Industrie 4.0 : quels risques de cybersécurité ? Comment s’en prémunir de manière efficace ? Laurent Heslault, directeur des Stratégies de Sécurité de Symantec, nous l’explique.
Que l’on parle d’industrie connectée ou intelligente, d’Industrie 4.0 comme en Allemagne, d’Internet intégré ou industriel, la quatrième révolution du secteur manufacturier a bel et bien déjà commencé, avec son lot d’opportunités et de risques. Après la vapeur, l’électricité et l’automatisation, la connexion des équipements à Internet et leur digitalisation induisent une informatisation quasi-complète de la production de biens, non pas sur une seule usine mais sur l’ensemble de la chaine, permettant un échange anonyme d’informations, le déclenchement d’actions et de contrôles à distance. Cela suppose une intégration et une connexion de différents systèmes opérant jusqu’ici indépendamment, et par là-même de nouveaux cyber-risques. Quels sont-ils ? Quels sont les processus à suivre et quels aspects technologiques doit-on considérer pour s’en prémunir ?
L’industrie, cible de cyber-attaques croissantes
L’industrie n’est pas épargnée par les tactiques d’attaque « traditionnelles » et n’échappe pas aux ransomwares et aux quelques 430 millions de nouveaux logiciels malveillants créés l’an passé. Le plus inquiétant néanmoins est la recrudescence d’attaques ciblées contre les systèmes industriels désormais connectés. Depuis Stuxnet, on sait en effet le secteur vulnérable aux cyber-sabotages, et l’on a déjà noté de nombreux cas de cyber-espionnage tels que mené par le groupe « Butterfly » découvert l’an dernier.
En 2015, l’industrie était le premier secteur touché par les attaques ciblées, représentant pas moins de 40% de celles-ci, selon la dernière édition du rapport sur les cyber-menaces de Symantec. Des attaques qui, du reste, ne concernent pas que les grandes entreprises, puisque les 57% d’entre elles touchent les PME. Par ailleurs, l’industrie est particulièrement vulnérable aux failles zero-days, dont le nombre a plus que triplé l’an passé, puisque nombre de systèmes n’ont pas été conçus pour être connectés (+385% de nouvelles vulnérabilités identifiées sur les systèmes industriels notées l’an passé selon le rapport annuel sur les cyber-menaces de Symantec). Enfin, alors que les systèmes de contrôles industriels sont de plus en plus connectés à Internet pour plus de facilité de gestion et de contrôle, leurs nouvelles adresses IP créent de nouvelles portes d’entrée et d’infection pour les cyber-attaquants.
Devant ces différentes menaces, il convient donc d’adopter une approche intelligente des cyber-risques, en commençant par les processus.
La nécessité de processus de gestion des cyber-risques
Traditionnellement, les entreprises du secteur industriel consacrent des ressources importantes à la gestion et l’entretien de leurs installations. Les mêmes efforts doivent être consentis à la gestion pertinente de la sécurité informatique. Il faut tout d’abord considérer la gouvernance IT, les risques et la nécessaire conformité aux normes et règlements (ce que l’on nomme en anglais IT GRC pour IT Governance, Risk and Compliance). On intègre ici l’identification des éléments à protéger, la nature des risques, leur hiérarchie, la définition de politiques de sécurité adaptées, l’automatisation des processus d’évaluation et d’audit qui analyseront la pertinence de chacune des mesures prises, et ce sur l’ensemble des environnements informatiques et de production.
La norme ISO 27005 exige par ailleurs le renforcement des politiques IT et l’automatisation de la compliance, avec notamment une automatisation et des workflow intégrés pour non seulement identifier les menaces mais également y remédier quand elles surviennent, ou les anticiper en amont. Troisième point : il convient de communiquer les risques informatiques et opérationnels dans des termes compréhensibles par les métiers en articulant les conséquences réelles et en chiffres d’affaires de tel ou tel incident, mais également à travers un schéma de communication clair, testé et réévalué si nécessaire, qui désignera des personnes à contacter en cas de problème.
