La sécurité dans le secteur alimentaire: NIS2 comme catalyseur supplémentaire

Compte tenu de la législation stricte sur la sécurité alimentaire
 et de la conservabilité souvent limitée des produits, l’impact de l’hameçonnage, du piratage ou des virus se révèle majeur.

Lors de l’événement Cybersecurity4Food, plusieurs entreprises alimentaires ont témoigné de leur lutte contre les cybermenaces et de la manière de résister face aux attaques. « Les producteurs alimentaires se demandent souvent pourquoi un pirate cherche à les attaquer, explique Kevin Holvoet du Centre pour la Cybersécurité Belgique. A les en croire, ils ne disposent que de peu de données intéressantes pour des personnes extérieures. Malheureusement, une seule raison peut suffire. Il ressort de Verizon que littéralement toutes les attaques enregistrées en 2022 dans le secteur alimentaire ont une motivation financière. Un tiers des attaques ont été réalisées par rançongiciel. Et un tiers des entreprises touchées ont effectivement versé la rançon, avec un montant moyen de rançon de 675.000 €. »

Les techniques les plus utilisées pour pénétrer les systèmes ? Le piratage de mots de passe, l’hameçonnage et l’exploitation de vulnérabilités. Holvoet insiste en outre sur la hausse de l’ingénierie inverse lors de rustines et de mises à jour. « Lorsqu’un éditeur de logiciels publie des rustines, les criminels analysent les différences par rapport aux versions antérieures. Ce faisant, ils mettent en lumière les zones de faiblesse qu’ils attaquent avant que l’utilisateur n’ait effectivement installé ces rustines. »

Force brute

Pour sa part, Johan Dekeyser a montré que la cybermenace n’était nullement à sous-estimer dans le secteur alimentaire. Il est le gérant de Dekeyser-Ossaer, un transformateur de viande qui emploie 150 personnes à Koekelare (Flandre- Occidentale). L’entreprise est largement gérée par des logiciels développés en interne, ce qui présente des avantages en termes d’efficacité et de service, mais qui accroît sa vulnérabilité en matière de cybersécurité. L’entreprise a d’ailleurs été victime en 2018 d’une attaque par force brute grâce à laquelle un acteur extérieur a pénétré de force les serveurs de l’entreprise.

Avec des conséquences dramatiques. « En un rien de temps, toutes les machines se sont arrêtées l’une après l’autre. Nos informaticiens ont réagi en débranchant tous les serveurs pour ainsi limiter les dommages. Bien que la production n’ait été interrompue que durant quelques heures, les pertes financières ont été énormes, notamment en termes d’heures de travail perdues et de travail de nuit supplémentaire pour traiter les commandes. Mais en outre, nos systèmes n’ont pas été en mesure de traiter les nouvelles commandes, ce qui s’est traduit par des clients mécontents. Et nous ne parlons même pas ici des coûts élevés liés à la réparation de nos systèmes par plusieurs partenaires extérieurs. Heureusement, une partie des frais a été prise en charge par notre assurance. »

Johan Dekeyzer souligne que la qualité des sauvegardes a prouvé son utilité. « Un autre point crucial a été une communication transparente. Nos clients se trouvent dans bon nombre de secteurs, y compris des organismes publics. Ces clients se demandaient à juste titre quelles mesures nous avions prises pour limiter l’impact de l’attaque et éviter les futures menaces. »

Chez Dekeyzer-Ossaer, il fut à deux reprises question de rançon. « La première fois, nous l’avons versée et la deuxième fois pas. Lors de la première attaque, nous avons paniqué et décidé rapidement de renoncer. Mais la deuxième fois, nous étions mieux préparés et avons pu prendre les mesures nécessaires, confie Dekeyzer. Nous avons mis en place les outils qui nous permettent de mieux nous protéger. Ces mesures portent notamment sur la gestion des mots de passe, un parefeu plus performant, la segmentation du réseau et des serveurs, ainsi que l’authentification à deux facteurs. »

