Les systèmes d’information opérationnels sont omniprésents ; des usines de fabrication au musée en passant par les centres commerciaux ou les transports en communs. Par abus de langage, on les réduit aux systèmes d’information industriels ou à l’OT. Ils accompagnent de manière discrète nos moindres faits et gestes au quotidien, pour assurer notre confort et notre sécurité en toutes circonstances. Un changement de paradigme avec les systèmes d’information traditionnels de l’IT qui, eux, favorisent la sécurité des données, plutôt que la sécurité et la sûreté de fonctionnement. Pour autant, il ne faut pas négliger la cybersécurité des systèmes industriels tant les risques liés aux cyberattaques sont bien présents. Explications.
L’omniprésence de l’OT
Dans un certain imaginaire collectif, l’OT (pour Operational Technology) ne concernerait que des secteurs tels que l’industrie manufacturière, l’énergie, la santé ou encore les transports. Mais la quantité de champs d’application que couvre l’OT est bien supérieure à cette idée reçue : les systèmes d’information opérationnels sont absolument partout.
« À titre d’exemple, dans un aéroport, il y a une partie visible avec l’éclairage, la détection incendie, la vidéo-surveillance ou encore la climatisation. Et une partie moins visible avec les systèmes de tri bagages, les contrôles d’accès pour les zones à régime restrictifs, le balisage de pistes… », indique Jean-Christophe Mathieu, Head of Industrial Security Orange Cyberdefense. Et les exemples abondent : escalators, bornes d’enregistrement, rames de métro, caisses enregistreuses, distributeurs de billets ou encore portiques de sécurité… même si ces outils n’évoquent pas le monde industriel car ils ne produisent rien, ils constituent des systèmes opérationnels à part entière. Et, par là même, des systèmes critiques.
La cybersécurité pour les systèmes OT est donc primordiale, en cela qu’elle participe à leur sûreté de fonctionnement
Vincent Nicaise, Responsable des partenaires et de l'écosystème industriels chez Stormshield
« Ces systèmes d’information opérationnels pilotent des équipements qui agissent sur le monde physique. Une attaque sur le système de sécurité incendie peut rendre inopérante la sûreté d’un bâtiment public par exemple, souligne Vincent Nicaise, Responsable des partenaires et de l'écosystème industriels chez Stormshield. Imaginez un stade de foot plongé dans le noir par une cyberattaque visant le système d’éclairage… on n’a pas de mal à imaginer les mouvements de foule liés à la panique et leurs conséquences désastreuses. De même, une attaque malveillante sur le système de signalisation dynamique modifiant les signaux d’affectation des voies d’un tunnel peut causer de graves accidents. La cybersécurité pour les systèmes OT est donc primordiale, en cela qu’elle participe à leur sûreté de fonctionnement. »
Les contraintes spécifiques de la sécurité OT
Si de par leur convergence, il est courant de confondre l’OT avec l’IT, ce sont deux mondes que tout oppose de par les contraintes opérationnelles. Ainsi, malgré la convergence IT/OT, les objectifs ne sont pas les mêmes : quand l’IT traite de la donnée, l’OT la pilote pour opérer une action physique avec un impact dans le réel. En outre, s’il est relativement facile de mettre à jour un système informatique « classique », son pendant côté OT, cette « informatique industrielle » ou « informatique opérationnelle », est plus complexe. Il est par exemple impossible de couper l’activité d’un réseau d'assainissement et de distribution d'eau potable sans conséquences directes sur la distribution– ce qui demande une organisation et une planification des mises à jour des plus fines.
De plus, les systèmes d’information mis en place dans des contextes industriels le sont en général pour des longues périodes (trentaine d’années, voire plus). Ils sont vieillissants et donc fragiles : obsolescence des composants, pas ou peu de mécanismes de cybersécurité intégrés, patchs de management complexes à mettre en œuvre…
Enfin, les environnements y sont souvent contraignants, voire hostiles, avec leurs conditions d’exercice spécifiques (poussière, températures très basses ou élevées, vibrations, électromagnétisme, produits nocifs à proximité…) et les possibilités d’accès parfois ardues (tunnels, stations de pompage, sous-stations électriques, lieux isolés…).
Ainsi, les préoccupations principales de la sécurité OT sont d’éviter les dommages corporels, environnementaux, matériels, et le maintien de l’activité industrielle, même dans des conditions détériorées. « Il s’agit avant tout de faire face à des épisodes comme celui de la tentative d’attaque sur le réseau hydraulique israélien, en avril dernier, durant laquelle du chlore ou d’autres produits chimiques auraient pu être mélangés à l’eau, dans de mauvaises proportions », décrit Vincent Nicaise. Une attaque dans la lignée de celles contre Fleury Michon en avril 2019 ou encore Honda en juin 2020, avec l’impossibilité dans les deux cas de poursuivre des opérations sur les lignes de production. En plus de cette préoccupation de la sûreté de fonctionnement dans l’OT, la disponibilité du système passe devant l’intégrité des données et leur confidentialité. Une grande différence avec l’IT qui va privilégier en premier lieu la confidentialité. « Certains secteurs font exceptions où la confidentialité conserve toute son importance. C’est le cas par exemple de la pharmacologie, qui protège scrupuleusement ses recettes de fabrication. Ici, la propriété intellectuelle constitue un réel avantage concurrentiel. Mais, pour la plupart des usines, protéger les secrets de fabrication ne constitue pas un challenge en soi : en tout cas bien moins que devoir maintenir opérationnel des centaines de machines avec des opérateurs pas nécessairement précautionneux », témoigne Jean-Christophe Mathieu.
L’OT face aux risques cyber
Avec la convergence IT/OT et l’omniprésence du numérique, les systèmes d’information opérationnels, traditionnellement isolés, gagnent en efficacité et en agilité. Mais cette flexibilité nouvelle va de pair avec de nouveaux risques cyber. Pour s’en prémunir et assurer la cybersécurité pour les systèmes OT, retour sur quelques principes d’hygiène numérique de base.
- Segmentation des réseaux : la convergence IT/OT et la numérisation des systèmes d’informations opérationnels amène une brèche dans ces systèmes critiques historiquement hermétiques. Il est donc primordial de mettre en place une segmentation du réseau, tel que le prévoit la norme IEC 62443 dédiée à la cybersécurité des installations opérationnelles. Elle assure une isolation des systèmes et limite la propagation d’une cyberattaque.
- Sécurisation des communications process : une sécurité maitrisée passe par une connaissance fine des échanges au niveau des process. « Il est important de connaître les flux de communication inter-automates ainsi que les échanges avec la supervision, témoigne Vincent Nicaise. Une fois que l’on a cette visibilité, il faut pouvoir analyser les trames et n’autoriser que les communications légitimes. De cette manière, on peut bloquer toute commande ou échange illégitime. À ce niveau du système d’information, le travail de sécurisation n’est possible que si l’équipement de sécurité est capable d’analyser les protocoles industriels utilisés pour la conduite du process. » La mise en place d’analyse protocolaire va un cran plus loin, en garantissant la légitimité des messages échangés entre automates.
- Sécurisation de la télémaintenance et de la téléconduite : dans le cadre de la maintenance des installations, l’intégrateur du système peut être amené à se connecter au réseau de production. Il est donc primordial d’authentifier l’intervenant et de sécuriser les flux de communication entre le site industriel et le mainteneur – par exemple en les chiffrant avec l’installation de pare-feu ou de VPN. D’autre part, il est recommandé de définir sa zone d’intervention et de ne lui laisser accès qu’au strict nécessaire. « C’est d’autant plus important qu’il peut y avoir plusieurs dizaines d’intervenants extérieurs susceptibles d’intervenir sur des périmètres différents des systèmes industriels », souligne Vincent Nicaise. Il en est de même pour la téléconduite de processus distribués pour lesquels il est essentiel de s’assurer de la sécurisation des communications et ainsi garantir l’intégrité des données.
- Sécurisation des postes de supervision : dans cet environnement peu agile et vieillissant, un malware peut se propager en un rien de temps. Les postes de supervision utilisent des systèmes d’exploitation souvent obsolètes qui rendent sa sécurisation complexe. « Dans ce cas de figure, il faut pouvoir durcir le poste et mettre en œuvre un whitelisting (ou allowlist) des applications strictement nécessaires, témoigne Vincent Nicaise. De cette manière, on va pouvoir bloquer toute application ou processus malicieux qui tenterait de se lancer. Il ne faut pas oublier que la plupart des arrêts de production de ces dernières années ont eu lieu à cause de ransomwares qui se sont invités sur les postes de supervision des usines. Assurer leur durcissement est donc primordial. »
- Maîtrise du parc des clés USB : un point à ne pas sous-estimer, puisqu’on utilise encore beaucoup de clés USB dans l’univers opérationnel. Que ce soit celles des employés ou celles de personnes extérieures qui souhaitent collecter des données sur le poste de supervision ou mettre à jour des automates. Le même principe de liste peut être appliqué dans ce cas : toute opération d’un profil non autorisé est rejetée.
