F orum INFORMATIQUE INDUSTRIELLE

Transcription

1 F orum INFORMATIQUE INDUSTRIELLE Vos réseaux sont-ils en Les réseaux informatiques industriels changent. Faisant autrefois l objet de développements spécifiques, ils utilisent aujourd hui des protocoles et des logiciels issus des technologies grand public. Comme tous PC, les attaques des pirates informatiques les menacent. D autant plus que ces pirates démontrent chaque jour leur habilité à pénétrer jusqu au cœur des systèmes d informations de nombreuses entreprises. Ceci inquiète les autorités autant que les industriels. Quels sont les risques d être attaqués, quelles peuvent en être les conséquences, mais surtout comment les éviter? Les experts invités par le Club Automation exposent leurs points de vue sur un sujet de plus en plus d actualité : la cybersécurité. Mesures. Pour beaucoup d industriels qui ne sont pas familiers avec le vocabulaire informatique, le terme cybersécurité peut paraître obscur. Comment le définiriez-vous? Jean-François Pacault (Minefe, ministère de l Economie, des finances et de l emploi). Le terme cybersécurité regroupe tous les aspects de sécurité liés aux systèmes informatiques, réseaux industriels et systèmes d information. Mais L essentiel Assurer de la cybersécurité, c est empêcher les intrusions au sein d un réseau et la diffusion de codes malveillants Les motivations des pirates informatiques peuvent être le vol de données bancaires, de secrets industriels, le désir de vengeance ou le cyberterrorisme Les vecteurs d entrée sont multiples, et les risques bien réels : intégrité des systèmes, atteinte aux données, atteinte à l image, etc. La sensibilisation des chefs d entreprises est tout aussi importante que celle des collaborateurs pour expliquer à quoi cela correspond, il faut définir ce que l on entend par sécurité. Tout d abord, il y a une différence entre sûreté de fonctionnement et sécurité. Apporter de la sûreté de fonctionnement à un process ou une application, c est s attacher à réduire les conséquences des pannes, des erreurs et accidents. Ces derniers sont des événements qui ont une probabilité naturelle. Il existe de nombreuses normes pour minimiser leurs effets. A l inverse, si l on évoque la sécurité, il s agit de prendre en compte les conséquences d actes malveillants. Il faut évaluer la réalité de la menace, tout en veillant à ne pas se protéger de menaces qui n existent pas. Mais ces deux aspects ne vont pas l un sans l autre, et il est inutile de faire de la sécurité si un niveau convenable de sûreté n est pas déjà mis en place. A l image de ce qui se passe dans le secteur de l informatique grand public, le risque va grandissant. Le nombre d utilisateurs des outils informatiques ne cesse de croître, et avec lui le nombre de personnes potentiellement malveillantes. De plus, la sécurité est un sujet relativement nouveau pour les industriels. C est pourquoi ils sont si vulnérables. Mesures. Les PC personnels sont exposés à de nombreux types d attaques. Les risques pour les industries sont-ils de nature équivalente? Jean-François Pacault (Minefe). Tout d abord, en ce qui concerne les PC personnels, les pirates informatiques (ou hackers) ont fait énormément de progrès. Ils ont développé des méthodes plus avancées que les virus, et beaucoup plus difficilement détectables. Citons par exemple le phishing, ces sites web déguisés qui ressemblent aux sites officiels, employés pour détourner de l argent aux personnes faisant des achats sur Internet. On trouve également des PC zombies (un pirate prend le contrôle de milliers d ordinateurs pour saturer une boîte mail ou faire planter un serveur). Il s agit de pratiques de plus en plus régulières, qui se généralisent à l industrie et à tous les grands groupes commerciaux (finance ou métiers du luxe, par exemple). Mais en poussant la réflexion, on s aperçoit qu il ne faut pas forcément aller chercher du côté des pirates informatiques la raison d un plantage d une ligne de production. On a l habitude de distinguer deux grandes catégories de menaces : les menaces externes et les menaces internes. Les menaces externes sont les actes malveillants perpétués par des pirates, par des entreprises concurrentes qui veulent s emparer d un secret industriel, ou encore par des ex-employés qui peuvent avoir conservé des griefs envers leur ancienne compagnie. On regroupe également dans cette catégorie le cyberterrorisme (qui consiste à bloquer un service ou une infras- Jean-Pierre Dalzon du groupe ISA-France est chargé de la promotion de la norme ISA SP99 dans l hexagone. 20 MESURES MAI

