Aujourd'hui, les systèmes industriels sont de plus en plus pilotés par le numérique, ce qui les expose aux cyberattaques. Face à un risque croissant, connaître les bases de la cybersécurité industrielle, ainsi que les termes techniques qui s'y rattachent, est un prérequis nécessaire pour pouvoir faire face efficacement aux menaces.
SCADA, ICS, DCS, HMI, PLC... Derrière le seul terme d’OT (Operational Technology – en opposition à l’IT, Information Technology), le jargon industriel fourmille d’appellations dont l'interprétation varie selon les secteurs et les entreprises. « Même ce terme d’OT est complexe et hétérogène, précise Vincent Riondet, Responsable des équipes Projets et Services Cybersécurité de Schneider Electric France, en cela qu’il est l’orphelin du système d’information traditionnel ». Souvent mal traduits ou appréhendés de façons différentes, ces termes propres au milieu industriel peuvent être source de confusion, notamment au sein des équipes de sécurité informatique. Pour protéger les équipements industriels, du monde ferroviaire jusqu'au monde hospitalier en passant par bien d'autres, une connaissance fine de leur fonctionnement et des termes qui les désignent s’avère déterminante pour mettre en œuvre les actions adéquates. D'autant plus lorsqu'il faut répliquer à une cyberattaque en cours.
Qu'est-ce qu'un SCADA ?
Le terme SCADA (Supervisory Control And Data Acquisition) a pris une place centrale dans le jargon industriel. Pourtant, sa définition est sujette à des interprétations diverses en fonction des zones géographiques, mais aussi des métiers. Le SCADA peut désigner un software installé sur un PC pour collecter de la donnée ou être assimilé à un système de supervision globale. Une première approximation qui pose problème.
« C’est en effet cette terminologie de SCADA qui prête le plus à confusion pour les acteurs de l’IT, explique Vincent Riondet. Un RSSI va ainsi avoir tendance à mettre toute la technologie opérationnelle derrière ce terme de SCADA. » « Alors que si on est automaticien, le SCADA désigne le système capable d'acquérir et de traiter un grand nombre de données. C'est un logiciel de supervision. Pour les personnes qui ne sont pas dans l'automatisme, elle peut désigner, par abus de langage, tout système de contrôle industriel », complète Fabien Miquet, Product & Solution Security Officer chez Siemens. Dans cette même idée, un intégrateur va parler de SCADA pour tout ce qui est installé dans un système industriel, jusqu'aux contrôleurs.
Une personne issue de l’IT n’aura pas la même définition du SCADA qu’une personne issue de l’OT.
Vincent Riondet, Responsable des équipes Projets et Services Cybersécurité de Schneider Electric France
Dans les faits, en France et plus largement en Europe, le SCADA est généralement appréhendé comme un système de télégestion et de télémesure, qui bénéficie d'une communication en temps réel et qui est utilisé pour contrôler les installations. Mais de l’autre côté de l’Atlantique, c’est une autre histoire.
ICS, DCS, HMI, PLC : au cœur du jargon industriel
Aux États-Unis notamment, le terme de SCADA va en effet être utilisé avec une définition plus large qu’à la sauce européenne, puisqu’il désigne un système de supervision globale, constitué des ICS, DCS, HMI et autres PLC.
L'ICS (Industrial Control System) est un acronyme qui englobe le système industriel dans son ensemble. Il a pour finalité de tout contrôler, ce qui inclut le SCADA dans la vision européenne, et est souvent confondu avec celui-ci. « Par abus de langage, l'ICS est ce que les "non automaticiens" appellent un SCADA », précise Fabien Miquet. En tant que système global, il est souvent considéré comme le talon d'Achille de la cybersécurité industrielle car sa surface d'attaque, c'est à dire son exposition au risque cyber en fonction de sa taille, est par nature plus importante.
Par abus de langage, l'ICS est ce que les "non automaticiens" appellent un SCADA.
Fabien Miquet, Product & Solution Security Officer Siemens
En parallèle de l'ICS et du SCADA, le terme de DCS (Distributed Control System) est également utilisé. Et confondu avec les deux autres. Connecté, cet autre système permet de mettre en réseau plusieurs automates, voir les remplacer, pour pouvoir faire de la gestion de processus plus complexes, avec des tâches distribuées et locales.
