Aux États-Unis, une récente enquête de l’administration américaine a montré que les nouvelles technologies exposaient le secteur agricole à de nouvelles menaces, contre lesquelles il était souvent mal protégé, et dont il prend encore mal la mesure. Dans leur rapport, trois services fédéraux, l’USDA (agriculture), le FBI et le DHS (renseignement) ainsi que des représentants du secteur agricole privé, présentent les principales vulnérabilités de l’agriculture, et des scénarios d’attaques, dont certains basés sur des évènements réels. En France, il faut ajouter à cette liste la menace de l’extraterritorialité de la réglementation américaine sur le numérique, face à laquelle des acteurs français comme Thales ou Dassault se positionnent aujourd’hui pour proposer des services dits souverains.
Au chapitre de la gestion des risques, devra-t-on bientôt ajouter aux politiques agricoles une section consacrée à la cybersécurité ? L’hypothèse n’est pas complètement farfelue, à en croire la récente enquête réalisée aux États-Unis par trois services fédéraux, l’USDA (agriculture), le FBI et le DHS (renseignement) ainsi que des représentants du secteur agricole privé, publiée fin 2018. La première conclusion des auteurs n’est en soi pas surprenante (voir encadré) : « L’adoption des technologies avancées d’agriculture de précision et des outils de gestion des informations agricoles introduit de nouvelles vulnérabilités dans le secteur ». Mais ils ajoutent ceci d’important : ces menaces « ne sont souvent pas complètement comprises ou pas traitées assez sérieusement » dans le secteur. Il y aurait donc matière à s’inquiéter.
L’autre apport de cette enquête, c’est qu’elle détaille les principales vulnérabilités de l’agriculture, les points d’entrée d’éventuelles attaques de type cyber- (outils d’aide à la décision, smartphones, objets connectés…). Et il explore plusieurs scénarios critiques, dont certains – il n’est pas précisé lesquels – sont basés sur des évènements qui ont déjà eu lieu dans le secteur agricole. Toutefois, le plus souvent, ces scénarios sont établis par analogie avec des évènements célèbres ayant eu lieu dans d’autres secteurs : l’attaque de l’entreprise Sony Pictures en 2014 – et la divulgation massive d’informations personnelles de ses employés (dont leurs salaires) qui s’en est suivie – ou bien la prise de contrôle à distance d’un Jeep Cherokee en 2015.
La fausse alerte sanitaire
Du point de vue américain, la menace la plus importante est celle d’une « falsification intentionnelle de données qui pourrait perturber le secteur animal ou végétal », autrement dit : une fausse alerte sanitaire. Les auteurs imaginent qu’un acteur mal intentionné pourrait dérober des données de type sanitaire (tels des tests d’animaux à la fièvre aphteuse ou à la grippe aviaire, des tests de présence d’OGM dans une cargaison de blé), les falsifier (résultat, date, lieu…) et les rendre publiques. Une telle annonce détournerait le consommateur du pays concerné ou l’importateur du produit en question pendant une longue période. « Cela pourrait prendre des semaines pour confirmer en laboratoire ou en champ que ces informations étaient fausses », estiment les auteurs.
D’autres potentiels usages malveillants ont été identifiés par les auteurs. Ainsi, une tentative de déstabilisation d’entreprise par « publications intentionnelles d’informations confidentielles d’un fournisseur ». Le rapport reprend l’exemple de l’attaque de Sony Pictures, et imagine que des données de prix d’achat des agriculteurs puissent être publiées, et causer une perte de confiance des agriculteurs. « Une attaque de type Sony pourrait créer une perte financière et d’image significative à une coopérative et potentiellement à ses centaines/milliers de membres, car la coopérative agricole est construite sur un modèle explicite d’égalité de ses membres », constatent les auteurs.
Ces données pourraient également être vendues pour être utilisées contre les agriculteurs sur le marché des commodités. Au cours de leur enquête, les auteurs du rapport ont d’ailleurs rencontré une entreprise affirmant « avoir été approchée pour l’achat de données qui auraient été revendues sous la table à des courtiers et des hedge funds ».
La manipulation de capteurs
Autre menace importante, celle d’une manipulation des données envoyées aux capteurs ; les auteurs s’inquiètent notamment pour un certain nombre d’opérations critiques dont le déclenchement devient de plus en plus automatisé sur la base de données de capteurs : l’irrigation des cultures, la régulation de la température dans les élevages hors sol, la détection automatique des chaleurs en élevage bovin, ou la traite robotisée. Ces systèmes automatisés sont-ils bien sécurisés ? Nourris par de mauvaises informations, ils pourraient mettre en péril une production.
En France, la société de cybersécurité Kereval, qui travaille déjà pour des fabricants de machines agricoles depuis quelques années, note pour l’instant un vrai déséquilibre : « Dans l’agricole, le personnel est très majoritairement spécialisé en mécanique, un peu en électronique, mais très peu en informatique », constate Yannick Guyomarch, ingénieur projet chez Kereval. À l’inverse, du côté des hackers, « le niveau peut être très élevé ; ils ont des connaissances en électronique et en informatique, ce qui leur permettra d’accéder directement aux composants électroniques qui s’échangent entre eux des informations, parfois de manière non-sécurisée ».
« Les constructeurs agricoles doivent prendre conscience du problème, estime Yannick Guyomarch. Par exemple, c’est bien beau d’avoir une application sans fil sur son smartphone, mais il devient difficile de garantir que personne ne peut s’insérer entre votre téléphone et la carte réceptrice. En travaillant avec un machiniste, nous leur avons montré que nous étions capables d’intercepter à la volée les données échangées entre un ipad et un module Isobus d'outil. Et les préconisations que nous leur avons faites leur ont permis de corriger le problème."
