FIC 2021 : Cybersécurité des systèmes industriels à l’honneur.

La transformation numérique du secteur industriel est inexorable. Cependant, l’intégration des équipements connectés dans les usines a fait naitre de nouvelles formes de menaces informatiques. Le monde industriel a été battu de plein fouet lors de l’attaque des installations nucléaires iraniennes par le ver Stuxnet survenue en 2010.

Profitant de la vulnérabilité engendrée par cette L’interdépendance entre le système industriel et le système informatique, les piratages de sites industriels se sont multipliés ces dernières années. La nécessité de la mise en place de stratégies et de mesures de sécurité informatique spécifiques propres aux entreprises industrielles apparaît alors comme une évidence.

Forum International de la Cybersécurité

Dans cette optique, le Forum International de la Cybersécurité (FIC) a proposé cette année pour la première fois un side event consacrée à la cybersécurité pour les industriels. Des mises au point sur les menaces et les solutions de sécurité disponibles actuelles ont été effectuées.

Par la même occasion les problématiques causées par la conciliation de la sécurité informatique aux exigences propres de l’environnement industriel ont été évoquées.  Retour sur les points essentiels du FIC 2021, où la cybersécurité des systèmes industriels était à l’honneur.

La sécurité des systèmes industriels : un enjeu capital

Avec l’évolution vers l’industrie 4.0 qui a déjà commencé depuis une décennie, la convergence IT/OT (OT pour Operational Technology et IT pour Information Technology) est devenue une réalité. Si le système industriel, constitué par les automates et leurs postes de contrôle, était totalement autonome autrefois,

Actuellement de nombreuses entreprises ont décidé de le coupler avec le système d’information; personne ne peut le nier, cette intégration de l’informatique et de l’internet a insufflé maîtrise et gain de productivité dans l’industrie.

Cependant, cette interdépendance étend par la même occasion le risque de sécurité inhérent au système informatique au système industriel. Plus les objets industriels connectés prendront de place dans les usines, plus les attaques informatiques auront d’impacts sur l’OT et les sites industriels.

Force est d’admettre que ces piratages informatiques ciblant les industries vont multiplier en nombre et en puissance dans les prochaines années. La protection de l’appareil industriel devient alors un enjeu majeur pour les entreprises.

Une journée pour la cybersécurité for industrie, le 7/09/2021

Conscient de cet enjeu, les organisateurs de la FIC ont dédié toute une journée à la cybersécurité du monde industriel à travers le Cybersecurity for Industry. Ainsi pendant la journée du 07 Septembre, une séance plénière, des tables rondes, des keynotes et des démonstrations techniques autour de la cybersécurité industrielle se sont déroulées.

Ces échanges ont permis d’effectuer un état des lieux de la sécurité des systèmes industriels ainsi que de présenter des solutions industrielles sécurisées et des solutions de cybersécurité à mettre en place.

Une intensification des cybermenaces

« 10 ans après Stuxnet, état de la menace sur l’OT ». Des experts en cybersécurité, des dirigeants et divers acteurs du monde industriel se sont donné rendez-vous pour une table ronde autour des cybermenaces sur les systèmes industriels. D’une part, les menaces de cybersécurité industrielle sont réelles. D’autre part, la vulnérabilité des systèmes industriels face à ces attaques informatiques a été démontrée par plusieurs évènements récents.

Pas plus tard qu’en Février cette année, le système de traitement des eaux de la ville d’Oldsmar en Floride a subi une intrusion. Selon les informations communiquées, le pirate se serait infiltré à travers le logiciel d’accès à distance Teamviewer.

Des attaques de plus en plus sophistiquées.

Heureusement, l’incident a été détecté à temps, évitant le versement de dose mortelle de Soude (NaOH) dans les eaux. Rappelons aussi le cas de Norsk Hydro, un leader de la production d’aluminium mondial, victime d’une ransomware appelé LockerGoga en Mars 2019. Des fichiers dans des serveurs et des PC éparpillés dans plus de 40 pays ont été verrouillés sous cryptage obligeant l’entreprise à un arrêt de production temporaire.

Actuellement, les groupes de cyberextorsion ne se limitent plus au vol des données sensibles et s’attaquent également aux acteurs industriels. Les rançongiciels industrialisés visent le blocage de l’ensemble du système de production afin de proposer un échange en rançon.

« Les attaquants  sophistiqués, de l’envergure des attaques Stuxnet et Blackenergy, restent toujours d’actualité mais les cybercriminels plus classiques se sont également rejoints au rang. Ces derniers peuvent affecter le système de production industrielle même sans avoir recours à des outils complexes » explique Loïs Salamin, responsable de la sécurité d’EDF Hydro.

Des initiatives de sécurisation des sites industriels

Wavestone, le cabinet de conseil français a réalisé un benchmark des niveaux de cybersécurité au niveau des sites industriels de plus de 40 entreprises dans divers secteurs (pharmacie, eau, énergie, agroalimentaire…) Les résultats de l’audit ont démontré que 66% des entreprises disposent d’une Politique de Sécurité des Systèmes d’Information (PSSI) spécifique pour leurs sites industriels. 47% possèdent un responsable de cybersécurité sur site.

D’un point de vue général, les statistiques démontrent la prise de conscience des entreprises en matière de sécurité des systèmes industriels. Toutefois, des recommandations ont été formulées notamment dans la mise en place de solution sur mesure adaptée aux besoins spécifiques de chaque entreprise. Arnaud Soulié insiste également sur la qualification du personnel : « bien que des outils dédiés à la cybersécurité puissent aider dans l’amélioration du niveau de sécurité, aucun outil ne remplacera du personnel qualifié ».

