Stormshield - Cybersécurité pour les systèmes industriels à l'ère de l'industrie 4.0
Stormshield
L'industrie 4.0 est florissante. Mais comment garantir la sécurité globale dans un domaine qui associe de plus en plus les systèmes industriels, l'internet des objets, le cloud et le big data ? Spoiler : Tout ne tourne pas autour des capteurs.
Vous avez probablement entendu l'histoire de la machine à café connectée à Internet qui a conduit à l'introduction d'un ransomware dans une entreprise industrielle pétrochimique. Cette histoire illustre le défi de la protection d'une industrie 4.0 de plus en plus connectée - à savoir la sécurisation d'une surface d'attaque toujours plus grande. L'introduction progressive de capteurs intelligents et/ou de connexions au cloud crée de nouvelles connexions avec le monde extérieur. Celles-ci constituent à leur tour des failles de sécurité potentielles dans l'industrie, un secteur qui est déjà la cible d'un nombre considérable de cyberattaques.
Technologie opérationnelle : un environnement à plusieurs niveaux
Dans la pratique, les systèmes industriels se composent de machines physiques au sein d'une usine (moteurs, pompes, vannes et capteurs), gérées par des systèmes de contrôle (API et applications SCADA) et des systèmes informatiques (pour l'analyse des données). "Ce que nous appelons aujourd'hui [industrie] 4.0 est un concept basé sur la numérisation de l'industrie, dans un but d'amélioration continue", souligne Thierry Hernandez, Account Manager Stormshield et spécialiste de la sécurité OT. Ce concept repose sur plusieurs facteurs, dont les changements d'outils et de ressources (robotique, AGV, logiciels de réalité augmentée, etc.) et de technologies (protocoles de télécommunication, capteurs et objets connectés pour l'alimentation en données). Tout cela est aujourd'hui interconnecté dans une usine. L'objectif final est d'alimenter en données un système de cloud computing ou d'edge computing qui héberge des solutions dotées d'une grande capacité de calcul et basées sur des algorithmes de pointe. L'objectif principal est d'offrir l'excellence opérationnelle grâce à l'efficacité énergétique, au gain de temps, à la réduction de la consommation de matériaux ou à la maintenance prédictive.
"Pour simplifier, la production est organisée en quatre couches", explique Thierry Hernandez. "La première couche est constituée des automates programmables qui commandent tous les actionneurs et les vannes. La deuxième couche est le SCADA (le logiciel de surveillance et d'acquisition qui se base sur les données fournies pour assurer le bon fonctionnement). La troisième couche est la gestion avec le MES, qui gère tous les processus de suivi et de planification de la production. Enfin, la quatrième couche est le système ERP, qui édite notamment les ordres de production". Ces progiciels permettent de gérer tous les processus de l'entreprise et constituent donc un facteur important qu'il ne faut pas négliger dans le cadre de la stratégie globale de cyberprotection.
Comment concevoir la cybersécurité industrielle ?
Aujourd'hui déjà, la cybersécurité des systèmes industriels doit lutter contre un certain "héritage". Et c'est précisément ce qui peut poser problème. "En France, un système industriel a en moyenne une espérance de vie d'environ 15 ans. C'est l'âge moyen des machines de production. Pour les trains et les systèmes de métro, cette espérance de vie va jusqu'à 30 ou 40 ans. Et si nous considérons des systèmes encore plus critiques, comme le secteur nucléaire, les centrales ont une espérance de vie de 60 ans. Bien sûr, ces systèmes, parfois très anciens, sont vulnérables", ajoute Jean-Christophe Mathieu, directeur de la cybersécurité Orange Cyberdefense.
