L’industrie du futur a le vent en poupe et avec elle, un bon nombre de menaces… mais aussi d’idées reçues. Comment assurer une sécurité globale dans une discipline qui combine de plus en plus les systèmes industriels, l’Internet des Objets, le Cloud et le Big Data ? Spoiler : ce n’est pas une question de capteurs.
Vous connaissez sûrement l’histoire de la machine à café connectée qui a introduit un ransomware dans une entreprise industrielle de pétrochimie. Cette histoire résume tout l’enjeu de la protection d’une l’industrie 4.0 de plus en plus connectée – à savoir sécuriser une surface d'attaque grandissante. C’est un peu comme chasser les courants d’air dans un bâtiment qui ouvre toujours plus de portes et de fenêtres. L’ajout progressif de capteurs intelligents et/ou de remontées dans le Cloud ont créé de nouvelles connexions avec l’extérieur. Autant de brèches potentielles dans un secteur industriel déjà fortement visé par les cyberattaques et qui n’est pas à l’abri des maladresses internes.
Un millefeuille technologique
Concrètement, les systèmes industriels sont composés d’équipements physiques au sein de l’usine (moteurs, pompes, vannes… et capteurs), pilotés par des systèmes de contrôle, à distance ou non, (automates et applications SCADA) et de systèmes d’information (pour l’analyse des données). « Ce que l’on appelle le 4.0 aujourd’hui, c’est d'abord un concept autour de la numérisation d'une industrie tendant vers un objectif d’amélioration continue, souligne Thierry Hernandez, Account Manager Stormshield et spécialiste de l’industrie. Ce concept repose sur plusieurs éléments, dont une évolution des outils (robotique, AGV, software de réalité augmentée, etc.) et des technologies (protocoles de télécommunications, capteurs et objets connectés pour remonter de la data). Le tout en interconnectant les différentes parties de l'usine. La finalité est alors de remonter la data vers un cloud ou edge computing hébergeant des solutions avec une forte capacité de calcul à base d’algorithmes dernier cri. Le principal rôle de celui-ci étant à son tour l’excellence opérationnelle à travers l’efficacité énergétique, la réduction des temps et de consommation de matière ou encore la maintenance prédictive. »
La production est alors optimisée, flexible et plus fluide. Grâce à la maintenance prédictive, elle peut même anticiper les pannes et ainsi garantir la constance du flux.
« Pour faire simple, la production est organisée en quatre couches, explique Thierry Hernandez. La première couche, ce sont les automates qui pilotent tous les actionneurs et toutes les vannes. La deuxième, c’est le SCADA (le logiciel de supervision et d’acquisition qui s’appuie sur les données remontées pour s’assurer que tout se passe bien, que les cuves se remplissent bien par exemple). La troisième couche, c’est le pilotage avec le MES, qui gère tout le suivi de production et la planification. Enfin, la quatrième couche c’est l’ERP qui notamment lance les ordres de fabrication. » Ces progiciels permettent de gérer l’ensemble des processus de l’entreprise, ce qui en fait une partie essentielle – à ne pas oublier dans la stratégie de cyber-protection de l’ensemble.
Si on ajoute à cela un cloud et la 5G, on comprend que l’usine 4.0 est un millefeuille technologique à l’architecture complexe, régi par ses propres codes.
Une cybersécurité industrielle à inventer
Même si elle est en train de s’inventer, la cybersécurité des systèmes industriels doit composer avec un certain héritage du passé. Et c’est peut-être justement là le problème. « En France, un système industriel dure en moyenne une quinzaine d'années. C’est l’âge moyen du parc machines pour les outils de production. Pour les trains, les métros, ces systèmes ont une durée de vie de 30 ou 40 ans. Et si on regarde des systèmes encore plus critiques, comme le nucléaire, les centrales ont des durées de vie de 60 ans. Forcément, ces systèmes parfois très anciens sont vulnérables », pointe Jean-Christophe Mathieu, Head of Industrial Security Orange Cyberdefense.
