Sommaire
Quel est le point commune entre l’industriel Fleury Michon, Lactalis, Laurent Perrier, Sobeys et Maple Leaf Foods ? Ils ont tous été victimes d’une cyber attaque. Ces industriels sont la preuve que le secteur agroalimentaire a tout intérêt à adopter une politique de cybersécurité afin de mieux se prémunir à d’éventuelles cyber attaques car, avec le déploiement du numérique et de la digitalisation des données entre autres, les risques d’attaques virales sont bien réels et pourraient se multiplier à l’avenir.
D’après le rapport Hiscox d’avril 2021 sur la gestion des cyber-risques, près de la moitié des PME et ETI ont subi au moins une cyber-attaque en 2020. Améliorer la politique française en matière de cybersécurité représente donc un véritable enjeu, le risque cyber concernant toutes les entreprises.
Les incidents cyber les plus fréquents dans le secteur agroalimentaire
Qu’elles portent sur la chaîne d’approvisionnement où le virus peut se propager dans toute la chaîne de valeur, contre les fournisseurs de logiciels, sur les systèmes de commande automatisés, sur les systèmes informatiques généraux ou encore sur les données client…, le secteur agroalimentaire est aujourd’hui susceptible de subir différentes attaques. Ainsi, la capacité à se protéger face aux attaques informatiques est un enjeu vital tant pour garantir leur croissance, que pour conserver la confiance de leurs clients. Son recours ? Adopter une stratégie pour mettre en place une cybersécurité.
La cybersécurité, qu’est-ce que c’est ?
Protéger les données et les services proposés dans l’espace numérique contre des attaques susceptibles d’en compromettre la disponibilité, l’intégrité ou la confidentialité, tel est l’objectif de la cybersécurité.
Une stratégie d’accélération Cybersécurité
Dans le cadre de France 2030, le Gouvernement a lancé une stratégie d’accélération « Cybersécurité ». Ainsi, à l’horizon 2025, l’objectif assigné à cette stratégie est l’atteinte d’un chiffre d’affaires de 25 Md€ pour la filière (soit un triplement du chiffre d’affaires actuel), le doublement des emplois dans le secteur en passant de 37 000 à 75 000 emplois et l’émergence de trois licornes françaises en cybersécurité.
A ce titre, cette stratégie vise à faire émerger des champions français de la cybersécurité, tant pour accompagner le développement d’une filière au potentiel économique important, que pour garantir à notre pays la maitrise des technologies essentielles à la garantie de sa souveraineté. La stratégie d’accélération cyber se décline selon cinq axes : Développer des solutions souveraines et innovantes de cybersécurité ; Renforcer les liens et synergies entre les acteurs de la filière ; Soutenir la demande (individus, entreprises, collectivités et Etat), notamment en sensibilisant mieux tout en faisant la promotion des offres nationales ; Former plus de jeunes et professionnels aux métiers de la cybersécurité, fortement en déséquilibre ; Soutenir le développement des entreprises de la filière via un abondement en fonds propres.
Au total, 1 039 M€ sont prévus pour financer la stratégie d’accélération cybersécurité, dont plus de 700 M€ d’argent public. Ces cinq axes s’articulent avec le travail de régulation mené par la CNIL qui veille au respect du cadre réglementaire national et européen visant la protection et le bon usage des données personnelles, notamment par l’application de la loi « informatique et libertés » et du RGPD.
Renforcer la maîtrise de certaines technologies clés
Dans le cadre du plan France 2030 et de la stratégie nationale pour la cybersécurité, Jean Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications, et Bruno Bonnell, secrétaire général pour l’investissement en charge de France 2030, ont annoncé la publication d’une nouvelle vague de l’appel à projets visant à soutenir le développement de briques technologiques innovantes et critiques en cybersécurité.
«L’actualité nous le montre tous les jours, la maitrise des technologies de cybersécurité est un des enjeux économiques de demain. Le lancement de cet appel à projets sur l’enjeu spécifique de l’évaluation va permettre de renforcer notre souveraineté et l’excellence de l’offre française afin de répondre aux enjeux cyber qui nous concernent tous, citoyens, administrations et entreprises de toutes tailles», a déclaré Jean Noël Barrot, ministre délégué à la Transition numérique et aux Télécommunications.
En effet, l’offre française en cybersécurité nécessite un renforcement de la maîtrise de certaines technologies clés. Le développement de solutions innovantes de confiance et souveraines sur ces briques est une priorité de la stratégie nationale. C’est ce que vise à permettre l’appel à projets (AAP) en cofinançant des projets de recherche et développement portant sur des briques technologiques clés en cybersécurité. Déjà deux vagues ont été lancées sur des thématiques spécifiques telles que la sécurisation des infrastructures critiques, des suites collaboratives de travail, ou encore la résilience des petites structures. 20 projets innovants ont d’ores et déjà été sélectionnés grâce à ces deux vagues.
