La fermeture d’usines quelques jours ou quelques semaines à cause d’une attaque de pirates informatiques devient malheureusement courante, même si les victimes préfèrent taire leurs mésaventures. Pour en limiter les méfaits, comment y répondre tant les spécificités de l’informatique des usines est éloignée de celle des bureaux ? Et on ne peut s’arrêter à l’installation d’une solution, fut-elle éprouvée, au regard de l’inventivité sans cesse renouvelée des cybermalveillants. Avant la solution, voici un état des lieux.
La culture de la cybersécurité fait encore défaut dans l’industrie. Selon le rapport intitulé « État des lieux 2022 sur la sécurité industrielle » de la société Barracuda « 94 % des organisations industrielles déclarent avoir subi un incident de sécurité sous une forme ou une autre au cours des 12 derniers mois ». Les menaces sont nombreuses et se multiplient.
Ainsi, selon l’étude “ICS/OT Cybersecurity Year In Review 2022 – Focus On Europe” conduite par Dragos, les attaques par ransomware menées contre les entreprises industrielles ont augmenté de 87% par rapport à l’année passée et 83% des vulnérabilités se trouvent au cœur des systèmes de contrôle industriel (ICS).
Selon l’étude mondiale intitulée « Anatomy of 100+ Cybersecurity Incidents in Industrial Operations » (« Anatomie de plus de 100 incidents de cybersécurité dans les opérations industrielles ») réalisée par Cyentia Institute, les incidents de sécurité OT/ICS ciblent des infrastructures critiques, telles que les installations de production d’énergie. Ainsi, les auteurs de menaces se concentrent surtout sur le secteur de l’énergie (39 % des attaques), soit trois fois plus que sur les secteurs les plus souvent visés, à savoir la fabrication critique (11 %) et les transports (10 %).
Une fois entrés dans le système d’information, les hackeurs peuvent paralyser ou détruire un réseau ou bien rester discrets et observer qui fait quoi avant de dérober des documents, un savoir-faire ou désorganiser le fonctionnement d’une usine.
Dans les cas extrêmes, une cyberattaque peut aboutir à la fermeture d’une ou de plusieurs usines, pendant plusieurs jours à plusieurs semaines, voire ne jamais rouvrir.
Il apparaît qu’une des raisons importantes de ce dysfonctionnement vient de la reproduction, à l’identique, des principes de la sécurité informatique des bureaux (IT) à celle de l’informatique des usines (OT) malgré leur univers différent. Pour bien protéger les ateliers des cyberattaques, il faut bien en connaître les particularités.
Acquérir la culture de l’OT
Avant d’entreprendre une démarche cybersécuritaire, il est important de comprendre l’essence de l’OT (Operational Technology). Il exploite des équipements souvent mis en place depuis des années, voire plusieurs décennies, à une époque où la cybersécurité n’avait pas lieu d’être.
Ces actifs sont également caractérisés par leur hétérogénéité, tant par les équipements (serveurs, systèmes d’exploitation, etc.) que par les protocoles, notamment des réseaux. Parallèlement, les fusions, acquisitions et autres logiques économiques, comme la présence des industriels sur différents sites de production, ont démultiplié la dispersion des systèmes d’information (SI) en omettant souvent leur rationalisation.
Depuis quelques années, un facteur aggravant a étendu la surface des attaques, à partir des systèmes d’information (SI) des partenaires économiques moins bien protégés ou pas du tout protégés. Pour être efficace, la cybersécurité doit couvrir, de préférence, les SI industriels de bout en bout.
Répondre aux défis de la continuité numérique
Les défis de la cyberdéfense se compliquent avec l’adoption de l’industrie 4.0 qui ouvre la voie à l’analyse du cycle de vie, la production personnalisée de masse, l’automatisation très poussée, le contrôle des tâches sur site ou à distance, etc. Ces fonctionnalités ne sauraient exister sans la continuité numérique qui suppose une interconnexion de l’OT à l’IT (typiquement l’ERP) ou à l’intersection des deux (typiquement le Manufacturing Execution System, MES).
Avant, les hackeurs ne pouvaient accéder à l’OT qu’en passant par l’IT et seulement quand IT et OT étaient connectées. Aujourd’hui, les portes d’entrée se sont multipliées, soit via les fournisseurs et/ou clients soit via la progression de l’Internet des objets (IoT). En effet, chaque capteur-actionneur connecté à Internet devient potentiellement une porte d’entrée.
Faire progresser la culture de la cybersécurité
Une autre caractéristique complique la mise en œuvre de la sécurité. En effet, plusieurs acteurs participent au déploiement d’une solution informatique mais ils ne communiquent pas naturellement entre eux : fournisseur de réseau (responsable de la connexion), fournisseur de l’hébergement des serveurs, fabricant des équipements industriels, éditeur de suites logicielles.
Ajoutons que l’implication des installateurs d’équipements informatiques n’est pas toujours à la hauteur : on retrouve des ports série ouverts, des interfaces radio sans protection, des codes secrets faciles à deviner, entre autres.
Enfin, la rigueur du personnel fait également souvent défaut car la majorité des effractions est indirectement le fait des salariés qui ne suivent pas les consignes de sécurité à la lettre.
Si le maître d’œuvre d’un chantier de cybersécurité doit veiller sur les sous-traitants de la sécurité informatique, dont certains font encore fi des enjeux sécuritaires, le maître d’ouvrage doit sensibiliser et former les salariés de l’entreprise industrielle à la culture de la cybersécurité.
Toujours d’après Cyentia Institute, près de 60 % des cyberattaques dirigées contre le secteur industriel sont menées par des acteurs affiliés à des États et souvent activées involontairement par des membres du personnel (dans environ un tiers des cas). Plus de 80 % des auteurs des menaces proviennent d’organisations extérieures ; toutefois, les « initiés » jouent un rôle involontaire en ouvrant la porte aux auteurs de menaces dans environ un tiers des incidents.
Mettre à l’épreuve sa cybersécurité
La protection est plus efficace quand les mesures de sécurité techniques et organisationnelles sont prises en compte dès la conception du système d’information, tout prévoyant son évolution tout au long de son cycle de vie.
Quatre actions clés y contribuent : identifier les actifs à protéger, tenir compte des particularités de l’OT dans le choix des systèmes de cyberprotection, détecter l’attaque rapidement, apprendre à réagir en cas d’attaque en vue de relancer rapidement sa production et, last but not the least, sensibiliser et former les salariés à la cyberprotection. Alors, on peut parler de résilience de la cybersécurité.
Mais cela ne saurait suffire. En effet, pour améliorer le système de cyberdéfense, l’entreprise doit l’éprouver à intervalles réguliers car les techniques des cyberpirates évoluent sans cesse. Des hackeurs éthiques ont justement pour rôle la découverte de nouvelles failles. En les comblant aussitôt mises à jour, ces hackeurs amis permettent de renforcer dans la protection des systèmes d’information au cours du temps.
____________________________
Par Bruno Lignon et Pierre Paterni, responsables marché services infrastructure et cyber sécurité industrielles, chez Rockwell Automation