Les systèmes OT (Operational Technologies) sont aujourd’hui la cible des cyberattaquants. En 2021, 637 vulnérabilités ont affecté des systèmes de contrôle industriel sur le territoire français (Claroty, 2021). Zoom sur les différents risques de cybersécurité des environnements industriels, et sur les réglementations en place pour limiter leur propagation.
Les différents risques de cybersécurité en environnement OT
Les risques de l’environnement OT peuvent sortir du périmètre de l’entreprise donc potentiellement avoir des conséquences plus larges que dans l’IT :
- Ils peuvent se répercuter sur la population, par exemple une explosion due à la combustion de substances chimiques déclenchée des suites d’une cyberattaque peut blesser un opérateur ou bien une modification des recettes dans l’industrie alimentaire peut avoir des répercussions sur la santé des consommateurs.
- Ils peuvent impacter l’environnement, si une usine déverse des produits chimiques dans la nature suite au piratage de l’OT.
- Enfin, ces risques peuvent toucher directement les outils de production et in fine le chiffre d’affaires, avec par exemple un four à hydrogène qui explose dans une usine ou un ransomware qui paralyse l’activité de l’entreprise.
Deux types de cyberattaques dans le secteur de l’énergie
Les attaques visent les systèmes IT
Les systèmes IT vulnérables sont affectés, et l’attaque a des effets de bord sur les systèmes industriels, ce qui entraîne une paralysie de la production.
Exemple #1 : 2021 – Colonial pipeline – États-Unis
Un ransomware s’est attaqué au système informatique de l’entreprise. L’attaque a interrompu toutes les opérations du pipeline pendant 6 jours, et un paiement de rançon de 4 millions de dollars a été effectué.
Les attaques ciblent les systèmes OT
La motivation derrière ce type d’attaque est principalement étatique, mais elle peut également venir d’attaques de groupes criminels (hacktivisme) car l’impact est majeur et immédiat, surtout si elle provoque un arrêt de production.
Exemple #2 : 2017 – Triton – Arabie saoudite
Un malware a ciblé le système assurant la sûreté du système industriel. L’objectif était probablement la destruction de l’outil de production.
Exemples de chemins d’attaques en environnement OT
Avoir une vision 360 de la sécurité OT avec le modèle PURDUE
L’ensemble des équipements d’un système d’information industriel peuvent être la cible d’un cyberattaquant. La mise en place de pare-feu permet d’assurer une sécurité optimale sur toutes les strates du système de production, de l’IT à l’OT, et vice versa.
La mise en place d’une DMZ pour cloisonner ces deux mondes (en orange sur le schéma ci-dessous) crée une zone tampon protectrice.
Une réglementation qui se durcit pour limiter les risques de cybersécurité en OT
En IT, à peu près toutes les entreprises se protègent. En OT, seules les infrastructures critiques sont actuellement protégées (essentiellement les OIV, les Opérateurs d’Importance Vitale).
Pour limiter les risques d’attaques d’un environnement industriel vulnérable, des réglementations incitent les acteurs de l’OT à mieux se protéger.
La Loi de Programmation Militaire (LPM)
Dans le cadre de la LPM 2014-2019, près de 250 OIV ont été contraints de répondre à des obligations légales concernant la cybersécurité. Il y a 20 règles de sécurité qui doivent être appliquées : homologation de sécurité, politique PSSI, etc.
La directive NIS 2 à l’échelle européenne
La deuxième version de la directive Network and Information Security est une extension qui vise à compléter la première version de 2016. Elle étend les obligations et les exigences de sécurité à dix fois plus d’organisations du secteur industriel dans l’UE.
Par exemple, les ESN devront désormais prévenir l’ANSSI sous 24h si elles subissent une cyberattaque.
La Norme IEC 62443 au niveau international
C’est le standard de référence pour maîtriser les risques cyber des appareils productifs industriels en constante évolution.
Son objectif est de sécuriser au niveau industriel un produit ou un ensemble de produits, un système, une solution, jusqu’au processus de développement de ce produit.
L’ANSSI
L’Agence Nationale de la Sécurité des Systèmes d’Information propose un guide de bonnes pratiques ainsi que des documents de référence : méthodes, mesures et recommandations pour l’environnement industriel sont disponibles sur leur site internet.
Advens vous accompagne pour protéger vos systèmes industriels, assurer la continuité des chaînes de production et être en conformité avec la réglementation. Faites le point sur votre cybersécurité industrielle pour vous prémunir de tous les types d’attaque dès maintenant. Découvrez notre offre dédiée à la sécurité des environnements OT.