Les réseaux de technologies opérationnelles (OT) (tels que les systèmes de contrôle industriel et SCADA) qui irriguent les sociétés modernes actuelles sont constitués d’équipements conçus pour fonctionner ensemble, de manière intégrée et homogène. La défaillance d’un seul de ces systèmes peut, par effet domino, aboutir à des conséquences particulièrement lourdes. À titre d’exemple, l’électricité requiert des services de télécommunications pour transférer les informations de son smart grid. Ces services de télécommunications sont également utilisés lors des transactions financières entre producteurs et consommateurs d’électricité. De leur côté, les centrales électriques tirent parti du charbon, du gaz naturel, du pétrole, etc. pour alimenter les acteurs des télécommunications et de la finance. Les réseaux de transport ferroviaire et routier assurent l’acheminement des matières premières vers les producteurs d’énergies. Et ainsi de suite…

Les biens et services produits par les organisations et opérateurs d’importance vitale (OIV) de notre pays relèvent d’activité intimement imbriquées dans l’optique d’assurer le niveau et la qualité de vie que tout citoyen est en droit d’attendre de la société dans laquelle il vit.

Les menaces qui pèsent sur les systèmes et équipements OT essentiels à la sécurité nationale, aux systèmes de santé publique et au dynamisme économique d’un pays impliquent une protection adéquate. Cette protection est d’ailleurs une réalité depuis les années 1990 déjà. Voilà qui peut paraître antique, mais notons que les mesures de protection prises à l’époque pour protéger ces systèmes industriels ont évolué pour devenir les technologies de sécurité utilisées aujourd’hui pour protéger les infrastructures IT.

La sécurité des systèmes industriels est un défi majeur, et ce, pour de nombreuses raisons. En premier lieu, ces systèmes ont été conçus à l’origine pour fonctionner de manière autonome et cloisonnée, évitant ainsi de faire appel à une protection issue de l’extérieur. Mais avec un cycle de vie qui peut aller au-delà de 30 ans, les équipements et les systèmes d’exploitation ne sont souvent plus mis à jour, et sont même parfois obsolètes.

Mais les choses changent, comme l’illustrent ces systèmes OT qui ne fonctionnent plus de manière autonome. Dans de nombreux cas, ils sont connectés aux réseaux IT d’entreprise pour échanger des informations métiers et utilisent ainsi des services de télécommunications qui les connectent à Internet ou à des opérateurs.

Les opérateurs d’importance vitale ont été lents à adopter de nouvelles technologies, puisque leurs systèmes OT ont permis de concevoir, pendant des années et à l’aide de processus éprouvés, un produit fini qui est essentiel à notre société moderne. Qu’il s’agisse d’électricité, de médicaments, de produits chimiques ou de l’alimentaire, les systèmes OT ont su, historiquement, fonctionner en continu et sans défaillance majeure.

Bien sûr, certaines pièces ou modules sont parfois tombés en panne, mais les systèmes sont suffisamment résilients pour absorber de tels dysfonctionnements et continuer la production. On ne s’étonnera donc guère de constater que des systèmes datant de la fin des années 80 sont encore opérationnels à ce jour.

Les spécialistes de la sécurité, et notamment ceux évoluant dans l’IT classique, s’interrogent souvent sur le niveau de protection des systèmes OT face aux cyberattaques. Il est évident que nombre de ces systèmes hérités n’ont jamais été conçus dans une optique de cybersécurité, ce qui constitue un réel risque pour les services critiques et même les vies humaines. S’il est possible de déployer des couches de protection, cette approche induit néanmoins un coût en termes de déploiement, d’ingénierie et d’exploitation. Une alternative serait d’embarquer les fonctions de protection au sein du matériel et de proposer ainsi une sécurité native. Cette approche est d’ailleurs à l’étude car pertinente sur le long terme. Mais compte tenu de la durée de vie de la majorité des équipements existants, le déploiement de la sécurité ne peut être que lent et plusieurs décennies seraient nécessaires pour aboutir à une sécurité intégrale et donc performante. D’autre part, au-delà du risque d’interruption des services critiques, la mise à jour de ces systèmes se révèle in fine aussi coûteuse que de déployer des couches de sécurité.