- Sécurisation des données : la protection des données est primordiale dans le secteur pharmaceutique ou celui de l’agroalimentaire, où il est incontournable d’avoir une traçabilité de tout ce qui a été produit ou transformé. Mais de manière générale, en cas de cyberattaque, un industriel doit, à tout moment, pouvoir récupérer ses données et les réinjecter dans le SI. Dans ce cas, un back-up, un archivage des PLC (programmable logic controler) s’impose, ainsi qu’un PRA (Plan de Reprise d’Activité).
« Toutes ces couches de sécurité constituent autant d’éléments d’une défense en profondeur », précise Vincent Nicaise. Une approche défendue notamment par l’ANSSI, dont le mémento, publié en 2004, conserve toute sa pertinence.
De la nécessité de l’IT de comprendre l’OT
Le monde de l’IT juge souvent le monde de l’OT trop normé, avec beaucoup de standards à respecter. Pour autant, si l’IT comprend l’écosystème OT et ses problématiques, il peut s’avérer être une véritable valeur ajoutée pour ce dernier. « Les éléments à protéger se situent parfois dans des lieux géographiquement reculés, presque inaccessibles : elles manquent donc de moyens humains, de véritables experts. Les seuls agents de maintenance sur site sont ceux à qui l’on confie la gestion des pare-feux : un problème en soi, puisqu’ils n’ont pas la connaissance réseau et cyber pour remplacer un équipement défaillant. Un de nos clients avait cette problématique : avec les intégrateurs, Stormshield a mis au point un procédé spécifique qui répond à cette difficulté, déclare Khobeib Ben Boubaker, Head of Industrial Security Business Line Stormshield. Un autre de nos clients, qui avait adopté notre solution Endpoint, s’interrogeait sur le moyen de l’arrêter en cas de maintenance, sans expert sur place. L’idée a été de mettre un fichier spécifique sur une clé USB reconnue uniquement par notre solution et illisible par des solutions tierces ; celle-ci se mettait alors en phase débridée le temps de la maintenance. Ce genre de petites choses, que les gens de l’IT sont habitués à faire, aident grandement ceux de l’OT. »
Lorsque la gouvernance IT / OT est unifiée, on constate une meilleure intégration de la cybersécurité pour les systèmes industriels.
Jean-Christophe Mathieu, Head of Industrial Security Orange Cyberdefense
Lors d’un webinaire dédié aux bâtiments hospitaliers, nous avons posé la question de savoir à qui incombait la charge du réseau OT. Pour deux tiers des répondants, c’est l’IT qui va gérer ce réseau opérationnel, en améliorant sa compréhension du sujet au fur et à mesure. Mais ce manque de collaboration entre les équipes IT et OT constitue un frein à la cybersécurité globale des entreprises qui souhaitent tirer pleinement parti de leur convergence pour augmenter leur compétitivité. Selon Jean-Christophe Mathieu, « très souvent les sujets autour de la sécurité industrielle sont confiés aux équipes IT. Pourtant, l’OT est un environnement que l’IT connait de mieux en mieux mais pas encore assez pour décider unilatéralement des solutions à mettre en œuvre. Pour que la cybersécurité s’intègre harmonieusement dans les systèmes industriels, il faut un travail commun entre équipe IT et OT ».
Finalement, le principal défi de la cybersécurité opérationnelle et industrielle serait-il d’ordre humain ? Le dialogue entre les équipes IT, fortes de leur expérience en cybersécurité, et les équipes OT, spécialistes de leur réseau opérationnel, serait alors la clé d’une meilleure sécurité de l’infrastructure globale. Certains industriels semblent avoir compris que ces enjeux de cybersécurité industrielle passent par une montée en compétences des équipes. Et incitent leurs RSSI à se former à l’OT et aux contraintes opérationnelles et organisationnelles de ces systèmes. Une montée en compétences qui se traduit par la nomination de premiers référents OT au sein des RSSI. Et si la convergence IT/OT passait également par une convergence des équipes ?
