Cybersécurité

« S’adapter aux besoins de la cybersécurité des systèmes industriels 4.0 »

22 janvier 2019

author:

« S’adapter aux besoins de la cybersécurité des systèmes industriels 4.0 »

La cybersécurité est omniprésente dans notre quotidien : dans nos vies personnelles, notre travail et même au sein de nos villes. La portée et l’ampleur des cyberattaques gagnent en taille et en complexité. Un rapport a récemment montré que la taille des attaques DDoS (Distributed Denial of Service ou déni de service distribué)[1] a, en moyenne, augmenté de 500 %. Le coût des dégâts dus à la cybercriminalité[2] atteindra également six mille milliards de dollars d’ici 2021.

Face à l’émergence de nouvelles innovations technologiques dans le domaine des infrastructures critiques et industrielles, les cybercriminels se tournent de plus en plus vers l’industrie. Des acteurs de l’énergie, du transport, des télécommunications et de la défense (des secteurs vitaux de la Nation) devraient alors bénéficier de la meilleure protection possible.

Pourtant, la cybersécurité des systèmes industriels ne bénéficie pas du même niveau de maturité que d’autres secteurs de la cybersécurité informatique. Comment offrir à nos systèmes industriels la meilleure sécurité disponible, tout en respectant les exigences en matière de conformité ?

Pourquoi la cybersécurité des systèmes industriels est-elle à la traîne ?

L’industrie 4.0 est une des étapes de la longue évolution de nos systèmes et processus industriels. À l’instar de ses prédécesseures, notamment la révolution industrielle du XVIIIe siècle, les changements ont été rapides. L’industrie 4.0 repose sur les nouvelles technologies, dont l’internet des objets, le Big Data, l’analyse intelligente des données, la robotique et d’autres solutions basées sur l’intelligence artificielle. Ces dernières transforment nos systèmes industriels et nous font rapidement entrer dans une nouvelle ère d’industrie basée sur la technologie.

L’Operational Technology (OT), qui couvre les systèmes de contrôle industriel (ICS) et leur cadre de gestion, ainsi que le contrôle de supervision et les systèmes de contrôle et d’acquisition de données (SCADA), était, jusqu’à présent, en retrait. En d’autres mots, les versions antérieures de l’OT étaient compartimentées ; les unités individuelles étaient isolées et peu connectées à d’autres réseaux. Désormais, avec l’arrivée de l’industrie 4.0 et la convergence de l’OT avec l’IT, nos industries et les infrastructures essentielles qu’elles desservent sont hyper connectées.

Toutefois, le temps nécessaire pour intégrer les technologies connectées a entraîné un retard dans l’adoption des solutions de cybersécurité adaptées à cette nouvelle réalité.

Nos systèmes industriels n’ont pas seulement connecté nos industries et leurs partenaires, ils ont également relié nos industries aux cybercriminels. En effet, l’industrie 4.0 et les technologies lui permettant de s’imposer exposent nos entreprises aux cybermenaces.

« The Road to Resilience »[3], un rapport du Conseil mondial de l’énergie, a examiné l’impact des cyberattaques sur les infrastructures critiques. Selon ce rapport, les cybermenaces font partie des principales préoccupations des leaders de l’énergie, tout particulièrement en Europe.

Récemment, les répercussions d’une cyberattaque sur une infrastructure critique ont été manifestes lorsqu’un réseau électrique ukrainien a été infecté par un malware, baptisé Crash Override. L’attaque a provoqué des pannes massives. Des attaques comme celle-ci ont poussé l’US-Cert[4] à publier un avis informant les fournisseurs de service des États-Unis sur des attaques potentielles provenant de cybercriminels financés par la Russie.

Les vastes cyberattaques sur des infrastructures critiques, comme celle précédemment citée, associées à des évènements mondiaux, comme l’infection par le rançongiciel WannaCry en 2017, poussent l’industrie à prendre conscience de la menace que représentent les cyberattaques.

C’est là que la législation intervient. Des cadres réglementaires robustes sont fondamentaux pour soutenir et accélérer les changements nécessaires pour protéger l’industrie. Cette réglementation doit toutefois être adaptée à l’environnement particulier de l’OT.

