L’incendie de Lubrizol a redéfini les exigences du niveau de sécurité et de sûreté des sites industriels français. Alors que des catastrophes de ce type peuvent avoir un impact direct sur la santé des citoyens, il devient impératif de renforcer la rigueur, les exigences et les compétences, dans la gestion, le pilotage et le contrôle des risques industriels. Si le risque restera toujours prégnant, il faut défendre l’idée d’une « tolérance zéro pour les négligences », souligne Christophe Bouillon, député et président du rapport d’information sur l’incendie d’un site industriel à Rouen. La rigueur et la redéfinition des besoins sont désormais au cœur de la nouvelle stratégie de protection des sites sensibles.
Par Sylvain Dumont
Mieux lutter contre les risques industriels
La classification des sites SEVESO s’opère en fonction des matières dangereuses (combustibles, inflammables, corrosives, radioactives) qu’ils accueillent. Révisée trois fois de 1982 à 2015, la directive SEVESO concerne deux types de sites, les installations dites « seuil haut », qui présentent un risque majeur, et les établissements dits « seuils bas » pour lesquels le risque est qualifié d’important. En France, fin 2015, on comptait environ 1300 sites classés SEVESO. Leur répartition est inégale en raison de la géographie de la France. Alors qu’aucun site n’est référencé dans les Hautes-Alpes en raison du relief, c’est en Seine-Maritime que l’on trouve le plus grand nombre de sites Seveso (75), devant les Bouches-du-Rhône (70). « Mieux prévenir les risques industriels, ou tout du moins tenter de le faire, c’est aussi, au-delà de l’intérêt même de l’entreprise, intégrer la prise en compte de l’intérêt général dans l’exercice d’une activité économique », explique le rapport de la commission. Alors que le site de Lubrizol était classé SEVESO « seuil haut », il conviendrait d’élargir la surveillance menée par l’inspection des installations classées. Afin de renforcer la protection de ces sites, il faudra « renouveler les pratiques françaises de prévention des risques par un meilleur ciblage de ce contrôle et une accidentologie mieux tournée vers l’enquête et la prescription » informe les députés. Concrètement, le rapporteur, Damien Adam, propose de donner aux inspecteurs, un « droit de consultation sur place d’un dossier d’assurance, disponible et à jour, faisant notamment état des dates et objets des visites d’experts ou d’ingénieurs techniques diligentés par le ou les assureurs ». Afin d’assurer une prévention optimale des risques, l’augmentation des visites de contrôle est également souhaitée par le rapporteur, ainsi que par Elisabeth Borne, ministre de la transition écologique et solidaire. Les menaces peuvent également être exogènes au site, d’où la nécessité de mieux intégrer l’ensemble des risques pour les prévenir. Le rapporteur propose ainsi de « faire réaliser par un cabinet spécialisé une simulation de cyberattaque pour évaluer la résilience de ses installations ». Enfin, le rapport met l’accent sur la nécessité « d’instituer durablement une culture du risque au sein de la population », afin que celle-ci puisse « être informée des risques auxquels elle est exposée ». En effet, le rapport de la commission d’enquête sénatoriale chargée d’évaluer l’intervention des services de l’État dans la gestion des conséquences environnementales, sanitaires et économiques de l’incendie de l’usine Lubrizol à Rouen a souligné « l’urgence de revoir la doctrine de communication de crise de l’Etat ». Le cell broadcast, qui permet par le bornage des téléphones portables, d’envoyer automatiquement des messages à tous les téléphones qui dépendent d’une zone, serait une piste envisagé. Cette mesure serait par ailleurs conforme à la directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen, qui invite tous les États membres de l’UE à développer un système d’alerte sur téléphone portable d’ici le 21 juin 2022.
La technologie au service de la protection des sites sensibles
La protection des sites sensibles représente une opportunité pour les entreprises de la tech. Drone, intelligence artificielle, plateforme collaborative, vidéoprotection intelligente… les besoins sont nombreux pour répondre à la grande variété des profils de sites sensibles. L’entreprise bordelaise Azur Drones a obtenu l’autorisation de la Direction générale de l’aviation civile (DGAC) pour faire voler son drone autonome Skeyetech en 2019, une première en Europe. Dès lors, Eamus Cork Security, spécialiste de la sûreté portuaire, protège une installation du grand port maritime de Dunkerque avec ce drone autonome Skeyetech couplé au système de gestion vidéo Security Center Omnicast de Genetec. Grâce à ce couplage, les équipes de sécurité peuvent, dans la même interface, disposer d’un retour vidéo et suivre les déplacements du drone sur une carte. « Cette solution innovante représente un véritable trait d’union entre l’humain et la technologie », explique Grégoire Thomas, Directeur général adjoint ventes et stratégie d’Azur Drones. Ces drones pourront être opérés directement par les agents de sécurité, sans qu’ils aient besoin de valider une longue formation théorique et pratique de télépilote. « Avec notre système, il suffira d’une journée de formation pour maîtriser le drone et sa station d’accueil », indique Stéphane Morelli, responsable compliance et relations institutionnelles chez Azur drones et co-fondateur de l’entreprise. A l’instar de la sécurité physique des sites sensibles, la coordination des acteurs de la sécurité est primordiale pour optimiser la gestion des risques. Ainsi, Genetec a récemment présenté « Security Center for Airports » : une solution qui permet aux agents de sécurité et à l’ensemble du personnel au sol de travailler en coordination pour sécuriser les aéroports, optimiser les opérations des terminaux et offrir une expérience plus fluide aux passagers. « Avec Security Center for Airports, les opérateurs des salles de contrôle, les agents en charge des opérations des terminaux et le personnel au sol peuvent travailler de façon synchronisée pour que l’aéroport soit parfaitement opérationnel », explique David Lenot, responsable des pratiques aéroportuaires chez Genetec.
