En quoi les cyber-attaques peuvent-elles impacter les risques professionnels ? Cela tient principalement à la corruption possible des mesures de protection mises en œuvre sur les machines lorsque ces mesures utilisent des systèmes électroniques programmables. Le risque cyber peut également se traduire par l’arrêt inopiné d’un processus de fabrication, avec déversement d’une matière dangereuse par exemple, ou bien encore par son démarrage inattendu. Dans ces deux cas, les conséquences pour les salariés peuvent être graves. Sans compter les risques indirects liés aux interventions de maintenance nécessaires pour remettre en service ces machines. Jusqu’ici, aucun salarié n’a été victime d’un accident suite à une attaque informatique, mais le risque existe et il est peu pris en compte par les entreprises et les fabricants de machines.
Pourquoi ce risque associé aux cyber-attaques n’est-il pas pris en compte dans la prévention des risques professionnels liés aux machines ? Jusqu’alors, les systèmes industriels étaient relativement épargnés par les cyber-attaques. Aujourd’hui, la réalité est tout autre. Nous sommes entrés dans l’ère de l’industrie du futur, où les machines-outils, lignes d’assemblage, presses, machines d’emballage et autres machines sont de plus en plus connectées aux réseaux numériques ouverts. En France, l’Agence nationale de la sécurité des systèmes d’information (Anssi) constate une recrudescence d’intrusions numériques qui se traduisent par des attaques de plus en plus sophistiquées.
En 2021, des cyberattaquants ont pris brièvement le contrôle à distance d’un système industriel en charge du traitement des eaux aux Etats-Unis. La même année, plusieurs usines agroalimentaires du brésilien JBS ont été fermées pendant deux jours suite à une attaque par rançongiciel. Les entreprises sont de plus en plus exposées mais elles n’ont pas encore pris la mesure du phénomène du point de vue des conséquences potentielles sur la santé et la sécurité des salariés.
L’objectif de l’étude lancée par l’INRS est de recueillir des informations sur les pratiques des entreprises en matière de cybersécurité autour des machines industrielles et leur connectivité numérique. Elle permettra de préciser les usages numériques des machines dans les entreprises, leurs pratiques en matière de cybersécurité et leur perception sur le risque de cyberattaque et de ses conséquences sur les machines et les travailleurs.
À terme, ces informations aideront à construire une méthode d’analyse de « risque cyber » pour les machines, à des fins de prévention des risques professionnels. Trois questionnaires sont proposés, en fonction du profil professionnel : production, pour le personnel affecté sur la machine ou sa hiérarchie, ou toute personne en charge de la production ; maintenance-travaux neufs pour les opérateurs ou responsables de service maintenance ; et informatique, pour les personnes du service informatique pouvant intervenir directement ou à distance sur les machines industrielles.
Le temps de remplissage d’un questionnaire est estimé à 15 min environ. Pour participer à l’étude, rendez-vous sur ce lien.