2 cybersécurité? Les attaques de nature malveillante sont prépondérantes sur les accidents. tructure pour provoquer la panique). Les menaces internes, quant à elles, sont effectuées consciemment ou inconsciemment par des personnes qui appartenaient à l entreprise. Les menaces internes et externes peuvent sembler relativement similaires dans leur manifestation, mais diffèrent de par les moyens à mettre en œuvre pour les éviter. Pour se prémunir des attaques venant de l extérieur, la première précaution est de limiter les possibilités d accès au réseau. Et pour les ouvertures indispensables (accès à Internet ou serveurs distants), les solutions de sécurité telles que les firewalls sont largement répandues. En revanche, pour ce qui est de la sécurité interne, il est beaucoup plus difficile d exercer un contrôle minutieux. On ne peut pas interdire aux employés, par exemple, d utiliser leur PC pour effectuer des recherches sur Internet, ou encore de connecter une clef USB personnelle à une station professionnelle. Mesures. Mais les équipements industriels (automates, réseaux, machines, etc.) ne sont-ils pas plus sécurisés que les appareils grand public? Jean-François Pacault (Minefe). On pourrait le penser, car ils sont plus robustes, mais cela n a rien à voir avec la sécurité. De plus, le nombre d utilisateurs par poste, la taille des architectures et la diversité des équipements connectés favorisent les intrusions depuis l extérieur et les attaques de codes malveillants. Jean-François Pacault, Haut fonctionnaire de défense et de sécurité (Minefe, ministère de l Economie, des finances et de l emploi) regrette que la culture sûreté et sécurité soit par trop négligée dans l enseignement supérieur. D r Stefan Lüders (CERN). Il faut ajouter que les équipements industriels ont souvent du retard sur les équipements grand public, en raison de leur durée de vie beaucoup plus importante. Toutes les grandes infrastructures sont constituées d une multitude de réseaux plus ou moins anciens, basés sur des équipements standard, avec des logiciels standard et des protocoles de communication standard. Ce sont tous des réseaux extrêmement vulnérables. Mesures. Pourquoi les systèmes standard sont-ils les plus vulnérables? D r Stefan Lüders (CERN). De la même manière que les PC sous Windows sont plus sujets aux attaques que les systèmes MAC ou Linux : plus le nombre d utilisateurs et de programmeurs pour un système donné est important, plus les hackers développent du code malveillant. On note également une modification dans les objectifs de ces pirates informatiques. Il y a une dizaine d années, le leitmotiv d un hacker était de se faire connaître. Mais aujourd hui leur but est surtout lucratif. Il s agit de bandes organisées, qui veulent soit vendre leurs codes malveillants à des personnes en mal de vengeance, soit infiltrer des réseaux pour accéder à des données (bancaires, la plupart du temps). Et une petite partie de ces pirates, les cyberterroristes, est intéressée par la peur que peut apporter le plantage de telle ou telle institution. Mesures. Les incidents liés à la cybersécurité sont-ils réellement nombreux? Jean-François Pacault (Minefe). Ils sont forcément plus nombreux que l on ne le MESURES 805- MAI

3 croit. Le principal problème vient du fait que les entreprises ayant fait l objet d attaques ne souhaitent pas en faire étalage. Elles ne tiennent pas à ce que leur image de marque soit ternie par l action d un pirate. D ailleurs, une société n a aucune obligation légale de divulguer qu elle a été la cible d attaques, même lorsqu il s agit de données de transactions commerciales, ou de coordonnées bancaires de clients. On comprend qu elles n aient pas intérêt à le communiquer, c est pourquoi nous n avons pas de chiffres réellement représentatifs. Mais ceci est tout de même inquiétant. Une des solutions consisterait à obliger les entreprises à avertir les autorités sitôt qu elles font l objet d une attaque. C est d ailleurs le cas aux Etats-unis, et depuis qu une loi a été mise en place à cet effet, les risques sont beaucoup mieux connus. La création de bases statistiques fiables permet de mieux agir contre les menaces, et cela secteur par secteur. D r Stefan Lübers (CERN). Concernant les attaques effectuées par des cyberterroristes, les incidents qui en résultent ont souvent un impact médiatique, si bien que les attaques ne peuvent pas être dissimulées. Par le passé, plusieurs attaques de ce type ont déjà fait couler beaucoup d encre. On peut citer l exemple de cet ex-employé d un hôtel Hyatt Regency qui a piraté quarante-six fois de suite la station d épuration voisine, entraînant l inondation du sous-sol de l hôtel. On peut se souvenir également de l attaque du ver Slammer courant Il a réussi à arrêter les systèmes de surveillance