La troisième vague de l’AAP porte sur un des « gestes » clés contribuant à la souveraineté numérique : l’évaluation de cybersécurité. Qu’elle intervienne au niveau des produits, services, ou systèmes ; qu’elle se penche sur des composants, des systèmes, des réseaux, des interfaces, des processus et jusqu’aux compétences des opérateurs, l’évaluation au sens large permet de s’assurer de la confiance placée, sur un périmètre défini, et avec des résultats partageables et comparables.
L’enjeu de cet appel à projets est ainsi de répondre à l’ampleur des évolutions en cours et de permettre l’émergence de solutions innovantes pour l’évaluation de cybersécurité.
Il s’inscrit dans la stratégie nationale d’accélération pour la cybersécurité annoncée le 18 février 2021. Elle prévoit d’allouer plus d’1Md€ (dont 720 M€ de financements publics) afin de faire de la France une nation de rang mondial en cybersécurité. L’appel à projets est ouvert jusqu’au 7 novembre 2023.
Un « Bouclier Cyber» pour les PME
Face à une recrudescence de cyberattaques, le ministre délégué à la transition numérique et aux télécommunications avait annoncé à l’occasion de l’European Cyber Week 2022 une série de mesures en matière de cybersécurisation à destination, notamment, des PME et ETI autour d’un dispositif national d’accompagnement de ces entreprises dans leur démarche de cybersécurisation.
Car, si les grands groupes ont les moyens de se doter d’une stratégie active de cybersécurisation de leurs processus, ce n’est pas forcément le cas pour les petites et moyennes entreprises. L’enveloppe globale allouée est de 25 millions d’euros pour les années 2023-2024.
Ce véritable « bouclier cyber » veut se baser sur trois dispositifs complémentaires : Une campagne à destination de l’ensemble des TPE, PME et ETI afin de sensibiliser le plus grand nombre d’entreprises aux enjeux de la cyber et surtout aux bonnes pratiques, qui restent encore trop méconnues pour bon nombre d’entrepreneurs. La mise en place d’un autodiagnostic cyber gratuit en ligne à destination principalement des PME et ETI afin d’identifier les actions à mettre en œuvre en priorité au vu de l’analyse de la sécurité de leurs systèmes d’information. Un dispositif de sécurisation de certaines PME et ETI prioritaires avec une approche sur mesure et de bout en bout, allant de l’audit à la co-élaboration d’un plan d’action, jusqu’à un accompagnement à la mise en place d’une solution de sécurisation du système d’information des entreprises accompagnées.
La complexité du secteur agroalimentaire
«Le secteur agroalimentaire est très complexe et sa chaîne logistique extrêmement fragmentée. Par ailleurs, ce secteur est en pleine mutation vers le digital (industrie 4.0); il est donc de facto exposé à des risques d’incidents cyber par l’élargissement naturel de la surface de vulnérabilités. Les entreprises agroalimentaires doivent donc prendre des mesures supplémentaires pour protéger leurs opérations. Cela implique une stratégie de cybersécurité OT efficace et un système de surveillance adéquat pour repérer les tentatives d’intrusion et les actes de vandalisme numérique. Il est également important que les employés et les fournisseurs soient bien formés et sensibilisés à la sécurité des données sensibles», explique le rédacteur Alexandre Lamourille, expert chez Ayrton Systèmes qui réunit 25 ans d’expertise dans les domaines de l’industrie 4.0, de la gestion du risque et de la cybersécurité. «Beaucoup d’industriels du secteur agro-alimentaires vont être touchés par le récente directive NIS2 dont l’objectif premier est de renforcer la sécurité digitale des entreprises “essentielles” et “importantes”», rajoute ce dernier, «prendre en main sa politique de cybersécurité réduit notamment le risque de voir son usine à l’arrêt suite à une attaque, pouvant avoir de conséquences très graves dans un contexte économique déjà très compliqué».
La directive NIS2 et ce qui va changer
Les députés européens ont en effet voté le 10 novembre 2022 la directive NIS 2 qui vise à harmoniser et à renforcer la cybersécurité du marché européen. En France, de nombreuses entreprises et d’administrations seront soumises à cette nouvelle règlementation. NIS 2 devrait rentrer en vigueur en France au deuxième semestre 2024, au plus tard. NIS 2 s’appliquera à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés. Environ 600 types d’entités différentes seront concernés, parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40. Les acteurs de la chaîne d’approvisionnement, dont les acteurs du numérique, seront ainsi soumis au dispositif. Ces nombreux acteurs sont en effet de plus en plus ciblés par des cyberattaques qui visent à atteindre, à travers eux, des clients finaux d’importance plus critiques. Ils verront donc également leur niveau de sécurité numérique renforcé. L’ANSSI (l’agence nationale de la sécurité des systèmes d’information) conseille ainsi à chaque entité de se préparer dès aujourd’hui.
