Industrie 2017 : cybersécurité, personne n’est à l’abri

Le réseau industriel reliant les automates, les machines et les équipements de production est de plus en plus fréquemment connecté avec le réseau informatique général de l’entreprise. Or, ce dernier est lui-même toujours relié au monde extérieur c’est- à-dire, à Internet. Les systèmes industriels sont donc exposés à un nombre grandissant de risques et de menaces extérieures.

 

Que peut-on dire des cyber-menaces en 2017 ?

Frédéric Planchon – Depuis 2005, le Clusif s’intéresse aux Scada, c’est-à-dire, aux systèmes de contrôle-commande industriels. Ces gens travaillent donc depuis plus de dix ans sur les menaces et les vulnérabilités de ces systèmes qui sont en service dans les entreprises. La vraie difficulté, c’est que l’inventaire des vulnérabilités n’est pas achevé, on peut même dire qu’il est en croissance sur un parc installé. Si le grand public n’a connaissance que des attaques qui ont abouti, chaque jour voit son lot de découverte de faille dites « zero-day » sur des dispositifs en service et, compte tenu de la très grande créativité des hackers, on peut imaginer qu’un jour ou l’autre, ces vulnérabilités seront exploitées à des fins qu’il est bien impossible de prédire.

Pascal Mioche – L’Alliance pour l’Industrie du Futur fait la démonstration sur son stand au salon Industrie Lyon 2017, qu’il est possible de planter une ligne de production comportant un robot et sa distribution électrique en ouvrant un document au format PDF reçu dans un message électronique.

Claude Vittoria – Aujourd’hui, le risque, ce n’est plus un universitaire dans son coin qui veut faire une publication ou un individu cherchant un instant de gloire… Vous voulez provoquer une panne dans une usine ou porter préjudice à une entreprise à travers un produit… de tels services ne s’achètent pas au marché noir ou dans des officines mais auprès d’entreprises ayant pignon sur rue qui assurent ce type de prestations.

Laurent Hausermann – Si vous avez un budget compris entre 15 000 et 30 000 euros, vous pouvez aujourd’hui vous attaquer à un concurrent, quitte à parler un peu russe ou chinois… La cybercriminalité est devenue un business que financièrement, certaines études comparent au trafic de stupéfiants.

Frédéric Planchon – Les attaques sont extrêmement difficiles à identifier et tout aussi complexes à décoder pour ce qui concerne les mobiles. Quant à déterminer la paternité, c’est-à-dire, le commanditaire… Il y a donc manifestement un enjeu juridique car il faut arriver se doter d’un arsenal pour punir afin de dissuader les criminels d’une part, et aussi de compenser les pertes subies par les victimes.

La responsabilité se transmet-elle, lorsqu’on fabrique des équipements embarquant du logiciel et qui peuvent potentiellement présenter un risque ?

Claude Vittoria – A partir de mai 2018, une entreprise dont la responsabilité pourra être engagée dans une attaque menée contre un opérateur d’importance vitale ou un Etat, pourra se voir infliger une amende s’élevant à 4 % de son chiffre d’affaire mondial.

Il faut donc accompagner les entreprises dans la démarche consistant à mettre à jour et à sécuriser leur parc de machines. C’est d’autant plus difficile que les personnes qui ont acquis des machines à commande numérique, des automates, etc., sont persuadées qu’ils ne comportent aucune faille.

Serge Benoliel – Nous avons chez Alstom, structuré notre organisation pour répondre à ce problème. On a une équipe centrale dédiée à la cybersécurité avec des représentants présents dans tous les centres de développement, c’est-à-dire au plus près des équipes qui conçoivent nos produits et nos systèmes, et dans les centres régionaux auprès des équipes qui créent des offres et conduisent des projets.

Si l’on veut offrir des systèmes sécurisés, tout commence par une analyse de risques : nous allons définir le profil de l’attaquant potentiel et imaginer le ou les chemins qu’il peut emprunter. Cette analyse de risque va permettre d’établir des protections au niveau du système central mais aussi, à chaque étape ou à chaque sous-ensemble du système pour mettre en place une défense en profondeur.