de la centrale nucléaire Davis-Besse, dans l Ohio, coupant l alimentation électrique de toute une région pendant près de cinq heures. Ces exemples montrent combien notre société basée sur les communications est vulnérable, et combien il est important que les autorités prennent les mesures adéquates. Mesures. Les Etats-unis ont donc voté des lois. Où en est la France sur les questions relatives à la cybersécurité? Jean-Pierre Dalzon (ISA-France). L organisation internationale ISA a publié plusieurs guides sur le thème de la cybersécurité. Le comité ISA SP99 s est tout particulièrement intéressé à la mise en place de systèmes de contrôle industriels capables de résister aux cyberattaques. Il a publié trois documents de référence, dont la traduction française par le comité ISA-France vient de s achever. Ces documents, à utiliser en parallèle d une politique de sécurité fonctionnelle (normes IEC 61508, etc.), regroupent des normes Bannir tous les mots de passe par défaut, et désactiver tous les serveurs web. mais aussi des documents informatifs. Ils renseignent les industriels sur le type d attaques potentiellement envisageables, et formalisent des méthodes pour assurer la sécurité d une application industrielle. Le texte ISA présente des méthodes d analyse des risques, notamment pour les applications d automatismes et de contrôle de process. Ce document, intitulé Intégration de la sécurité électronique dans les systèmes de contrôle de processus, présente les différents types d attaques possibles, établit les bases des contremesures à employer, et explique comment intégrer ces aspects à un processus d amélioration continue. C est en quelque sorte un recueil de bonnes pratiques qui établit, secteur par secteur, l état de l art pour 2008 en matière de sécurité. Car ce milieu évolue sans cesse. A ce jour, aucun système réellement certifié SP99 n a encore vu le jour, mais les principes de base sont heureusement déjà connus par Les principaux outils de la sécurité Le guide publié par le ministère de l Economie, des finances et de l emploi présente les principaux moyens à disposition des industriels pour assurer la sécurité d une entreprise ou d une application critique : - Identification et authentification des utilisateurs - Contrôle des droits d accès aux données et aux fonctions - Filtrage des flux - Pare-feu - Logiciels antivirus - Chiffrement des données (cryptage) - Mécanismes de validation des données - Journalisation des événements, audits techniques - Outils de surveillance et de détection - Protection physique des locaux hébergeant les systèmes Pour le D r Stefan Lüders, consultant sûreté d expérience au CERN, les réseaux de terrain n offrent pas une sécurité satisfaisante. de nombreux chefs d entreprises ou responsables informatiques. Jean-François Pacault (Minefe). Les autorités françaises ne sont pas en reste, puisque le ministère de l Industrie a publié un guide reprenant sous forme pédagogique les différents aspects de la norme SP99. Ce guide, intitulé Protégez votre informatique individuelle, est un ouvrage de sensibilisation. Il n est pas question de paniquer l opinion publique, mais plutôt de faire passer des messages. Mesures. Quels conseils donnez-vous aux industriels pour éviter autant que possible les attaques venant de l extérieur? Colette Radionoff (EDF). Empêcher absolument tout risque d intrusion est impossible, cependant il existe un certain nombre de pratiques à risques à éviter et d éléments sensibles qui doivent être surveillés. Tout d abord, le maintien à jour de son système d exploitation ne doit surtout pas être négligé. Même si cela peut paraître évident, il est de la plus grande importance d installer régulièrement les patchs et les mises à jour pour les OS, mais aussi pour les logiciels d antivirus, firewalls, etc. Et même si nous disions précédemment qu un système Windows était beaucoup plus susceptible d être attaqué qu un système Linux, cela est vrai uniquement pour des OS correctement mis à jour. Nous avons l habitude de dire aux industriels : «Mieux vaut un Windows patché et à jour qu un Linux qu on laisse vieillir sans s en occuper». 22 MESURES MAI

4 La cybermenace en quelques chiffres Les attaques provenant de l extérieur de l entreprise se multiplient, favorisées par un accès de plus en plus facile aux technologies Internet et sans fil. Elles ont plus que doublé en l espace de vingt ans et deviennent la principale cause d incidents informatiques. Les intrusions sont en effet effectuées en majorité depuis Internet ou par des liaisons modem. Jean-François Pacault (Minefe). Les réseaux sans fil doivent également faire l objet de toutes les attentions. On a l habitude de considérer les liaisons sans fil comme sécurisées, mais encore faut-il qu elles soient correctement installées et configurées. Souvent il suffit d une négligence pour qu un réseau sans fil mette toutes les données d une entreprise à la disposition des passants qui circulent aux alentours. Cette image n est certes pas exagérée, car il faut savoir qu un signal sans fil de type Wi-Fi peut être capté jusqu à 10 km. De plus, comme 50 % des foyers français connectés à Internet sont équipés de réseaux Wi-Fi, on imagine aisément le nombre de personnes qui ont pu devenir des experts en décryptage de ces signaux. Une des erreurs à ne pas commettre est d utiliser des clefs de cryptage d ancienne génération. Les clefs WEP sont désuètes, dans la mesure où de simples utilitaires disponibles sur Internet peuvent en venir à bout en quelques secondes. Il est impératif d utiliser des clefs WPA ou WPA2. Les réseaux Bluetooth sont également à prendre en considération eux aussi en raison du très grand nombre d utilisateurs. On estime à 500 millions environ le nombre d objets numériques compatibles Bluetooth dans le monde. Les pirates étudient depuis longtemps des moyens de pénétrer dans ces appareils, et de nombreux logiciels permettent à une personne mal intentionnée de scanner les équipements à portée et d en aspirer toutes les données. Cela fait réfléchir et inquiète, même, quand on pense au nombre de personnes qui pénètrent dans une entreprise, sachant qu une seule personne mal intentionnée peut récupérer les données des PDA de tous les collaborateurs. Une des précautions de base est de demander à tout le monde de ne pas utiliser les fonctions Bluetooth au sein de l entreprise. D autant plus que tous les logiciels malveillants dont nous parlons sont accessibles gratuitement, et qu on estime à le nombre d applications malveillantes déjà écrites rien que pour le Bluetooth. Sensibiliser tous les utilisateurs, sans sombrer toutefois dans la paranoïa. Pour Colette Radionoff, chargée de mission (EDF), il devient impossible de bloquer tous les accès extérieurs à un réseau. Mesures. C est inquiétant, effectivement Et qu en est-il de l autre catégorie de menaces : les menaces internes? En quoi sontelles différentes et comment peut-on les éviter? Laurent Witkowski (Hirschmann). Par menaces internes, on désigne toutes les infiltrations de codes malveillants qui ne sont pas intentionnelles. On dit qu elles sont internes car elles sont souvent dues à la connexion d un équipement infecté. Elles peuvent prendre des formes multiples, car pour celles-ci aussi les développements sont nombreux. D une manière générale, il faut s assurer que toutes les connexions d équipements extérieurs sont correctement prises en compte. Il est impératif de protéger tous les réseaux d automatismes pour empêcher que quelqu un puisse accaparer la bande passante ou diffuser un virus. Cela passe principalement par une configuration précise des switches industriels. On interdit à tout PC de se brancher sur les switches, en autorisant parfois un ou plusieurs pupitres de maintenance. Sans assurer une sécurité totale, une bonne configuration des switches sécurise les accès au réseau. Car les options de filtrage d adresses MAC ou IP, les processus d authentification 802.1x ou encore les protocoles de limitation de trafic réduisent les risques, mais aucun n est absolument incontournable. Et verrouiller totalement un réseau n est pas forcément la solution. Il arrive que l adresse MAC du PC de maintenance change et que ce changement n ait pas été pris en compte dans la configuration des switches. Une production peut être interrompue pendant un temps non négli- MESURES 805- MAI

5 La sécurité d une architecture n est pas un aspect probabiliste comme la sûreté de fonctionnement. Attention aux dispositifs de stockage La sécurité d une entreprise peut être prise en défaut par des attaques provenant de l extérieur comme de l intérieur. Les dispositifs de stockage tels que les disques durs ou les clefs USB représentent à eux seuls une grande partie du risque industriel. Les clefs USB, tout d abord, sont d excellents propagateurs de virus, tout comme l étaient il y a quelques années les disquettes 3,5 et 5,25. Mais aujourd hui les pirates informatiques sont allés plus loin. Ils ont mis à profit les grandes capacités de stockage et le débit élevé de l USB pour concevoir des logiciels particulièrement dangereux, et qui sont accessibles facilement pour une personne mal intentionnée. Les industriels doivent être avertis de l existence de ces logiciels. Certains peuvent démarrer une copie du maximum de données en provenance d un disque dur, et ce de manière transparente, sitôt que la clef est