Pour identifier les mesures à adopter afin de sécuriser les
installations industrielles d’aujourd’hui contre les cybermenaces,
il faut à la fois avoir la volonté de regarder la situation
en face et d’aller jusqu’au bout de la démarche quel qu’en soit le
prix. Surtout, il faut rassembler dans un même groupe de travail,
direction informatique et direction industrielle, sans oublier
l’impérieuse nécessité de mobiliser à terme, l’ensemble des
personnels.
Les cyber-menaces entrent dans la
catégorie des risques technologiques
et tous les professionnels de la
sécurité s’entendent généralement sur
ce point : toute démarche constructive
pour une entreprise dans ce domaine,
commence par une analyse de risques.
Sans entrer dans la méthodologie, on
peut faire quelques remarques quant à la
spécificité des installations industrielles
d’aujourd’hui et soulever des sources
d’information qui seront autant de pistes
de réflexion enrichissantes.
Premier constat : les réseaux de
communication industriels et donc, les
automates et les dispositifs numériques
qui sont au coeur des équipements
exploités dans la production sont de plus
en plus fréquemment connectés au
réseau informatique général de
l’entreprise. Et les jours des installations
qui échappent encore à cette réalité sont
comptés comme le montrent les principes
de l’Industrie du Futur.
Les évolutions technologiques vont
elles-mêmes dans ce sens. Ainsi, les bus
de communication en série ont
progressivement cédé le terrain aux
différents standards d’Ethernet industriels
(Profinet, Ethernet/IP, Modbus-TCP,
EtherCAT, etc.). La mise en place de ces
réseaux a coïncidé avec la possibilité de
relier les installations de production avec
le réseau Ethernet supportant les
échanges de données de gestion et les
documents bureautiques notamment.
Une mobilisation
étendue à tous les
salariés
De ce qui précède découle un principe de base
de la cybersécurité des installations
industrielles : associer les professionnels de
l’équipe informatique avec les ingénieurs et les
techniciens s’occupant de l’automatisation des
processus et du fonctionnement des systèmes
qui supervisent, contrôlent et assurent le suivi
des équipements de production. Le directeur
du système d’information et le directeur du
système d’information industriel lorsque ces
fonctions sont distinctes, partagent une culture
technologique commune qui doit leur
permettre d’apporter une réponse globale aux
menaces qui pèsent sur les systèmes dont ils
ont la responsabilité.
A ce présupposé, s’ajoute l’impérieuse nécessité
d’une participation active de la direction
générale à toutes les étapes du processus, ne
serait-ce que pour montrer à l’ensemble du
personnel, le caractère stratégique de la
cybersécurité pour la bonne marche de
l’entreprise. Plusieurs études démontrent que la
mobilisation de la direction facilite la prise de
conscience de l’ensemble du personnel et
accélère son adhésion à la modification des
règles de fonctionnement qui seront
éventuellement prises. D’ailleurs, les retombées les plus positives sont obtenues par les
entreprises qui associent précocement leur
personnel à une démarche de sécurité qu’il
s’agisse de sécurité physique ou cybernétique…
De l’importance
des référentiels…
Même technologique, la culture ne se
décrète pas, elle s’acquiert… Il existe dans
notre pays, plusieurs organismes vers
lesquels, les entreprises industrielles peuvent
se tourner pour s’informer, prendre
connaissance de la législation en vigueur,
consulter des études, etc.
Le premier organisme qui assure une réelle
mission d’information et de conseil auprès des
entreprises comme des particuliers est
l’Agence nationale de la sécurité des systèmes
d’information (ANSSI : www.ssi.gouv.fr).
Rattachée au Secrétariat général de la
défense et de la sécurité nationale, elle est
chargée d’accompagner et de sécuriser le
développement du numérique. Elle apporte
son expertise et son assistance technique aux
administrations et aux entreprises avec une
mission renforcée au profit des opérateurs
d’importance vitale (OIV). Elle assure un
service de veille, de détection, d’alerte et de
réaction aux attaques informatiques.
L’autre porte à laquelle les entreprises
industrielles et les professionnels peuvent
frapper est le Club de la sécurité de
l’information français – Clusif – une
association indépendante et sans but lucratif.
Son objectif principal est de favoriser les
échanges d’idées et les retours d’expériences
au travers de groupes de travail, de
publications et de conférences thématiques.
En son sein, le groupe de travail Securité–
Scada mène des travaux sur les aspects à la
fois techniques et organisationnels de la
sécurité des réseaux industriels.
On peut encore mentionner l’association des
exploitants d’équipements de mesure, de
régulation et d’automatismes – Exera – qui
regroupe une trentaine d’adhérents,
industriels des secteurs du pétrole, de
l’énergie, de la chimie, des transports et des
laboratoires d’essais nationaux. Son pôle dédié
à l’automatisation regroupe quatre
commissions techniques : systèmes
instrumentés de sécurité, systèmes
automatisés de production, cybersécurité des
systèmes industriels et enfin, la commission
système de contrôle-commande, supervision,
simulation et programmation.
… et des textes
réglementaires
Avec la Loi de programmation militaire
(LPM), la cybersécurité des opérateurs
d’importance vitale (OIV), est devenue un
enjeu de protection nationale. Elle exige de
leur part, la mise en place de mesures
techniques et organisationnelles assurant la
protection des données sensibles de leurs
systèmes d’information. L’enjeu principal est
de garantir la protection des personnes et
des biens, ainsi que la continuité des
activités d’importance qualifiée de vitale
pour notre pays.
La LPM énonce une vingtaine de règles que
l’on peut rassembler en cinq grands groupes :
gouvernance, maîtrise des systèmes
d’information, maîtrise des risques, protection
des systèmes et gestion des incidents de
sécurité. Les principes que cette loi met en
avant, peuvent inspirer toutes les personnes
qui s’intéressent à la cybersécurité des
entreprises industrielles.
Au chapitre de la gouvernance, on trouve la
nécessité pour l’organisation de se doter
d’une politique de sécurité posant des
exigences en termes de sensibilisation, de
formation et de reporting (suivi des comptes,
patch management, etc.).
La notion de maîtrise des systèmes
d’information informatiques et industriels
consiste à connaître à tout moment les
composants qui les constituent. La LPM exige
des OIV qu’ils disposent d’une cartographie
exhaustive de leurs infrastructures
numériques. C’est une mesure que l’on ne
peut que chaudement recommander d’autant
qu’il existe aujourd’hui des sondes passives
compatibles avec les réseaux industriels qui
sont capables d’effectuer ces opérations de
manière automatique et transparente.
Chaque composant du réseau, chaque
automate, chaque terminal doit aussi être en
mesure de recevoir les correctifs de sécurité
si nécessaire.
Complémentaire à la notion précédente, la
maîtrise des risques englobe l’identification
des risques, leur portée et les mesures de
sécurité à mettre en oeuvre.
La protection recouvre notamment, les
principes d’administration, l’authentification
et l’habilitation des utilisateurs, le
cloisonnement des systèmes d’information
informatiques et industriels, la gestion des
flux, les principes d’accès à distance ainsi que
le renforcement du fonctionnement
(chiffrement des communications entre
équipements, signature numériques des
applications dans les automates, verrouillage
des postes de programmation, etc.).
La gestion des défauts de sécurité s’étend à la
détection de tous les incidents même de
portée minime et à leur référencement dans
un journal des événements. La détection
d’une séquence d’accès inopérante, une
écriture intempestive sur un périphérique,
etc., aucun événement inhabituel n’est
suffisamment insignifiant pour être ignoré.