« Historiquement, ces infrastructures ont souvent été posées au petit bonheur la chance. C’est-à-dire qu’on a conçu et automatisé au fur et à mesure des besoins, en câblant un peu comme on voulait (ou comme on pouvait !), rejoue Stéphane Prévost, Product Marketing Manager Stormshield. Du coup, tous ces systèmes automatisés ont été mis sur un réseau à plat. Pour les sécuriser aujourd’hui, il faut les cloisonner. » La segmentation du système d’information apparaît donc comme une technique pour isoler les actifs plus sensibles des autres et les protéger. Conséquences : des cyber-menaces contenues mais aussi des performances optimisées pour les équipements. À l’heure où se croisent de plus en plus de capteurs, de machines et de flux dans les usines, la segmentation est un rempart essentiel de l’industrie 4.0.
Une approche “OT first”
Ces problématiques 4.0 ne sont plus gérées uniquement par les opérationnels des usines. Il faut donc composer avec un savant mélange des genres pour une convergence IT/OT réussie. Et ces deux mondes doivent apprendre à se comprendre. « Nous constatons encore dans de bien trop nombreuses entreprises que les équipes IT et OT ont du mal à se parler. Les différences culturelles restent encore fortes et parfois même quelques querelles de clochers subsistent. Or, on n’arrivera pas à avoir une approche globale de la sécurité si les gens ne parlent pas et ne travaillent pas ensemble », épingle Jean-Christophe Mathieu.
Pour les métiers de l’IT, cela suppose d’adapter son approche cyber aux enjeux de l’OT. « Les OT ont une obsession, c’est que ça tourne. Il y a donc un équilibre à trouver entre le système de protection et la continuité de la production, de l’activité », explique Thierry Hernandez. Comprendre : un pare-feu oui, à condition qu’il ne bloque rien en bas dans l’usine.
Pour le dire autrement, la protection de l’information ne doit pas se faire au détriment de la production. « On doit sécuriser de manière à garantir la disponibilité du système et faire en sorte qu’il continue de fonctionner », insiste Stéphane Prevost. Cet impératif conduit à une nouvelle approche et l’émergence d’une cybersécurité industrielle, en passe de devenir une discipline à part. Avec des acteurs cyber de plus en plus spécialisés, dont Stormshield, qui vont proposer des solutions transparentes pour le système en place. « Cette transparence doit s’appliquer lors de la phase d’intégration mais aussi plus tard, en cas de défaillance matérielle pour ne pas pénaliser la production, détaille Stéphane Prevost. Nos solutions de pare-feux industriels sont ainsi toutes équipées de plusieurs garanties pour une sûreté de fonctionnement, avec la fonctionnalité bypass ou safe-mode, la notion de cluster d’équipements ou encore des alimentations redondantes. »
Cloud et Edge computing, nouveaux enjeux de la sécurité globale
La remontée de la donnée est une composante importante de l’industrie 4.0. « Il faut que les informations arrivent avec une parfaite intégrité depuis les automates et capteurs, et qu’elles remontent vite vers l’ERP et le Cloud, insiste Thierry Hernandez. Protéger la couche basse du réseau opérationnel est un premier impératif, qui permettra de sécuriser à la source ces informations qui sont exploitées en haut. »
Sans compter les applications et les informations qui transitent par l’IoT. « Le Edge computing, notamment tout ce qui relève du calcul de la consommation énergétique, est remonté très près du réseau opérationnel, qui est directement connecté aux infrastructures Cloud, pointe Stéphane Prevost. Cela ajoute de l’interconnectivité et rend le système opérationnel plus vulnérable aux cyber-menaces. »
L’industrie 4.0 doit donc avoir une vision globale de sa sécurité. Identification et cartographie des actifs sensibles, segmentation (voire micro-segmentation pour l’IIoT) pour isoler les parties les unes par rapport aux autres et éviter la propagation d’une attaque, sécurisation des automates programmables et des postes de contrôles… La cybersécurité industrielle semble devenir mature. Mais pour Jean-Christophe Mathieu, cela suppose de travailler de façon très organisationnelle. « On doit savoir qui fait quoi, quand, comment, avec une traçabilité très forte. Pour empêcher que qui que ce soit puisse s’approcher du système. Ou, quand quelqu’un s’en approche, on soit capable de savoir exactement qui c’est et ce qu’il vient y faire. »