L’attaque « Sony » contre une coopérative
Un objet connecté inquiète particulièrement les Américains : les drones, qui sont en grande majorité fabriqués en Chine. Ceux-ci pourraient être soudainement mis hors service, ou utilisés à des fins de renseignement, peut-on lire dans le rapport. « Un gouvernement étranger pouvant agréger d’importantes informations agricoles est une menace potentielle », écrivent les auteurs, qui imagent que ces informations pourraient par exemple être « utiles durant des négociations commerciales ».
Autre point d’entrée, les outils d’aide à la décision (OAD), dont le nombre a explosé ces dernières années. Les Américains estiment que le « vol intentionnel des données collectées » par l’intermédiaire de ces logiciels est la menace de cybersécurité qui a le plus de chances de se réaliser dans le secteur agricole.
Enfin, l’une des autres grandes inquiétudes des Américains porte sur l’accessibilité des données, qui dépendent du bon fonctionnement de nombreux réseaux. Les auteurs s’inquiètent que des données GPS, ou de positionnement RTK, soient rendues indisponibles (par malveillance, ou évènement climatique) lors d’une période critique (moisson, semis, épandage de phytos…), dont la durée n’excède parfois pas quelques heures. « En identifiant une vulnérabilité sur une partie d’un équipement ou un patch vulnérable », un acteur malveillant pourrait bloquer des centaines de machines, estiment les auteurs du rapport.
Restez au courant en temps réel !
Suivez des thématiques, des projets législatifs, des entreprises et des personnalités pour être notifié dès que nous publions un article.
Les années à venir nous diront s’il s’agit seulement du scénario d’un film de serie B.
Ces menaces « ne sont souvent pas complètement comprises ou pas traitées assez sérieusement »
« Une attaque de type Sony pourrait créer une perte financière et d’image significative à une coopérative
« Dans l’agricole, le personnel est très majoritairement spécialisé en mécanique, mais très peu en informatique »
Les drones sont en grande majorité fabriqués en Chine, s’inquiètent les Américains
L’agriculture en retard sur la cyber-sécurité
Selon les experts français interrogés, le monde agricole a pris, dans le domaine de la cybersécurité, un temps de retard sur l’industrie, qui elle-même était à la traine derrière le secteur high-tech. D’abord parce que la taille du marché de l’équipement et des services agricoles reste modeste, explique-t-on. « Le monde agricole est encore hétérogène et dispersé, il est beaucoup moins concentré que l’automobile ou l’aéronautique, explique Sébastien Picardat, directeur d’Api-Agro, plateforme de partage et de diffusions de données et services agricoles. Mais aussi parce que, dans le secteur du machinisme, la technologie est encore essentiellement mécanique. « Les tractoristes vont être un peu mieux lotis, mais il y a beaucoup de travail chez les fabricants d’outils », estime Yannick Guyomarch, ingénieur projet chez Kereval. Pour lui, « le secteur agricole doit utiliser ce qui a été fait depuis une dizaine d’années dans l’automobile, et qui s’accélère depuis l’exemple médiatisé de hacking de la Jeep Cherokee en 2015. »
Cybersécurité : le leader Thales s’intéresse au secteur agricole
Le groupe Thales, qui se pose en leader européen de la cybersécurité, s’intéresse de plus en plus près au secteur agricole. « L’intérêt de Thalès pour l’agriculture repose sur trois phénomènes, explique Stanislas de Maupeou, directeur stratégie pour la cybersécurité chez Thalès : le développement de l’internet des objets en agriculture ; notre implication dans la sécurisation des voitures connectées – nous réalisons des tests d’intrusion pour de grands constructeurs –, qui peut concerner également les tracteurs connectés ; et notre accompagnement des grands comptes dans la sécurisation de leur transformation numérique, et notamment avec nos capacités de big analytics. » À côté de Thales et d’autres grands groupes, comme Dassault ou Orange, de plus petits opérateurs s’intéressent au secteur agricole. Dans le secteur du machinisme, la société Kereval travaille depuis quelques années avec certains constructeurs en France. Elle transpose en agriculture une expérience acquise elle aussi dans le secteur automobile. Des sociétés spécialisées dans le conseil comme Acceis ou dans les logiciels comme Isagri proposent également leurs services aux coopératives, pour sécuriser leur stockage ou flux de données.
En France, cinq opérateurs de l’alimentation classés « d’importance vitale »
La France tient une liste, tenue secrète de 246 opérateurs d’importance vitale (OIV) qui « exploitent ou utilisent des installations indispensables à la vie de la Nation ». Parmi ces opérateurs, cinq font partie du secteur de l’alimentation, selon le secrétariat général de la défense et de la sécurité nationale. L’alimentation figure d’ailleurs parmi 12 secteurs jugés d’importance vitale pour le pays. Ces cinq opérateurs ont des obligations de défense renforcée, auxquelles la loi de programmation militaire de 2013 a ajouté de nouvelles concernant la cybersécurité.
Les assureurs développent une offre de cyber-assurance
Face au développement du risque lié à la cybersécurité, les assureurs ont adapté leur offre, y compris pour le secteur agricole. Depuis mai 2017, Groupama a lancé une offre cyber assurance à destination des professionnels dont les agriculteurs. Elle comprend trois niveaux : une « assistance à la gestion de crise » (intervention d’experts informatiques, de consultants juridiques, d’un community manager) ; une couverture sur les dommages directs (reconstitution et de ré-installation de la base clients…), une couverture en responsabilité civile (frais de défense et conséquences pécuniaires liées aux réclamations des clients).