Les Interfaces Homme-Machine (IHM ou HMI, pour Human Machine Interface en anglais) correspondent quant à elles aux interfaces qui vont permettre à l’utilisateur de se connecter à un système ou à un automate. C’est le canal de communication entre le SCADA (qui récupère les données) et l'Humain (qui a besoin de les connaître). En France, ce terme est souvent confondu avec le SCADA. « Dommage, on a laissé de côté le reste de la traduction » regrette Vincent Riondet. « Les automaticiens français ont tendance à parler de SCADA uniquement pour les couches hautes du contrôle-commande (sur la supervision et historique des données), là où les autres automaticiens européens vont en parler jusqu’au niveau des contrôleurs. »
Enfin, autre terme souvent utilisé, le PLC (Programmable Logic Controller) est quant à lui un dispositif qui permet de contrôler des automates autonomes. Quand il est traduit en français, on parle alors d’« automate programmable industriel » ou API. À ne pas confondre avec les interfaces de programmation applicative (Applications Programming Interface en anglais). Vous suivez toujours ?
« Tous ces domaines, l'IT, l'OT, l'automatisme, ont leurs propres jargons. Tout désigner par le terme SCADA finit par générer de l'incompréhension entre les personnels. Et ne pas s'entendre sur les termes techniques est source de vulnérabilités en cas d'attaque », expose avec recul Fabien Miquet.
De l’importance de maîtriser le jargon industriel
Et de cette confusion des genres viennent une partie des risques cyber de l’industrie 4.0. Employer à tort ou confondre des termes qui se ressemblent mais qui n’ont pas la même fonction ou les mêmes objectifs rend plus ardue encore la mission de cybersécurité des systèmes industriels.
Sans jouer au jeu des 7 différences, il est possible de rapidement résumer les principales différences entre le SCADA et le DCS – véritable nœud de tension du jargon industriel.
- Un DCS est orienté vers les processus, là où un système SCADA est davantage orienté vers la collecte de données ;
- Un DCS est piloté par des processus en interconnectant des capteurs, des contrôleurs, des terminaux ou encore des actionneurs, là où un SCADA est piloté par des événements qu’ils soient chimiques, physiques ou linéaires ;
- Un DCS est plus intégré et peut faire plus de choses complexes, mais un SCADA est plus flexible.
De quoi permettre d’anticiper au mieux les vulnérabilités et menaces cyber de chacun. Et d’y faire face en amont, pour protéger plus efficacement tout son système industriel.
Garantir la cybersécurité industrielle aujourd'hui
Pour les industriels, le principal risque cyber concerne les unités de production. Une cyberattaque peut en effet les perturber, les endommager, voire les stopper, avec des pertes financières souvent lourdes à la clé et, dans certains cas, des impacts humains et environnementaux. Une vulnérabilité qui vient notamment du fait que le monde OT n'évolue pas à la même vitesse que le monde IT.
« L'OT se transforme moins vite que l'IT. La cybersécurité doit s'adapter à l'industrie et non l'inverse. C'est assez rigide. ll faut parfois faire du reverse engineering sur l'existant afin de proposer les meilleures solutions possibles », analyse Franck Bourguet, Vice-President Engineering de Stormshield.
En effet, un appareil de production est conçu pour durer plusieurs dizaines d'années et doit fonctionner en permanence. Ce qui ne facilite pas les mises à jour en dehors des phases de maintenance, très planifiées, pour un impact minimum sur les chaînes de production. De plus, le monde OT fonctionnait historiquement sans internet, et donc à l’écart des menaces venant directement d’Internet. Mais avec la révolution numérique et l'automatisation, les usines deviennent connectées et doivent désormais faire face à des risques cyber.
« La connectivité accrue des systèmes industriels ainsi que leurs interfaçages avec les réseaux IT augmentent les risques de sécurité en proposant de nouvelles surfaces d’attaques », précise Franck Bourguet. Aujourd'hui, les éditeurs et les entreprises de cybersécurité doivent pouvoir répondre à des problématiques d'ensemble qui incluent IT et OT et qui prennent en compte l'architecture globale d'un client. Autour de cette idée de toujours protéger ces surfaces d'attaques.
Utiliser les bons outils et adopter les bonnes pratiques
Mettre en place une défense en profondeur comportant plusieurs barrières – signatures cryptographiques, principe de moindre privilège, blocage des ports USB et autres périphériques, segmentation du réseau – est une première réponse. Sans oublier cependant que l'humain reste à ce jour le meilleur rempart. « Les règles d'hygiène numérique (gestion des mots de passe, mises à jour, sauvegardes, etc.) fournissent une protection efficace et peuvent éliminer 80% du risque cyber », conclue Fabien Miquet.
Dans une logique de protection renforcée, l'harmonisation du jargon industriel doit être une priorité, afin que les personnels puissent se comprendre et prendre les bonnes décisions. Aujourd'hui, les bonnes pratiques numériques sont l'affaire de toutes et de tous dans l'entreprise.