NIS2

Karl Dobbelaere du Centre pour la Cybersécurité Belgique se penche sur l’impact de NIS2 sur le secteur alimentaire. « La vraie question que chaque entreprise doit se poser est de savoir si elle est concernée par NIS2. Pour la plupart des entreprises, la réponse est positive. Avec l’arrivée de la directive NIS2 en octobre 2024, le législateur considère les entreprises de l’industrie alimentaire comme vitales. Elles doivent donc satisfaire à la nouvelle réglementation si elles emploient plus de 50 personnes ou réalisent un chiffre d’affaires de plus de 10 millions €. Les entités qui tombent sous ce champ d’application sont tenues de prendre des mesures adaptées et proportionnées pour gérer les risques liés à la sécurité de leurs réseaux et de leurs systèmes d’information ainsi que pour éviter les incidents ou limiter les conséquences de tels incidents sur leurs clients et sur d’autres services. »

Vandemoortele, spécialisée en produits pour boulangeries, margarines, huiles et graisses culinaires, se prépare depuis un certain temps déjà à NIS2. L’entreprise intègre cette approche dans un programme de sécurité plus vaste comprenant différentes couches de défense et qui a été initié au cours des 5 dernières années. Benoît Dewaele, Group IT Director, s’en explique : « Nous investissons dans les outils adéquats et les gérons dans le cadre d’un SOC ou security operation center. Ce SOC permet d’analyser tous les enregistrements et remarques. Notre approche est à la fois réactive et proactive. Certes, on peut tout mettre en œuvre pour se protéger, mais la sécurité à 100% n’existe pas. C’est pourquoi nous avons d’ailleurs investi dans la reprise après sinistre. »

Dewaele précise avoir fait appel à un partenaire extérieur pour cartographier les vulnérabilités et évaluer le niveau de sécurité en fonction d’un score d’évaluation. « Nous avons notamment mis l’accent sur l’EDR ou ‘endpoint detection and response’ qui permet d’identifier et d’écarter tout comportement et menace suspects sur les points finaux. C’est ce que je qualifie d’’antivirus sur stéroïdes avec une couche d’IA’. » Vandemoortele exploite en outre le NAC ou ‘network access control’. « Lorsqu’une personne se connecte avec un nouvel appareil, il ne peut pas d’emblée surfer via le réseau. Nous avons prévu un contrôle supplémentaire pour des connexions inconnues. Et au niveau des données et applications de partenaires extérieurs, comme les clients et les fournisseurs, nous faisons d’abord un audit de sécurité, faute de quoi nous considérons d’emblée l’application comme non sécurisée. »

En ce qui concerne le centre de données, l’accent est mis sur la gestion des rustines et la ségrégation de réseau. « Nous travaillons sur Azure, ce qui offre en soi déjà une certaine sécurité, mais nous nous appuyons aussi sur des outils internes. Les applications sont toujours plus basées sur le web, avec un monitoring et une centralisation des accès. Une application web ne peut être utilisée que si l’Active Directory central l’authentifie. »

Simulations de crise

Vandemoortele procède à des simulations de crise pour vérifier la gestion de la sécurité et mettre au point les mesures de réaction adéquates. De tels scénarios sont basés sur des attaques qui ont véritablement touché des entreprises. « Comme je l’indiquais, aucune entreprise ne peut être certaine d’échapper à un cyberdommage, poursuit Benoît Dewaele. Dans ce contexte, nous faisons appel à la gestion de crise et à une équipe de réponse pour les cas d’urgence. En tant qu’entreprise alimentaire, nous avons l’avantage de disposer déjà de certaines structures conçues pour réagir en cas de contamination alimentaire. Quoi qu’il en soit, une telle simulation de crise apporte certains éclairages intéressants et permettent de continuer à optimiser les procédures existantes. »

Vandemoortele évalue d’ores et déjà les mesures à prendre dans le cadre de NIS2. « Nous définissons notre niveau de maturité, tandis qu’au départ du SOC, nous gérons les vulnérabilités. Nous analysons différents aspects, depuis la gestion des actifs jusqu’aux sauvegardes et aux registres de sécurité. L’un des défis majeurs consiste à documenter correctement l’ensemble des informations. Ceci vaut non seulement pour les situations standards, mais aussi pour toutes les exceptions qui peuvent se présenter. »