Vincent Dély, Director Technical Sales Engineering de Nozomi Networks, spécialiste de la sécurité OT et IoT, traite pour les lecteurs de Solutions Numériques des spécificités que présente l’industrie manufacturière en matière de cybersécurité, afin de comprendre en quoi ce secteur est particulièrement vulnérable et doit accélérer sa prise de conscience et sa recherche de solutions pour se protéger.
Durement touché par les conséquences des différents confinements dans le contexte de crise sanitaire, le secteur industriel est « la pièce maîtresse de la relance dont la France a besoin », comme l’a affirmé le Premier ministre Jean Castex. Initié en 2018, le programme Territoires d’industrie de redynamisation de l’industrie et de réduction des fractures territoriales, va recevoir 550 millions d’euros supplémentaires grâce au plan de relance national. Ces annonces confirment l’importance majeure du secteur industriel, et notamment manufacturier, pour l’économie française.
Il est curieux de noter que le concept d’industrie 4.0, qui établit l’intégration entre le physique et le numérique comme base d’une quatrième révolution industrielle, n’intègre pas la forte augmentation des cyberattaques sur les entreprises du secteur ces dernières années. Pourtant, le futur de l’industrie 4.0 sous ces cybermenaces représente un risque commercial considérable, dont il est difficile de prévoir et d’atténuer l’ampleur. Face à cela, les entreprises manufacturières à travers le monde et leur chaîne d’approvisionnement doivent accélérer et investir massivement dans de nouvelles technologies pour protéger leurs activités au mieux.
La menace doit être ciblée en amont
Si les attaques sont très hétérogènes, elles déclenchent des enjeux communs pour toute personne chargée de défendre les réseaux d’une entreprise manufacturière. Le premier étant le caractère très ciblé de ces attaques : le secteur manufacturier présente une grand vulnérabilité liée à sa dépendance aux délais, aux retards et à la non-disponibilité d’une ressource au moment nécessaire. L’épisode mémorable de paralysie du fret mondial sur le canal de Suez suite à l’échouement d’un porte-conteneurs illustre parfaitement l’équilibre précaire sur lequel repose cette industrie, et les conséquences à moyen et long terme. Du côté des cyberattaquants, la conséquence d’une attaque sur un seul élément d’un réseau, comme les systèmes de facturation ou de messagerie électronique par exemple, peut leur permettre de paralyser des chaînes de production entières.
Les attaques par ransomware détectent les faiblesses en amont, et pénètrent souvent dans les réseaux par le biais d’interfaces logicielles faiblement sécurisées – par exemple via les réseaux privés virtuels (VPN) des entreprises ou les ports de diagnostic ou d’assistance à distance – et ce souvent des mois avant de réclamer la rançon. Pour s’en prémunir, les entreprises doivent accorder une attention particulière à la façon dont elles conçoivent leur réseau et connaître l’endroit où se trouvent les faiblesses avant qu’il ne soit trop tard. Il est difficile d’obtenir une bonne visibilité.
Les systèmes de contrôle industriel (ICS) présentent des vulnérabilités
Les cyberattaques se sont intensifiées en 2021 selon le dernier rapport d’IBM Security, et ont même doublé envers les industries liées à la lutte contre le COVID-19. Alors qu’il n’était qu’en huitième position l’année précédente, le secteur manufacturier a pris la deuxième place sur la liste des secteurs d’activité les plus visés par des cyberattaques. Les systèmes de contrôle industriel (ICS) et les réseaux de production que l’on retrouve dans les entreprises manufacturières ne sont pas protégés contre les faiblesses quotidiennes des systèmes informatiques des entreprises, comme l’a illustré Tesla avec le piratage de ses systèmes de vidéo surveillance et leur diffusion sur Twitter.
A cause de l’interconnexion progressive des réseaux informatiques et de production entre eux, pour permettre à une seule équipe informatique de gérer de façon intégrée les systèmes de production, ces systèmes sont davantage exposés aux attaques difficiles à anticiper. L’exemple d’une cyberattaque sur le système ICS d’une usine de traitement de l’eau en Floride au début de l’année a permis aux attaquants de modifier les niveaux de produits chimiques dans le système pour rendre l’eau impropre à la consommation. Cette intrusion a heureusement été détectée et résolue rapidement et sans dommages par les équipes internes.
Sécurité de l’IoT industriel (IIoT), quel avenir ?
En parallèle de l’IoT grand public sont apparues les technologies IIoT, construites sur des plateformes et des protocoles communs et présentant un ensemble similaire de faiblesses de sécurité. Elles sont plus faciles à gérer et moins coûteuses en développement mais aussi plus vulnérables, car en utilisant des technologies communes pour construire les systèmes de contrôle, cela facilite l’activité des cyberattaquants. Au même titre que l’IoT, l’IIoT a vu son besoin de sécurité sous-estimé par les fabricants, et le matériel de première et deuxième génération présente beaucoup de vulnérabilités dans sa configuration et sa conception logicielle. Une fois installé, il n’est pas facile d’y remédier, surtout si le fait d’arrêter les capteurs et les appareils impacte la production. Cette vulnérabilité des équipements nécessite que les entreprises disposent d’une bonne visibilité qui reste difficile à atteindre.
Les entreprises industrielles 4.0 qui choisissent l’IIoT et l’automatisation augmentent leur risque de cyberattaques sous forme de ransomwares, pouvant potentiellement impacter leur chaîne d’approvisionnement. À long terme, pour relever le défi de la cybersécurité, il faut des solutions de défense capables de fonctionner de façon unifiée via un système de gestion unique. Au lieu d’isoler les réseaux industriels, il vaut mieux les intégrer de manière sécurisée. Pour cela, les entreprises doivent pouvoir disposer d’un inventaire précis de leurs systèmes, surveiller leur état en temps réel et pouvoir modéliser la maintenance, y compris les correctifs, de manière complexe. C’est pourquoi il faut vérifier la conception d’un équipement, avant même de l’acheter, en matière de sécurité et sa capacité à remédier aux faiblesses. De plus, il faut intégrer les renseignements sur les menaces, en provenance d’un grand nombre de sources, pour avoir un aperçu des attaques, qu’elles soient anticipées ou détectées dans des incidents réels. Enfin, il faut soigner les connexions aux réseaux informatiques pour ne pas créer de portes dérobées, par exemple des VPN non patchés utilisés pour la maintenance à distance.
Si les cyberattaques n’épargnent aucun secteur, la prise de conscience des risques encourus par le secteur manufacturier n’est que très récente. Pour garantir son avenir sur le long terme dans un contexte d’insécurité latente, le secteur doit faire de la cybersécurité une motivation commerciale à part entière.
