Cyber Diagnostic Devis Contact

Filtrer par

Assurance

Assurance cyber attaques et systèmes de contrôle industriels

Assurance cyber attaques et systèmes de contrôle industriels

Lorsqu’une entreprise à vocation manufacturière est touchée par une cyberattaque réussie et destructive, les chercheurs estiment que plus de 12,000 postes de travail seront en moyenne endommagés, nécessitant plus de 512 heures pour la récupération des données. Dans certains cas, le temps de récupération peut durer jusqu’à 1,200 heures.

Le système d’information d’une entreprise à vocation industrielle est un environnement complexe à sécuriser, notamment en raison de la présence de système de contrôle industriel (ICS), qui présentent de nombreuses faiblesses en termes de cybersécurité.
Mettre en place une couverture assurance cybercriminalité à la hauteur de l’exposition est souvent compliqué, les compagnies d’assurance n’aimant pas particulièrement ces risques, complexes et difficiles à apprécier.
Quels sont les angles d’attaque utilisés par les cybercriminels ? L’assurance cyber peut-elle être souscrite par des entreprises industrielles ? Sous quelles conditions ? Quelles sont les garanties apportées par un contrat d’assurance cyber ? Quelques questions auxquelles nous avons essayé d’apporter des réponses.

 

A propos des Systèmes de contrôle industriel (ICS) ?

ICS (Système de contrôle Industriel pour "Internet Communication Sharing") est un terme général utilisé pour plusieurs types de systèmes de contrôle, et leur instrumentation associée, utilisés pour contrôler les processus industriels.
Ces systèmes présentent des niveaux de complexité variables, allant des contrôleurs de base montés sur des équipements aux grands systèmes de contrôle distribués (DCS) interconnectés et interactifs. Tous ces systèmes, quelle que soit leur complexité, reçoivent des données provenant de capteurs à distance et utilisent ces données pour contrôler les processus.
Les systèmes ICS sont largement utilisés dans des industries telles que le traitement chimique, la fabrication de pâte à papier et de papier, la production d'électricité, le traitement du pétrole et du gaz et l'exploitation minière.

 

Pourquoi les systèmes de contrôle industriel (ICS)  sont-ils ciblés ?

Les systèmes SCI sont ciblés parce qu'ils sont faciles d'accès. Dans la plupart des cas, seul un accès au réseau ou un accès sécurisé de base sont nécessaires pour y accéder. En outre, de nombreux systèmes de contrôle fonctionnent encore sur des systèmes d'exploitation anciens ou obsolètes, ce qui les rend vulnérables aux attaques lancés par des cybercriminels.
La principale source d'attaques contre les systèmes informatiques des entreprises industrielles est lnternet, les cybercriminels recherchant des ports et des systèmes non sécurisés pour accéder à des réseaux de l’entreprise ciblée.
Dans certains cas, ces cyberattaques sont aléatoires et ne visent pas spécifiquement les réseaux industriels. Cependant, la manière dont ces cyberattaques sont mises en place, font que les campagnes d'autopropagation automatisées peuvent facilement exploiter une faille et les atteindre. Après avoir pénétré dans le système d’information, les cybercriminels déploient un logiciel qui aura pour effet de crypter les données de l’entreprise, bloquant immédiatement une partie du système informatique, avec pour conséquence un arrêt de la production.

Les caractéristiques produit peuvent avoir une incidence négative sur la sécurité du ICS

Par leurs caractéristiques et leurs fonctionnalités, certains produits qui composent le ICS peuvent directement menacer la sécurité du système d’information. Dans de nombreux cas, des fonctions spécifiques intégrées dans les systèmes de contrôle pourraient être exploitées par des attaquants en modifiant simplement les paramètres de configuration. Les logiciels malveillants ne sont pas obligatoirement nécessaires pour attaquer certains systèmes de contrôle, car certaines fonctions du produit peuvent facilement être reconfigurées et transformées en instrument de cyber-attaque.
En outre, certaines fonctionnalités ont été intégrées à dessein dans des systèmes afin de faciliter la vie des ingénieurs. Les mises à jour de sécurité de ces systèmes ne peuvent pas se faire facilement dans certains cas , avec un risque important de perturbations sur le système d’information et d’arrêt de production.
Un exemple de ces faiblesses dans la conception des ICS est l'utilisation d'une seule accréditation codée en dur pour la connexion au système ICS. Ces informations sont stockées dans une base de données de configuration, avec un mot de passe haché. Cependant, le hachage est souvent simple et facile à deviner. Une fois qu'un attaquant a deviné le mot de passe, il a accès au système et éventuellement à tout le réseau. Autre faiblesse, le mot de passe ne peut pas être modifié car il est intégré au produit.

 

Les systèmes ICS sont souvent dépassés et sans mise à jour

Selon Damon Small, directeur technique du NCC Group, experts mondiaux en matière de cybersécurité et d'atténuation des risques, les attaques sur les systèmes ICS sont de plus en plus fréquentes. La raison est que ces systèmes ne sont pas régulièrement mis à jour, l'impact des mises à jour de sécurité obligeant les opérations à mettre hors ligne leur système de production, avec un impact financier trop important pour l’organisation concernée.
Heureusement, il est difficile de lancer des cyber attaques à vocation destructrice sur les réseaux ICS sans connaître les processus des usines et leurs systèmes ICS. Par conséquent, jusqu'à présent, de telles attaques ont été rares. Cependant, les experts en sécurité tirent la sonnette d’alarme en expliquant que la cybercriminalité acquière de plus en plus de connaissances sur la manière de saboter les opérations d'une usine par le biais de cyberattaques.