Et les solutions de sécurité déployées dans les usines doivent être capables de suivre. « Chez Stormshield, on va jusqu’à contrôler les messages transmis des systèmes de contrôle-commande aux machines, détaille Stéphane Prévost. Quand un poste d'ingénierie transmet une modification de paramètre à un automate, il faut s’assurer que c’est bien le bon poste d’ingénierie, avec la bonne personne connectée dessus, qui envoie une commande qui est autorisée. » Ce contrôle des messages permet également de contrôler que les valeurs transmises aux automates sont bien conformes au processus opérationnel. « On est capable de déterminer qu’une valeur ne dépasse pas un certain point, de manière à compromettre ou mettre en défaillance un équipement voire de mettre en péril tout le système de production. »
L’industrie, cible privilégiée des attaques malveillantes
Comme souvent en cybersécurité, la norme constitue un guide important pour le déploiement de filets de protection. Dans le cas des systèmes industriels, la norme IEC 62443 fait office de référence. Chaque secteur compose ensuite en fonction de ses spécificités, notamment les industries classées OIV, OSE ou encore SEVESO, qui requièrent un très haut niveau de sécurité. Le Clusif, une association d’utilisateurs de systèmes d’informations, a fait un panorama des normes et standards pour la cybersécurité des systèmes industriels. Ils en ont dénombré plus d’une cinquantaine !
Malgré ces normes, les systèmes industriels restent vulnérables. Notamment parce que les équipements physiques (automates programmables, contrôleurs, régulateurs…), connectés ou pas, sont utilisés pour des métiers très différents et se retrouvent au cœur de nombreux systèmes. On retrouvera par exemple le même type d’automates programmables pour piloter la gestion d’un bâtiment (chauffage, ventilation, climatisation) que sur une ligne de production qui fabrique une voiture par exemple. Dès qu’une vulnérabilité est découverte sur un de ces équipements largement diffusés, tous ces systèmes sont donc à risque. « Il y a beaucoup d’analogie entre les industries, note Thierry Hernandez. On peut comparer un acteur de la cosmétique avec un de la pharma, parce que les infrastructures et les architectures peuvent s’apparenter. Mais le degré de sécurisation va dépendre de la gouvernance. » Donc d’un certain degré de conscience des cyber-menaces.
Et ces menaces sont réelles. Au-delà des vols de données et de l’espionnage industriel, les pirates ciblent désormais jusqu'aux automates et contrôleurs de sécurité et menacent l'appareil de production, à grand coup de ransomware. Au risque de déclencher des catastrophes comme un incident d’exploitation ou l’arrêt de production, considéré comme les risques les plus nuisibles. « Quelle soit la conséquence d’un acte malveillant ou d’une maladresse en interne, la plus grande menace, c’est l’arrêt de production. Il y a une conséquence économique énorme », abonde Thierry Hernandez. Ainsi la compagnie maritime AP Moller-Maersk a évalué à 300 millions de dollars les coûts des cyberattaques qu’elle a subies en 2017.
Des attaques peuvent cibler les chaînes d’approvisionnement, de plus en plus complexes, larges et interconnectées. Par exemple, un capteur “reparamétré” par un cyber-criminel pourrait laisser une ouverture de vanne plus grande qu’autorisée. Dans le cas d’un château d’eau, cela pourrait signifier l’inondation de tout un territoire. Ou provoquer un incident d’exploitation grave. En novembre 2020, des chercheurs israéliens ont même avancé un scénario où il serait possible de créer un virus biologique à partir d’un virus informatique. Frissons garantis.
Comme nous l’avons vu, les solutions IIoT et les systèmes industriels sont peu préparés à opérer dans un environnement connecté, plus exposé aux cyberattaques. Les informations que ces objets connectés collectent et font remonter ne doivent pas être en interaction directe avec le cœur du système. « Ou si elles le sont, elles doivent être filtrées suffisamment et de façon unidirectionnelle pour qu’elles n’aillent que vers l’extérieur, donc vers ces fameux objets connectés, et pas vers le cœur du système, prévient Jean-Christophe Mathieu. C’est important de bien garder une isolation entre le cœur du système et le reste. » Et la maîtrise de toute son architecture, de bout en bout.
