FIC 2021 : Industrie et cybersécurité, un tandem qui ne va pas de soi

Sécurité : Le monde de l’industrie cherche à concilier les exigences propres au secteur avec celles de la cybersécurité. Une rencontre qui n’a rien d’évident : si la prise de conscience est réelle, le chemin reste long.

Cela fait quelques années que le risque d’attaque informatique visant les systèmes industriels n’a plus rien de théorique : Norsk HydroColonial Pipeline ou encore JBS sont autant d’exemples récents qui montrent que les industriels sont, comme les autres, dans le viseur des attaquants. Et la facture se révèle salée : pour une usine, la moindre interruption de service se chiffre vite en millions d’euros.

Ces attaques ont remis sur le devant de la scène les problématiques de cybersécurité dans le monde industriel, poussant le Forum International de la Cybersécurité, qui se tient cette semaine à Lille, à organiser la première édition d’une conférence « Cybersecurity for Industry » dédiée à cette thématique.

Evolution de la menace

La problématique n’est pas nouvelle : 10 ans après la propagation du virus Stuxnet, qui visait des systèmes industriels de contrôle des centrifugeuses d’une centrale iranienne, les industriels s’interrogent encore sur la bonne manière d’aborder le sujet. La question reste de savoir comment concilier les impératifs de sûreté et de production du monde industriel avec l’agilité que requiert la mise en place d’une stratégie de cybersécurité, friande de patchs impromptus et de « trial and error ».

D’autant que le paysage des menaces a évolué, comme le rappelle Loïs Samain, responsable de la sécurité d’EDF Hydro, à l’occasion d’une table ronde sur le sujet : « on fait toujours face à des attaquants étatiques et sophistiqués, dans la lignée des attaques Stuxnet et Blackenergy, mais on fait également face à des cybercriminels plus classiques, qui peuvent indirectement affecter le système de production industrielle ». Les groupes de ransomware ne se privent plus de viser les acteurs industriels, sans avoir besoin d’avoir recours à des outils complexes ou différents de ceux qu’ils utilisent pour leurs autres victimes.

La faute à une convergence entre les systèmes industriels (« OT », pour Operational Technology) et les systèmes d’information (« IT », pour Information Technology), sur laquelle il paraît difficile de revenir. Si, traditionnellement, les systèmes industriels, qui désignent les systèmes de production comprenant les automates et leurs postes de contrôle, étaient séparés des systèmes informatiques de l’entreprise, les interconnexions et interdépendances sont aujourd’hui bien plus nombreuses.

Colonial Pipeline en est d’ailleurs un bon exemple. « Dans ce cas de figure, ce n’était pas le système industriel qui était touché, mais bien le système informatique utilisé pour la facturation des clients », rappelle ainsi Sébastien Viou, de Stormshield. Les automates de contrôle du pipeline fonctionnaient toujours, mais la société étant dans l’incapacité de facturer ses clients, elle s’est retrouvée contrainte de laisser son système à l’arrêt.

La cybersécurité est-elle soluble dans le monde industriel ?

En parallèle de cette nouvelle donne, les systèmes industriels restent un casse-tête d’un point de vue sécurité. Patcher nécessite souvent d’arrêter les systèmes et de stopper la production, tout en demandant de tester dans le détail les mises à jour des appareils, pour éviter tout comportement inattendu au redémarrage. Seule solution pour les responsables : profiter des opérations de maintenance des machines pour corriger les failles connues, et s’appuyer en attendant l’ouverture de cette fenêtre sur des outils de sécurité périmétrique pour prévenir les attaques. « C’est une des grosses différences de la gestion de sécurité IT et OT : si je dois patcher le système d’information de la comptabilité d’une entreprise et que celui-ci est indisponible pendant une demi-heure, ce n’est pas le bout du monde. Mais quand on évoque ça dans le monde industriel, c’est beaucoup plus compliqué », explique Loïs Samain.

Même son de cloche pour Arnaud Masson, responsable des technologies opérationnelles du groupe MOM (Materne, Mont Blanc). « Le risque majeur pour l’IT, c’est la disponibilité des données. Pour l’opérationnel, c’est la disponibilité matérielle. Un serveur d’e-mail qui s’arrête de fonctionner 20 minutes, ce n’est pas grand-chose dans une journée. Mais si j’ai 22 minutes d’arrêt des appareils de production industrielle, c’est une tonne de produits de perdus. Donc, 22 minutes, c’est une catastrophe. »

Et le monde industriel doit également composer avec des équipements conçus pour durer 20 ou 30 ans et dont la compatibilité avec les systèmes de contrôle récents n’est pas toujours assurée. Sur scène, on blâme volontiers les constructeurs, qui ne se privent pas de proposer des équipements dépourvus de fonctionnalités de sécurité récentes ou de patchs dans les temps. « C’est quand même lamentable de voir encore des équipements fonctionner uniquement avec des systèmes basés sur Windows 2000, ou de retrouver des systèmes infectés par Conficker », déplore Philippe Loudenot, délégué cybersécurité du Pays de la Loire, et ex-fonctionnaire de sécurité des systèmes d’information du ministère de la Santé.

Les dernières générations d’automates développés par des acteurs comme Siemens ou Rockwell Automation commencent pourtant à intégrer des fonctionnalités plus poussées. « Ils commencent à prendre en compte cet aspect parce que ce sont de gros acteurs, mais c’est encore trop récent pour vraiment avoir un effet », résume Arnaud Masson. Difficile de faire bouger les lignes quand les automates se renouvellent à un rythme aussi lent du côté des clients.

Pas la peine de débarquer en costard

En attendant un hypothétique et coûteux renouvellement des équipements, il reste des solutions pour sécuriser des systèmes que l’on sait vulnérables : isoler les appareils, segmenter le réseau ou déployer des outils de « virtual patching », qui visent à rendre impossible l’exploitation de failles connues en bloquant les requêtes malveillantes.

Une approche qui nécessite une visibilité suffisante sur les équipements pour identifier lesquels ont besoin de ces protections : un point sur lequel les représentants de Claroty et Tenable, deux fournisseurs de solutions de sécurité à destination des industriels, s’entendent. « La première chose, ça reste d’avoir une véritable cartographie et une visibilité des actifs. C’est comme ça qu’on peut mettre en place des mesures de protection » explique Edem Nyawouame, de Claroty. « Il ne s’agit pas vraiment de compter les équipements, mais de connaître les vulnérabilités, les firmwares et leurs versions, disposer d’un inventaire complet », approuve Badr Laasri, de Tenable.

Rien ne sert de viser une protection parfaite, mais proposer une sécurité suffisante est déjà un premier pas pour beaucoup d’acteurs. Pour cela, comprendre les risques et être capable de sensibiliser les équipes opérationnelles est une piste à ne pas négliger. Encore faut-il savoir s’y prendre, comme le rappelle Sabri Khemissa, responsable de la sécurité chez Saint-Gobain : « il faut rester très pragmatique sur les demandes, et garder le lien avec les équipes qui travaillent sur les lignes de production. Pas la peine de débarquer en costard ou de se poser en auditeur. On est là pour accompagner les métiers, pas pour se faire jeter de l’usine ».

Source : ZDNet.com

Catégories