La réglementation concernant les activités critiques est-elle pertinente pour l’industrie ?

Vingt règles générales s’appliquent aux activités critiques dans l’industrie. Ces vingt règles peuvent être divisées en trois types :

  •       Des règles indispensables : ces règles reposent sur le bon sens et doivent être appliquées de manière systématique.
  •       Des règles à challenger : observer ces règles devrait être un but. Elles peuvent toutefois s’avérer difficiles à respecter du fait de problèmes structurels.
  •       Des règles inadaptées : ces règles ne sont pas toujours adaptées aux besoins spécifiques du monde industriel.

1.    Les règles indispensables

Les exigences indispensables sont des règles fondamentales : INCONTOURNABLES.

On peut notamment y inclure :

  • la détermination des méthodes organisationnelles et de sécurité nécessaires pour protéger les actifs industriels dans une politique de sécurité des systèmes d’information.
  • la certification des systèmes informatiques industriels critiques à l’aide d’un audit d’évaluation des risques.

Nos deux autres types de règles sont cependant plus délicates à mettre en œuvre dans le secteur industriel.

2.    Les règles à challenger

Malgré l’importance des normes juridiques, l’industrie peut rencontrer des difficultés pour s’y conformer.

La cartographie des actifs industriels, incluant le matériel, les logiciels et toutes les informations connexes, en est un exemple. Cette règle est INCONTOURNABLE pour les opérateurs industriels critiques. Notre expérience montre cependant qu’il n’est pas toujours possible de s’y conformer, pour plusieurs raisons dont :

  •       Les actifs OT sont souvent livrés en « boîtes noires » et administrés par des fournisseurs tiers ;
  •       Les équipes de maintenance OT ne disposent généralement pas des compétences techniques pour administrer ces actifs ;
  •       Les protocoles de communication spécifiques et les configurations réseau compliquent l’intégration de la découverte automatique des actifs.

Heureusement, certaines solutions spécialisées supportent maintenant la détection des actifs industriels et, par conséquent, peuvent rassembler et tenir à jour la cartographie des systèmes informatiques industriels, y compris pour les appareils spécifiques.

3.     Les règles inadaptées

Certaines règles sont propres à un secteur particulier et difficiles à adapter à un paysage industriel plus vaste.

Par exemple, appliquer des mises à jour de sécurité systématiques n’est tout simplement pas réaliste dans un environnement industriel ; la durée de vie de l’OT différant significativement de celle de l’IT. L’application de mises à jour compromet la stabilité des machines industrielles et devrait être systématiquement déterminée à l’aide d’une analyse technique des impacts. C’est à la fois complexe et long, et cela nécessite des compétences qui ne sont souvent pas disponibles au sein d’un atelier. Par conséquent, les industries critiques doivent exploiter entre 30 % et 50 % d’actifs industriels obsolètes d’un point de vue technologique.

Options de sécurité essentielles pour les systèmes informatiques industriels.

En matière de cybersécurité des systèmes industriels, une approche reposant sur trois points s’impose :

  1.    Mettre en œuvre une formation de sensibilisation à la cybersécurité dans l’ensemble de l’organisation
  2.    Utiliser un ensemble de solutions utilisant des technologies innovantes adaptées à l’environnement industriel
  3.    Appliquer des stratégies d’intégration adaptées à un environnement industriel

Formation de sensibilisation à la cybersécurité

L’une des principales mesures à mettre en place dans l’industrie est de sensibiliser l’ensemble des parties prenantes, ouvriers et cadres, d’une organisation en mettant en place des formations dédiées.

Les cadres : Les cadres concentrent souvent leurs efforts sur la sécurité et la productivité du personnel. Avec l’augmentation des cybermenaces, il est aujourd’hui essentiel de fusionner les menaces numériques et non numériques. Les cybermenaces ont fait leur entrée dans l’arène de la sécurité, de la qualité, des coûts, de la livraison et des personnes, affectant les rendements.

Les ouvriers : Ils ne sont pas directement associés aux décisions prises en matière de sécurité. Mais, la formation de sensibilisation à la cybersécurité doit être étendue à l’intégralité du personnel. Selon un rapport de LastPass[5], un salarié partagera en moyenne un mot de passe avec 6 de ses collègues. Un bon module de formation couvre l’ensemble de la préparation à la sécurité, incluant les problématiques de cybersécurité quotidiennes, comme la sécurité et le soin à apporter aux mots de passe.