Quelles sont les bonnes pratiques à recommander ?

Frédéric Planchon – On tend à être sous le joug de gens qui viennent de l’informatique et qui perçoivent la cybersécurité industrielle de la même manière qu’on la traite pour manipuler des données dans un ERP ou dans un logiciel bureautique.

Les systèmes industriels pilotent des fonctions qui aboutissent à des manipulations d’objets physiques dans le monde réel. L’industrie a besoin de faire fonctionner un processus, d’animer une infrastructure d’une manière totalement sécurisée, c’est-à-dire dans laquelle la cybersécurité devient un des éléments de la sûreté de fonctionnement.

Les analyses de risque qui viennent de l’informatique se limitent le plus souvent aux DICT : disponibilité, intégrité, criticité et traçabilité. Chez FPC Ingénierie, nous avons développé une analyse de risque adaptée à l’industrie que nous avons baptisé, Apéro, ce qui signifie : analyse pour l’évaluation des risques opérationnels. Une méthode d’analyse de risque sert à ce qu’un client utilise au mieux le budget dont il dispose pour améliorer sa sécurité. Il ne s’agit pas de s’éparpiller sur trois fronts avec les méthodes Hazop pour la sécurité des processus, Amdec pour la sûreté et Ebios pour la cybersécurité. Posé comme ça, le problème aboutit à conduire trois études, avec trois groupes de travail distincts qui arriveront immanquablement à des conclusions que l’on ne saura pas rendre homogènes.

Notre méthode cherche à faire la synthèse des trois composantes en partant du risque opérationnel (événement critique, études de danger préexistantes, etc.) pour remonter à la sécurité en ajoutant les causes de malveillance, etc. De cette façon on a toujours une seule étude que l’on enrichit au fur et à mesure et on proportionne les moyens en fonction du budget pour se protéger des risques les moins supportables.

Comment doit-on s’y prendre pour sécuriser une infrastructure ?

Pascal Mioche – Il y a sensiblement trois axes : on pense souvent en premier à l’attaque extérieure mais il y a aussi, les modifications que l’on réalise par exemple, pour moderniser le parc de machines avec le risques que certains éléments comme le réseau ou le bus de terrain ne puissent faire face par exemple, à un accroissement du trafic et puis, il faut aussi contrôler le processus car si l’on détecte un comportement anormal, c’est que selon toute vraisemblance, on est confronté à une attaque ou au moins, à un dysfonctionnement significatif.

Frédéric Planchon – Que l’on parle de l’industrie ou des infrastructures, les systèmes de contrôle-commande sont composés comme un patchwork épouvantable d’un point de vue structurel. On y trouve des équipements plus ou moins vétustes sur lesquels fonctionnent des programmes d’automatisation rarement documentés qui ont été conçus par des personnes qui ne sont parfois plus dans l’entreprise, le tout configuré par des intervenants qui ont suffisamment bien travaillé pour que cela fonctionne, ce qui arrange tout le monde sans que l’on cherche à en savoir un peu plus.

La plupart du temps dans une entreprise, on ne sait pas comment fonctionne un système de contrôle-commande dont on ne perçoit que la partie visible, c’est pourquoi dans notre démarche nous parlons de « traversée de l’iceberg ». C’est pour cela que le travail d’un intégrateur qui fait l’effort de documenter une solution est utile. C’est pourquoi les systèmes de recensement de ressources et de détection d’intrusions comme celles conçues par Sentryo ou FPC Ingénierie ont une portée fondamentale au point que je suis persuadé que dans cinq ans, on ne pourra plus imaginer qu’un système de contrôle puisse s’en passer.

