Les enjeux cybersécurité du secteur Agroalimentaire

Le Grand Ouest concentre environ le quart des emplois de l’industrie agroalimentaire en France. Aussi, très tôt, Digitemis a approfondi les clés de l’amélioration de la sécurité des systèmes d’information de la filière. Elle intervient régulièrement auprès de grands acteurs du grand Ouest pour les accompagner sur les sujets liés à la cybersécurité et la protection des données personnelles. Afin de renforcer ces liens et d’apporter sa contribution aux innovations du secteur, Digitemis est devenu adhérent du Pôle de compétitivité de l’agroalimentaire : VALORIAL.

Une exposition à de nombreux risques cybersécurité

En matière de cybersécurité, le secteur agroalimentaire est particulièrement exposé, que l’origine des dysfonctionnements soit malveillante ou accidentelle. Un simple accident de production peut engendrer des impacts critiques, sur l’intégrité du produit alimentaire ou la continuité de fonctionnement de la chaîne de transformation. La traçabilité est évidemment un critère essentiel pour le suivi de toute la chaîne, depuis la production (culture ou élevage) jusqu’au consommateur. Le secret de recettes de fabrication doit être préservé par la confidentialité du patrimoine informationnel. Tous ces enjeux sont au cœur des problématiques de la cybersécurité, sous tous ses angles : disponibilité, intégrité, confidentialité, traçabilité.… Toute la chaîne de distribution est concernée !

Le Food Defense et la protection contre la malveillance

Intrinsèquement, le secteur reste vulnérable face à des actes malveillants, criminels ou terroristes. Des protections sont élaborées contre ce qui pourrait déclencher des mouvements de paniques, ruiner une filière localement ou simplement nuire à une marque ou une organisation. Depuis plusieurs années déjà, le food defense s’est basé sur des référentiels internationaux, notamment le PAS 96 (Publicly Available Specification : guide pour la protection des aliments et des boissons) et le IFS Food v.6 (International Features Standards : exigences sur la protection de la chaîne alimentaire contre les actes malveillants). Les acteurs de la filière réalisent régulièrement des analyses de vulnérabilités afin de maîtriser les menaces, qu’il s’agit d’évaluer, de hiérarchiser puis de traiter. Des méthodologies propres au secteur sont désormais largement répandues.

Dans la dernière version de l’IFS, le chapitre Food Defense est devenu obligatoire : les industriels ne doivent plus se limiter aux risques accidentels mais étendre leur protection aux risques intentionnels car les menaces peuvent provenir de l’interne comme de l’externe. Au fil de ses missions, les experts de Digitemis ont observé que la maturité du secteur en terme de sûreté physique est généralement élevée, avec la définition de zones périmétriques avec des mesures adéquates, notamment des accès restreints et contrôlés selon le profil des personnes (prestataires, visiteurs, employés, transporteurs, …). Les employés sont régulièrement sensibilisés à ces risques et deviennent ainsi les premiers lanceurs d’alertes.

La sécurisation des Opérateurs d’Importance Vitale des secteurs de l’alimentation et de la gestion de l’eau

Pour les acteurs les plus critiques de la filière, l’article 22 de la loi de programmation militaire (LPM) qui vise à protéger les infrastructures vitales du pays des cyberattaques, devient un nouveau cadre pour assurer la résilience de leurs services essentiels. Les arrêtés concernant les entreprises opérant dans le secteur de la santé, de l’alimentation et de la gestion de l’eau ont été publiés et sont entrés en vigueur le 1er juillet 2016. Ils précisent concrètement les mesures que les opérateurs d’importance vitale (OIV) dans ce domaine sont amenés à prendre pour être en conformité avec la loi.

L’État français estime que si ces entreprises ou services de l’État étaient attaqués, leur dysfonctionnement pourrait causer un préjudice grave à la population voire à la sécurité du pays. Les OIV doivent notamment faire une cartographie de leurs réseaux, identifier les systèmes d’information considérés comme d’importance vitale. Ils doivent cloisonner leurs différents réseaux afin d’éviter la propagation des attaques. Les décrets insistent sur l’obligation de déployer des outils de détection des cyber-attaques et de signaler à l’ANSSI les incidents subis. Ils doivent également veiller à transcrire contractuellement ces nouvelles obligations à leurs sous-traitants les plus critiques. Les OIV doivent faire appel à des prestataires extérieurs de confiance, qualifiés par l’ANSSI, capables de réaliser des audits de sécurité poussés, de détecter et de réagir aux incidents informatiques. Les fournisseurs d’équipements de logiciels et de services de sécurité doivent également montrer patte blanche et rendre accessible le code source de leur logiciel.

