Cybersécurité: l’enjeu industriel de 2018?

A l’ère de l’industrie 4.0 et de l’hyperconnection des objets, la cybersécurité des systèmes industriels est devenue une vraie préoccupation pour de nombreuses entreprises. Les dirigeants sont souvent peu préparés et désarmés face à ce nouveau phénomène. Les systèmes industriels utilisent aujourd’hui abondamment les technologies de l’information alors qu’ils n’ont pas été conçus pour faire face aux menaces qu’elles introduisent. Par conséquence, le nombre de failles sur les ICS ne cesse d’augmenter. Pour réussir sa transformation numérique, quelle approche de cybersécurité faut-il adopter et quelles mesures sont à implémenter pour lutter contre les vulnérabilités fréquemment rencontrées ? Autant d’interrogations auxquelles Cybelius va tenter de répondre dans cet article.

Les types de systèmes industriels

Les systèmes industriels présentent des spécificités propres aux contextes dans lesquels ils sont utilisés. Ils se différencient des systèmes d’information par le fait qu’ils pilotent et contrôlent des installations physiques; certains assurent en outre des fonctions de protection des biens et des personnes ou de l’environnement. Trois types de systèmes industriels peuvent être différenciés : les ICS (Industrial Control Systems) , la GTB (Gestion Technique du Bâtiment) et les SmartSystems.

Les ICS sont présents partout dans notre environnement : station de métro, usines de productions de biens et d’équipements mais aussi sur les réseaux de transports d’énergie (électricité, pétrole…) ou encore dans les stations d’assainissement d’eau.

La GTB, cousin des ICS, supervisent et contrôlent les automatismes d’un bâtiment ou d’une installation industrielle comme la ventilation, le contrôle d’accès, les dispositifs incendie et le conditionnement d’air. Ce type de systèmes utilise les mêmes technologies que les ICS. Ils sont souvent clés pour une infrastructure et il parait important de s’assurer de leur bon fonctionnement. En effet une attaque sur le système de vidéo-surveillance ou du contrôle d’accès peut permettre à un attaquant de rentrer librement sur un site critique, par exemple. 

Quand aux SmartSystems, ils sont récemment apparus et leurs systèmes industriels s’étendent à toute une ville, une région ou un pays. Aujourd’hui, tous les 3 sont concernés par une problématique commune : la cybersécurité. Il est devenu nécessaire pour les industriels de sécuriser leurs installations afin d’éviter tout incident majeur comme l’arrêt de production tant redouté.

Alors que les ICS et GTB n’ont pas intégré l’aspect cybersécurité dès leur conception, les SmartSystems sont nés avec et tous doivent faire face à cette nouvelle problématique.

Plus que jamais vulnérables !

Autrefois cloisonnés, les systèmes industriels sont aujourd’hui fortement informatisés et interconnectés avec les différents systèmes d’information, voire même avec Internet. À ce titre, ils sont désormais exposés aux mêmes menaces, avec des conséquences potentiellement plus graves, selon le niveau de criticité de la structure.

Les cyberattaques sont l’œuvre d’une large palette d’acteurs, de l’individu isolé au groupe organisé, aux motivations multiples. Leur portée financière ne s’arrête pas au remplacement de matériels informatiques ou au renforcement des systèmes de sécurité. Le risque peut être matériel, avec des installations qui peuvent être physiquement endommagées. La crédibilité de l’entreprise victime peut également être remise en cause par la divulgation de données, la défiguration des sites, la prise en main des systèmes d’information ou le blocage des systèmes de production. Les attaques ont généralement pour objectif de nuire à l’image de leur cible, la paralyser ou la rançonner. Outre l’aspect financier et matériel, le risque peut également être humain : une attaque peut tout à fait mettre en danger la vie des personnes qui exploitent le site, les clients ou les usagers (plus d’infos sur les risques cyber IT/OT). 

Les exemples de menaces ne manquent pas et viennent régulièrement mettre en avant la faiblesse des systèmes non protégés et la grande vulnérabilité de nombreux acteurs de l’énergie, du transport ou de la production de biens etc. Dans ce contexte, le cyber-terrorisme peut porter atteinte non seulement à la production mais aussi à l’image des industriels. Par ailleurs, les contraintes opérationnelles réduisent les possibilités de mise à jour des systèmes industriels.

L’ouverture sur le monde numérique et l’adoption massive des technologies issues de l’Internet entraînent l’apparition de menaces inédites qui visent principalement à arrêter, perturber, voire détruire l’outil industriel. Les réseaux sans fil, par exemple, semblent utiliser des protocoles dont le niveau de sécurité dit « fiable » s’avérerait finalement faible (la récente faille découverte dans le WPA2 en témoigne). Même si les VPN sont gage de sécurité, les mauvaises implémentations et pratiques liées à la télémaintenance entraînent aussi des risques cyber (gestion des mots de passes, clés USB, système d’exploitation qui n’est pas mis à jour…). Par ailleurs, les incidents liés à des systèmes industriels connectés à Internet et qui laissent la porte grande ouverte aux attaques ne sont pas négligeables.