Face à la longévité des systèmes OT hérités, le coût est un élément décisionnel pour les investissements à long terme. Une des méthodes pour financer les évolutions nécessaires est de faire supporter les coûts aux consommateurs des biens et services produits. Cette solution n’est cependant pas très pérenne, puisque les consommateurs des produits générés par ces systèmes et dispositifs OT ont déjà intégré les coûts fixes de ces produits dans leurs budgets. La facture supplémentaire liées aux nouvelles technologies et leur durée de vie plus courte, peuvent rapidement devenir des éléments prohibitifs. Notons également que ce transfert de coût n’est pas toujours possible pour des raisons réglementaires. L’absence de consensus entre les constructeurs et les propriétaires de systèmes OT sur les éléments tarifaires et sur les méthodes de financement de ces changements est une problématique qui dure déjà depuis des décennies.

Jusqu’à récemment, il n’existait pas vraiment de preuve indiquant un réel besoin d’intégrer la cybersécurité au niveau du matériel pour se protéger des cybermenaces. Mais face à des malwares tels que STUXNET et SHODAN, à la cyberattaque subie par le réseau de distribution électrique d’Ukraine et à d’autres incidents ciblant les environnements OT, il est devenu urgent de protéger ces systèmes industriels pour assurer la viabilité de l’économie digitale actuelle. Le besoin immédiat est de protéger intégralement les systèmes OT des opérateurs d’importance vitale, tout en permettant un accès sécurisé de l’extérieur aux systèmes OT, lorsque nécessaire.

Ces considérations ne sont guère nouvelles pour les communautés ICS/SCADA qui connaissent ce dilemme depuis les années 1990. Leur priorité est de protéger les technologies OT et les systèmes ICS/SCADA contre toute forme de cyber-manipulation, et ainsi permettre aux OIV de continuer à fournir les produits et services nécessaires à notre société moderne.

Reste ainsi à identifier la stratégie la plus pertinente pour gérer les coûts particulièrement élevés de mises à jour des infrastructures OT et industrielles.

Compte tenu des interconnexions entre les secteurs d’importance vitale, la première étape en matière de cybersécurité est de segmenter les réseaux en des zones de contrôles distinctes, pour protéger les différents environnements OT entre eux. Ainsi, le piratage de l’un d’entre eux ne pèsera pas sur le fonctionnement des autres. L’étape suivante consiste à chiffrer tous les messages entre les interfaces homme machine, la base de données, les commutateurs de communications au niveau des terminaux distants (RTU – Remote Terminal Unit) et des automates programmables industriels (PLC – Programmable Logic Controllers) et jusqu’aux dispositifs. Sans accès à ces messages, un assaillant ne peut concevoir un logiciel malveillant (malware) imitant un message légitime et dans le but d’engendrer de réels dommages.

D’autres couches de défense doivent être appliquées, et nombre d’entre elles peuvent être activées rapidement, à l’image d’une authentification à deux facteurs sur les réseaux filaires et sans fil, des systèmes SIEM (Security Information and Event Management), de la gestion des patchs, etc. Pour les OIV, la finalité est de continuer à produire et commercialiser des biens et services issus de leurs processus, qu’il s’agisse d’électricité, de produits pétrochimiques, de gaz naturel, de médicaments, de l’alimentaire, d’eau, du traitement des eaux usées, etc. Ainsi, le retour sur investissement (ROI) des mises à niveau des plateformes de cybersécurité doit être mis en rapport avec les coûts résultant d’un arrêt de la production (et donc de la commercialisation) du produit fini suite à un incident majeur de sécurité. Notons d’ailleurs que cet incident de sécurité n’est plus hypothétique. La seule incertitude est de savoir quand ce risque se réalisera.

_________
Christophe Auberger est Directeur Technique France de Fortinet
.