- Les risques de cyberattaques des systèmes informatiques industriels sont nombreux : du virus rendant inexploitable des fichiers en passant par un logiciel malveillant bloquant le fonctionnement d’une machine, jusqu’à la prise de contrôle à distance d’équipements de production.
- Les industriels se doivent de les évaluer et de prendre les mesures appropriées : installer des matériels et des logiciels de surveillance et de proctection, les administrer dans la durée, les adapter aux évolutions des risques et des technologies…
- Il est également indispensable de sensibiliser l’ensemble des collaborateurs à la cybersécurité et de les inciter à respecter certaines règles élémentaires.
- Jérôme Poncharal, solution Architect et ingénieur systèmes chez Rockwell Automation, explique comment évaluer les risques et s’en protéger efficacement.
Quels sont les risques encourus lors de la connexion en réseau et à Internet des équipements industriels ?
Jérôme Poncharal : Le principal danger pour un industriel est de subir une attaque qui nuise à la productivité de l’entreprise. Un acte de délinquance courant consiste à rançonner les entreprises après avoir chiffré des données ou applications puis à exiger une rançon pour en débloquer l’usage. Ce mode d’action, via un logiciel malveillant dit Ransomware qui prend en otage des données personnelles, est quotidien. Il concerne tous types d’entreprises même si peu d’entre elles communiquent sur ce sujet. Cette activité criminelle est très courante bien qu’on en entende peu parler. En général, les entreprises concernées ne paient pas les rançons. Cela se traduit par des pertes de données et parfois des arrêts de production. D’autres types d’attaques consistent à perturber ou bloquer un outil de production spécifique par une intrusion dans le système de contrôle. Elles peuvent être attribuées à des services « secrets » à des fins politiques ou stratégiques. Le système de supervision du réseau de distribution électrique Ukrainien a par exemple récemment connu ce genre de déconvenues. Aujourd’hui dans plusieurs pays dont la France, les industriels considérés d’importance vitale ont pour obligation d’évaluer les risques de cybercriminalité et de se protéger de façon appropriée. Les petites entreprises sans ressource en sécurité informatique sont beaucoup plus vulnérables.
Pour se protéger des cyberattaques le meilleur moyen consite-t-il à interdire toutes connexions des équipements industriels à un réseau extérieur ?
Jérôme Poncharal : Le danger existe même pour une entreprise dont aucun réseau n’est connecté à l’extérieur si tant est qu’il en existe. Il est possible d’introduire par exemple des logiciels malveillants par le biais d’un support mémoire amovible ou un téléphone portable. Si une clé USB est abandonnée sur le parking d’une usine, il est fort à parier que la personne qui l’a trouvera la branchera à un PC pour consulter son contenu. Le règlement interne de l’entreprise en matière de sécurité informatique doit être très stricte à cet égard. Les machines sont connectées à un réseau pour communiquer avec les autres équipements et logiciels de contrôle industriels. Ce réseau est bien souvent relié à l’extérieur. Le routeur 3G, qui va par exemple rendre possible la connexion distante du fabricant d’une machine ou du prestataire de maintenance, constitue une vulnérabilité s’il n’est pas correctement administré. Pour limiter les risques, un tel dispositif devra être identifié et surveillé, voir n’être opérant qu’en cas de besoin. Rien n’est plus dangereux que de laisser un point d’accès non administré. Les solutions d’accès distant sécurisées centralisent les connexions afin d’offrir une meilleure efficacité de surveillance et d’administration.
Comment peut-on évaluer les risques encourus par les systèmes informatiques industriels ?
Jérôme Poncharal : Il faut commencer par procéder à un audit des systèmes de contrôle commande par des sociétés qui maîtrise la méthodologie d’analyse des problématiques liées à la cybersécurité dans l’environnement industriel. Cet audit passe par, l’identification du système, l’analyse des vulnérabilités puis l’évaluation des risques résultants. Certaines vulnérabilités n’ont qu’un impact potentiel limité et représentent donc un risque mineur. La vulnérabilité d’un automate gérant la climatisation des bureaux est moins critique que celle de celui pilote un équipement de production tournant 24h/24 et 7j/7. II est nécessaire d’identifier les données et les machines à protéger et les composants de contrôle susceptibles de les impacter. On peut également soumettre le système de contrôle commande à un test de stress afin d’évaluer le niveau de protection du système à différents niveaux. Une fois que les risques ont été recensés, il faut les mettre en regard des risques admissibles par l’entreprise afin de prioriser les actions à mener.
Quelles sont les mesures à prendre du point de vue organisationnel pour assurer la protection des systèmes informatiques industrielles ?
