Comment investir votre premier euro en cybersécurité industrielle ?

Wanacry et NotPetya ont réalisé ce que les experts avaient du mal à faire : propulser les questions de cybersécurité à la table de la direction générale des entreprises et éveiller les consciences. Les récentes cyberattaques ont déjà coûté aux entreprises touchées entre 100 et 300 millions de dollars. Des chiffres qui incitent le top management à investir maintenant leurs premiers euros dans la cybersécurité de leurs systèmes industriels. Une fois les volontés réunis, se pose alors les questions suivantes : quel niveau de sécurité mon entreprise a-t-elle besoin ? Quelles sont les priorités ? Comment estimer les vulnérabilités des SI industriels ? Comment rentabiliser au maximum son investissement dans la cybersécurité ? Dans cet article, Cybelius vous propose une démarche et des réponses pragmatiques afin de mieux maitriser le risque cyber.

Maintenez votre sécurité dans le temps !

Toute entreprise cherche à pérenniser et à maintenir les performances de ses systèmes industriels. C’est ce que l’on appelle le MCO (Maintien en Condition Opérationnelle). Il s’agit de garantir à moyen ou long terme la disponibilité et la durée de vie de ses équipements. Une stratégie de pérennisation est indispensable car renouveler tout ou parti d’une installation, qui a déjà nécessité un lourd investissement à l’acquisition, coûte cher. Les industriels veulent aussi augmenter au maximum le ROI et conserver l’homogénéité de leurs installations. Se pose alors la question de la conservation des propriétés sécuritaires des réseaux dans le temps. On parle alors de MCS (Maintien en Condition de Sécurité).

Les récents exemples de cyberattaques nous prouvent que ce sont les anciens systèmes et les anciennes configurations qui sont les plus vulnérables et les plus ciblés. L’objectif du MCS est alors de collecter, agréger et synthétiser les informations traitant des évolutions de la menace et des vulnérabilités. Une bonne stratégie de MCS permettra de conserver un niveau de sécurité constant, adapté à l’évolution de la menace, ainsi qu’un suivi et une prise en compte des correctifs de sécurité.

Le MCS est donc une stratégie indispensable à des projets critiques. Par ailleurs, il est complémentaire au MCO. A terme, tous les industriels devront intégrer le MCS au MCO pour protéger leurs réseaux de cyberattaques. Si aujourd’hui le MCO est de l’ordre de 7 à 15% de la valeur des SI industriels, associer MCO et MCS est une étape cruciale qui ne coûte pas plus cher aux entreprises (entre 10 à 12%).

Toutefois, le MCS nécessite une expertise dans l’assistance au déploiement de correctifs de sécurité, dans l’application de mesures de sécurité et dans le traitement des incidents de sécurité. Pour se faire, un investissement initial est nécessaire afin de connaitre les vulnérabilités de son système industriel et de mettre en œuvre les mesures organisationnelles et matérielles. Cybelius vous propose deux démarches pour mieux maitriser la menace cyber et appréhender les coûts d’une sécurité efficace et maîtrisée.

Une démarche cyber « en profondeur »

Une démarche cyber globale se traduit d’abord par l’élaboration d’une PSSI (politique de sécurisation des systèmes d’information) qui définit les objectifs à atteindre, les acteurs associés ainsi que les moyens accordés au budget de cybersécurité. Il s’agit de mettre par écrit des règles et procédures pour son usine (droits d’accès, plan de réponse à un incident, procédures de restauration etc.). En France, depuis 2013, seuls les OIV (opérateurs d’importance vitale) sont contraints par la Loi de Programmation Militaire d’établir ces règles mais cette politique devrait s’étendre progressivement à l’ensemble de l’industrie. Au préalable, un engagement de la direction et une sensibilisation du personnel aux éventuelles attaques sont impératifs. En effet, l’initiative d’un projet de cybersécurité industrielle ne peut être envisagée sans qu’il y ait en amont une réelle prise de conscience de la part des dirigeants. On rappelle également qu’une stratégie globale de cybersécurité est le résultat d’un travail collectif.

Une fois le budget défini, on procède à l’identification de l’existant. Une cartographie du SI industriel (réseaux et équipements, matrice de flux, inventaires des applications, administration du système) permet de déterminer un périmètre, faciliter le traitement des incidents de sécurité et remonter les attaques. Il est recommandé de revoir la cartographie chaque année. On identifie également les logiciels et progiciels qui sont évolutifs. Enfin, on crée les rôles et droits des différents utilisateurs du SI. 

Ensuite, il faut procéder à une analyse de risques. Plusieurs méthodes sont déjà utilisées comme EBIOS ou encore MEHARI. Il s’agit d’identifier les process critiques, les vulnérabilités et menaces ou encore la pertinence et mise à jour des composants. Il faut savoir si ces systèmes sont sensibles en termes de sécurité des biens, des personnes ou de propriété industrielle. A partir de l’analyse de risque, on peut définir une cible de sécurité pour savoir ce que l’on veut protéger au sein de son entreprise et allouer les ressources nécessaires. Lorsque les risques sont tolérés, on parle de risques résiduels (faible impact/probabilité que le risque soit dangereux pour le SI – cf schéma ci-dessous).

Pour satisfaire les critères fondamentaux de la sécurité, il est nécessaire de mettre en place des mesures de sécurité appropriées. Après avoir identifié ce que l’on veut protéger, on définit comment les protéger. On parle ici de mesures organisationnelles et techniques.

Les mesures organisationnelles englobent : la connaissance de son SI industriel, la formation et sensibilisation du personnel (charte de bonne conduite par exemple), l’intégration de la cybersécurité dès la phase de conception (« by design »), la corrélation de la sécurité physique des locaux avec le contrôle d’accès ou encore la réaction en cas d’incident en lien avec les autorités.

Lorsqu’on parle de mesures techniques, il s’agit plutôt : de définir les rôles et droits des administrateurs et utilisateurs du SI, les authentifier, de cloisonner le système (et ainsi éviter la propagation d’un virus), de sécuriser les protocoles et équipements, de journaliser les événements (permettre une détection facilitée donc une intervention rapide) ou encore d’installer des équipements qui assurent la sécurité du SI, comme par exemple des firewalls, des zones démilitarisées ou des outils de détection d’intrusions (découvrez CyPRES, notre sonde de détection).

En entreprenant une démarche globale, combinée à une multiplication des couches de défense, les industriels qui souhaitent relever le défi de l’industrie 4.0 protègent ainsi leurs réseaux des menaces et failles de sécurité, augmentent la résolution des incidents, réduisent les temps d’interruption et évitent les pertes financières.

La mise en place d’une telle stratégie et le déploiement de solutions adaptées au système industriel critique s’échelonnent en général sur une année et nécessitent un engagement financier à la hauteur de 10% de la valeur du système industriel (cf schéma ci-dessous).

Une démarche cyber « pragmatique »

Une autre stratégie, plus rapide d’implémentation (sur une période de 2 à 4 mois) et moins onéreuse est également envisageable pour une première étude cyber. Cette démarche permet un premier niveau de sécurisation, à un budget optimisé, pour une meilleure acceptation de la direction générale. Cette démarche dite pragmatique a le mérite de sécuriser les vulnérabilités majeures du système d’information qui peuvent mettre en péril le bon fonctionnement du process.

Voici les 4 étapes à respecter.

Inventaire

La première étape relève d’un diagnostic du SI. Tout projet sécurité doit intégrer un inventaire des biens et leur degré d’ouverture sur l’extérieur pour estimer le niveau d’exposition. Au-delà de la connaissance des composants du SI, l’inventaire permettra d’apprécier l’impact d’une compromission, de faciliter le traitement des incidents de sécurité et de déterminer les mesures de protection applicables. Notons que Cybelius dispose d’une solution de détection de cyberattaques : CyPRES, qui permet notamment d’établir cet inventaire de manière automatisée et rapide.

Analyse de risques

Après avoir fait un état des lieux des systèmes industriels, on procède à une analyse de risques. Dans cette démarche d’identification des vulnérabilités essentielles du SI, Cybelius a mis au point sa propre méthode, APERO (Analyse Pour l’Evaluation des Risques Opérationnels) qui allie cybersécurité et sûreté de fonctionnement. APERO permet de dégager, à tous les stades d’un projet, les points de sécurité qui méritent une analyse particulière et d’avoir très rapidement une vision stable et précise des risques et vulnérabilités de l’infrastructure, selon des métriques définies. Elle se base sur des critères fondamentaux de disponibilité, intégrité, confidentialité, traçabilité, parfois même d’imputabilité. Dans cette analyse, nous différencions les biens essentiels (informations et processus) des biens supports (composants et sous-systèmes).

Déploiement d’une solution technique

Peu de produits de cybersécurité sur le marché sont conçus pour le contexte particulier des industries. Afin de répondre à cette spécificité, Cybelius, spécialisée dans l’informatique industrielle, a développé des solutions de cybersécurité adaptées à l’univers des technologies opérationnelles.

Aujourd’hui, il est indispensable d’isoler son réseau SCADA du réseau bureautique ainsi que des réseaux tiers. Pour ce faire, les industriels doivent implémenter un firewall qui filtre les échanges entre les réseaux et qui sécurise les connections distantes.

Cybelius a ainsi mis au point CyFENCE, une DMZ qui permet de segmenter une architecture SCADA et sécuriser les échanges entre IT et OT. Elle garantit un cloisonnement strict et propose jusqu’à 10 services permettant la sécurisation des échanges et la remise en condition opérationnelle d’un système. Cette DMZ a été conçu au regard des normes et mesures du domaine dont notamment la norme IEC 62443 et les guides de l’ANSSI).

Pour empêcher un virus d’atteindre les systèmes, il faut marquer une rupture dans son parcours numérique. Avec CyFENCE, la contamination provenant d’un réseau tiers est ainsi bloquée, évitant sa propagation sur le SI industriel. Cette approche de cybersécurité permet un échange de données saines. La DMZ peut être implémentée facilement, sans perturber la vie de l’usine et permet une vraie défense en profondeur.

Mise en place et formation d’une équipe cyber

L’investissement dans la sécurité des infrastructures ne suffit pas. Pour être optimisée, la démarche de sécurisation du système industriel doit s’accompagner d’une formation (théorique et pratique ) à la cybersécurité, adaptée à l’environnement industriel. L’objectif est double. Il permet de pérenniser les investissements et les mesures mises en œuvre et d’autre part de s’assurer que les équipes informatique et automatisme parlent le même langage. IT, OT et experts cyber doivent collaborer (retrouver d’ailleurs notre article sur ce sujet).

Aujourd’hui, les cybercriminels se sont perfectionnés et appréhendent de mieux en mieux les systèmes industriels et la manière de les corrompre.

Autrefois clos, les réseaux OT sont désormais plus ouverts et plus vulnérables avec l’arrivée de l’IoT et l’industrie 4.0. Ces réseaux doivent impérativement être protégés pour éviter les conséquences socio-économiques d’une cyberattaque.

Des solutions existent et elles passent souvent par une meilleure connaissance de son propre système, des éléments à protéger et des risques. Que la démarche soit globale ou optimisée, Cybelius vous accompagne dans l’implémentation de votre stratégie cyber et dans le déploiement de solutions adaptées aux besoins de vos infrastructures.