En France, l’ANSSI alerte sur les risques liés à la sécurisation des systèmes industriels : la recrudescence des cybermenaces ciblant ce type d’environnement n’est pas qu’un ressenti, elle se traduit dans les chiffres. Comment se prémunir des cyberattaques en environnement industriel ? Quelles sont les contraintes et les solutions pour y remédier ? Tour d’horizon et éléments de réponse…
91 % des organisations industrielles déclarent avoir rencontré au moins un problème de sécurité dans leur environnement OT en 2021 (Kaspersky ICS Security Survey 2022).
Qu’est-ce que la cybersécurité OT ?
Les Operational Technologies (OT) désignent toutes les technologies d’exploitation et /ou opérationnelles. Attention à ne pas confondre avec l’IIoT (internet des objets industriels), qui est un domaine parallèle : cela concerne les objets connectés à l’intérieur d’un environnement industriel.
L’objectif de la sécurité OT est d’assurer la sûreté et la pérennité du fonctionnement des outils de production industriels, des hommes et des biens pendant leurs activités.
La cybersécurité industrielle : le point de vue d’Advens
La cybersécurité industrielle doit concerner un large spectre de marchés et non se limiter à l’industrie au sens “usine” stricto sensu – le bâtiment. Elle englobe l’ensemble des activités qui couvrent des flux sur des éléments physiques.
Trois exemples de périmètres de cybersécurité industrielle
- Les circuits logistiques et les entrepôts,
- Dans les smart cities : la sécurisation de la signalisation routière,
- Dans les bâtiments industriels gérés par les collectivités : les chauffages collectifs.
La gestion d’un tunnel ou d’un barrage électrique peut avoir les mêmes problématiques de cybersécurité qu’une usine agroalimentaire.
Pourquoi investir dans la cybersécurité en environnement industriel ?
L’environnement OT est la nouvelle cible des cyberattaquants
Attaquer le monde de l’IT devient plus complexe car les systèmes d’information sont de mieux en mieux protégés. Les acteurs IT ont aujourd’hui une bonne maturité cyber : ils sensibilisent le personnel, montent en compétences en termes d’expertise cyber, déploient de solutions nouvelle génération (EDR, NDR), etc.
La conséquence directe de l’augmentation de leur cyber résilience de l’IT ? Les pirates informatiques se tournent vers un autre secteur d’activité stratégique moins sécurisé : l’environnement industriel.
En OT, l’attaque peut faire des dommages collatéraux qui sortent du périmètre de l’organisation, comme un impact direct sur la chaîne de production (le moteur de revenus d’une organisation), ou des impacts écologiques et sanitaires qui vont toucher le grand public et l’environnement (fuite radioactive, déversement de produits chimiques dans la nature, etc.).
L’attaque de l’usine d’Oldsmar
En 2021, un cyberattaquant rentre dans le réseau d’ordinateurs d’une usine d’approvisionnement en eau en Floride. Il donne des instructions pour multiplier par 100 la teneur de l’eau en hydroxyde de sodium jusqu’à un seuil dangereux et corrosif. Un technicien a détecté une intrusion dans le système informatique et a immédiatement réduit le niveau de concentration. L’eau infectée n’a pas atteint le système de distribution.
Ce n’est qu’un exemple parmi d’autres qui montre que le secteur industriel est vulnérable, car il touche des facteurs externes liés à l’environnement et à la santé publique.
Source : The New York Times, 2021
Une plus grande surface d’attaques due à la convergence IT / OT
Depuis 5 ou 6 ans, on note une évolution et un changement du modèle de fonctionnement dans l’industrie.
Auparavant, l’environnement OT était très protégé d’un point de vue cybersécurité et simple à surveiller parce que les équipements étaient isolés et hétérogènes. Mais ces technologies restent anciennes donc potentiellement vulnérables si on les digitalise aujourd’hui.
À l’ère de l’industrie 4.0, les équipements industriels sont centrés sur la donnée : tout est communicant et connecté. Il y a une plus grande homogénéité, calquée sur les technologies de l’IT.
La convergence cybersécurité OT et IT
Le processus global de cybersécurité en OT est le même que dans l’IT :
- Découvrir son environnement,
- Identifier les vulnérabilités (accès, configuration, défauts logiciels, CVE, etc.),
- Essayer d’y remédier,
- Quand la remédiation n’est pas possible, détecter et contenir la menace avec le SOC.