La formation de sensibilisation à la sécurité comprend également des exercices de simulation formant les utilisateurs à repérer les mails d’hameçonnage, etc.

En plus de mettre en place un module de formation de sensibilisation à la cybersécurité dans toute l’entreprise, certaines règles doivent être strictement appliquées. Par exemple, l’utilisation d’appareils mobiles connectés par USB doit être prohibée dans tout environnement industriel critique. Le fait est que certains actifs critiques ne peuvent être protégés à l’aide d’agents techniques et il est d’autre part irréaliste de n’utiliser que des clefs USB spécifiques.

Solutions spécifiques — Pour les besoins spécifiques de l’industrie

La nature particulière des systèmes industriels nécessite un ensemble de solutions de cybersécurité des systèmes industriels spécialisées. La certification porte sur la nature spécifique de ces types d’environnements. C’est tout particulièrement vrai pour les outils de surveillance des réseaux et de découverte automatique des actifs, pour lesquels des protocoles et appareils industriels spécifiques doivent être couverts.

Stratégies d’intégration

Le fait que de nombreux actifs soient basés sur des systèmes d’exploitation obsolètes empêche l’utilisation d’un certain nombre de solutions de protection du marché. Par exemple, les solutions anti-malware peuvent ne pas être supportées. Comme il est irréaliste d’arrêter la production dès qu’un comportement suspect est détecté, il est nécessaire d’intégrer des solutions de contrôle des applications non bloquantes spécifiques à un SOC industriel. Elles peuvent être utilisées conjointement à des stratégies de protection spécifiques, basées sur une protection périphérique.

Vers des modèles de protection plus avancés ?

Apporter de la résilience dans un environnement par défaut non sécurisé et non contrôlé représente un défi. Nos approches autrefois sûres, globales et déterministes, sont limitées et inadaptées pour protéger des environnements critiques dans un contexte industriel.

Il faut trouver de nouvelles approches pour protéger les systèmes informatiques industriels critiques. Ces approches optimisent la sécurité tout en assurant la poursuite des opérations. Les systèmes industriels doivent permettre la collaboration, en temps réel, dans un environnement sensible aux performances. Les solutions dynamiques et adaptatives qui peuvent se reconfigurer automatiquement lorsqu’un changement est détecté au sein de l’environnement servent de base pour répondre aux besoins d’agilité et de dynamisme de la cybersécurité moderne des systèmes industriels.

Pour ce faire, nous devons nous appuyer sur les dernières technologies de protection, comme le machine-learning, le chiffrement homomorphe et la blockchain.

Adapter le niveau de protection à la menace à l’aide de mesures adaptées est la clef pour combiner les trois piliers de la cybersécurité des systèmes industriels :

  1.    Disposer d’une protection robuste et adaptée aux systèmes industriels ;
  2.    Respecter la législation ;
  3.    Répondre aux besoins opérationnels spécifiques dans un environnement industriel.

Ces trois piliers de la cybersécurité des systèmes industriels, appliqués lors de la création d’un environnement industriel sûr, forment le modèle adaptatif nécessaire pour la cybersécurité des systèmes industriels 4.0. Ce modèle a la capacité de faire face à la complexité du paysage industriel, en matière fonctionnelle, technique et organisationnelle. Il permet aux entreprises de se conformer à la législation, de rester dans le cadre des standards industriels tout en protégeant leurs actifs industriels les plus critiques.


[1] NexusGuard, Threat Report Q2 2018 : https://www.nexusguard.com/threat-report-q2-2018
[2] Cybersecurity Ventures, blog : https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/
[3] World Energy Council The Road to Resilience: https://www.worldenergy.org/
[4] US Cert Alert : https://www.us-cert.gov/ncas/alerts/TA18-074A
[5] LastPass, State of the Password Report: https://www.lastpass.com/state-of-the-password
One Comment
  1. GERMAIN Nicolas

    Bonjour Michel, Excellent article, un bon résumé du message qu'on diffuse tous les jours auprès de nos clients.

Leave a comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *