Cloud Cybersécurité Salon du Bourget

S’adapter aux besoins de la cybersécurité des systèmes industriels 4.0

5 mai 2019

author:

S’adapter aux besoins de la cybersécurité des systèmes industriels 4.0

Les technologies connectées sont omniprésentes dans notre environnement professionnel, dans nos villes et jusque dans nos vies personnelles. Il en va de même du risque cyber. L’ampleur des cyberattaques gagne en volume et en complexité. Un rapport a récemment montré que la taille des attaques DDoS (Distributed Denial of Service ou déni de service distribué)[1] a, en moyenne, augmenté de 500 %. Le coût des dégâts dus à la cybercriminalité[2] atteindra six mille milliards de dollars d’ici 2021.

Face à l’émergence de nouvelles innovations technologiques dans le domaine des infrastructures critiques et industrielles, les cybercriminels se tournent de plus en plus vers l’industrie. L’énergie, le transport, les télécommunications, autant de domaines vitaux pour la Nation qui devraient bénéficier du meilleur niveau de protection.

Pourtant, la cybersécurité des systèmes industriels ne bénéficie pas du même niveau de maturité que dans d’autres secteurs de l’IT. Comment offrir à nos systèmes industriels la meilleure sécurité disponible, tout en respectant les exigences en matière de conformité ?

Pourquoi la cybersécurité des systèmes industriels est-elle à la traîne ?

L’industrie 4.0 est une des étapes de la longue évolution de nos systèmes et processus industriels. Comme pour chacune des révolutions industrielles, les changements ont été rapides. L’industrie 4.0 repose sur les nouvelles technologies, dont l’internet des objets, le Big Data, l’analyse intelligente des données, la robotique et d’autres solutions basées sur l’intelligence artificielle. Ces dernières transforment profondément nos systèmes industriels et nous font rapidement entrer dans une nouvelle ère d’industrie basée sur la technologie.

L’Operational Technology (OT), qui couvre les systèmes physiques comme les commandes numériques et robots, était jusqu’à présent déconnecté du monde. En d’autres mots, les générations antérieures de l’OT étaient compartimentées ; les équipements étaient isolés et peu connectés à d’autres réseaux. Désormais, avec l’arrivée de l’industrie 4.0 et la convergence de l’OT avec l’IT, nos industries et les infrastructures essentielles qu’elles desservent sont hyper connectées.

Nos systèmes industriels n’ont pas seulement connecté nos industries et leurs partenaires, ils ont également relié nos industries aux cybercriminels. En effet, l’industrie 4.0 et les technologies lui permettant de s’imposer exposent nos entreprises aux cybermenaces.

« The Road to Resilience »[3], un rapport du Conseil mondial de l’énergie, a examiné l’impact des cyberattaques sur les infrastructures critiques. Selon ce rapport, les cybermenaces font partie des principales préoccupations des leaders de l’énergie, tout particulièrement en Europe.

Récemment, les répercussions d’une cyberattaque sur une infrastructure critique ont été manifestes lorsqu’un réseau électrique ukrainien a été infecté par un malware, baptisé Crash Override. L’attaque a provoqué des pannes massives. Des attaques comme celle-ci ont poussé l’US-Cert[4] à publier un avis informant les fournisseurs de service des États-Unis sur des attaques potentielles provenant de cybercriminels financés par la Russie.

Les vastes cyberattaques sur des infrastructures critiques, comme celle précédemment citée, associées à des évènements mondiaux, comme l’infection par le rançongiciel WannaCry en 2017, poussent l’industrie à prendre conscience de la menace que représentent les cyberattaques.

C’est là que la législation intervient. Des cadres réglementaires robustes sont fondamentaux pour soutenir et accélérer les changements nécessaires pour protéger l’industrie. Cette réglementation doit toutefois être adaptée à l’environnement particulier de l’OT.

La réglementation concernant les activités critiques est-elle pertinente pour l’industrie ?

Une vingtaine de règles générales de cybersécurité s’appliquent aux activités critiques dans l’industrie. Ces règles peuvent être divisées en trois types :

  • Des règles indispensables : ces règles reposent sur le bon sens et doivent être appliquées de manière systématique.
  • Des règles à challenger : observer ces règles devrait être un but. Elles peuvent toutefois s’avérer difficiles à respecter du fait de problèmes structurels.
  • Des règles inadaptées : ces règles ne sont pas toujours adaptées aux besoins spécifiques du monde industriel.
  1.    Les règles indispensables

Les exigences indispensables sont des règles fondamentales : INCONTOURNABLES.

