À l’heure de l’interconnectivité croissante entre les technologies informatiques, opérationnelles et leur démocratisation auprès du grand public, les cybermenaces et les brèches de sécurité sont les nouveaux défis que doivent relever les entreprises.
En effet, la transformation numérique des entreprises, qui représente tant de nouvelles opportunités d’affaires, les rend aussi plus vulnérables. Les solutions infonuagiques, maintenant présentes dans toutes les sphères de l’économie, contribuent à effacer la frontière traditionnelle entre les systèmes informatiques classiques et les systèmes opérationnels. Les points de contact se multiplient, offrant de nouvelles surfaces d’attaque aux auteurs de cybermenaces.
Malheureusement, le secteur des transports n’est pas en reste. Il a même été identifié comme l’un des dix secteurs d’infrastructures essentielles les plus à risque en matière de cybersécurité par le Gouvernement du Canada1. Bien que les technologies utilisées diffèrent d’un véhicule à l’autre, la plupart des nouveaux véhicules ont un certain degré de connectivité. Les réseaux de transport sont également largement dépendants d’équipements connectés (capteurs, contrôleurs, ordinateurs de bord, logiciels de gestion, etc.), ce qui les rend vulnérables à des cyberattaques visant à perturber leurs opérations, voire à en prendre le contrôle avec des intentions malveillantes.
Faute d’une réflexion approfondie en amont au plus haut niveau des organisations, les cybermenaces représentent un défi réel pour la pérennité des entreprises et le bon fonctionnement de la société.
Les technologies opérationnelles — qui désignent les équipements ou les logiciels qui contrôlent des appareils physiques ou des processus destinés à des environnements opérationnels — fonctionnaient auparavant en circuit fermé, c’est-à-dire avec un très faible niveau d’interconnectivité avec les réseaux d’entreprise. Aujourd’hui, les technologies opérationnelles connectées sont omniprésentes et intégrées à d’autres systèmes informatiques, permettant notamment l’automatisation de certains procédés de fabrication, la gestion et le contrôle à distance d’équipements ou l’installation de mises à jour.
Les systèmes opérationnels sont toutefois encore trop souvent opérés et maintenus de façon séparée des systèmes informatiques classiques. Par conséquent, les entreprises qui les exploitent continuent d’envisager les enjeux de sécurité qui s’y rattachent de façon cloisonnée. Les points de contact sont plus nombreux qu’avant et deviennent autant de portes d’entrée et de possibles brèches de sécurité aux équipements opérationnels.
Historiquement, les cyberattaques visaient principalement les infrastructures informatiques organisationnelles, c’est-à-dire les serveurs, les postes de travail, les réseaux, etc., principalement dans le but de voler des données. Plusieurs infiltrations informatiques d’envergure ont été menées ces dernières années, dont celle bien connue dont la société américaine SolarWinds a été victime en 2019.
L’attaque d’un des serveurs de cette société de logiciels visait le système de production de son logiciel phare, Orion, utilisé par des dizaines de milliers d’entreprises et d’administrations dans le monde. Parmi les quelques centaines de clients attaqués qui ont été identifiés (sur un total de près de 18 000 clients), notons l’infiltration de six départements du gouvernement américain, dont ceux de l’Énergie, du Commerce, du Trésor et le département d’État. Bien que la nature des informations que les auteurs de cette attaque cherchaient à dérober ou des conséquences de cette opération ne soient pas encore très claires, une telle infiltration met en évidence la vulnérabilité des organisations et l’effet domino qui s’opère sur tout leur écosystème.
Au Canada, plusieurs entreprises et paliers de gouvernement ont aussi été victimes d’attaques informatiques au cours des dernières années, mettant en lumière les défis de cybersécurité auxquels les organisations font maintenant face.
Les récents progrès technologiques ont contribué à la prolifération des logiciels malicieux, qui deviennent plus accessibles pour des individus ou des groupes malveillants, dont les stratégies s’affûtent et qui sont de mieux en mieux organisés.
L’évolution des solutions TI utilisées par les entreprises, la multiplication des services infonuagiques et la mise en œuvre d’infrastructures virtuelles ont apporté beaucoup de flexibilité aux entreprises, et ce, au-delà des infrastructures organisationnelles. Aujourd’hui, ces systèmes opérationnels connectés et couramment utilisés dans le domaine manufacturier et celui des transports sont autant de brèches potentielles de sécurité pouvant infliger des dommages au-delà des simples vols de données.
Si l’appât du gain demeure le principal motif des cyberattaques, les dégâts potentiels varient beaucoup selon leurs auteurs.
Dans le secteur des transports, les cybermenaces peuvent, par exemple, mener à la prise de contrôle d’équipements afin de perturber un réseau de transport, voire le paralyser, ou encore le détruire. Un exemple récent est celui de l’attaque par un virus informatique, subie par une société de transports en commun d’une grande ville nord-américaine. L’infiltration a touché plus de 60 % des serveurs de l’entreprise, ainsi qu’une multitude de postes de travail, l’obligeant à mobiliser de nombreuses ressources pour remettre en état ses serveurs et s’assurer qu’aucune donnée ne soit dérobée. Ce cyberincident n’a pas affecté le réseau opérationnel d’autobus et du métro, toutefois plusieurs autres plateformes de l’entreprises ont été perturbées, dont son site web et ses lignes téléphoniques.
Un autre exemple ayant frappé les esprits, et provoqué une prise de conscience dans le secteur automobile, est la prise de contrôle à distance d’un véhicule Jeep Cherokee par deux chercheurs américains en 2015. Les deux spécialistes en sécurité informatique voulaient démontrer qu’il leur était possible de perturber différents systèmes de la voiture en s’infiltrant dans son ordinateur de bord. L’opération menée avec la participation d’un journaliste placé au volant du véhicule a conduit Fiat Chrysler à rappeler plus d’un million de véhicules afin de corriger les vulnérabilités concernées.
Bien que les cyberattaques n’aient pas toutes la même ampleur ni la même gravité, les conséquences peuvent néanmoins être très néfastes pour les organisations qui les subissent, mettant en péril leur santé économique, leur réputation, voire leur pérennité.
En effet, selon un sondage mené par le cabinet Deloitte (2), 32 % des hauts dirigeants à l’échelle mondiale ont indiqué que les répercussions les plus importantes sont d’ordre opérationnel. Ils mentionnent ensuite le vol de propriété intellectuelle (22 %) et la baisse du niveau de leurs actions (19 %).
Les systèmes opérationnels sont d’autant plus à risque qu’ils ont souvent été conçus indépendamment des infrastructures organisationnelles, sans inclure d’éléments de cybersécurité. Développées pour durer, avec des cycles de vie généralement supérieurs à 10 ans, les technologies opérationnelles intègrent des équipements et des logiciels dont les vulnérabilités sont souvent bien connues des pirates informatiques ou finissant par l’être par manque de mises à jour.
La nature très hétérogène des cybermenaces les rend difficiles à anticiper et oblige les entreprises à devenir cyberrésilientes. De l’inventaire des actifs connectés à un réseau à l’inventaire des compétences dont elles disposent pour connaître, comprendre, détecter et s’outiller face à ces nouveaux risques, les forces doivent s’unir au sein de l’entreprise pour faire front commun contre ces menaces.
À l’échelle mondiale, des gouvernements, groupes de travail et organismes réglementaires s’organisent aussi pour définir de nouvelles règles. Lutter contre les cyberrisques impliquera bientôt pour les donneurs d’ouvrages et les entreprises de démontrer leur capacité à intégrer des exigences minimales en matière de cybersécurité.
C’est ainsi qu’aux États-Unis, l’Institut national des normes et des technologies (NIST), une agence fédérale à vocation non réglementaire, propose un cadre de cybersécurité regroupant plusieurs normes, lignes directrices et pratiques exemplaires disponibles gratuitement pour les organisations privées qui souhaitent développer ou mettre à jour leurs propres programmes de cybersécurité.
Dans le domaine des transports, les Nations Unies ont également ébauché des normes incitant les manufacturiers de véhicules à développer des systèmes opérationnels sécuritaires en intégrant des éléments de cybersécurité dès la phase de conception. Les règlements UN R155 et UN R156 adoptés en 2021 posent ainsi les bases d’un cadre de cybersécurité des véhicules dans différentes régions du monde, qui s’applique aux systèmes de gestion de la cybersécurité et des mises à jour logicielles. De nouvelles mesures que l’Union européenne entend imposer aux fabricants de véhicules routiers dès 2022 pour tous les nouveaux véhicules, et d’ici 2024 pour les plateformes existantes.
Au Canada, les travaux de Transports Canada et des différents paliers de gouvernement tiennent compte de ces nouvelles normes de sécurité, et notamment de la norme ISO/SAE 21434 (Véhicules routiers — ingénierie de la cybersécurité) qui vise à intégrer les pratiques de génie dans le domaine de la cybersécurité à toutes les étapes du cycle de vie des véhicules.
La transformation numérique est bien enclenchée et porteuse d’un grand potentiel dans le domaine des transports, en ce qu’elle permet de nombreux gains d’efficacité pour les manufacturiers et contribue à améliorer la sécurité des transports pour les usagers.
Les défis de cybersécurité deviennent toutefois une préoccupation croissante pour les entreprises, qui devraient leur accorder l’attention qu’ils méritent, au plus haut niveau de l’organisation. Il s’agira ainsi d’évaluer l’exposition des organisations aux cyberrisques, de mobiliser les ressources nécessaires pour se protéger adéquatement, de gérer les incidents et les éventuelles situations de crise et tout en mettant à niveau les systèmes opérationnels. Il sera également important d’adopter une approche globale incluant les tierces parties, afin de gérer aussi les risques propres à la chaîne d’approvisionnement, comme nous le verrons dans les prochains articles de ce dossier spécial.
Lisez le deuxième article de notre série.
(1) Partenaires en matière d’infrastructures essentielles (securitepublique.gc.ca)
(2) Le sondage 2021 sur l’avenir de la cybersécurité de Deloitte, a interrogé au sujet de la cybersécurité près de 600 hauts dirigeants d’entreprises présentant un revenu annuel d’au moins 500 millions de dollars, entre le 6 juin et le 24 août 2021.