Cybersécurité des installations industrielles : Quelles approches et techniques pour une protection pérenne ?

Elle offre ici quelques réponses concrètes aux problématiques principales de l’industrie. Analyse du marché, menaces principales, objets connectés, interconnexion des équipements, étapes de sécurisation des usines, gestion des flux et des patchs… ce sont ces sujets qui termineront donc notre série, dans un esprit de solution. Car si nous avons mis en lumière le retard pris par le secteur industriel, une chose est sûre : celui-ci est rattrapable, comme l’explique Aïcha.

Aïcha Mir : Les menaces auxquelles font face les industriels sont les mêmes que celles des autres secteurs. Il y a évidemment des exceptions, surtout dans le cadre d’attaques d’origine étatique comme celle du virus Stuxnet en 2010, qui ciblait les automates contrôlant les centrifugeuses des centrales nucléaires de Natanz et Bouchehr (Iran). Nous pouvons également citer le malware TRISIS, qui, en 2017, infectait les automates de sécurité de la gamme Triconex du constructeur Schneider Electric.

A titre d’illustrations, nous pouvons ainsi citer le ransomware Wannacry, qui, en 2017, a contaminé plusieurs centaines de milliers de postes informatiques dans près de 150 pays, mais aussi NotPetya, une attaque de type « wiper » apparaissant sous la forme d’un rançongiciel (apparue un mois après WannaCry). Ces deux cyberattaques ne ciblaient pas spécifiquement l’industrie mais l’absence de protection périmétrique des SI industriels, couplée à la présence d’installations vieillissantes, font que ces systèmes en ont particulièrement souffert.

Il faut ainsi casser le mythe du « air gap » selon lequel les SI industriels seraient isolés et immunisés contre les cyberattaques. L’évolution des technologies et l’adoption de plus en plus unanime des protocoles TCP/IP font que les SI industriels sont de plus en plus interconnectés. Cette fausse conception fragilise tout un secteur, dont les impacts peuvent peser sur la sécurité de la nation et la pérennité des entreprises. Ce n’est pas pour rien, si parmi presque 250 opérateurs d’importance vitale (OIV) désignés par l’Etat, et étant tenus à des réglementations strictes en matière de cybersécurité, nombreux sont ceux qui évoluent dans le secteur industriel.

Aïcha Mir : Les secteurs industriels touchés par des réglementations lourdes sont de loin ceux qui sont le plus préparés aux cyberattaques. A contrario, le reste de l’industrie, tout domaine confondu, accuse un réel retard en termes de cybersécurité. Aujourd’hui, nous nous rendons compte qu’il existe deux éléments qui font particulièrement avancer les sociétés en termes de cybersécurité : être en conformité avec une réglementation nationale ou internationale et être victime d’une attaque.

Aïcha Mir : Contrairement aux systèmes informatiques d’une DSI qui manipulent des données, les SI présents dans une usine ont une incidence directe sur le monde physique. Pour cela, ils se reposent sur deux types de systèmes bien distincts :

• les cartes E/S et automates, permettant à la fois d’exécuter un ensemble d’opérations de manière séquentielle (en totale autonomie) et d’intégrer un processus mécanique dans un réseau de communication ;
• un système de contrôle et d’acquisition des données appelé SCADA, permettant comme son nom l’indique, de contrôler les équipements et les processus mais aussi de collecter des données en temps réel, même auprès de sites distants.

En plus de cette partie technique très spécifique, les usines souffrent d’une différence majeure : la vieillesse de leurs SI. La plupart des installations ont été mises en place pour durer entre vingt et cinquante ans, sans aucune préoccupation pour la cybersécurité. Elles ont par ailleurs été conçues à l’époque pour être isolées ; c’est d’ailleurs de là que vient le mythe du « air gap ».

Pour comprendre la complexité de la cybersécurité industrielle, il faut aussi se rappeler une chose : l’industrie se concentre sur la sûreté, des personnes comme des équipements, et non la sécurité au sens informatique. C’est pour cela que les SI industriels ont été construits de cette manière : ils ont pour objectif principal d’assurer la maitrise du processus industriel et en cas d’incident, il est de leur responsabilité de mettre la chaîne en arrêt de façon sécurisée.

Aïcha Mir : Dans certains cas, cette contrainte est réelle : certaines usines utilisent encore des systèmes d’exploitation ancien comme Windows XP (voire plus anciens), et il n’est pas possible de réaliser des mises à jour sur ce type d’installations devenues obsolètes. Cette problématique est particulièrement d’actualité avec la fin du support Microsoft pour Windows 7 d’ici moins d’un an, au 14 janvier 2020.

Pour ce qui est des systèmes de supervision des automates, nous sommes très précautionneux dans nos mises à jour. Il faut aussi noter que nous faisons face à une difficulté calendaire. Les fenêtres de maintenance ont seulement lieu une à deux fois par an. Ce sont les seuls moments où les chaînes de production s’arrêtent. Dans ce contexte, il nous faut choisir et prioriser les patchs les plus importants. Dans tous les cas, nous gardons toujours la même approche : tous les éléments que nous ne parvenons pas à mettre à jour, quelle qu’en soit la raison, nous essayons toujours de mettre en place d’autres mesures palliatives afin de protéger les équipements de l’usine.