On peut notamment y inclure :

  • la détermination des méthodes organisationnelles et de sécurité nécessaires pour protéger les actifs industriels dans une politique de sécurité des systèmes d’information.
  • la certification des systèmes informatiques industriels critiques à l’aide d’un audit d’évaluation des risques.
  1.    Les règles à challenger

Malgré l’importance des normes juridiques, l’industrie peut rencontrer des difficultés pour s’y conformer.

La cartographie des actifs industriels, incluant le matériel, les logiciels et toutes les informations connexes, en est un exemple. Cette règle est INCONTOURNABLE pour les opérateurs industriels critiques. Notre expérience montre cependant qu’il n’est pas toujours possible de s’y conformer, pour plusieurs raisons dont :

  • Les actifs OT sont souvent livrés en « boîtes noires » et administrés par des fournisseurs tiers ;
  • Les équipes de maintenance OT ne disposent généralement pas des compétences techniques pour administrer ces actifs ;
  • Les protocoles de communication spécifiques et les configurations réseau compliquent l’intégration de la découverte automatique des actifs.

Heureusement, certaines solutions spécialisées supportent maintenant la détection des actifs industriels et, par conséquent, peuvent rassembler et tenir à jour la cartographie des systèmes informatiques industriels, y compris pour les appareils spécifiques.

  1.     Les règles inadaptées

Certaines règles ne sont simplement pas adaptées à un contexte industriel.

Par exemple, appliquer des mises à jour de sécurité systématiques n’est tout simplement pas réaliste dans un environnement industriel. La durée de vie de l’OT diffère significativement de celle de l’IT. L’application de mises à jour compromet la stabilité des machines industrielles et devrait être systématiquement conditionnée à une analyse technique des impacts. C’est à la fois complexe et long, et cela nécessite des compétences qui ne sont souvent pas disponibles au sein d’un atelier. Par conséquent, les industries critiques doivent exploiter entre 30 % et 50 % d’actifs industriels obsolètes d’un point de vue technologique.

Options de sécurité essentielles pour les systèmes informatiques industriels.

En matière de cybersécurité des systèmes industriels, une approche reposant sur trois points s’impose :

  1. Développer la sensibilité à la cybersécurité dans l’ensemble de l’organisation
  2. Utiliser un ensemble de solutions utilisant des technologies innovantes adaptées à l’environnement industriel
  3. Appliquer des stratégies d’intégration et de déploiement adaptées à un environnement industriel

Sensibilisation à la cybersécurité

L’une des principales mesures à mettre en place dans l’industrie est de sensibiliser l’ensemble des parties prenantes, ouvriers et cadres, de l’organisation au travers d’un programme de formation et de communication de façon à favoriser le changement culturel nécessaire.

Les cols blancs : Les cadres concentrent souvent leurs efforts sur la sécurité physique et la productivité du personnel. Il est aujourd’hui essentiel d’intégrer la cybermenace en tant que contributeur majeur à la sûreté et à la productivité.

Les cols bleus : La cybersécurité n’est pas uniquement un sujet technologique, et doit englober le facteur humain. Selon un rapport de LastPass[5], un salarié partagera en moyenne un mot de passe avec 6 de ses collègues. Un bon module de formation couvre l’ensemble de la préparation à la sécurité, incluant les problématiques de cybersécurité quotidiennes, comme la sécurité et le soin à apporter aux mots de passe ou encore les règles de vigilances à appliquer au traitement messages électroniques pour éviter l’hameçonnage..

En plus de mettre en place un module de sensibilisation à la cybersécurité dans toute l’entreprise, certaines règles doivent être strictement appliquées. Par exemple, l’utilisation d’appareils mobiles connectés par USB devrait être prohibée dans tout environnement industriel critique. En effet certains actifs critiques ne peuvent être protégés à l’aide d’agents intrusifs comme les antivirus.

Solutions spécifiques — Pour les besoins spécifiques de l’industrie

La nature particulière des systèmes industriels nécessite un ensemble de solutions de cybersécurité des systèmes industriels spécialisées.