D’ailleurs, selon les plus grands experts  « les entreprises commencent à prendre conscience des fragilités du monde de l’OT bien que cela se fasse progressivement selon les secteurs » propos prononcés par l’un des spécialistes  de la supervision réseau.

Beaucoup de failles de sécurité

Cependant, les systèmes industriels en place actuellement recèlent encore de nombreuses failles de sécurité plus ou moins facilement exploitables par les cybercriminels.

Avec 86% des entreprises l’intégrant à son SI industriel, la nécessité de l’accès distant au niveau de l’OT est indéniable. Cependant, comme l’a démontré l’incident de piratage du système de traitement des eaux d’Oldsmar, l’accès distant fragilise l’OT.

Ce faible niveau de sécurité s’explique notamment par l’utilisation de solutions non officielles (42% des entreprises) de type Teamviewer ou LogmeIn. De plus, pour 44 %, le site industriel est relié par une connexion site-à-site avec un tiers qui en assure la maintenance ou la supervision.

Le rapport mentionne également le problème de cloisonnement de réseau. « Aucun SI n’est 100 % isolé » observe Arnaud Soulié directeur du cabinet. En effet, 31 % des automates industriels sont accessibles depuis le réseau bureautique.

Pour 25 % des entreprises, les machines Windows OT font partie de l’Active Directory bureautique facilitant la propagation des rançongiciels au SI industriel. Aussi étonnant que cela puisse paraître, l’adoption de solutions de sécurité Endpoint Detection and Response (EDR) n’est pas encore répandue (seulement 53%).

L’importance de la disponibilité matérielle, et les risques courrus, pour l’It et l’Ot.

Le débat sur l’ajout des correctifs de sécurités était également remis sur le tapis. En effet, dans le domaine industriel, patcher requiert généralement un arrêt de production suivi d’une durée de test détaillé des mises à jour.

Même si l’opération peut prendre moins de 30 minutes, une légère interruption de service dans une usine peut se traduire par des millions d’euros de perte pour l’entreprise. « Pour l’IT, le risque majeur pour l’IT est la disponibilité des données.

Pour l’opérationnel par contre, c’est la disponibilité matérielle. Un serveur d’e-mail en arrêt pendant 20 minutes, n’impacte pas grand-chose. En revanche, si j’ai 22 minutes d’arrêt des machines, c’est l’équivalent d’une tonne de produits de perdus.

Donc, 22 minutes, c’est une catastrophe !» Explique Arnaud Masson, responsable des technologies opérationnelles du groupe MOM (Materne, Mont Blanc). La seule solution qui s’offre aux responsables OT consiste à profiter des opérations de maintenance pour corriger les failles.

Sur ce sujet, le rapport de Wavestone souligne la nécessité des correctifs de sécurité mais dont l’application doit se faire de manière pragmatique, en fonction de l’exposition des équipements. « Il faut éviter de surinvestir sur le sujet ».

Des solutions sécurisées, une nécessité bêtement ignorée.

Tous les intervenants se sont mis à l’unisson sur la nécessité d’une stratégie de cybersécurité solide et des solutions de sécurité pour répondre aux exigences de l’OT. « L’importance de la security by design est d’autant plus vrai pour l’OT que pour l’IT. » Souligne Loïs Salamin.

Une industrie 4.0 sécurisée dès la conception s’appuie sur un réseau industriel sécurisé mettant en avant la protection des équipements et le déploiement des solutions de sécurité.

La maîtrise de la sécurité des systèmes industriels s’appuie en premier lieu sur la disponibilité d’une vue d’ensemble sur les équipements. « La première chose, c’est d’avoir une véritable cartographie et une visibilité sur les actifs.

Des mesures de protection adaptées, pour contrer notamment les firmwares.

C’est seulement sur cette base qu’on peut mettre en place des mesures de protection adaptées » explique Edem Nyawouame, représentant de Claroty, fournisseur de solutions de sécurité informatique pour les industriels. Badr Laasri, son homologue de Tenable explique : « Il ne s’agit pas vraiment de faire l’inventaire des équipements, mais plutôt d’avoir une liste complète des vulnérabilités, des firmwares et leurs versions ».

Dans la mise en place des outils de cybersécurité, Il ne faut pas oublier que la finalité est de protéger le système industriel. Ainsi, la sensibilisation des équipes opérationnelles ne doit pas être négligée comme le soutient Sabri Khemissa, responsable de la sécurité chez Saint-Gobain : « la clé est de rester très pragmatique sur les demandes, et de garder le lien avec les équipes qui font tourner les lignes de production. »

Expliquons ce qu’est actuellement un firmware

Le mot par lui même est issu de firm (résistant ou ferme), de de software (logiciel dans le monde informatique. Firm s’avère être un intermédiaire entre soft (doux), et hard (matériel informatique), le fimware est un microcode, qui en temps normal peut résister aux coupures d’électircité, car il est stocké dans la mémoire morte.

D’autres prétendent que c’est aussi , un microprogramme ou un logiciel interne, ou bien un logiciel embarqué, qui doit être intégré dans un matériel informatique, pour pouvoir fonctionner ‘disque dur, routeur, appareil photo numérique, etc etc), c’est aussi une API.

Autres articles

•  Vols des données de tests Covid à AP-HP
• Cybersécurité des environnements industriels 
• Comment se protéger des cyber-risques ?
• L’automatisation de la cybersécurité pour lutter contre la multiplication des cyber-menaces
• Cybersecurité, le code source du jeu FIFA 21 diffusé par des pirates