Les nouveaux enjeux : le numérique au service de l’agroalimentaire

Le secteur agroalimentaire n’échappe pas à la déferlante numérique et bénéficie pleinement des progrès d’un monde ultra-connecté. L’Internet des Objets, via l’interconnexion de centaines de milliers d’objets connectés, apporte de nouvelles problématiques de sécurisation : les objets peuvent collecter et traiter des informations, puis interagir avec leur environnement. Désormais, l’étendue du périmètre s’accroît au-delà de l’enceinte traditionnelle. Les informations de la chaîne de production sont collectées et utilisées par des applications distantes, au service du big data. Des fournisseurs accèdent à distance, souvent comme administrateurs, à des pans entiers de l’informatique industrielle, par-delà les contrôles habituels.

Dans cette perspective, la notion de périmètre n’a plus de sens, l’ouverture est devenue un impératif quotidien, même si l’architecture et les éléments n’ont pas été conçus pour ces usages. Le contrôle des multiples intervenants devient un défi complexe. Les méthodes traditionnelles de cybersécurité peinent à s’appliquer dans ces environnements. L’informatique industrielle est d’abord pilotée par des automaticiens, qui maîtrisent les processus industriels, savent programmer, maintenir et gérer les automates. La ligne de partage des responsabilités entre le monde de l’informatique de gestion et le monde de l’informatique industrielle disparaît à l’heure de la convergence des réseaux. Les risques se propagent depuis les sous-réseaux et depuis les sous-traitants. L’usine étendue est le terreau de nouvelles menaces, qui ne sont pas toujours appréhendées par les responsables de production ou de maintenance, habitués à maîtriser l’outil industriel.

Quelques leviers pour préserver la confiance

Une claire répartition des rôles et des responsabilités dans la gestion des systèmes d’information constitue une étape nécessaire pour initier toute démarche de progrès. La responsabilité de la cybersécurité doit être attribuée, en lien avec les relais nécessaires dans les équipes industrielles. Ce sont eux qui maîtrisent le parc installé et sa cartographie.

Quand une démarche d’amélioration continue est initiée, ce sont fréquemment des responsables qualité qui assurent le respect de ces objectifs de sécurité, sous-ensemble du Système de Management de la Qualité (SMQ : cf norme ISO 9001). Ce sont souvent eux qui sont les mieux placés pour assurer la mise en place d’un système de management de la sécurité de l’information (SMSI : cf norme ISO 27001). Il leur suffit de se former à ce nouvel environnement. De même, ils pourront aisément transposer le Plan d’Assurance Qualité (PAQ) en un Plan d’Assurance Sécurité (PAS)…

Dans le secteur agroalimentaire, le pilotage des fournisseurs est une clé majeure de toute démarche d’amélioration de la maturité en sécurité des systèmes d’information. Des collaborations historiques doivent évoluer vers des relations de confiance, basées sur une transparence renforcée. Sans tout interdire ni tout verrouiller, au risque d’empêcher les personnes de travailler et les machines de fonctionner, des bonnes pratiques sont à disséminer progressivement. Devant la propagation des risques au long de la supply chain, il n’y a guère d’alternative : avancer tous ensemble dans la même direction.

Sources :

• The Global Food Safety Initiative
• L’ANIA (Association Nationale des Industries Alimentaires), rassemble 18 fédérations nationales et 23 associations régionales, représentatives des industries alimentaires en France
• ABEA (Association Bretonne des Entreprises Agroalimentaires)
• LIGERIAA (Association régionale des industries alimentaires des Pays de la Loire)
• Plateforme Régionale d’Innovation (PRI) Cap Aliment
• Association paritaire dédiée aux besoins en compétences des Industries Alimentaires
• La Troisième Révolution Industrielle agricole en Pays de la Loire (TRIA)
• Chambres d’agriculture des Pays de la Loire
• Chambres d’Agriculture de Bretagne
• Chambre régionale d’agriculture de Normandie
• Le CTCPA est un Centre Technique Industriel (CTI) qualifié Institut technique agro-industriel (ITAI) par le Ministère de l’agriculture
• ADRIA Développement centre d’expertise agroalimentaire
• AGROPOLE, technopole européenne spécialisée en agroalimentaire
• AGROTEC est le Centre de Ressources Technologiques agroalimentaire multi-filière d’AGROPOLE
• Coop de France

Je partage