O n imagine aujourd'hui les nombreuses applications possibles de l'usine connectée,ou «Industrie 4.0 ». Depuis l'arrivée du protocole Internet sur les équipements industriels, les interactions possibles entre machines et systèmes d'information se sont multipliées. « Les systèmes industriels sont pilotés depuis de nombreuses années par informatique, mais jusqu'à il y a peu, on n'utilisait pas la connexion via le protocole IP», rappelle François Stephan, directeur développement et international de l'Institut de recherche technologique SystemX. Mais cette évolution s'est produite si rapidement que la question de la sécurité a souvent été négligée. Résultat : les systèmes d'information industriels comportent de nombreuses failles, qui induisent des risques plus ou moins graves, allant du vol de données aux risques physiques pour les industries les plus critiques.
« La tendance va vers plus d'interconnexions, notamment via les systèmes ERP ou MES. Ces interconnexions ne vont pas disparaître, mieux vaut donc s'atteler à garantir leur sécurité, analyseYann Bourjault, responsable national cybersécurité chez Schneider Electric. Les objets connectés font partie du quotidien, en maintenance par exemple, où l'on voit apparaître des smart-phones pour flasher des QR codes, pour obte-nir des informations relatives au diagnostic ou à la mise en service. » Et les attaques se multiplient: « Nous observons une forte augmentation des attaques sur les systèmes d'information industriels, mais il n'y a pas de statistiques à ce sujet, commente Laurent Pelud, président de Scassi, société spécialisée en sécurité informatique. Nous le voyons en travaillant sur ces sujets, mais les fabricants de matériel industriel n'ont pas intérêt à communiquer sur les failles de leurs composants. »
Des failles faciles à corriger
À qui faire confiance ?
Comment reconnaître les prestataires de services à qui l'on peut faire confiance en termes de sécurité? L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a défini une certification, PASSI pour Prestataires d'audit de la sécurité des systèmes d'information (1) ,par laquelle elle garantit sa confiance pour l'audit, l'analyse et le déploiement de solutions. Les services délocalisés, en cloud, posent également question, et présentent des niveaux de sécurité très hétérogènes. Pour garantir la qualité de ce type de services en termes de sécurité, le réseau des clusters numériques France IT a créé le «Label cloud» (2) .Il définit un référentiel de bonnes pratiques. (1) http: //www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-daudit-de-la-securite-des-systemes-dinformation-passi-qualifies/ (2) http: //www.label-cloud.com/ |
Ces attaques sont rarement très complexes: elles exploitent plutôt des failles courantes, connues, des défauts de mises à jour dans les systèmes de sécurité, ou encore des vulnérabilités dans le code développé dans une machine. Autre faille courante: garder les mots de passe par défaut d'une machine, ou utiliser les mêmes mots de passe sur plusieurs équipements. « Selon nos statistiques, au moins 50 % des attaques concernent des choses basiques », note Laurent Pelud.
Il existe de nombreuses possibilités pour exploiter cette mine d'objets connectés. Et les conséquences peuvent être très diverses: « Un simple virus ou code malveillant peut permettre de prendre la main, et de modifier une machine, la saboter, la bloquer, éventuellement pour demander une ran-çon. Une machine contaminée par un virus peut ne pas produire ce qui est prévu, ou mal produire, continue Laurent Pelud. Cela peut aussi engendrer une compromission complète de l'équipement.» Parfois, des codes malveillants peuvent même contaminer des équipements sans avoir été programmés dans ce but précis.C'est ce qui était arrivé à la flotte des Mirage, en 2009, avec le virus Conficker, ayant empêché la mise à jour des plans de vol.
La Loi de programmation militaire définit des « opérateurs d'importance vitale », notamment dans les secteurs de l'énergie, des transports ou des télécoms, et des mesures à appliquer pour assurer la sécurité de leur système d'information.
Schneider Electric « La conséquence la plus fréquente,c'est l'arrêt de la production, observe Yann Bourjault (Schneider Electric). Une attaque de type déni de service peut arrêter un automate. Cela touche directement au portefeuille, sachant qu'un arrêt peut coûter plusieurs milliers d'euros.» De plus, les risques ne viennent pas toujours de l'extérieur: « Il peut y avoir une négligence ou de la malveillance de la part d'une personne qui a des droits d'accès en interne. Nous avons pu observer ce type de cas.» La négligence peut même consister en l'introduction involontaire d'éléments extérieurs sur un poste informatique du process, via une clé USB infectée par exemple. Cela peut provoquer un problème sur le réseau de production.
