens d’accès à distance (ADSL, modem, etc.) doivent être
sécurisés et contrôlés convenablement pour réduire les menaces de sécurité inconnues. Si l’accès
n’est pas contrôlé convenablement, cela signifie que l’entreprise a permis à des machines d’une
tierce partie, et à des réseaux éventuels, d’accéder aux systèmes critiques de leur environnement
de production. Il est important de se rappeler que les machines et les réseaux d’une tierce partie
ne doivent pas pouvoir avoir le contrôle de l’entreprise du client et cela nécessite par conséquent
des règles strictes d’accès à distance.

4 Certains composants ou machines SCI ont-elles accès à l’Internet

ou aux e-mails ?

Résultats
Heureusement, 24 sondés ont déclaré que l’accès à l’Internet ou l’utilisation d’e-mails n’était pas autorisé
sur les machines de contrôle industriel. Certains sondés (3) ont répondu qu’un tel accès était autorisé.
Commentaires
Le principal risque pour la sécurité – surtout en ce qui concerne le piratage et les logiciels malveillants
– est en effet l’accès à l’Internet et aux e-mails. Il est impératif que de telles fonctions de communication
soient enlevées de tous les systèmes de contrôle industriels ainsi que de toute autre machine directement
connectée au réseau industriel.

5 Quelles sont les trois principales menaces de sécurité pour

vos systèmes de contrôle industriels ?

Résultats
Les réponses à cette question sont conformes aux préoccupations générales en matière de
sécurité : 13 réponses concernent les logiciels malveillants, 9 les menaces externes, 8 les
menaces internes et 9 identifient soit un espionnage industriel soit un crime organisé comme
des sources d’inquiétude.
Commentaires
Les logiciels malveillants restent une des plus grandes menaces. Ce qui est intéressant au sujet
des logiciels malveillants, c’est le nombre de formes utilisées pour la contamination : navigation
sur l’Internet, pièces jointes d’e-mails, intégrés dans des documents et des images, etc. Les
auteurs de ces délits utiliseront plusieurs moyens pour installer le logiciel malveillant mais c’est
en général l’utilisateur qui va lancer l’infection par le biais d’un double clic. Une plus grande prise
de conscience et une prudence redoublée permettent de minimiser rapidement cette menace.

16 ONRIX ÉTUDE SUR LA PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS

4 Conclusion
Vis-à-vis des menaces en matière de cybersécurité, les systèmes de contrôle industriels
présentent des risques identiques, si pas plus élevés dans de nombreux cas, à ceux des systèmes
d’environnement de bureau standard. Cela ne signifie absolument pas que d’autres systèmes
d’exploitation critiques, qui ne sont pas considérés comme des systèmes industriels, soient plus
sûrs vis-à-vis des mêmes menaces. Il suffit de réfléchir à l’adage des hackers : « Si je peux lui
envoyer un ping, je peux le posséder » pour apprécier leur sophistication et leur engagement.

Toutes les entreprises ont l’opportunité de mesurer et donc d’évaluer correctement leur
exposition en matière de cybersécurité. Dans un premier temps, réalisez un inventaire exhaustif
de tous les composants numériques qui fonctionnent au sein de votre environnement industriel
ou opérationnel. L’analyse de risque devrait indiquer le niveau de criticité et de vulnérabilité
associé à chaque système, en tenant compte des connexions réseau et des accès à distance.
Ce n’est qu’après cette analyse que les menaces numériques deviennent compréhensibles et
gérables. Toutes les décisions, actions et tous les investissements consécutifs pour limiter les
risques identifiés doivent alors être mis en œuvre directement.

Un grand nombre d’entreprises seront cependant soulagées de savoir que les défenses en
matière de cybersécurité ne passent pas toujours par la technologie. Des améliorations dans les
processus de sécurité et dans la prise de conscience permettent de réduire vite et significativement
le nombre de vulnérabilités. Dans le domaine de la sécurité, le facteur humain reste le maillon
le plus faible.