Laurent Hausermann – Tous nos clients commencent par réaliser un audit pour connaître l’état de leur système et souvent, lorsque nous mettons en place notre solution, on voit très vite apparaître une liste de composants que personne n’est en mesure d’identifier. Les dispositifs d’audit sont complètement passifs : ils écoutent le réseau sans avoir la moindre influence sur les équipements en service. Cette connaissance profonde des éléments qui constituent un système de commande manque sur tous les types de site de production, y compris au sein d’installations critiques classées Seveso.

Claude Vittoria – Réaliser un audit qui conduit à disposer d’une cartographie exhaustive du système est une première étape indispensable. Découvrir un automate dont la présence est jusque-là insoupçonnée, peut paraître ubuesque mais c’est pourtant ainsi que certains chefs d’entreprise découvrent qu’ils ont un problème de connaissance de leur outil de production.

Quelles sont les briques qu’il faut mettre en place pour sécuriser un réseau industriel ?

Laurent Hausermann – Les briques dont on a besoin sont de deux types. Il y a d’une part les mesures de protection comme les firewalls industriels qui vont introduire de la segmentation, ce qui est notamment intéressant lorsqu’on met en place une nouvelle installation ou que l’on reconditionne l’existant en profondeur. Dans ce dernier cas, on peut aussi mettre en place une solution d’audit et de détection qui va recenser les équipements et qualifier une image du fonctionnement normal.

Un firewall pour les installations industrielles comme Stormshield, présente d’une part des caractéristiques physiques comme le format du boîtier, le montage sur rail Din, et des caractéristiques fonctionnelles comme l’alimentation en courant continu, la température supportée jusqu’à 70°C et la compatibilité logicielle avec les protocoles de Schneider Electric, de Siemens qu’il sait décoder et inspecter. Que l’on parle d’un firewall ou d’une sonde, ce point est d’ailleurs critique puisqu’il est essentiel de comprendre le langage des machines et leurs routines pour protéger leurs communications.

 

Frédéric Planchon – Aujourd’hui, on recense de l’ordre de quatre-vingt protocoles industriels nés de développements qui ont eu lieu dans les années 80. Certains ont disparu mais pas toujours complètement, d’autres ont évolué et les efforts de normalisation ne sont pas toujours arrivés à temps sur certains secteurs… Il faut donc être pragmatique et regarder les parts de marché. Supporter Ethernet/IP, Modbus TCP, les autres protocoles des grands constructeurs que sont Profibus, Profinet, Powerlink, etc., et vous offrez déjà une large couverture qui ne vous interdit pas d’adapter vos équipements de protection à d’autres protocoles pour adresser les besoins de certains clients sur des installations anciennes et critiques.

Laurent Hausermann – Parmi les dispositifs de protection, on peut aussi mentionner les diodes de données qui installent un canal de communication unidirectionnel entre deux segments de réseau, pour par exemple, remonter des informations depuis la zone la production vers l’espace bureautique plus ouvert. On peut aussi parler des sas de décontamination des clés USB qui permettent de réaliser des images sécurisées de clés venant de l’espace public. Enfin, on voit des sociétés de service proposer aujourd’hui des prestations de maintien des conditions de sécurité. Il s’agit d’une logique d’amélioration continue qui à intervalles réguliers propose de mettre l’installation en conformité, de surveillance du fonctionnement, d’audit des rapports, etc.

Il est primordial que les industriels considèrent la cybersécurité comme un processus continu qui s’améliore sans cesse.

Frédéric Planchon – Deux mesures très simples mais absolument indispensables doivent être mises en œuvre par les industriels. Il y a d’abord la mise en place d’un serveur d’authentification de type LDAP avec un tiers de confiance au travers des services informatiques puisqu’il est fondamental que les services opérationnels ne restent pas isolés. Il faut aussi mettre en place un système de sauvegarde automatique des programmes déployés sur les machines et les équipements industriels. En cas d’attaque qui met le système à l’arrêt, on est ainsi en mesure de remettre l’installation en fonctionnement rapidement. Il existe des outils qui couvrent ce besoin.