C'est souvent un incident qui incite les industriels à se pencher sur ces problèmes, comme l'observe Simon Deterre, consultant sécurité chez Lexsi, société de service spécialisée en cyber-sécurité: « L'agence allemande de sécurité de l'information a relayé le cas d'une aciérie où une cyber-attaque aurait causé de très forts dommages matériels fin 2014.Ce type de cas reste assez rare, mais les corruptions, les pertes de données ou les indisponibilités du système d'information sont plus courantes.» Ainsi la prise de conscience de ces risques gagne du terrain. « Nous sentons une accélération, depuis environ un an, de la volonté de faire évoluer les systèmes », rapporte Laurent Pelud (Scassi).
Mais il reste beaucoup de chemin à parcourir. Si la culture évolue doucement, il demeure une grosse différence entre les mondes informatique et industriel. Ainsi, pour l'industrie, la sécurité désigne avant tout la sûreté de fonctionnement, mais pas forcément la cybersécurité.Thomas Hutin, responsable du développement de l'activité cybersécurité chez Thales, constate que « les personnes en charge de la sécurité des systèmes d'information échangent avec les interlocuteurs du côté industriel. Le dialogue est en train de se mettre en place pour réfléchir à la façon de coopérer pour mieux sécuriser. C'est une évolution interne aux entreprises.» De plus, la Loi de programmation militaire ( voir encadré ci-contre ) fait également bouger les choses: un cadre légal se met en effet en place.
De nombreux composants actifs des réseaux industriels, comme les commutateurs Ethernet, ne sont pas administrables. Adopter des technologies plus modernes permet d'éviter certains risques : en l'absence de diagnostic, tout élément est alors potentiellement vulnérable.
Siemens Les solutions à cette tendance se situent avant tout dans le cadre d'une démarche méthodologique. « La première des technologies, c'est le cerveau, estime Jérôme Poncharal, architecte solutions chez Rockwell Automation. Il faut mettre en œuvre des pratiques de bon sens,comme ne pas garder un mot de passe par défaut, ou fermer les armoires de contrôle.» Pour ces mesures de base, « on trouve des éléments de bonne pratique,des guides (1),comme ceux de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) », rappelleThomas Hutin (Thales).
La première chose à faire est de bien connaître son réseau. « Établir une bulle autour du système et s'assurer que les flux entrants et sortants sont légitimes et sécurisés », illustre Simon Deterre (Lexsi). «C'est l'une des premières choses demandées dans les référentiels de l'ANSSI, ajoute Wilfrid Blanc, expert en cybersécurité chez Lexsi. Il faut établir l'inventaire de son parc,connaître les composants et leurs interactions.On part du principe que,si un attaquant arrive à mettre un pied dans le système, il pourra y faire tout ce qu'il veut, car les systèmes d'information industriels sont généralement anciens et mal protégés.»
Des obligations législatives
La Loi de programmation militaire définit des « infrastructures vitales », dont les opérateurs doivent assurer un niveau de cybersécurité minimal. Il s'agit notamment des centrales nucléaires, d'équipements de traitement des eaux ou de type médical. «C'est un des cadres réglementaires les plus avancés et novateurs dans le monde en termes de sécurité industrielle », estime Simon Deterre, consultant sécurité chez Lexsi. «C'est un élément très structurant, ajoute Thomas Hutin, responsable du développement de l'activité cybersécurité chez Thales. Les responsables sécurité devaient auparavant convaincre les décideurs.Désormais,ces derniers devront respecter les exigences définies par le cadre législatif et réglementaire.» |
Dans un second temps, « il faut évaluer le niveau de sécurité du système, continue Wilfrid Blanc. Identifier les vulnérabilités et les risques métier en jeu, à travers la réalisation d'une analyse de risques et d'audits de sécurité. Il faut ensuite corriger les vulnérabilités,afin d'éviter les scénarios de risques identifiés auparavant.» La mise en œuvre de mécanismes de filtrage des flux,comme des firewalls , et le déploiement d'un système anti- malwares permettent déjà d'éviter les attaques basiques ou les infections par des malwares «grand public». « Dès que l'on met une barrière, que l'on complexifie un peu l'accès au réseau, on évite des intrusions », observe Laurent Pelud (Scassi). Les attaquants profitant des opportunités laissées par ces failles les plus simples seront découragés par ces barrières. « Dès que l'on applique cette hygiène de sécurité, on réduit les statistiques d'intrusion. Nous le constatons très clairement », poursuit-il.
Une fois son périmètre sécurisé, il est possible de se pencher sur l'intérieur du système d'information. « Le réseau de terrain, avec les automates, et la supervision sont des briques différentes qui devraient être cloisonnées et filtrées, indique Wilfrid Blanc (Lexsi). Mais dans 8 cas sur 10, les réseaux sont à plat, il est possible d'accéder à tout.» Les briques sont ajoutées les unes aux autres sans réflexion globale sur la sécurité.Y remédier n'est donc pas simple: «C'est souvent un système monolithique, continueWilfrid Blanc. Le moindre mot de passe à changer peut représenter un coût énorme. Des recommandations qui paraissent basiques et simples à appliquer dans les systèmes bureautiques peuvent être très complexes à mettre en œuvre dans un système industriel.» En effet, il est compliqué de revenir sur un parc de machines existant et en fonctionnement. «C'est contraignant, cela peut nécessiter des arrêts d'équipements, des évolutions, prévient Laurent Pelud (Scassi). Il faut alors définir quelle est la meilleure feuille de route,voir ce qui est le plus urgent. On ne peut pas tout révolutionner du jour au lendemain, certains éléments sont moins critiques que d'autres.»
En complément de ces mesures de défense,Wilfrid Blanc suggère une straté-gie de détection: « En positionnant des composants capables d'analyser les flux, on peut identifier des flux anormaux et faire remonter des alertes.Avec des sondes placées à des endroits stratégiques, on peut identifier des schémas d'attaques typiques : il est alors impératif d'avoir des réponses adaptées à très court terme.»
Ainsi, pour tout nouveau projet, l'analyse des risques doit se faire en amont. Lors de la mise en place d'un logiciel de type MES, par exemple, «il faut se demander quels composants des machines seront exposés, conseille Laurent Pelud (Scassi). Cette démarche n'est pas encore systématique chez les industriels qui, généralement, ne font pas cette analyse ; ils souhaitent juste que le système fonctionne. De plus, les compétences informatiques ne sont pas toujours disponibles en interne.»
Le paramétrage est une étape importante de la sécurisation.Avoir un firewall ne sert à rien si son paramétrage est trop ouvert. Un équipement ne doit pas répondre à toutes les requêtes, pour ne pas transmettre des choses qui n'ont pas à être communiquées: attention donc aux paramétrages par défaut trop ouverts. Certains composants n'ont pas forcément besoin d'être connectés à Internet: il faut donc veiller à désactiver toutes ces connexions non nécessaires. Enfin, maintenir le niveau de sécurité dans le temps est un problème courant: « Beaucoup d'entreprises avaient pris de bonnes mesures, mais, par facilité, ont rajouté des couches techniques, pour l'exploitation à distance par exemple. Et le niveau de sécurité s'en trouve alors diminué, le système étant devenu vulnérable », observe Simon Deterre (Lexsi). Les systèmes ayant une durée de vie de 10 à 15 ans, il est courant de trouver des versions de logiciels obsolètes, n'étant parfois plus supportées par l'éditeur. «Parfois,la mise à jour d'un logiciel peut obliger à recoder l'ensemble des automates du parc,par exemple, constateWilfrid Blanc (Lexsi). Cela n'est pas impossible, mais demande un budget important.»