Ces solutions devraient privilégier une approche de protection périphérique plutôt qu’intrusive. En effet, de nombreux équipements industriels ne sont pas éligibles à une protection intrusive en raison de contraintes de temps-réel ou de problèmes de responsabilité de fournisseurs.

Des Solutions adaptées devraient en outre prendre ne considération les matériels, logiciels et protocoles spécifiquement rencontré en milieu industriel. C’est tout particulièrement vrai pour les outils de surveillance des réseaux et de découverte automatique des actifs..

Stratégies d’intégration et de déploiement

Intégrer et déployer des solutions de cybersécurité dans un environnement industriel ne peut pas être envisagé comme cela le serait dans un environnement standard IT.

D’abord, alors que les environnements IT sont sous la responsabilité de DSI qui les gèrent de manière centralisée, les environnements industriels sont le plus souvent sous la responsabilité des métiers, distribués et gérés de façon décentralisée. La méthode d’intégration et de déploiement s’en trouve drastiquement impactée. La constitution d’équipes multi-fonctionnelles est souvent une bonne réponse à ce type de difficulté.

En outre, le déploiement et l’exploitation de ce type de solutions doivent être orientés Production. Par exemple, bloquer un fichier ou un flux de communication suspicieux comme on le ferait dans un environnement IT pourrait interrompre la Production, ce qui est simplement inacceptable. Des solutions comme les antimalwares, les firewalls ou les contrôles applicatifs doivent obligatoirement être opérées en en tenant compte.

Vers des modèles de protection plus avancés ?

Apporter de la résilience dans un environnement par défaut non sécurisé et non contrôlé représente un défi. Nos approches autrefois sûres, globales et déterministes, apparaissent aujourd’hui limitées et inadaptées pour protéger des environnements critiques dans un contexte industriel imprévisible et avec des attaques toujours plus complexes.

Il faut trouver de nouvelles approches pour protéger les systèmes industriels critiques. Ces approches optimisent la sécurité tout en assurant la continuité des opérations. Les systèmes industriels doivent permettre la collaboration, en temps réel, dans un environnement sensible aux performances. Les solutions dynamiques et adaptatives qui peuvent se reconfigurer automatiquement lorsqu’un changement est détecté au sein de l’environnement servent de socle pour répondre aux besoins d’agilité et de dynamisme de la cybersécurité moderne des systèmes industriels.

Pour ce faire, nous devons à la fois :

  • Nous appuyer sur les dernières technologies de protection, comme le machine-learning, le chiffrement homomorphe et la blockchain,
  • Anticiper l’identification d’attaques à travers la détection et la corrélation de signaux faibles, comme le propose le Framework MITTRE Att&ck.

Ajuster le niveau de protection à la menace à l’aide de mesures adaptées est la clef pour combiner les trois piliers de la cybersécurité des systèmes industriels :

  1.    Disposer d’une protection robuste et adaptée aux systèmes industriels ;
  2.    Respecter la législation ;
  3.    Répondre aux besoins opérationnels spécifiques dans un environnement industriel.

Intégrer ces concepts lors de la création d’un environnement industriel sûr (« security by design ») permet de bénéficier d’un modèle adaptatif nécessaire pour la cybersécurité des systèmes industriels 4.0 pour faire face à la complexité du paysage industriel, en matière fonctionnelle, technique et organisationnelle. Il permet aux entreprises industrielles de se conformer à la législation, de rester dans le cadre des standards industriels tout en protégeant leurs actifs industriels les plus critiques dans un contexte industriel en pleine en pleine mutation.

Retrouvez-nous au salon du Bourget 2019


[1] NexusGuard, Threat Report Q2 2018 : https://www.nexusguard.com/threat-report-q2-2018
[2] Cybersecurity Ventures, blog : https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/
[3] World Energy Council The Road to Resilience: https://www.worldenergy.org/
[4] US Cert Alert : https://www.us-cert.gov/ncas/alerts/TA18-074A
[5] LastPass, State of the Password Report: https://www.lastpass.com/state-of-the-password
One Comment
  1. GERMAIN Nicolas

    Bonjour Michel, Excellent article, un bon résumé du message qu'on diffuse tous les jours auprès de nos clients.

Leave a comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *