Autrefois isolés et reposant sur des protocoles de communication spécifiques, les systèmes industriels sont, aujourd’hui, de plus en plus informatisés et connectés aux systèmes d’information de l’entreprise et même directement à Internet.
Dans un environnement hyper connecté pour lequel ils n’ont pas été conçus, les systèmes industriels doivent faire face à de nouvelles cybermenaces.
Des environnements industriels non intégrés dans les stratégies de cyber sécurité
« Historiquement, les équipements industriels et solutions associées ont été conçus pour durer, perdurer et rester complètement détachés des autres environnements, » précise Sylvain Cretin Maitenaz, Exaprobe. « Les intégrer dans des environnements plus ouverts, en apportant une sécurité maximale, devient un véritable challenge. »
Certaines solutions industrielles reposent sur des systèmes d’exploitation obsolètes et vieillissants ; dans certains cas, elles ne sont même plus supportées. « Apporter de la sécurité à travers des patchs correctifs ou via de la simple maintenance est donc devenu très risqué », complète David Fonseca, Fortinet.
Des impacts dépassant largement les conséquences purement financières ou commerciales
En 2016, suite à l’introduction d’un malware dans le SI d’une centrale électrique de la région de Kiev, 80 000 usagers ont été privés d’alimentation électrique. A l’origine : un wiper dont la particularité est de détruire les protocoles et fonctionnalités d’un serveur et d’en effacer son disque dur.
En 2017, WannaCry a contraint plusieurs entreprises à arrêter leur production, touchant aussi bien les industriels de la santé que de l’automobile. Quelques mois plus tard, NotPetya frappait et impactait une centrale nucléaire, un réseau électrique ainsi qu’un système de santé.
Les PME ne sont pas épargnées
Quelle que soit la taille de l’entreprise, l’actualité témoigne donc de l’ampleur des dégâts que peuvent provoquer les cyberattaques en milieu industriel : arrêt total ou partiel d’un système de gestion, risques sur des infrastructures complètes de production, perte de stocks, impacts sur des vies humaines …
Des démarches de sécurisation spécifiques doivent être mises en place
« La réalisation d’une cartographie physique des installations et flux d’informations entre les différents éléments est un prérequis indispensable : il faut identifier les interconnexions entre chaque automate. Un scan du réseau est insuffisant et des visites sur site sont nécessaires », explique David.
Il est ensuite nécessaire d’établir une segmentation du réseau, technique classique de sécurisation, permettant de maîtriser les flux et de réduire l’exposition des systèmes critiques. « Sur le terrain, il est courant de constater que ces principes de segmentation ne sont pas respectés », reprend David.
Des techniques de chiffrement doivent être mises en place, par exemple, entre le Datacenter et le site de production qui reçoit les informations à processer. Cette tache peut être rendue difficile lorsque les protocoles de communication dialoguent avec des systèmes de production qui ont plusieurs dizaines d’années d’ancienneté.
« Enfin il est nécessaire de mettre en place des solutions de détection et de protection active contre les cybermenaces. Il n’est pas possible, sur un système industriel, de poser un antivirus « classique » qui serait trop intrusif et impacterait les performances », nous confie Sylvain.
Il est donc nécessaire d’adapter les solutions à cet environnement, cela passe par l’analyse et l’apprentissage du comportement des systèmes de contrôle au niveau des flux réseau et du système d’exploitation. Ainsi il est possible d’identifier l’ensemble des actions légitimes et de bloquer toutes utilisations anormales du système.
« Cet apprentissage doit aller jusqu’à identifier la fréquence « normale » de chaque action, par exemple le nombre d’instructions d’ouverture d’une valve d’eau. C’est ce qui permettra d’apporter la bonne réaction en cas d’attaque », complète David.
