Cybersécurité, beaucoup de méthode et une mobilisation forte

Pour identifier les mesures à adopter afin de sécuriser les installations industrielles d’aujourd’hui contre les cybermenaces, il faut à la fois avoir la volonté de regarder la situation en face et d’aller jusqu’au bout de la démarche quel qu’en soit le prix. Surtout, il faut rassembler dans un même groupe de travail, direction informatique et direction industrielle, sans oublier l’impérieuse nécessité de mobiliser à terme, l’ensemble des personnels.


Les cyber-menaces entrent dans la catégorie des risques technologiques et tous les professionnels de la sécurité s’entendent généralement sur ce point : toute démarche constructive pour une entreprise dans ce domaine, commence par une analyse de risques. Sans entrer dans la méthodologie, on peut faire quelques remarques quant à la spécificité des installations industrielles d’aujourd’hui et soulever des sources d’information qui seront autant de pistes de réflexion enrichissantes.

Premier constat : les réseaux de communication industriels et donc, les automates et les dispositifs numériques qui sont au coeur des équipements exploités dans la production sont de plus en plus fréquemment connectés au réseau informatique général de l’entreprise. Et les jours des installations qui échappent encore à cette réalité sont comptés comme le montrent les principes de l’Industrie du Futur.

Les évolutions technologiques vont elles-mêmes dans ce sens. Ainsi, les bus de communication en série ont progressivement cédé le terrain aux différents standards d’Ethernet industriels (Profinet, Ethernet/IP, Modbus-TCP, EtherCAT, etc.). La mise en place de ces réseaux a coïncidé avec la possibilité de relier les installations de production avec le réseau Ethernet supportant les échanges de données de gestion et les documents bureautiques notamment.

Une mobilisation étendue à tous les salariés

De ce qui précède découle un principe de base de la cybersécurité des installations industrielles : associer les professionnels de l’équipe informatique avec les ingénieurs et les techniciens s’occupant de l’automatisation des processus et du fonctionnement des systèmes qui supervisent, contrôlent et assurent le suivi des équipements de production. Le directeur du système d’information et le directeur du système d’information industriel lorsque ces fonctions sont distinctes, partagent une culture technologique commune qui doit leur permettre d’apporter une réponse globale aux menaces qui pèsent sur les systèmes dont ils ont la responsabilité.

A ce présupposé, s’ajoute l’impérieuse nécessité d’une participation active de la direction générale à toutes les étapes du processus, ne serait-ce que pour montrer à l’ensemble du personnel, le caractère stratégique de la cybersécurité pour la bonne marche de l’entreprise. Plusieurs études démontrent que la mobilisation de la direction facilite la prise de conscience de l’ensemble du personnel et accélère son adhésion à la modification des règles de fonctionnement qui seront éventuellement prises. D’ailleurs, les retombées les plus positives sont obtenues par les entreprises qui associent précocement leur personnel à une démarche de sécurité qu’il s’agisse de sécurité physique ou cybernétique…

De l’importance des référentiels…

Même technologique, la culture ne se décrète pas, elle s’acquiert… Il existe dans notre pays, plusieurs organismes vers lesquels, les entreprises industrielles peuvent se tourner pour s’informer, prendre connaissance de la législation en vigueur, consulter des études, etc.

Le premier organisme qui assure une réelle mission d’information et de conseil auprès des entreprises comme des particuliers est l’Agence nationale de la sécurité des systèmes d’information (ANSSI : www.ssi.gouv.fr). Rattachée au Secrétariat général de la défense et de la sécurité nationale, elle est chargée d’accompagner et de sécuriser le développement du numérique. Elle apporte son expertise et son assistance technique aux administrations et aux entreprises avec une mission renforcée au profit des opérateurs d’importance vitale (OIV). Elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques.

L’autre porte à laquelle les entreprises industrielles et les professionnels peuvent frapper est le Club de la sécurité de l’information français – Clusif – une association indépendante et sans but lucratif. Son objectif principal est de favoriser les échanges d’idées et les retours d’expériences au travers de groupes de travail, de publications et de conférences thématiques. En son sein, le groupe de travail Securité– Scada mène des travaux sur les aspects à la fois techniques et organisationnels de la sécurité des réseaux industriels.

On peut encore mentionner l’association des exploitants d’équipements de mesure, de régulation et d’automatismes – Exera – qui regroupe une trentaine d’adhérents, industriels des secteurs du pétrole, de l’énergie, de la chimie, des transports et des laboratoires d’essais nationaux. Son pôle dédié à l’automatisation regroupe quatre commissions techniques : systèmes instrumentés de sécurité, systèmes automatisés de production, cybersécurité des systèmes industriels et enfin, la commission système de contrôle-commande, supervision, simulation et programmation.

… et des textes réglementaires

Avec la Loi de programmation militaire (LPM), la cybersécurité des opérateurs d’importance vitale (OIV), est devenue un enjeu de protection nationale. Elle exige de leur part, la mise en place de mesures techniques et organisationnelles assurant la protection des données sensibles de leurs systèmes d’information. L’enjeu principal est de garantir la protection des personnes et des biens, ainsi que la continuité des activités d’importance qualifiée de vitale pour notre pays.

La LPM énonce une vingtaine de règles que l’on peut rassembler en cinq grands groupes : gouvernance, maîtrise des systèmes d’information, maîtrise des risques, protection des systèmes et gestion des incidents de sécurité. Les principes que cette loi met en avant, peuvent inspirer toutes les personnes qui s’intéressent à la cybersécurité des entreprises industrielles.

Au chapitre de la gouvernance, on trouve la nécessité pour l’organisation de se doter d’une politique de sécurité posant des exigences en termes de sensibilisation, de formation et de reporting (suivi des comptes, patch management, etc.).

La notion de maîtrise des systèmes d’information informatiques et industriels consiste à connaître à tout moment les composants qui les constituent. La LPM exige des OIV qu’ils disposent d’une cartographie exhaustive de leurs infrastructures numériques. C’est une mesure que l’on ne peut que chaudement recommander d’autant qu’il existe aujourd’hui des sondes passives compatibles avec les réseaux industriels qui sont capables d’effectuer ces opérations de manière automatique et transparente.

Chaque composant du réseau, chaque automate, chaque terminal doit aussi être en mesure de recevoir les correctifs de sécurité si nécessaire.

Complémentaire à la notion précédente, la maîtrise des risques englobe l’identification des risques, leur portée et les mesures de sécurité à mettre en oeuvre.

La protection recouvre notamment, les principes d’administration, l’authentification et l’habilitation des utilisateurs, le cloisonnement des systèmes d’information informatiques et industriels, la gestion des flux, les principes d’accès à distance ainsi que le renforcement du fonctionnement (chiffrement des communications entre équipements, signature numériques des applications dans les automates, verrouillage des postes de programmation, etc.).

La gestion des défauts de sécurité s’étend à la détection de tous les incidents même de portée minime et à leur référencement dans un journal des événements. La détection d’une séquence d’accès inopérante, une écriture intempestive sur un périphérique, etc., aucun événement inhabituel n’est suffisamment insignifiant pour être ignoré.