e-mails frauduleux
En décembre, le malware BlackEnergy a permis l'accès au système de supervision de plusieurs centrales électriques en Ukraine, et provoqué une coupure électrique de grande ampleur. Ce logiciel malveillant avait été introduit dans le système par le biais d'un document Microsoft Office, envoyé par mail à des cibles bien définies. En observant des échanges de mails habituels, des attaquants sont capables de mettre au point des stratégies de «phishing», c'est-à-dire de tendre des pièges en usurpant l'identité d'un interlocuteur. Cette technique est souvent employée pour des escroqueries, mais peut permettre d'infecter un réseau. Il faut donc être vigilant avant d'ouvrir des liens ou des documents joints aux e-mails. |
La prise en main à distance d'un appa-reil dans le cadre de sa maintenance devient une pratique courante, permettant de gagner du temps. Là encore, ces systèmes peuvent représenter une faille de sécurité. « C'est un point d'entrée direct pour des acteurs dont on ne maîtrise pas le niveau de sécurité, estime Laurent Pelud (Scassi). On peut demander aux entreprises en charge de ces services des résultats d'audits, des certifications.» Pour Éric Weber, responsable marketing, solutions et technologies de cybersécurité chez Thales, la maintenance à distance est «à proscrire dans les systèmes très sensibles, car elle est encore trop risquée aujourd'hui. Mais cela n'exclut pas une supervision à distance, c'est-à-direlapossibilité de transmettre vers le sous-traitant les données nécessaires à son travail,en garantissant par des mesures techniques l'impossibilité pour lui de s'introduire dans le réseau supervisé.»
Les équipements connectés sont de plus en plus nombreux. Certains automates sont reliés au réseau industriel via Ethernet, et donc exposés aux attaques. Certains fabricants proposent donc des fonctions de sécurité intégrées pour faire face à ce risque.
Schneider Electric Pour les communications vers l'extérieur, il existe des solutions de cryptage, comme les réseaux privés virtuels (VPN), qui garantissent l'intégrité des données échangées et identifient les interlocuteurs. Les diodes réseau et passerelles, elles, permettent de sécuriser les interconnexions. « Il est impossible de garantir totalement le niveau de sécurité d'un sous-traitant, estime Éric Weber. Dans ce cas, une diode permet d'assurer par exemple le diagnostic à distance via le suivi de certaines données, tout en cloisonnant les réseaux sensibles aux endroits où l'interconnexion est critique.» En partenariat avec Schneider Electric,Thales a mis au point la diode Elips-SD, la déclinaison pour les réseaux industriels d'un équipement venu du monde de la défense.
Des technologies en développement
Début 2015, l'Institut de recherche technologique SystemX a lancé la plate-forme expérimentale CHESS, dédiée à la recherche et développement de solutions de cybersécurité, pour les nouveaux systèmes comme les réseaux d'énergie intelligents ou l'Internet des objets, mais également pour l'industrie. «Elle permet d'expérimenter des scénarios pour mieux comprendre et identifier les menaces», explique François Stephan, directeur développement et international de l'IRT. Des PME et start-up y testent des solutions innovantes. Ce projet devrait accueillir cette année de nouveaux partenaires pour renforcer les travaux sur les systèmes industriels. |
« De plus en plus d'industriels demandent des audits, des tests d'intrusion, constate Thomas Hutin (Thales). Cela permet de tester les vulnérabilités du système. Parfois, ils n'ont pas conscience des interconnexions existantes. On leur montre alors les conséquences possibles d'une attaque,cela permet d'avoir un bon état des lieux.» Afin de s'assurer de la validité d'une stratégie ou d'un composant de sécurité, il est également possible d'effectuer des tests via une plateforme de pré-production. « Bon nombre de nos clients mettent en place ce genre de plates-formes représentatives de leur système, afin de conduire des essais sur de nouveaux composants de sécurité avant de les mettre en production. Ils expérimentent leur capacité à créer des règles pour détecter des attaques.C'est une nouvelle tendance», observe ÉricWeber (Thales).
Une diode réseau permet de cloisonner les parties sensibles d'un système d'information. Il devient possible de transmettre des informations vers l'extérieur sans risque d'intrusion sur le réseau.
Thales « La cybersécurité est une discipline qui nécessite des compétences particulières : il ne suffit pas de savoir mettre au point un réseau », résume Jérôme Poncharal (Rockwell Automation). En partenariat avec Cisco, RockwellAutomation a élaboré une formation à ce sujet: « C'est une adaptation de l'ingénierie réseau, qui est très mature, à l'industrie,afin de créer un nouveau référentiel de qualification,permettant ainsi de définir le niveau de maîtrise des intervenants. » Aujourd'hui, les solutions aux problèmes de sécurité existent: «Il ne faut pas que les industriels pensent qu'ils sont seuls face à ce problème », conclut Jérôme Poncharal.
(1) http: //www.ssi.gouv.fr/entreprise/guide/ la-cybersecurite-des-systemes-industriels/
Cet article vous à plu ? Faites le savoir