La logistique juste à temps signifie que même les cyberattaques à court terme peuvent avoir de graves conséquences. Les piratages qui perturbent la production d’engrais ou de pesticides peuvent obliger les agriculteurs à s’absenter des saisons de plantation. Les infractions dans les usines de conditionnement de viande peuvent entraîner des pénuries d’approvisionnement déstabilisantes. L’altération d’une entreprise de transformation alimentaire peut entraîner une contamination mortelle. Déjà, les attaques de ransomwares qui ont forcé les entreprises à fermer leurs portes pendant une semaine ont laissé les écoles sans lait, jus et œufs, selon Sachs.
“Une perturbation majeure dans ce secteur entraîne des problèmes immédiats de santé et de sécurité publiques”, déclare Mark Montgomery, qui a été directeur exécutif de la Cyberspace Solarium Commission.
Bien qu’il soit de plus en plus vulnérable, dit Sachs, le secteur de l’alimentation et de l’agriculture “ne comprend toujours pas vraiment l’état d’esprit de la menace”, tout comme les secteurs plus médiatisés, comme les services financiers et l’énergie.
Entreprises critiques, assistance limitée
Aujourd’hui, l’alimentation et l’agriculture sont l’un des quatre secteurs d’infrastructure critiques (sur 16) sans ISAC, avec les barrages, les installations gouvernementales et les réacteurs et matériaux nucléaires.
Le secteur de l’alimentation et de l’agriculture a été l’un des premiers à lancer un tel centre, en 2002, mais il s’est dissous en 2008 car peu d’entreprises partageaient des informations par son intermédiaire. Les Membres craignaient qu’une telle ouverture compromette leurs avantages concurrentiels et les expose à des mesures réglementaires. Maintenant, dit Sachs, les entreprises craignent que l’échange d’informations entre elles puisse entraîner des poursuites antitrust, même si une telle collaboration est légale.
Certaines entreprises participent à un groupe d’intérêt spécial (SIG) sur l’alimentation et l’agriculture hébergé au sein de l’IT-ISAC, qui leur donne accès aux données et aux analyses de certaines des plus grandes entreprises technologiques du monde, ainsi qu’à des ressources telles que des manuels pour affronter des groupes de pirates spécifiques.
« Notre travail avec l’industrie s’est vraiment élargi au cours des trois dernières années environ », déclare Scott Algeier, directeur exécutif de l’IT-ISAC. Au cours de la même période, l’IT-ISAC a enregistré 300 attaques de rançongiciels dans le secteur de l’alimentation et de l’agriculture.
Mais les offres du SIG sont limitées, soutient Sachs. Il n’organise pas d’exercices réguliers à grande échelle simulant des attaques contre des entreprises alimentaires et agricoles, ne dispose pas d’un centre de surveillance 24 heures sur 24 et 7 jours sur 7 qui surveille en permanence l’infrastructure de ces entreprises (ainsi que des événements connexes tels que des conditions météorologiques extrêmes et des perturbations de la chaîne d’approvisionnement), et ne peut pas générer automatiquement des informations et des alertes en comparant les renseignements classifiés du gouvernement avec les données des capteurs à l’intérieur de cette infrastructure. “J’apprécie tout ce que Scott fait là-bas”, déclare Sachs. « C’est une très bonne chose. Mais ce n’est pas un ISAC.
Algeier dit que l’IT-ISAC a organisé des exercices axés sur le secteur de l’alimentation et de l’agriculture et que “les membres peuvent nous contacter 24 heures sur 24, 7 jours sur 7 si nécessaire”.
Mais le secteur a besoin de son propre ISAC qui peut “analyser la menace et fournir une véritable évaluation opérationnelle”, explique Brian Harrell, ancien directeur adjoint de la sécurité des infrastructures à la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis.
Pfluger déclare : “Beaucoup de gens avec qui j’ai parlé pensent qu’il doit y avoir un ISAC dédié.”
Les entreprises ont également besoin de plus de soutien de la part du gouvernement fédéral.
Le département américain de l’Agriculture, l’agence de gestion des risques du secteur de l’industrie, est « significativement moins efficace » que les autres SRMA, dit Montgomery. L’USDA n’a même pas de financement dédié pour son soutien à la sécurité, qui comprend des réunions sectorielles semestrielles, des bulletins hebdomadaires sur les menaces et des assemblées publiques occasionnelles.