De plus, les consoles de programmation et de maintenance des automates, souvent utilisées et connectés sur une installation puis sur une autre peuvent s’avérer être un véritable risque de propagation d’une menace. Enfin, attention au danger pouvant provenir des équipementiers ou intégrateurs. Les solutions proposées à leurs clients peuvent aussi être critiques « by design » avec des logiciels corrompus dès le développement ou des installations livrées avec des failles.

Alors dans ce contexte de risque, sûreté de fonctionnement et cybersécurité doivent s’allier pour contrer ces nouvelles menaces! Longtemps cloisonnés, ces 2 aspects de la sécurité de l’ICS doivent être traités ensemble.

Ainsi, pour une vraie sécurité du SI il faudrait adapter les mesures de cybersécurité développées pour les systèmes de gestion aux impératifs de sûreté et de continuité de fonctionnement des systèmes industriels de type SCADA. Chez Cybelius, dans le cadre des études que nous proposons, nous avons mis en place une analyse de risque qui permet de fédérer en une seule méthode les analyses de risques d’un projet d’informatique industriel: sûreté de fonctionnement, cybersécurité, voire sûreté physique ou malveillance : la méthode APERO (Analyse Pour l’Evaluation des Risques Opérationnel).

Quelle stratégie adopter et comment se protéger face aux cyberattaques ?

Méconnaissance ? Fantasmes ? Mythes ? Plusieurs idées reçues persistent chez les industriels, les exposant dangereusement. Ainsi penser que l’on est protégé car ses réseaux industriels sont isolés ou être convaincu que son pare-feu règle tous les problèmes de hacking ou enfin s’imaginer que son installation industrielle ne constitue pas une cible potentielle, sont autant de fausses idées qui vont contribuer à un mauvais pilotage de la cyber-sécurité de ses systèmes.

Pour contrer avec succès les attaques, les systèmes de sécurité doivent répondre à des exigences spécifiques. S’il est vrai que les barrières physiques constituent d’importants premiers remparts de défense, une protection doit également être mise en œuvre à l’intérieur même des installations, dans les systèmes et équipements vulnérables et pouvant être ciblés.

Lorsqu’il s’agit de sécurité, il faut être organisé. En effet, les attaquants n’ont besoin que d’une unique faille pour réussir mais les défenseurs doivent veiller à fermer toutes les entrées possibles. Plusieurs pistes peuvent alors être envisagées: concertation, prévention, pédagogie, mutualisation des compétences, partage d’informations, planification ou encore analyse de risques.

Toutefois, à chaque système sa stratégie et son mode opératoire. Les normes et guides de cybersécurité industrielle doivent être appropriés et adaptés aux besoins de la structure.

L’analyse de risques est souvent la première étape d’une démarche de cyber-sécurité, permettant de hiérarchiser les besoins et de savoir où mettre son premier Euro pour garantir une amélioration continue de la sécurité. On parle ici de cybersécurité « intelligente ». Le but est de procéder à un état des lieux, de détecter les failles et vulnérabilités des systèmes industriels et de choisir la solution la plus efficace. Le choix éclairé des solutions déployées sera bien évidemment lié à l’importance du système à protéger.

Souvent perçue comme une contrainte et un centre de coût, la cybersécurité, stratégiquement implantée, peut représenter un facteur de performance industrielle. Ainsi, l’application de bonnes pratiques et de règles d’hygiène (contrôle d’accès physique, cloisonnement des réseaux, intégrité et authenticité des applications installées…) engendrent une plus grande rigueur, robustesse et productivité des installations.

Enfin, malgré toutes ces mesures de protection, un incident peut se produire ! La sécurité absolue et le risque 0 n’existent pas. Il faut donc être prêt et pour cela augmenter la résilience de son appareil de production (retour à l’état initial). Être cyber résilient se définit comme la capacité à identifier, prévenir, détecter et répondre aux défaillances technologiques ou de process et à se rétablir en réduisant au minimum les impacts négatifs pour ses clients, les préjudices en matière de réputation et les pertes financières. La détection des risques cyber est donc une activité fondamentale. Dans ce sens, Cybelius à mis en oeuvre une solution capable de cartographier les équipements et les flux des installations et de détecter les cyber-attaques et dérives du process industriel (plus de détails ici).

L’économie numérique a engendré son double maléfique, le monde sombre de la cyber criminalité. Les attaques se suivent. Et vont continuer. La révolution digitale que connaissent les systèmes industriels ne s’installe pas sans de nouveaux risques !

La cybersécurité est devenue une préoccupation majeure pour les entreprises qui s’appuient sur les nouvelles technologies pour assurer la gestion de leurs systèmes. Protéger les infrastructures critiques et les appareils de production n’est plus une option. Identifier en permanence les menaces, comprendre les faiblesses, se mettre en situation de réagir pour diminuer les dommages causés, puis organiser la riposte sont autant de techniques éprouvées dans l’histoire qui doivent aujourd’hui se déployer dans l’univers numérique.

Il ne faut donc plus considérer la sécurité comme une activité marginale car elle s’insère désormais au cœur de la conception des systèmes et doit être présente dans chacun des usages. Fournisseurs, intégrateurs, acheteurs et utilisateurs ont tous leur part de responsabilités. Enfin, les futurs réseaux « intelligents » ne pourront livrer leurs promesses qu’au prix d’une sécurité sans aucune faille.