Les opérations dans la ligne de mire des cybercriminels

Cet article s’inscrit dans la collection « Cybersécurité, technologies opérationnelles ».

Par Par Valérie Levée

Dans une organisation, il faut distinguer les TI et les TO. Les TI, ce sont les technologies de l’information et de la bureautique, celles qui assurent par exemple l’administration et les communications de l’organisation. Les TO, pour technologies opérationnelles, reposent également sur des technologies informatiques, mais elles assurent le fonctionnement des procédés physiques, que ce soit dans l’industrie ou dans les services publics. Une cyberattaque qui atteint les TO d’une entreprise peut en compromettre les activités de production, et quand elle vise des infrastructures essentielles, il  faut craindre des coupures d’électricité ou d’eau, des diminutions des
services de santé, etc.

Certaines attaques ont pour objectif de voler des données ou de faire de l’espionnage industriel, tandis que celles dites «par déni de service» bloquent les opérations. Or, «dans le cas d’un service à la population, le service doit être livré 24h sur 24h et 7 jours sur 7 », indique Éric Walker, ing., expert en architecture et en cybersécurité des TO pour une société d’État. Il donne l’exemple de l’attaque survenue à la Société de transport de Montréal (STM) le 19 octobre 2020. «La STM a été attaquée par un rançongiciel et il ne fallait pas que le fonctionnement du métro soit touché», se souvient-il, lui qui était alors ingénieur principal en architecture des TO pour les systèmes Métro à la STM. De fait, la STM a contrecarré l’attaque, sans payer la rançon et sans interrompre le service.

L’attaque peut aussi être sournoise quand un logiciel malveillant modifie la  programmation des opérations sans pour autant les arrêter. «Dans une usine de  production d’eau potable, un programme peut être modifié pour changer les concentrations des produits chimiques nécessaires au traitement de l’eau sans que l’opérateur s’en aperçoive», indique Theodora Nerodea, ing., conseillère en architecture
des TO et en cybersécurité pour une société d’État. Les citoyens ne subiront pas de coupure d’eau à leur robinet, mais l’eau sera peut-être impropre à la consommation. De la
même façon, un virus informatique malveillant pourrait entraver les opérations d’une entreprise agroalimentaire ou pharmaceutique et ainsi altérer la qualité des aliments
et des médicaments. Dans le secteur de la construction, des matériaux pourraient être mal formulés. Un virus pourrait aussi viser la sécurité des machines et mettre en danger le personnel. Que les petites et moyennes entreprises ne se croient pas à l’abri, car les logiciels malveillants peuvent se transmettre dans une chaîne d’approvisionnement, et
les PME offrent une porte d’entrée vers les grandes entreprises.

Qui sont les pirates?

L’arme préférée des pirates informatiques est le rançongiciel, qui va bloquer la connexion à un ordinateur ou chiffrer les données pour les rendre illisibles. Si elle ne parvient as à bloquer l’attaque, la victime devra payer une rançon pour retrouver l’accès à son ordinateur ou à ses données. Les pirates sont parfois des individus isolés, comme ceux qui attaquent les hôpitaux; mais ils peuvent appartenir à des groupes, comme Anonymous ou APT 35, souvent affiliés à des organisations étatiques. «Certains groupes sont puissants et mondialement connus, affirme Éric Walker . Pour la Corée du Nord par exemple, un État isolé du reste du monde, les rançongiciels sont une façon d’aller chercher des fonds ailleurs.»

«Pour la Corée du Nord par exemple, un État isolé du reste du monde, les rançongiciels
sont une façon d’aller chercher des fonds ailleurs.» — Éric Walker, ing., expert en architecture et en cybersécurité des TO

À travers ces groupes, les États se livrent aussi une nouvelle forme de guerre en visant des infrastructures essentielles. Qu’on se souvienne, notamment, de l’attaque des centrifugeuses d’enrichissement d’uranium en Iran en 2010. «C’était un virus subtil qui utilisait l’intelligence artificielle pour apprendre ce qui se passait dans le système, explique Nora Boulahia Cuppens, ing., professeure au Département de génie informatique et génie logiciel à Polytechnique Montréal. Il faut des oyens financiers considérables
pour mettre au point un tel virus, et ça suppose une attaque étatique.»

En décembre 2015, c’était au tour du réseau électrique ukrainien de subir une série de cyberattaques plongeant la population dans le
noir. «Manifestement, ces attaques venaient de groupes de l’Est, commente Frédéric Cuppens, ing., lui aussi professeur au  département de génie informatique et génie logiciel à Polytechnique Montréal. Il n’y a aucune preuve que ces groupes avaient un lien avec un État particulier, mais on peut facilement en deviner l’identité par le contexte politique.» Depuis, d’autres réseaux électriques ont été attaqués au Royaume-Uni, aux États-Unis et ailleurs dans le monde.

Les cyberattaques sont une menace réelle à ne pas prendre à la légère, autant dans les entreprises que dans les infrastructures essentielles. «Pour une organisation, la question n’est pas de savoir si elle va être attaquée, mais quand elle va être attaquée, prévient Theodora Nerodea. Ça va arriver.» Face à ces cybermenaces, les ingénieures et ingénieurs ont la responsabilité d’assurer la continuité des opérations et la sécurité du public.

« Pour une organisation, la question n’est pas de savoir si elle va être attaquée, mais quand elle va être attaquée.»— Theodora Nerodea, ing., conseillère en architecture des TO