Aïcha Mir : Toutes les usines peuvent mettre en place une première couche de cybersécurité qui relève de l’hygiène informatique de base : cloisonner les réseaux, mettre en place une stratégie de patch management efficace et gérer les droits d’accès, physiques comme logiques. De plus, la maîtrise des besoins d’accès à distance et des intervenants (généralement de TMA) représente aussi un réel enjeu pour les usines. Nous constatons que certains automates se retrouvent parfois directement reliés à internet et peuvent être contrôlés extrêmement facilement, même par un attaquant novice.

Une fois cette hygiène de sécurisation garantie, il faut étudier la particularité de chaque usine et des systèmes : analyser la manière dont les protocoles seront supportés ainsi que la façon dont les équipements vont se comporter face à des couches de sécurisation. Le plus pertinent, face à un retard aussi conséquent, demeure de fonctionner étape par étape. Et surtout, de ne pas oublier qu’une des premières briques dans cette stratégie est la sensibilisation. Quelle que soit l’approche utilisée, il faut rester dans une démarche de sécurisation des usines qui se veut pragmatique. Priorité à la production !

Aïcha Mir : Deux approches font loi. La première consiste à ne sécuriser que les nouveaux équipements et laisser les anciens tels qu’ils sont, le temps de les remplacer partiellement d’année en année. La seconde consiste à sécuriser les deux. Cependant, sur des systèmes trop vieux, nous sommes souvent limités. Dans ce cas, il faut tout de même aller chercher le niveau de sécurisation maximum possible : cela revient souvent à protéger l’accès physique et le réseau des équipements les plus critiques de la chaîne de production. Quand on ne peut rien modifier de façon intrinsèque au sein d’une machine, on se concentre alors sur sa périphérie.

Aïcha Mir : Au sein du SI industriel, la confidentialité des flux n’est pas une préoccupation majeure pour tous les secteurs. Le sujet reste celui de la disponibilité et de l’intégrité des flux, mais globalement il s’agit de réseaux plats, ou parfois segmentés logiquement en différentes zones, sans dispositifs de filtrage ou d’inspection des flux.

Pour ce qui concerne les interconnexions du SI industriel avec le monde extérieur, et notamment le SI de gestion, les dernières attaques nous ont démontré que les flux entre les deux mondes circulaient déjà librement et que les risques de rebond et de contamination sont bien réels. Par conséquent, la sécurité du SI industriel dépend de la maîtrise de ces points d’interconnexion et des flux autorisés dans les deux sens.

De plus, une autre composante se rajoute : celle des accès à distance souvent pour des besoins de TMA (constructeurs, prestataires…). Comme évoqué en début d’entretien, ces accès demeurent vraiment critiques. Certains partenaires ou prestataires ont parfois accès à l’entièreté du réseau industriel alors qu’ils n’en utilisent qu’une infime partie. Ce sont donc autant de connexions et de points d’entrée qu’il faut maîtriser tout en menant une réflexion pertinente sur le niveau d’accès de chacun.

Aïcha Mir : Le risque lié à la sous-traitance peut être géré de manière similaire au SI de gestion. De nombreuses pratiques de l’IT sont devenues des standards pour la plupart des entreprises et demeurent transposables aux usines. Cependant quelques points spécifiques restent à prendre en compte et constituent des freins pour l’adoption des bonnes pratiques : les postes des constructeurs et prestataires nécessitant des outils spécifiques. Aussi, la nécessité de faire évoluer les pratiques et les mentalités est cruciale. En plus du cadrage des opérations techniques et des intervenants, il faut commencer à s’inscrire dans une logique d’engagement contractuel du sous-traitant, une garantie d’assurance de sécurité.

Aïcha Mir : C’est une problématique réelle car on ne renouvelle pas un automate comme un serveur. Tant que le parc industriel ne sera pas complètement remplacé, il faudra composer avec les équipements en place et donc, dans un premier temps, protéger les équipements vieillissants pour minimiser les surfaces d’attaques.

Cependant, dans la sécurisation des futures usines, il faut penser la sécurité dès la conception de celles-ci, de manière à construire des usines nouvelles « security ready ».

Aïcha Mir : La sécurité des objets connectés n’est pas encore entrée dans les usages. Même si l’on entend beaucoup parler de « security by design », c’est-à-dire, le fait de penser la sécurité d’un objet ou d’un logiciel lors de sa création, dans la réalité, nous n’en sommes pas là. Pour les fabricants, la question demeure d’ordre économique : les mécanismes de sécurité coûtent parfois aussi chers que le produit lui-même, si ce n’est plus.

Glossaire :

TRISIS est également appelé TRITON ou HatMan.

SCADA : Supervisory Control And Data Management

TCP : Transmission Control Protocol

IP : Internet Protocol

TMA : Tierce Maintenance Applicative.

Pour (re)découvrir le reste de notre série d’articles sur la cybersécurité industrielle :

De la prise de conscience à la prise de responsabilité 

Entre volumes et solutions individuelles

Sécurité des usines

Entre numérisation et sécurisation