La protection cyber des OIV
La continuité des services fournis par les opérateurs d’importance vitale est primordiale pour assurer le fonctionnement de la société. Les OIV sont « des acteurs des télécommunications, du transport, de l’énergie ou encore de la santé… Tout organisme dont l’interruption de service, à la suite d’une mise en défaillance de l’infrastructure informatique, aurait des conséquences dramatiques », explique Stéphane Prévost, chef de produits marketing chez Stormshield, éditeur français de logiciels spécialisés en sécurité informatique. L’entreprise s’est orientée sur la protection cyber des sites sensibles, afin de devenir la référence européenne de la cybersécurité en matière d’infrastructures critiques, de données sensibles et d’environnements opérationnels. « De nombreuses entreprises, organisations publiques, OIV et OSE prennent conscience de l’importance de garder la maîtrise de leurs données sensibles et de leurs infrastructures critiques. Par ailleurs, les environnements IT et OT convergent et deviennent hyperconnectés, ce qui contribue à l’élargissement des surfaces d’attaque. Face à ces menaces et aux conséquences dramatiques qu’elles représentent pour la sécurisation des biens et des personnes, les entreprises concernées, quelle que soit leur taille, se doivent d’adopter des politiques de sécurité adaptées à l’exposition de leur double environnement IT et OT. Notre ambition est de les accompagner dans ce challenge », résume Pierre-Yves Hentzen, président de Stormshield. Les entreprises françaises et européennes se mobilisent ainsi dans la sécurisation cyber des sites sensibles et stratégiques. C’est le cas de l’ETI Fichet, composée de 850 salariés et fondée en 1825, qui a opéré, fin 2018, un repositionnement stratégique sur les dispositifs physiques, électroniques et numériques dédiés à la protection des opérateurs d’importance vitale (OIV). De la petite à la grande entreprise, les acteurs de la sécurité ont intégré l’importance de développer la sécurité de ses systèmes d’information. C’est pourquoi Thales et Airbus ont annoncé l’année dernière l’établissement d’un partenariat orienté sur le cyber. Ces deux grands industriels ont décidé de mettre en commun leurs compétences afin d’accompagner les opérateurs d’importance vitale dans la détection des cyber-menaces. Thales et Airbus proposent une solution associant le système d’analyse de fichiers Orion Malware d’Airbus CyberSecurity et la sonde de détection d’intrusions Cybels Sensor de Thales. La solution permet de capturer sur un réseau les fichiers suspects, décryptés en moins d’une minute. À l’issue de cette analyse, Orion Malware renvoie un rapport précisant les risques, les indicateurs de compromission et un résumé accessible aux non-experts est fourni pour préparer efficacement la réponse sur incident. « Ce partenariat destiné au marché français vise à accompagner les opérateurs d’importance vitale dans le renforcement des mesures de protection cyber exigées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) avec la Loi de Programmation Militaire (LPM) », précise Thales.
Assurer la sécurité des hôpitaux
Fin 2019, l’Agence des systèmes d’information partagés de santé (Asip santé) a recensé 693 incidents déclarés par les structures sanitaires depuis la mise en place d’un nouveau dispositif de signalement, en octobre 2017. Si les failles cyber des établissements de santé sont réelles, la pandémie du coronavirus a exacerbé cette problématique. Bien que de nombreux groupes d’activistes ont déclaré ne pas s’en prendre aux établissements de santé, plusieurs cyberattaques de grande ampleur ont été recensées, comme celle de l’Assistance publique des hôpitaux de Paris (AP-HP), touchée le 22 mars dernier par une attaque par déni de service (type DDos), visant à noyer les serveurs informatiques sous de fausses requêtes dans le but de les rendre inaccessibles. Il est donc urgent de prendre des mesures visant à consolider la résilience et la protection des systèmes d’information des hôpitaux et de leurs sous-traitants. Eugène Kaspersky, PDG de la société de cybersécurité Kaspersky, a répondu à l’appel mondial de l’Institut CyberPeace, en signant une lettre ouverte qui incite les gouvernements à prendre des mesures rapides et concrètes pour mettre fin aux cyberattaques contre les hôpitaux et les établissements de santé et de recherche médicale en cette période de crise sanitaire. Alors que des guides de bonnes pratiques sont mise à disposition des établissements de santé, notamment par l’agence européenne ENISA, le seuil de risque est encore trop haut. Selon une étude menée par Kaspersky France fin 2019, les établissements de santé français se protègent de mieux en mieux face aux cyberattaques mais ils sont encore trop souvent exposés. 58 % des sondés s’estimaient matures en matière de sécurité informatique, près d’un quart des professionnels de santé interrogés (22 %) n’avaient aucune solution de sécurité en place et 80 % des professionnels de santé ne protègent pas tous les appareils qu’ils utilisent pour manipuler les données des patients. La mobilisation doit être transverse et rapide. La société antiboise InfraOpS, experte en production informatique et solutions de cybersécurité, a par exemple décidé d’offrir, durant la crise du coronavirus, aux hôpitaux et cliniques, sa solution unique en France pour lutter contre les cyberattaques qui intègre un système de zéro trust pour protéger la machine.
Le monde de la tech a beaucoup à apporter à ces institutions, en proie à des menaces grandissantes. « Le premier bien est la santé », disait Platon. Faisons en sorte de le protéger à tous les niveaux !