connectée à un PC. D autres peuvent aller récupérer tous les mots de passe présents sur un ordinateur. Autant de moyens pour une entreprise peu scrupuleuse de s accaparer une mine de renseignements sur ses concurrents. C est pourquoi tous les professionnels de Selon Laurent Witkowski, expert chez Hirschmann, la manière dont un réseau est administré revêt une importance capitale. la sécurité s accordent à dire que toutes les personnes qui branchent une clef USB à un poste (pour participer à une réunion, effectuer une présentation ou échanger des informations) doivent le faire sur un poste spécialement dédié à cet effet, et vidé de toutes données confidentielles. Enfin, en ce qui concerne les disques durs, l accent est mis sur l attention particulière à porter sur l effacement des données. En premier lieu pour les disques durs endommagés et les PC qui sont jetés. Fouiller les poubelles de ses concurrents est depuis longtemps un moyen pour s emparer de secrets industriels bien cachés. Il est très facile de retrouver les données inscrites sur un disque dur, qu il ait été endommagé ou simplement formaté. Les logiciels de récupération de données sont devenus très performants, et sont mis à la disposition du grand public pour retrouver des données effacées. D une manière générale, lorsque l on se débarrasse d un disque, il faut le détruire complètement. Et s il doit être envoyé en dépannage ou réutiliser pour une autre application, l idéal est de le confier au préalable à une société spécialisée dans l effacement de données. geable. La sécurisation se fait donc le plus souvent au détriment de la flexibilité, mais c est à l industriel de déterminer le niveau de sécurité dont il a besoin, et les intégrateurs sont le plus souvent capables de les conseiller dans leurs choix. Attention également aux interconnexions entre les différents réseaux. Si les réseaux virtuels VLAN sont relativement robustes vis-à-vis des attaques, à partir du moment où un routeur relie plusieurs morceaux d un réseau il peut y avoir un risque d interception des communications. Car un routeur n est pas un équipement réseau intelligent. Il doit systématiquement être accompagné d un firewall. Jean-François Pacault (Minefe). Certains équipements appartenant à l entreprise peuvent devenir les vecteurs de la diffusion d une menace. Par exemple, un collaborateur, qui laisse ses enfants utiliser son PC professionnel pour aller sur Internet, prend le risque d infecter tout un réseau industriel. Ce genre de maladresse peut avoir parfois des conséquences très lourdes pour une entreprise. En allant plus loin, l une des pratiques qu il faut interdire à tout prix est l utilisation des sites d échanges peer-to-peer (pair-à-pair). Il s agit d un réseau d échanges et de partages de fichiers entre ordinateurs, mais ces programmes mettent à disposition de toute la planète les informations qui sont contenues sur ces ordinateurs. Un PC contenant des données confidentielles ne doit jamais y être connecté, sous peine de voir ces données aussi facilement accessibles que la musique ou les vidéos qui sont habituellement échangées par ces réseaux. Mesures. On touche cette fois encore à la sensibilisation des employés. Colette Radionoff (EDF). Il ne faut jamais oublier qu un système d informations, c est aussi et surtout des êtres humains. Il y a ceux qui sont à l intérieur (qui doivent l utiliser correctement) mais aussi les personnes venant de l extérieur, qui doivent être encadrées et surveillées dès lors qu ils accèdent à un réseau d entreprise. Le rôle du chef d entreprise sensibilisé à la cybersécurité est de convaincre toutes ces personnes de l utilité des systèmes de sécurité, sinon les meilleurs efforts du monde ne seront pas suffisants. Par exemple, si l on n explique pas à un opérateur pourquoi, sur un poste critique, la connexion à Internet est bloquée, on peut être sûr qu un jour ou l autre il arrivera à contourner le blocage. La formation est cruciale, et il est important de continuellement motiver ses collaborateurs. Mesures. Apporter de la sécurité à une application, ce n est donc pas uniquement mettre en place des systèmes de protection. Comment dans ce cas estimer le coût réel de la sécurisation d une industrie? Jean-François Pacault (Minefe). C est bien là toute la difficulté, car le nombre de paramètres à prendre en compte est trop important. Et, étant donné que le risque d attaques par un code malveillant est impossible à évaluer de manière statistique, le retour sur investissement est impossible à calculer. Le montant qui doit être alloué aux équipements de sécurité et à la formation des collaborateurs doit être fonction des conséquences financières que provoquerait une panne généralisée des réseaux de communication. Ainsi, les responsables d industries à risques, tels que les sites classés Seveso, doivent bien sûr considérer ces aspects comme l une de leurs priorités. Mesures. La sécurité est-elle accessible aux seuls grands groupes? Jean-François Pacault (Minefe). Pas du tout, cela dépend si l on y est sensibilisé. Le 24 MESURES MAI

6 dirigeant d une PME qui a déjà vu ses serveurs planter à cause d un virus, entraînant la perte de tous ses fichiers clients et ses données comptables, fera tout pour que l incident ne se reproduise pas. Il pourra engager des sommes importantes pour assurer sa sécurité. Mais il est vrai que l investissement dans des systèmes complexes, tenus à jour, munis de pare-feu et de contrôles d accès, ne sera accessible qu aux grands groupes. Mais notre travail de sensibilisation ne fait que commencer, et si nous arrivons à toucher les grands groupes en premier nous serons satisfaits. Ces derniers sont moteurs car chacun d entre eux se trouve au sommet de tout un écosystème de sous-traitants et de partenaires, qui devront passer par cette sensibilisation un jour ou l autre s ils veulent continuer leurs échanges commerciaux. Mesures. Parmi ces grands groupes, il y a aussi des constructeurs, avec en particulier les constructeurs d automatismes et d équipements de communication. Comment aident-ils les autres industriels à travailler dans les meilleures conditions de sécurité? D r Stefan Lübers (CERN). Les constructeurs d équipements réseau (switches, routeurs, firewalls, etc.) suivent l évolution des normes pour la conception de leurs produits. Ces normes permettent d obtenir des architectures d une grande robustesse, à condition Trouver le bon compromis entre sécurité et flexibilité. Michel Favier, président du Club Automation, remarque que l ajout de fonctions de sécurité augmente les temps de réponse. Recensement des types de menaces et leurs conséquences pour l entreprise que la configuration soit correctement effectuée. En revanche, nous avons constaté, au cours de différentes études menées au CERN, que les composants d automatismes étaient parfois le maillon faible de la chaîne. Nous avons pu identifier ces problèmes de sécurité en utilisant Nessus (un logiciel de test issu du monde IT) sur nos automates. Le logiciel effectue une série d environ tests, pour détecter les éventuels trous par lesquels un hacker pourrait pénétrer dans un équipement, pour en prendre le contrôle ou le planter. Nous avons eu la surprise de constater que, sur notre parc d équipements relativement représentatif du marché, plus de 30 % des automates testés ne satisfaisaient pas aux principales règles de sécurité. 15 % des automates ont autorisé l accès ou ont vu l une de leurs fonctions désactivées par les attaques de Nessus. Mais surtout, 17 % des automates ont tout simplement planté (plus aucune communication). Cela s explique par le fait que suivre l évolution et les techniques de pointe des hackers est impossible. Les constructeurs peuvent tout juste s y adapter, d autant plus que ce n est pas leur métier d origine. Mais force est de constater que, dans certains cas, l utilisation de commandes aussi simples que l envoi d une adresse IP trop longue peut planter un automate, et qu un clic maladroit sur un web server non désactivé peut l arrêter ou lancer l effacement du programme embarqué. Michel Favier (Club Automation). Après avoir évoqué tous ces aspects liés à la sécurité industrielle, on se rend compte que l ouverture des systèmes et la standardisation des protocoles jouent un rôle primordial dans l arrivée des pirates informatiques au sein des sites de production. Les solutions propriétaires, qui étaient autrefois l apanage de l industrie, permettaient de se prémunir contre ce genre d attaques. Mais aujourd hui les applications ont besoin d être pilotées ou maintenues à distance, et seule la mise en place de standards réduit les coûts des matériels. Que l on soit fabricant ou utilisateur, certaines questions restent donc entières : comment connaître son risque vis-à-vis des problèmes de cybersécurité, et quelle attitude faut-il adopter? Mais surtout, quel compromis choisir entre ouverture des systèmes et cybersécurité? Frédéric Parisot Pour en savoir plus Pour connaître les prochaines manifestations organisées par le Club Automation : Cet histogramme montre que les problèmes les plus critiques restent liés à la propagation de virus et à la perte de données. Les spams sont toujours une des principales causes de problèmes pour les entreprises, même s il s agit de problèmes moins critiques. Secure Computing, d après une étude de Forrester Consulting MESURES 805- MAI