La prise de conscience des risques, quels que soient les systèmes utilisés, est cruciale pour
limiter les pertes potentielles et les dommages pour votre entreprise. Ceci nécessite une même
approche de la gestion des risques que pour les risques financiers et opérationnels ; une analyse
systématique du risque et des menaces, suivie par des actions visant à atténuer les risques. La
cybermenace est un enjeu capital pour lequel il ne faut exclure aucune de ces démarches.

ÉTUDE SUR LA PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS ONRIX 17

 À propos de l’auteur

Stephen Smith est un conseiller indépendant en cybersécurité et risques numériques. Il est

actif depuis plus de 25 ans dans l’industrie informatique, se concentre sur la sécurité des
informations et a consacré ces cinq dernières années aux risques associés aux systèmes de
contrôle industriels. C’est un Belgo-américain qui réside en Belgique et propose des services
relatifs aux risques numériques aux entreprises locales comme aux multinationales actives dans
les secteurs des services publics, de la production et du transport.
Sa motivation pour écrire ce rapport trouve sa source dans sa curiosité quant à la disposition
des entreprises belges à réagir aux menaces pour la cybersécurité. Son travail récent auprès
de plusieurs entreprises lui a montré qu’il existe une préoccupation croissante au sujet des
cybermenaces, mais que la maturité générale pour les gérer n’était pas encore enracinée dans
la gestion des risques de ces entreprises. Il a donc commandé une étude auprès des entreprises
belges utilisant des systèmes industriels afin de mieux comprendre le niveau de maturité de la
sécurité nécessaire pour défendre et combattre les cybermenaces de plus en plus présentes.

Remerciements

Anja Van Geert (Astraya) est conseillère indépendante en matière de gestion des risques
opérationnels et d’implémentation de stratégies. Elle est une partenaire chez « Astraya
Management Consulting ». Anja a plus de 15 années d’expérience de la gestion du changement
et de l’alignement de stratégie et a travaillé dans de nombreux pays, aussi bien pour de grosses
entreprises internationales que des entreprises locales plus petites, en les aidant à améliorer
leurs résultats grâce à des stratégies pratiques et mesurables.
Ces cinq dernières années, elle a occupé divers postes de direction par intérim dans des
entreprises industrielles mondiales, où elle s’est concentrée spécifiquement sur l’implémentation
des processus de sécurisation des informations, de gestion de la continuité des entreprises et de
gestion des risques. Pour ce rapport, Anja a agi en tant que représentante du secteur et a analysé
de façon indépendante les conclusions de l’étude

Velocitas est spécialisé en Business Développement Holistique. A partir de leur mission « nous
aidons les entreprises à croître », ses équipes se penchent sur votre projet pour vous soutenir
dans vos défis de croissance. Dans leur approche d’étude de marché, la méthode de travail est
la suivante : par des conversations en profondeur avec les décideurs, ils analysent ce qui vit sur
le marché. C’est à partir de cela qu’ils rapportent des recommandations concrètes (cartographie
des marchés cibles porteurs, concurrents, etc.) et conseillent quant au positionnement et à la
communication.

18 ONRIX ÉTUDE SUR LA PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS

Ressources utiles

Sources utiles en matière de cybersécurité en Belgique :

• Le guide belge de la cybersécurité (www.iccbelgium.be/index.php/quomodo/becybersecure)

• L’équipe fédérale d’intervention d’urgence en sécurité informatique (www.cert.be)

Sources utiles en matière de cybersécurité au niveau international :

• L’institut SANS (www.sans.org/critical-security-controls/)L’ENISA (www.enisa.europa.eu)

• L’Agence nationale de la sécurité des systèmes d’information (ANSSI) (http://www.ssi.gouv.fr)

Droit d’auteur

Aucune partie de cette publication ne peut être reproduit, distribué, ou transmis sous aucune
forme ou par aucun moyen sans l’autorisation préalable de l’éditeur, sauf pour les utilisations non
commerciales autorisées par le droit d’auteur. 
Merci de mentionner la source lors de l’utilisation des extraits de ce rapport pour une utilisation
non commerciale.

ÉTUDE SUR LA PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS ONRIX 19

 Nota

20 ONRIX ÉTUDE SUR LA PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS

Stephen Smith
info@onrix.eu
www.onrix.eu