"Historiquement, cette infrastructure a souvent été mise en place sans planification. En d'autres termes, elle a été conçue et automatisée en fonction des besoins, les gens câblant les choses comme ils le souhaitaient", explique Stéphane Prévost, Product Marketing Manager chez Stormshield. "En conséquence, tous ces systèmes automatisés ont été installés dans un réseau "plat". Aujourd'hui, pour les sécuriser, il est nécessaire de les segmenter". La segmentation du système informatique est donc apparue comme un moyen d'isoler et de protéger les actifs les plus sensibles des autres. Le résultat est que les cybermenaces sont contenues et que les performances sont optimisées pour les différents appareils. À une époque où de plus en plus de capteurs, de machines et de processus de production sont mis en réseau dans les usines, la segmentation offre un rempart essentiel à l'industrie 4.0.
Pourquoi une approche "OT-first" est-elle importante ?
Ces problèmes "4.0" ne sont plus seulement gérés par le personnel opérationnel d'une usine. "Nous constatons encore que dans beaucoup trop d'entreprises, les équipes IT et OT ne communiquent pas efficacement entre elles. Il existe encore d'importantes différences culturelles et des querelles mesquines. Or, il est impossible de parvenir à une approche globale de la sécurité si les gens ne se parlent pas et encore moins ne collaborent pas", souligne Jean-Christophe Mathieu.
Pour les activités informatiques, cela signifie qu'elles doivent adapter leur approche cyber afin d'inclure les défis de l'OT. "Les gens de l'OT ont pour principale obsession de tout faire fonctionner. Il est donc important de trouver le bon équilibre entre les systèmes de protection et la nécessité d'assurer la continuité de la production et des activités", explique Thierry Hernandez. Cela signifie qu'un pare-feu ne doit être utilisé que s'il n'entrave rien dans l'usine.
En d'autres termes, la protection informatique ne doit pas se faire au détriment de la production. "La sécurité doit être assurée d'une manière qui garantisse la disponibilité du système", souligne Stéphane Prevost. Cette exigence clé a donné lieu à une nouvelle approche, dont fait partie l'émergence de la cybersécurité industrielle, qui est en passe de devenir une discipline à part entière. Avec des prestataires de services de plus en plus spécialisés, dont Stormshield fait partie, qui peuvent proposer des solutions transparentes pour les systèmes existants. "Cette transparence doit être présente pendant la phase d'intégration, mais aussi plus tard, lorsque d'éventuelles défaillances matérielles apparaissent, afin de ne pas perturber la production", ajoute Stéphane Prevost. "Les solutions de firewall industriel de Stormshield sont toutes dotées de plusieurs garanties afin de renforcer la sécurité de fonctionnement, comme par exemple des fonctions de bypass et de safe mode ou des alimentations redondantes".
Comment gérer le cloud computing et l'edge computing ?
La remontée des données est un élément clé de l'industrie 4.0. "Il est important de garantir la parfaite intégrité des informations qui arrivent des capteurs et de transmettre rapidement ces données au système ERP et au cloud", explique Thierry Hernandez. "La protection de la couche inférieure du réseau d'exploitation est un objectif important qui permet de sécuriser ces informations à la source avant qu'elles ne soient utilisées plus haut".
"L'edge computing, y compris tout ce qui est lié au calcul de la consommation d'énergie, est ramené à un point aussi proche que possible du réseau d'exploitation, qui est directement connecté à l'infrastructure cloud", ajoute Stéphane Prevost. "Cela conduit à une interconnexion plus poussée et rend le système opérationnel plus vulnérable aux cyber-menaces".
L'industrie 4.0 doit donc avoir une vision globale de sa sécurité. Avec l'identification et la cartographie des actifs sensibles, la segmentation (voire la micro-segmentation pour l'IIoT), afin d'isoler chaque pièce des autres et d'éviter la propagation d'une attaque. Mais cela suppose, selon Jean-Christophe Mathieu, que tout fonctionne de manière hautement organisée. "Nous devons savoir qui fait quoi, quand et comment, accompagné d'une traçabilité complète pour éviter que quelqu'un accède au système. Ou, si quelqu'un y accède, pour savoir exactement qui c'est et ce qu'il y fait".