Jérôme Poncharal : La phase d’analyse des risques doit amener à une prise de conscience des dangers potentiels. Les cyberattaques doivent être prises en compte comme tout autre risque. Il faut donc mettre en place un plan de financement adapté. Beaucoup de petites entreprises sont ignorantes des risques réels. La protection contre les risques de cybercriminalité doit faire partie intégrante d’un projet d’entreprise. La direction doit se saisir de ce sujet et le prendre sérieusement en compte. Ce qui ne se résume pas à l’installation de quelques dispositifs de protection sur le site de production. La prise de conscience doit se faire au plus haut niveau de direction et se décliner aux différents autres strates de l’entreprise. Il faut mettre en place une chaîne de responsabilité adressant la cybersécurité et impliquant les équipes de production, les services informatiques et si besoin des consultants externes. Une fois que des outils ont été mis en place et que les actions à mener ont été déterminées, le processus doit se poursuivre pour s’adapter aux menaces et technologies en constante évolution.
Quels outils ou processus doivent être mis en œuvre pour garantir le niveau de sécurité attendu ?
Jérôme Poncharal : Il n’existe pas de solution universelle et instantanée. Il s’agit de déployer une chaîne de protection dont la solidité dépend de celle du maillon le plus faible. Si un parefeu est installé, qu’il n’est pas mis à jour, que personne ne contrôle les alertes qu’il transmet, il ne sert à rien. Les systèmes de protection doivent être continuellement administrés. Des procédures de surveillance et d’alertes adéquates doivent être mises en place. Des personnes doivent être chargées de traiter les alarmes selon un processus bien défini. Rien ne sert de mettre en place des dispositifs de protection si personne dans l’entreprise n’est chargé de s’assurer que ces systèmes sont opérationnels. Il faut affecter des personnes pour implémenter et gérer dans la durée tous les aspects liés à cybersécurité. Le volet technique n’est pas suffisant. La vulnérabilité d’un site de production ne repose pas sur un seul élément. Il faut aussi que les opérateurs soient capables d’interpréter les signes avant coureurs et connaissent les actions à réaliser lorsqu’un problème survient.
L’ANSSI a publié des profils de protection pour des équipements industriels : automates, commutateurs, points d’accès sans fil, logiciels de supervision, etc. L’installation d’équipements conforme à ces exigences suffit-elle a garantir un niveau suffisant de sécurité ?
Jérôme Poncharal : La certification Anssi est destinée au marché français. Nous encourageons et supportons toutes les initiatives visant à développer la prise de conscience des risques liés à la Cybersécurité. En tant qu’industriel et fournisseur d’envergure mondial, nous sommes également soucieux de l’interopérabilité et de l’homogénéité des normes internationales. Rockwell aligne ses développements de produits et services sur le standard international IEC62443. Ce standard est en cours de finalisation et doit intégrer les exigences de toutes les nations concernées. Les profils (systèmes de contrôle commande, automates, etc.) ont été édités. Les procédures d’évaluation des équipements sont en cours d’établissement. La norme IEC62443 définit quatre niveaux de sécurité (SAL Security Assurance Level) pour classifier la robustesse des dispositifs. Ce standard repose sur des principes semblables à ceux qui régissent la norme CEI 61508 concernant la sûreté de fonctionnement des systèmes industriels qui définit 4 niveaux SIL (Security Integrity Level).
Est-il judicieux de s’appuyer sur des organismes extérieurs pour gagner en cybersécurité ?
Jérôme Poncharal : Faire appel à une société extérieure spécialisée dans le domaine de la cybersécurité s’avère souvent indispensable dans l’environnement industriel. En effet, peu de PME/PMI dispose en interne de l’expertise nécessaire. Nous pouvons par exemple surveiller à distance et en ligne une infrastructure de production (automates, réseau, logiciels..) et/ou proposer des solutions sécurisées pour la collecte et l’analyse de données utilisant l’infrastructure Cloud Azure de Microsoft. Nous proposons également un accompagnement technique pour mettre en œuvre ces technologies et organisations. Les briques matérielles et logicielles sont standards mais la façon dont elles sont implémentées sont spécifiques aux exigences de l’entreprise concernée.
Existe-t-il des formations et des guides concernant la cybersécurité ?
Jérôme Poncharal : La norme IEC62443 développe l’essentiel de la démarche à entreprendre par une entreprise pour bien intégrer la cybersécurité dans ses processus industriels. Des formations délivrées par ISA France expliquent en quoi consiste ce standard, comment l’appliquer et bien en comprendre la philosophie. L’IEC62443 intègre différents chapitres depuis l’organisation à mettre en place jusqu’à l’implémentation matérielle tout en mettant l’accent sur l’indispensable implication des différents services concernés : conception, installation, exploitation et maintenance.