Ces trois étapes de processus recouvrent de nombreux points et une documentation à la fois détaillée, exhaustive et pragmatique. Elles supposent une véritable convergence et un vrai dialogue entre la DSI, l’informatique opérationnelle et les différents métiers.
Quels éléments sécuriser ?
La hiérarchie des éléments à sécuriser varie d’une entreprise à l’autre, selon leur configuration, leurs systèmes et les risques auxquelles elles seront exposées. Néanmoins, les points suivants s’appliquent à l’ensemble du secteur industriel et peuvent commander une véritable stratégie de cyber-sécurité.
On sécurise tout d’abord les systèmes de contrôle industriel. Tout système de ce type qui interagit avec un environnement physique doit être sécurisé. Cela suppose une évaluation du danger et du risque, telle que définie dans le standard de sécurité IEC 61508. Il convient ici de suivre les recommandations des standards généralement reconnus comme NIST SP800-82, ISA-99 ou IEC 62443 pour le choix des technologies de cyber-sécurité et de protection des environnements industriels.
On continue par la gestion des objets connectés et des systèmes intégrés. L’Internet industriel accroit inévitablement le nombre d’objets connectés utilisés pour une plus grande efficacité opérationnelle. La sécurité réside ici dans la gestion et la protection des données, des identités et des services à travers l’ensemble de la chaine d’approvisionnement, pour éviter toute compromission et l’exposition à de nouvelles menaces. Il y a à l’heure actuelle peu de règlementations en place, alors même que de nombreux objets industriels connectés ont une durée de vie de quinze ans, voire plus, et sont difficilement accessibles ou remplaçables. Ils utilisent en outre bien souvent des composants non-standards et des firmwares propriétaires. L’une des solutions envisageables est de recourir aux certificats et d’utiliser des architectures de PKI (Public Key Infrastructure), ce qui permet de sécuriser les communications et de créer un système qui vérifie l’authenticité, la configuration et l’intégrité des terminaux connectés, le tout avec un impact minimal sur la performance.
Il faut également sécuriser les informations confidentielles et la propriété intellectuelle. Cela passe par du chiffrement pour s’assurer que seuls les utilisateurs autorisés peuvent avoir accès à ces données vitales pour l’entreprise. La sécurisation du périmètre des réseaux pour exclure tout trafic non-validé, le déploiement de technologies anti-malware et de logiciels de durcissement sur l’ensemble des systèmes informatiques et opérationnels peuvent également contribuer à éviter des attaques. Enfin, des solutions de prévention des pertes de données conjuguées à du chiffrement permettent une protection renforcée du capital informationnel essentiel de l’entreprise.
Enfin, il s’agit de se préparer à une cyber-attaque, celle-ci étant devenue inévitable, et d’être en mesure de la détecter et d’y remédier rapidement. Cela renvoie à l’évaluation des risques et à la mise en place du plan adéquat pour les prévenir, voire d’y remédier si une attaque survient. Il existe pour ce faire des standards tels que ISO 27005 et NIST SP 800-30 qui proposent des cadres de travail efficaces. Au-delà donc de la prévention et de la détection via des technologies adaptées et performantes, le plan de remédiation devra intégrer une gestion de la crise étendue à la communication pour protéger la réputation de l’entreprise et, selon les cas, le recours à des polices de cyber-assurances pour limiter les pertes financières.
L’essor de l’Internet industriel passe donc par une stratégie et des processus de cyber-sécurité précis et adaptés, qui doivent s’appliquer non seulement l’entreprise mais également l’ensemble de ses partenaires commerciaux. Fort heureusement, les entreprises du secteur industriel ne sont pas seules devant cette tâche à la fois indispensable et particulièrement vaste. Il est de la responsabilité des éditeurs, des intégrateurs et des producteurs de composants de les accompagner tout au long de ce chemin, pour intégrer, in fine, la sécurité au cœur de la production 4.0.
