Cybersécurité et machines : un questionnaire de l’INRS sur les pratiques des entreprises

En quoi les cyber-attaques peuvent-elles impacter les risques professionnels ?

Cela tient principalement à la corruption possible des mesures de protection mises en œuvre sur les machines lorsque ces mesures utilisent des systèmes électroniques programmables. Le risque cyber peut également se traduire par l’arrêt inopiné d’un processus de fabrication, avec déversement d’une matière dangereuse par exemple, ou bien au contraire par son démarrage inattendu. Dans ces deux cas, les conséquences pour les salariés peuvent être graves. Sans compter les risques indirects liés aux interventions de maintenance nécessaires pour remettre en service ces machines. Si, à ma connaissance, aucun salarié n’a jusqu’ici été victime d’un accident suite à une attaque informatique, le risque existe. Il est pourtant peu pris en compte par les entreprises et les fabricants de machines.

Pourquoi ce risque associé aux cyber-attaques n’est-il pas pris en compte dans la prévention des risques professionnels liés aux machines ? 

Jusqu’alors, les systèmes industriels étaient relativement épargnés par les cyber-attaques. Aujourd’hui, la réalité est tout autre. Nous sommes entrés dans l’ère de l’industrie du futur, où les machines-outils, lignes d’assemblage, presses, machines d’emballage et autres machines sont de plus en plus connectées aux réseaux dits ouverts. Il est désormais possible de se connecter, depuis l’Internet, aux capteurs, actionneurs, composants de sécurité… En France, l’Agence nationale de la sécurité des systèmes d’information (Anssi) constate une recrudescence d’intrusions numériques qui se traduisent par des attaques de plus en plus sophistiquées. A titre d’exemple, en 2021, des cyberattaquants ont pris brièvement le contrôle à distance d'un système industriel en charge du traitement des eaux aux Etats-Unis. La même année, plusieurs usines agroalimentaires du brésilien JBS ont été fermées pendant deux jours suite à une attaque par rançongiciel. Les entreprises sont de plus en plus exposées mais elles n’ont pas encore pris la mesure du phénomène du point de vue des conséquences potentielles sur la santé et la sécurité des salariés. 

Quel est l’objectif de cette étude lancée par l’INRS ?

Cette étude a pour objectif de recueillir des informations sur les pratiques des entreprises en matière de cybersécurité autour des machines industrielles, et leur connectivité, par voie numérique (par exemple connexion au réseau, port USB permettant d'échanger des données… ). Elle permettra de préciser les usages numériques des machines dans les entreprises, leurs pratiques en matière de cybersécurité et leur perception sur le risque de cyberattaque et de ses conséquences sur les machines et les travailleurs. A terme, ces informations nous aideront à construire une méthode d’analyse de « risque cyber » pour les machines, à des fins de prévention des risques professionnels. 
Concrètement, trois questionnaires sont proposés, en fonction de votre profil professionnel :

• production, pour le personnel affecté sur la machine ou sa hiérarchie, ou toute personne en charge   de la production. Ce questionnaire peut aussi être renseigné par les membres du service HSE,
• maintenance-travaux neufs pour les personnes opérateurs ou responsable du service maintenance, du service Méthode-Travaux neufs
• informatique, pour les personnes du service informatique et pouvant intervenir directement ou àdistance sur les machines industrielles. 

Le temps de remplissage d’un questionnaire est estimé à 15 min environ.

Participer à l’étude :

https://manager-enquetes.inrs.fr/SurveyServer/s/cpi/CyberSecuriteMachines/Machines.htm
 

Pour en savoir plus