L’assassin silencieux : neuf raisons pour lesquelles la cybersécurité est importante pour l’industrie alimentaire

Imaginez-vous au milieu d’une intoxication alimentaire nationale qui évolue de minute en minute.
Vous vérifiez et revérifiez les registres de transformation; tous les lots de poulet cuit semblent bien, alors que se passe-t-il?

À votre insu, un pirate informatique, probablement un ex-employé mécontent, a infiltré et modifié des processus opérationnels essentiels au moyen d’un dispositif IdO non sécurisé et entraîné la cuisson insuffisante et dangereuse pour la santé d'un lot de poulet. Comme vous ne savez pas quels lots ont été affectés, un rappel est prévu à l’échelle nationale.

L’avantage de votre produit est neutralisé parce qu’un concurrent vient de lancer une copie de votre produit en utilisant une propriété intellectuelle obtenue par des pirates informatiques. Un pirate informatique a volé des informations critiques relatives à la vente et à la chaîne d’approvisionnement appartenant à l’un de vos principaux clients de détail et il exige une énorme rançon. Que faites-vous?

Improbable? Reconsidérez la question.

Historiquement, l’attention des cybercriminels s’est surtout portée sur les secteurs financiers et du commerce de détail, ce qui d’habitude implique la violation de données. Plus récemment, les systèmes des soins de la santé et gouvernementaux ont fait l’objet de cyberattaques. Au fur et à mesure que ces secteurs amélioreront leurs défenses, les cybercriminels passeront à des cibles moins solides et plus faciles à atteindre et le secteur alimentaire ressort comme le nez au milieu du visage.

 

Une partie du problème est que le secteur se croit immunisé. Qui voudrait s’attaquer à une entreprise alimentaire? Des organisations criminelles nationales et internationales ciblent fréquemment les chaînes d’approvisionnement alimentaires pour s’adonner à la falsification à grande échelle, à la contrefaçon, à la fraude, au vol et à la contrebande, et même pour pirater les systèmes des entreprises de stockage et de distribution afin de s’emparer des produits d’origine et introduire les produits de contrefaçon dans la chaîne d’approvisionnement légitime. Le danger est véritable et les entreprises alimentaires de toutes tailles doivent prendre des mesures pour renforcer les défenses de l’information. Voici pourquoi :

  1. Les technologies de l’information (TI) et la cybersécurité sont deux domaines différents. Dans la plupart des entreprises, le service des TI est aussi responsable de la cybersécurité. Ceci est une erreur fondamentale. Il s’agit de deux disciplines distinctes et elles nécessitent des approches, des réflexions et des compétences différentes.

  2. « Nous sommes une PME, pourquoi faut-il nous inquiéter? » Les rapports indiquent que les PME se font attaquer aussi fréquemment que les grandes entreprises, d’habitude par courriel.

  3. « Toutes nos activités informatiques et de cybersécurité sont externalisées, c’est leur problème. » Les fournisseurs de services informatiques sont des cibles aux nombreuses possibilités pour les pirates informatiques et font donc l’objet d’une attention particulière. Leur problème peut rapidement devenir le vôtre.

  4. La cybercriminalité devient plus facile et plus accessible. Alors que la cybercriminalité était autrefois le domaine exclusif des « maîtres du code », elle a évolué pour devenir une activité à part entière. Aujourd’hui, les auteurs de logiciels malveillants trouvent plus lucratif — et certainement plus sûr — d’offrir leurs services et de vendre leurs produits à d’autres qui se chargeront de lancer des attaques.

  5. Systèmes patrimoniaux. Les systèmes de transformation des aliments actuels dépendent généralement de plates-formes logicielles obsolètes telles que Linux ou Windows 98; des systèmes installés il y a plus de 20 ans. Par ailleurs, l’ancien code ne peut être actualisé ni corrigé.

  6. Connexions puissantes. La connectivité, en liant des processus internes de production à des systèmes de données externes et à des réseaux via Internet, permet de réaliser des gains de productivité et d’efficacité des processus. L’inconvénient est que la sécurité est souvent sacrifiée pour que les systèmes modernes fonctionnent avec des technologies obsolètes. Cela signifie également qu’une faille de sécurité peut être exploitée rapidement à grande échelle.

  7. S'il n'y a rien de cassé, il n'y a rien à réparer. La direction est naturellement réticente à investir dans des systèmes meilleurs et plus sûrs lorsqu’un ancien système fonctionne parfaitement et elle considère le risque comme imaginaire. Il s’agit de fausses économies.

  8. Méconnaissance de la situation. Le personnel opérationnel est formé pour assurer le fonctionnement des systèmes existants et n’est pas « cybercalé ».

  9. La ruée vers le matériel intelligent. Les dispositifs dits « non intelligents » comme les boîtes à leurres se font remplacer par les dispositifs IdO compatibles. Souvent, ces derniers contiennent des capteurs « prêts à l’emploi » avec des fonctions intégrées de violation de la sécurité fonctionnant sur des logiciels mal conçus et peu soutenus. Ces questions fondamentales passent souvent inaperçues pendant le processus d’approvisionnement. 

De nos jours, une entreprise alimentaire peut subir différents types de cyberattaques. Il est probable que l’avantage de votre produit soit neutralisé parce qu’un concurrent vient de lancer une copie de votre produit en utilisant une propriété intellectuelle obtenue par des pirates informatiques. Ou bien, un pirate informatique a volé des informations critiques relatives à la vente et à la chaîne d’approvisionnement appartenant à l’un de vos principaux clients de détail et il exige une énorme rançon. De toute façon, il est essentiel de maîtriser la gestion des risques.

 

Que peut-on faire?

  1. ‎Engagez-vous dans l’analyse des cyber-risques et points critiques pour leur maîtrise (CHACCP). Le personnel de l’assurance qualité et le personnel technique du secteur alimentaire connaissent bien HACCP (système d’analyse des dangers et points critiques pour leur maîtrise) depuis maintenant trente ans. Considérez CHACCP comme le prolongement de cette même approche fondée sur le risque pour examiner les vulnérabilités des structures cybernétiques et les liens dans un environnement de production et l’appliquer comme tel au système intégré de gestion de la sécurité alimentaire.
  2. Mettez en œuvre des normes de cybersécurité. La plupart des entreprises ne songeraient pas à s’informer de leur niveau de sécurité au moyen d’un test d’intrusion ni à déployer BitSight pour déterminer le cyber-risque que représentent leurs fournisseurs afin de les intégrer dans la sélection, le suivi et l’évaluation de ces fournisseurs. Il serait judicieux d’envisager une amélioration visant à mettre en œuvre des systèmes de gestion de l’information ISO 27001 et à les rendre obligatoires pour les principaux fournisseurs, en particulier pour les plates-formes informatiques intégrées à celles de votre organisation.
  3. Forgez la culture de l'entreprise. Tous les membres du personnel devraient devenir « cybercalés » grâce à une formation de sensibilisation à la cybersécurité dans le cadre du processus d’entrée en fonction; ils doivent ensuite être encouragés à signaler tout ce qui sort de l’ordinaire s’ils pensent que cela pourrait être lié à la cybersécurité afin d’éviter une perte de contrôle.

‎La bonne nouvelle, c’est que les entreprises qui appliquent ces mesures logiques réduisent leurs risques et, avec le temps, elles réalisent que cela contribue substantiellement à une défense solide, fondée sur la diligence raisonnable, et que cela peut même leur donner l’avantage concurrentiel du pionnier.

 

Auteur : Richard Werran

Directeur de l’alimentation – EMEA