Les systèmes de contrôle industriels (ICS) n'étaient pas initialement conçus pour être reliés, même pour le pilotage, ni au système d'information ni à Internet. Leur sécurité dans ce domaine est donc souvent très faible. Or, une étude menée par l'éditeur Kaspersky Lab montre qu'en fait, on peut souvent accéder par Internet aux failles qui les affectent. D'autant que 91,6% des équipements accessibles de l'extérieur le sont par des protocoles faibles sur le plan sécuritaire.

L'éditeur dénonce ainsi « 188 019 hôtes comportant des composants ICS accessibles via Internet ont été identifiés dans 170 pays. (...) 13 698 hôtes ICS exposés à Internet appartiennent très vraisemblablement à de grandes entreprises, dans les secteurs de l'énergie, des transports, de l'aéronautique, de l'industrie pétrolière et gazière, de la chimie, de l'automobile, de la fabrication, de l'agro-alimentaire, de l'administration, de la finance ou de la médecine. » 30,5% des ICS repérés sont aux Etats-Unis, 13,9% en Allemagne, 5,9% en Espagne et 5,6% en France (soit 10 578 systèmes). Le niveau de danger est donc très élevé.

Des vulnérabilités permettent l'exécution de code à distance

91,1% de ces systèmes repérés présentent des failles accessibles à distance et, en particulier, 3,3% des vulnérabilités critiques permettant l'exécution de code à distance. Or la prise de contrôle des ICS peut permettre de provoquer des dégâts considérables sur des chaînes industrielles, des dégâts physiques très coûteux. Les ICS les plus vulnérables sont les interfaces homme-machine, les appareillages électriques et les systèmes SCADA. Pire, le nombre de failles repérées a décuplé en cinq ans, passant de 19 en 2010 à 189 en 2015

Fin juin, Guillaume Poupard, DG de l'ANSSI (l'Agence nationale de la sécurité des systèmes d'information) mettait aussi en garde contre les risques de piratage dans les SI industriels en France.