Les solutions de sécurité utilisées dans les usines doivent pouvoir suivre cela. "Chez Stormshield, nous allons jusqu'à vérifier les messages que le système de commande et de contrôle envoie aux machines", explique Stéphane Prévost. "Lorsqu'un poste d'ingénierie transmet un changement de réglage à un automate, il faut vérifier qu'il s'agit du bon poste avec la bonne personne et que la commande envoyée est autorisée". Cette fonction de contrôle des messages permet également de vérifier que les valeurs envoyées aux API sont entièrement conformes au processus opérationnel. "Nous pouvons déterminer si une valeur dépasse un certain niveau, d'une manière qui est susceptible de mettre en danger ou de détruire un appareil, voire de constituer une menace pour l'ensemble du système de production".
L'industrie : une cible de choix pour les pirates
Comme c'est souvent le cas dans le domaine de la cybersécurité, les normes fournissent une orientation importante pour l'utilisation des "filets de sécurité". Dans le cas des systèmes industriels, la norme CEI 62443 est la référence en la matière. Chaque secteur procède selon ses propres spécificités, notamment dans les industries classées KRITIS (infrastructures critiques) qui exigent des niveaux de sécurité très élevés.
Malgré ces normes, les systèmes industriels restent néanmoins vulnérables. Notamment parce que les dispositifs physiques (API, contrôleurs, régulateurs, etc.) sont utilisés à des fins très différentes et jouent un rôle central dans de nombreux systèmes. Par exemple, nous trouvons les mêmes types d'API pour la gestion d'un bâtiment (chauffage, ventilation, climatisation) et dans une chaîne de production pour la fabrication de voitures. Dès qu'une faille est découverte dans l'un de ces appareils très répandus, tous ces systèmes doivent être considérés comme vulnérables. "Nous trouvons de très nombreuses analogies entre les différents secteurs", remarque Thierry Hernandez. "Une entreprise de cosmétiques peut être comparée à une entreprise du secteur pharmaceutique, car l'infrastructure informatique utilisée peut être similaire. Mais le niveau de sécurité dépend de la gouvernance".
Et ces menaces sont bien réelles. Outre le vol de données et l'espionnage industriel, les API font désormais partie des cibles des pirates et menacent le système de production avec un important événement de ransomware. Cela comporte également le risque d'une perturbation de l'exploitation ou d'un arrêt de la production. "Indépendamment des conséquences d'un acte malveillant ou d'une erreur interne, le plus grand danger provient d'un arrêt de la production. Le coût économique est énorme", ajoute Thierry Hernandez. Ainsi, la compagnie maritime AP Moller-Maersk chiffre à 300 millions de dollars les cyberattaques qu'elle a subies en 2017.
Les attaques peuvent viser des chaînes d'approvisionnement qui sont de plus en plus complexes, étendues et interconnectées. Par exemple, un capteur "reconfiguré" par un cybercriminel peut entraîner l'ouverture d'une vanne plus loin qu'elle ne le devrait. Dans le cas d'un château d'eau, cela pourrait entraîner l'inondation de toute la zone.
Comme nous l'avons vu, les solutions IIoT et les systèmes industriels ne sont pas suffisamment préparés pour fonctionner dans un environnement connecté et sont donc plus vulnérables aux cyberattaques. Les informations que ces éléments connectés collectent et partagent ne doivent pas interagir directement avec le système central. "Si c'est le cas, elles doivent être suffisamment filtrées pour s'assurer qu'elles ne sortent que vers l'extérieur et non vers le cœur du système", prévient Jean-Christophe Mathieu. "Il est important de s'assurer que le cœur du système est isolé du reste".
Article de blog original de Khobeib Ben Boubaker, responsable de la ligne d'activité sécurité industrielle, Stormshield.
Raccourcis et autres. Corrections : Simon Schmischke