Depuis plusieurs mois, des voix s’élèvent pour alerter les entreprises face à l’augmentation des incidents de sécurité dans l’industrie agroalimentaire. Dans un secteur en pleine évolution, les exploitations agricoles adoptent le concept d’agriculture de précision quand les usines agroalimentaires utilisent des chaînes de transformation et de production fortement automatisées. Devant cette abondance d’équipements connectés, la cybersécurité est devenue un enjeu vital. Retour sur une année pas comme les autres pour la filière agroalimentaire.
Question industrie agroalimentaire et cybersécurité, les premières cyberattaques étaient déjà présentes depuis plusieurs années.
Et si nous étions passés à côté de signaux faibles ?
Mais noyés dans le bruit ambiant et la confusion de la crise sanitaire, les retours d’expérience et appels à la prudence n’ont cependant pas été relayés comme ils auraient dû l'être. Et pour cause, l’agriculture d’aujourd’hui fait appel à de nombreux outils connectés. Sonde hygrométrique, balise GPS, tracteur connecté… l’agriculteur pilote aujourd’hui la production de sa smart farm au travers de données collectées par différents outils, comme n’importe quelle entreprise technologique. Les groupes agroalimentaires ne sont pas en reste ; les chaînes de production et de transformation sont aujourd’hui automatisées et communiquent des données au sein d’une même entreprise depuis les quatre coins du monde. Une diversité d’équipements et autant de cibles potentielles pour les cyber-criminels. D’autant plus dans le cadre d’équipements opérationnels, connectés mais trop souvent non déclarés et surtout non maîtrisés ; bienvenue dans le Shadow OT.
Autour de cette question que la fragilité des équipements connectés, la NSA (National Security Agency) et le CISA (Cybersecurity and Infrastructure Security Agency) avaient publié dès le mois de juillet 2020 une recommandation à destination des industries d'intérêt vital (dont l’agroalimentaire) concernant « la nécessité immédiate de réduire toute exposition à des outils de gestion à distance » pouvant amener à un « impact très sérieux sur les infrastructures critiques ». Cette recommandation faisait notamment référence à l’ensemble des équipements opérationnels (OT) d’ancienne génération, et principalement les systèmes ICS/SCADA, ces systèmes de supervision majoritairement utilisés dans les usines de transformation agroalimentaire et donc à protéger impérativement. Dans ce même document, la NSA et le CISA énuméraient également une série de tactiques et procédures d’attaques :
- utilisation du spear phishing pour dérober les accès du réseau traditionnel de l’entreprise (IT) et ensuite infiltrer le réseau de production de l’entreprise (OT) ;
- connexion à des automates connectés sur internet sans authentification préalable via les ports et protocoles utilisés dans l’industrie ;
- corruption du système de mise à jour de l’éditeur logiciel ;
- le tout, dans le but de déployer des malwares (par exemple sous la forme de ransomware sur les deux réseaux afin de paralyser l’outil de production en chiffrant les données de l’entreprise).
Ce document est important car il fait part d’une évolution dans les méthodologies des attaquants, désormais plus complexes que les diffusions aléatoires et préprogrammées. À la clé, des cyberattaques plus fines, plus ciblées et plus retorses qui ont donc touché de plein fouet l’industrie agroalimentaire.
L’industrie agroalimentaire, une cible privilégiée des cyberattaques
Et c’est dès le début de l’année 2021 que des grosses entreprises du secteur ont été la cible de cyberattaques. Respectivement en février, avril et mai 2021, la société française Lactalis, le producteur de champagne français Laurent-Perrier et la société américaine Molson Coors, second brasseur des États-Unis, annonçaient être victimes. Ce même mois de mai, une autre cyberattaque a été particulièrement remarquée : celle du groupe agroalimentaire brésilien JBS Foods. En termes de chiffres, il est question ici du premier producteur mondial de bœuf et de volaille, ainsi que le second producteur mondial de porc. Le 30 mai 2021 donc, l’équipe de sécurité informatique de JBS Foods découvrait en effet que des serveurs situés en Amérique du Nord et en Australie avaient été la cible de cyber-criminels. Victime d’un ransomware revendiqué par le groupe REvil, l’entreprise a été contrainte de stopper ses activités aux États-Unis, au Canada et en Australie du 31 mai au 9 juin 2021. Quelques temps plus tard, la société révélera avoir payé une rançon de 11 millions de dollars pour récupérer l’accès à ses données. Un montant historique pour un acteur agroalimentaire de cette taille et un épisode marquant, qui a démontré que les entreprises agroalimentaires étaient sensibles aux risques cyber.