La directive NIS2 préconise un ensemble minimal de mesures à couvrir en ce qui concerne la cybersécurité de l’OT sur différents sujets gouvernance, process, analyse de risque, réseaux, systèmes, gestion des incidents, supply chain… Dans le cadre précis d’un fonctionnement avec une chaîne de valeur fragmentée, NIS2 conseille une connaissance des vulnérabilités du fournisseur et l’application de mesures cyber sur l’intégralité de la chaîne afin de garantir des opérations et données sécurisées.
Prendre en main sa politique de cybersécurité industrielle
Pour prendre en main sa politique de cybersécurité industrielle, Ayrton Systèmes conseille le pilotage d’une politique de cybersécurité à un outil dédié permettant une meilleure visibilité et un meilleur pilotage multi-sites, incitant à la collobaration et proposant des outils de formation et de sensibilisation sur le sujet de la cyber. L’expert conseille ainsi de faire «de la cybersécurité un sujet central dans l’usine faisant collaborer IT, OT et opérationnels sur le terrain: développez une culture de cybersécurité grâce à la formation des employés ; Disposez d’un plan de réponse aux incidents à jour et testé. Le plan doit comprendre un guide étape par étape de ce qu’il faut faire en cas de soupçon d’attaque informatique ou de violation de données, ainsi que des procédures régulières de “stress-test” cyber de l’atelier (au même titre que les alertes incendie) ; Comprenez les obligations de notification basées sur la législation sur la protection des données et dans les contrats avec les entreprises de la chaîne d’approvisionnement. Avant qu’un incident ne se produise, préparez un calendrier décrivant les obligations de notification avec chaque partie de la chaîne d’approvisionnement. De cette façon, si un incident se produit, vous n’avez pas à passer par chaque contrat au milieu d’une crise».
Mettre en œuvre une architecture Zero-Trust dans l’industrie agroalimentaire, un premier pas
L’industrie alimentaire et des boissons est l’une des industries les plus réglementées au monde et, à ce titre, elle nécessite un niveau de sécurité élevé pour protéger ses données et ses systèmes. De nombreuses entreprises agroalimentaires se tournent ainsi vers une architecture de « confiance zéro » pour renforcer leur cybersécurité. Cette solution aussi appelée « Zéro Trust » est prometteuse.
Parce que l’industrie alimentaire et des boissons est une cible majeure pour les cybercriminels, les entreprises doivent s’assurer que leurs mesures de sécurité et de conformité sont à jour. T2Space préconise ainsi de mettre en place «L’architecture Zero Trust », un modèle de sécurité de plus en plus populaire qui peut aider les entreprises du secteur alimentaire et des boissons à améliorer leur sécurité et leur conformité.
«L’architecture Zero Trust est un modèle de sécurité qui suppose que tous les utilisateurs, appareils et applications sont potentiellement malveillants. Ce modèle élimine le concept de réseau de confiance, s’appuyant plutôt sur l’authentification et l’autorisation pour garantir que seuls les utilisateurs et appareils autorisés peuvent accéder aux données sensibles», explique le rédacteur expert Marcin Frąckiewicz sur T2Space.
L’architecture zéro trust peut réduire le risque de violation de données en garantissant que seuls les utilisateurs et appareils autorisés peuvent accéder aux données sensibles. Cela permet de protéger les informations des clients, telles que les numéros de carte de crédit et autres données confidentielles.
Elle peut également aider les entreprises du secteur alimentaire et des boissons à se conformer aux réglementations telles que la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS). Cette norme oblige les entreprises à protéger les données des clients et à s’assurer que seuls les utilisateurs autorisés peuvent y accéder.
En utilisant une architecture de Zéro Trust, les entreprises peuvent s’assurer que seuls les utilisateurs autorisés peuvent accéder aux données sensibles, ce qui les aide à répondre à leurs exigences de conformité. Enfin cette architecture peut aider les entreprises du secteur alimentaire et des boissons à améliorer leur sécurité globale. En mettant en œuvre ce modèle de sécurité, les entreprises peuvent réduire le risque de violation de données et garantir que seuls les utilisateurs autorisés peuvent accéder aux données sensibles. Cela peut aider ainsi à protéger les informations client et autres données confidentielles, tout en aidant les entreprises à répondre à leurs exigences de conformité.
En mettant en œuvre ces stratégies, en se faisant accompagner par un expert sur le sujet, l’industriel peut commencer à protéger ses données et ses systèmes contre les cybermenaces et assurer ainsi la sécurité de ses opérations.