Il est essentiel d’adapter le processus aux spécificités de l’OT : le déploiement des solutions diffère pour s’adapter à la réalité de l’industrie.
Trois spécificités OT à prendre en compte
#1 La durée de vie des équipements est élevée
Dans l’OT, les systèmes très anciens n’étaient pas connectables et donc peu vulnérables. Les équipements plus récents sont connectables mais n’ont pas été conçus pour être résistants à des cyberattaques. Conséquence : ils embarquent des vulnérabilités qu’il faut traiter et sécuriser.
#2 Le traitement des vulnérabilités est différent
Le processus est beaucoup plus limité que dans le monde IT car les systèmes OT doivent être opérationnels 24/7. Les fenêtres disponibles pour mettre à jour un équipement sont réduites au minimum pour limiter l’indisponibilité du système.
Les nouveaux équipements sont connectés mais embarquent des vulnérabilités, la volumétrie de vulnérabilités présentes dans ces équipements est donc présente dans la durée.
#3 La notion de faux positif
Un faux positif dans la détection d’une alerte de sécurité a des conséquences plus importantes car cela induit d’avoir une action sur un équipement opérationnel, ce qui peut impacter l’ensemble de la chaîne de production, contrairement à ce qui est fait dans l’IT où on coupe l’ordinateur incriminé du réseau le temps de qualifier l’alerte.
Pour éviter tout effet négatif sur la chaîne de production, l’exigence de la qualification d’un incident doit être plus profonde et nécessite donc des compétences métier.
Deux temps pour sécuriser le système opérationnel des industriels ?
Le triptyque « Prévention-Détection-Réaction » doit devenir un réflexe dans l’OT comme dans l’IT. Cependant, le déploiement des solutions de cybersécurité doit inclure les contraintes liées à l’environnement industriel : arrêt de production, temps limité, etc.
38 % des entreprises indiquent être confrontées, de manière au moins occasionnelle, à une solution de cybersécurité qui affecte leurs processus de production et d’automatisation (Kaspersky ICS Security Survey 2022).
Temps #1 : prévenir les attaques
Contraintes | Solutions | |
Cartographier les installations | Travail chronophage Beaucoup de shadow OT Risque de perturbation en cas de scan actif | Placer des capteurs sur le système industriel (IDS passifs) Récolter des données sur lesquelles construire des cas d’usage |
Segmenter le réseau pour complexifier la progression de l’attaquant | Design de l’architecture cible potentiellement complexe Mise en place des règles de segmentation chronophages qui peuvent avoir des incidences sur la production | Mise en place de pare-feu et de VLAN pour mieux contenir l’attaque |
Authentification | Gestion des mots de passe complexe sur les machines : pas de clavier, pas de lecteur d’empreinte (gants), pas de reconnaissance vocale (bruit) | Mise à disposition d’un badge pour chaque employé |
Durcir les équipements | Processus pas forcément mis en place auparavant car nouvelles fonctionnalités des équipements | Désactiver des services non utilisés Utiliser des services sécurisés (SFTP, HTTPS, OPC UA…) |
Réaliser des mises à jour | Temps limité : ne peuvent s’effectuer qu’au moment des arrêts de maintenance (1-2 fois par an) Validation de la non-régression suite à une mise à jour | Virtual patching en attendant le prochain arrêt |
Temps #2 : détecter l’attaquant et réagir
Il faut mettre en place un processus inspiré de l’IT qui permet de détecter et analyser des comportements anormaux et malveillants, qui exploitent les vulnérabilités non traitées, via :
- un outil dédié : des sondes de détection spécialisées OT qui tournent en 24/7, beaucoup moins intrusives et qui connaissent les protocoles utilisés dans le monde industriel (bacnet, profinet, modbus, etc.), comme Nozomi, Claroty, CyberMDX, Microsoft Defender for OT.
- un processus et une organisation SOC qui détecte, analyse et remédie en cas d’attaque.
Les contraintes de l’environnement industriel peuvent sembler défavorables à l’adoption d’une politique de cybersécurité. Mais l’interopérabilité des équipements industriels rend indispensable de se protéger et prévenir les attaques en raison des conséquences graves qu’une cyberattaque peut entraîner. Il existe des solutions pour prévenir ces menaces sans arrêter la chaîne de production (détection moins intrusive, segmentation, sensibilisation du personnel).