En septembre 2021, la liste des victimes s’est allongée avec la 51e coopérative céréalière des États-Unis New Cooperative, victime du ransomware BlackMatter. À la même période, le distributeur de vin et spiritueux français La Martiniquaise indiquait être victime d’une cyberattaque avec vol de données. Et quelques jours plus tard, une autre coopérative , américaine, Crystal Valley, annonçait également être victime d’un ransomware, utilisant une méthodologie similaire à celle ayant touchée la société New Cooperative. Quelques semaines plus tard, une double attaque en France concernait le groupe agroalimentaire breton Jean Floc’h et le traiteur parisien Dalloyau, tous deux victimes du ransomware Conti. Et à quelques jours d'intervalles, c’était au tour du groupe agroalimentaire français Avril d’être victime à son tour d’une cyberattaque, semble-t-il suite à une attaque par phishing. La société aurait alors immédiatement coupé l’accès à la messagerie pour l’ensemble des collaborateurs ainsi qu’à l’ensemble des outils numériques. Enfin, de nouveau aux États-Unis, le géant du stockage d’aliments réfrigérés Americold annonçait être victime d’une cyberattaque en novembre 2021.
Face à un tel emballement, des experts britanniques se sont alarmés publiquement de la vulnérabilité de la chaîne agroalimentaire du pays. Ce dernier n’étant autosuffisant pour sa production alimentaire qu’à hauteur de 50%, il est donc dépendant des importations. Une cyberattaque ciblée sur un maillon de la chaîne d’approvisionnement pourrait alors désorganiser toute la filière et avoir des conséquences très lourdes ; suffisant pour lancer un appel à remodeler la politique britannique sur le sujet. Et les cyberattaques que subit l’industrie agroalimentaire risquent encore d’évoluer dans les mois et années à venir. Dans la ligne de mire, les nombreux outils connectés auxquels l’agriculture fait aujourd’hui de plus en plus appel, comme n’importe quelle entreprise technologique. Durant la conférence DEFCON 29, un expert en cybersécurité a ainsi démontré sa capacité à prendre le contrôle à distance d’un tracteur de la marque John Deere. Une prise de contrôle à distance qui reste à ce jour une démonstration lors d’un événement, mais qui entrouvre la porte à de nouveaux incidents de sécurité demain…
Mais pour les entreprises agroalimentaires, critiques et vitales par essence, comment répondre à ces menaces cyber ? Une partie de la réponse se situe dans la segmentation réseau et dans les technologies IPS (Intrusion Prevention System) et EDR (Endpoint Detection and Response), faisant partie des protections de cybersécurité de plusieurs entreprises agroalimentaires critiques. De son côté, l’EDR permettra d’identifier des comportements anormaux ou malveillants sur les machines, comme l’élévation de privilèges, ou l’installation de logiciel malveillant. Et associé à la segmentation réseau et l’IPS, ils seront ensemble une protection efficace aux tentatives de découvertes et de déplacements latéraux.
Une industrie face aux cyberattaques… et au réchauffement climatique
Niveau menace, une attention toute particulière devra également être apportée au piratage des sociétés Kaseya RMM et SolarWinds, qui a ouvert une nouvelle opportunité pour les cyber-criminels : celle de pouvoir diffuser en masse les charges virales directement sur chacun des clients de ces sociétés. Si l’acronyme RMM (pour Remote Monitoring and Management) ne vous dit rien, ce terme désigne un outil de surveillance et de gestion à distance des infrastructures informatiques. Des outils aujourd’hui utilisés massivement par les sociétés de service informatique, qui offrent une flexibilité et une simplicité dans la gestion des infrastructures, et surtout qui sont reconnus comme outils de confiance par les solutions de cybersécurité. La compromission de ces deux leaders sur le marché a permis aux cyber-criminels de passer sous les radars car les actions de ces solutions sont peu contrôlées par celles de cybersécurité à cause de leur statut de confiance et de la similarité entre des actions « d’installation » de malware et leurs actions habituelles. Sur l’année 2021, plusieurs milliers de sociétés ont été touchées par ces attaques de Supply Chain, à grands coups de campagnes de ransomware. En juillet 2021 en Suède, les 800 magasins d’alimentation de la chaîne Coop ont été les victimes collatérales de l’incident ayant touché Kaseya RMM. En tout, ce ne sont pas moins de 130 prestataires informatiques clients de l’entreprise qui auraient été impactés par cette même cyberattaque.
Face à ces cyberattaques, plusieurs conséquences peuvent être envisagées pour l’avenir de la filière agroalimentaire. La première conséquence qui nous vient à l’esprit est celle de l’ingérence économique. En rendant inopérant la production ou la distribution de denrées alimentaires, il serait possible de créer une pénurie engendrant une hausse des prix (dans un cas extrême, une famine). Et même si ce scénario semble tout droit sorti d’un film à sensations, l’impact du réchauffement climatique pourrait (en plus) amplifier les conséquences de telles attaques. Rappelons, que selon les prédictions des experts de la NASA et du FIDA (Fonds international de développement agricole), il faut s’attendre à des changements climatiques impactant des matières premières clés comme le blé, le maïs ou encore le riz, dont les rendements et la production vont drastiquement chuter d’ici 2030.
L’accélération brutale des cas de cyberattaque contre l’industrie agroalimentaire de ces derniers mois laisse donc à penser qu’une crise systémique est possible. Comme c’est le cas dans le domaine de la santé, il est impératif que les sociétés agricoles et agroalimentaires (petites et grandes) prennent conscience du phénomène et de ces enjeux, et soient accompagnées dans l’amélioration de leur cybersécurité.