 

Conséquences des cyberattaques sur les systèmes ICS au sein d’une entreprise industrielle

Selon un rapport publié en mars 2019, près d'un système industriel sur deux a été victime de tentatives de cyberattaques malveillantes de la part d'attaquants sur une seule année. Les pays dont les ordinateurs ICS ont montré la plus grande activité malveillante sont le Vietnam, l'Algérie et la Tunisie. Les pays les plus sûrs, par ordre de sécurité croissante, sont l'Irlande, la Suisse, le Danemark, Hong Kong, le Royaume-Uni et les Pays-Bas. Il faut noter cependant que depuis le début de l’année 2020, la France enregistre une forte progression de cyber attaques au sein des entreprises industrielles, attaques souvent peu médiatisées mais aux conséquences financières très importantes.
Les cyberattaques visant les systèmes industriels peuvent potentiellement causer des dommages importants. Les attaques peuvent aller de l'utilisation de portes dérobées pour voler des données sensibles à l'utilisation de rançongiciels visant à crypter les données de l’entreprise. Certaines attaques peuvent également déclencher des pannes sur les systèmes industriels, entrainant systématiquement des pertes financières importantes, provoquant parfois de manière involontaire des situations dangereuses avec de potentiels dommages physiques.

 

Le concours Pwn2Own inclut les systèmes ICS pour la première fois

Grâce à la forte augmentation des cyberattaques contre les systèmes de contrôle industriel, le concours Pwn2Own a pour la première fois inclus les systèmes de contrôle industriel dans son concours de hacking. Le concours Pwn2Own, est le concours de piratage le plus connu au monde.
Les logiciels pour les équipements industriels étaient le thème principal du concours cette année. Les concurrents avaient cinq catégories de ICS parmi lesquelles ils étaient libres de choisir le logiciel de ICS qu'ils voulaient pirater. À la fin du concours, le chercheur en sécurité qui a piraté le plus de dispositifs ICS présentant les vulnérabilités les plus complexes a remporté le concours.
Toutes les failles de sécurité présentées par ces systèmes et découverts pendant le concours sont bien entendu immédiatement divulguées à leurs fournisseurs respectifs.

cyber_assurance

La cyber assurance est-elle une réponse à ces menaces ?

Il n’y a pas de doute quant à la nécessité pour une entreprise à vocation industrielle de souscrire une couverture assurance cyber tant les enjeux financiers sont importants, entre l’arrêt de la production, les pertes d’exploitation et les possibles mises en cause par les tiers. Il n’est pas rare pour certaines entreprises industrielles de chiffrer le coût d’un sinistre consécutif à une cyber attaque à plusieurs millions d’euros. L’assurance cyber jouera un rôle essentiel d’amortisseur en transférant une partie de l’impact financier sur la compagnie d’assurance. Cependant avant de mettre en place un contrat d'assurance cybercriminalité il est essentiel de vérifier que les critères d'éligibilité soient respectés et que le contrat d'assurance souscrit ne présente pas des zones d'exclusion rendant impossible le déclenchement des garanties.

 

Assurance cyber en complément des contrats d’assurance traditionnels.

L’assurance cyber est un contrat d’assurance hybride offrant un volet Assistance, un volet Dommage et une large couverture Responsabilité civile. Ce contrat vient compléter votre contrat d’assurance responsabilité civile qui généralement limite / exclut fortement les risques cyber. De manière synthétique, le souscripteur du contrat bénéficie :

  • Assistance gestion de crise 24/24 garantissant à l’assuré un service de remédiation / incident cyber. L’objectif est d’aider les entreprises à redémarrer le plus rapidement possible leur système d’information, limitant ainsi les conséquences financières de la cyber attaque ;
  • Couverture des dommages subis : frais informatiques liés  la restauration du système d’information,  forensic et juridique, paiement des rançons en cas d’attaque par rançongiciel,  le remboursement des pertes de revenus liés à l'interruption de l’activité,  la communication afin de restaurer la confiance des clients ;
  • Assurance responsabilité civile cyber : les frais de défense juridique suite à la mise en cause de l’entreprise ,  les conséquences pécuniaires des dommages causés à tiers consécutivement à l’intrusion dans votre système d’information.

 

Conseils avant de souscrire un contrat d’assurance cyber

La principale difficulté à laquelle devra faire face l’entreprise est de s’assurer que le contrat d’assurance cyber proposé couvre bien le système informatique et ses composants annexes. En effet de nombreux contrats d’assurance cyber exigent que les systèmes d’information ne soient pas obsolètes, à jour des derniers systèmes d’exploitation.
Il n’est pas rare également de rencontrer dans les conditions générales des contrats d’assurance cyber proposés par les compagnies d’assurance des exclusions sur les IOT… Comment s’assurer que votre contrat couvre l’ensemble du périmètre informatique y compris celui des ICS ? Faut-il envisager de renforcer la sécurité périphérique de votre système d'information et surtout de vos systèmes de contrôle afin de rendre le risque assurable aux yeux de la compagnie. Tous ces points d’attention devront être étudiés par votre courtier en assurance, de préférence spécialisé sur les risque numériques, familier avec les solutions techniques et les exclusions possibles figurant dans le contrat d’assurance cyber qu’il propose. 

Devis assurance cyber et information en ligne.

 Marc-Henri BOYDRON

cyber_assurance

Votre diagnostic cyber gratuit en 5 mn

Testez gratuitement le niveau de cybersécurité de votre entreprise

En savoir plus

Votre devis assurance en ligne gratuit

Obtenez un devis gratuit en 5 mn

En savoir plus