13 août 2019
Partager l’article :
Le secteur industriel accuse un retard important en termes de cybersécurité. Nous le constatons depuis plus de huit ans au cours de nos nombreux audits et missions de conseil au sein d’environnements industriels très variés (chimie, énergie, industrie lourde, industrie automobile…) : en schématisant, disons que nous sommes au même niveau de sécurisation de l’ICS (Industrial Control System) que nous l’étions au début des années 2000 sur l’IT (Information Technology).
Ainsi, nous constatons lors de nos audits que l’informatique industrielle (quel que soit le secteur) présente en majorité les vulnérabilités suivantes :
Si ce tableau semble sombre, il n’en demeure pas moins que la prise de conscience des entreprises du secteur industriel est forte. Nous démarrons clairement une phase de mise en œuvre de la cybersécurité dans l’industrie. Celle-ci risque d’être longue car elle concerne des dizaines de milliers de sites dans le monde, pour des milliers d’entreprises, grandes et petites, interconnectées entre elles. Cette phase va concerner des sites en pleine transformation digitale (vers l’industrie 4.0) avec une dépendance de plus en plus importante à la connectivité, aux réseaux et à l’IT en général.
Pour les nouveaux sites, la solution de sécurisation « by design » est bien intégrée par tous les acteurs. Pour les sites existants, il va falloir sécuriser un socle métier non maîtrisé. Et le grand défi ne semble pas de déterminer ce que nous devons faire : la plupart des acteurs du marché de la cybersécurité, qu’il s’agisse des directeurs des systèmes d’information (DSI), des responsables de la sécurité des systèmes d’information (RSSI) ou des fournisseurs de solutions et de services, tous s’accordent sur les processus de mise en place nécessaires. Ceux-ci pourraient être décrits comme suit :
Si les solutions existent et les méthodologies demeurent bien connues, il nous reste tout de même trois défis à relever.
Lorsque l’objectif est de généraliser l’implémentation de solutions de sécurisation, le fait de devoir s’adapter à chaque cas devient un challenge en soit. Pour le client tout d’abord, car il doit fournir beaucoup d’informations à ses prestataires pour le chiffrage, mais aussi pour le fournisseur de services qui va devoir s’adapter à des contextes différents sur chaque site, suivant les pays.
Par exemple, réaliser une maintenance dans une usine classée Seveso n’est pas un processus simple. Le prestataire doit observer un certain nombre d’obligations : certifications spécifiques des salariés, port du casque, accès au site plus difficile nécessitant de revoir les procédures, visionnage de films de sensibilisation à chaque entrée… Une installation sur un site logistique ne posera pas les mêmes contraintes aux prestataires.
Au final, chaque site industriel détient ses particularités et ses prestataires. Mettre en œuvre une solution de sécurité pour une usine ne demandera pas toujours les mêmes procédures, les mêmes architectures, ni les mêmes acteurs.
Il faut également prendre en compte l’aspect organisationnel local ainsi que l’historique des sites pour mettre en évidence la difficulté d’utiliser une méthode, un partenaire et une solution unique pour traiter la sécurité sur l’informatique industrielle.
Il existe plusieurs dizaines de milliers de sites de production plus ou moins critiques. De la laiterie normande appartenant à un groupe familial aux raffineries de grands groupes pétroliers, tous sont concernés par des problématiques de sécurité.
C’est un vrai challenge pour tous les fournisseurs de service de cybersécurité : apporter, dans un temps limité, un très grand nombre de prestations de sécurité nécessitant des compétences assez spécifiques et ce, partout dans le monde. Le défi sera donc de définir le dénominateur commun à tous ces sites, pour “industrialiser” les mises en œuvre.
Un DSI ou RSSI pourra définir des règles à un instant T, des normes, des plans de sécurité, mais si ceux-ci ne sont pas intégrés aux méthodes connues des acteurs quotidiens dans l’OT comme les méthodes de sûreté de fonctionnement AMDEC ou HAZOP par exemple, alors ces plans peuvent être voués au contournement et à la marginalisation à long terme.
Ainsi, ce travail ne pourra être réalisé efficacement qu’en impliquant fortement les responsables métiers, qui pourraient se retrouver à devoir adapter les processus métiers, les procédures de sûreté des sites, en y intégrant la cybersécurité. Par exemple, le film que l’on regarde à l’entrée d’une usine SEVESO avant d’y entrer devra prendre en compte les bonnes pratiques concernant l’informatique industrielle (tester la clé USB avant de la mettre sur un PC notamment).
On peut aussi penser que les contrats avec les prestataires de maintenance OT devront prendre en compte la responsabilité cyber. Un mainteneur avec une clé USB infectée pourra être tenu responsable en cas d’infection du SI du client.
Ce sont tous ces challenges que nous devons, clients et fournisseurs de services, relever ensemble. La meilleure solution reste la collaboration, car dans un monde où les ressources et expertises sont plus rares que les besoins, se concentrer sur les risques importants, et être efficace dans leur implémentation est une nécessité.
OT = Operationnal Technologies
AMDEC = Analyse des Modes de Défaillances, de leurs Effets et Criticité
HAZOP = Hazards & Operability