Le raccordement des réseaux industriels (OT) au système d’information de l’entreprise voulue par l’Industrie 4.0 est engagé par un nombre croissant d’industriels. Mais cette convergence est menacée par les cyberattaques qui profitent de la vulnérabilité des outils industriels, dont les systèmes d’information et de pilotage sont encore souvent propriétaires et obsolètes.
Les cyberattaques ne ciblent plus seulement les systèmes d’information (SI) des entreprises. Elles frappent désormais aussi les réseaux de leurs systèmes industriels (OT), surtout quand ils sont raccordés au SI selon le concept de l’Industrie 4.0 (voir encadré). La chaîne d’approvisionnement ou de production est devenue l’une des cibles préférées des cyberattaques, et notamment par rançongiciels (CryptoWall, WannaCry, etc.). Ainsi, des géants de l’industrie comme Tesla, SpaceX et Boeing, pour ne citer qu’eux, ont été les victimes indirectes en 2021 d’un rançongiciel ayant infecté l’un de leurs sous-traitants industriels.
Autre exemple édifiant d’attaque contre l’outil de production, celle qui a causé l’arrêt ce printemps de l’oléoduc Colonial Pipeline, qui transporte presque la moitié du carburant de la côte est des Etats-Unis. Résultat : l’état d’urgence a été déclaré et une rançon de plusieurs millions de dollars a été payée. On peut aussi citer le cas de Toyota, obligé d’arrêter ses chaînes de production d’automobiles après une cyber attaque. 35 jours : c’est le temps d’arrêt moyen d’un système logistique en 2020 suite à une attaque ou une panne majeure selon OnePoll.
9 entreprises sur 10 ont subi une intrusion ou plus
Le constat est assez alarmant d’autant que les systèmes de production des industriels ne sont pas tous sécurisés pour bien résister aux cyberattaques, qui ne cessent de se professionnaliser. La preuve, 9 entreprises sur 10 ont subi au moins une intrusion sur leur réseau OT en 2020 selon une étude de Fortinet. Stéphane Potier, responsable cybersécurité OT chez l’intégrateur Advens, encourage donc « les industriels, petits ou grands, à prendre conscience de la cyber-vulnérabilité de leurs installations de production et à ne pas gérer que la protection physique de leurs sites industriels ».
Et ces cybermenaces ne concernent plus uniquement les grands Opérateurs de Services Essentiels (OSE) ou d’Importance Vitale (OIV), tels que définis par l’Agence Nationale de Sécurité des Systèmes d’Information (Anssi). En effet, les banques, les compagnies aériennes, les opérateurs d’énergie, etc. doivent déjà respecter la très sévère directive européenne de 2016, NIS (Network and Information System Security), mais aussi d’autres législations.
Les PME locales sont aussi dans le viseur
Ce qui n’est pas le cas des PME. Selon le Sénat, 43 % d’entre elles ont subi une cyberattaque en 2020 pour un préjudice allant de plusieurs milliers d’euros à plusieurs millions d’euros. Ces cyberattaques ciblent donc bien les PME locales et leurs chaînes de production, dont celles qui fabriquent des médicaments (Laboratoires Pierre Fabre), des voiliers (Bénéteau), etc. Elles sont des cibles plus faciles à attaquer que les grands comptes, souvent du fait de leur manque d’expertises et d’équipes pointues en cyber sécurité. Raison pour laquelle la nouvelle version de la directive NIS devrait étendre son dispositif aux acteurs moins critiques pour l’économie du pays, mais dont les interruptions répétées, ou de longue durée, dans la fourniture des services pourraient avoir des effets négatifs sur son fonctionnement.
Pourquoi les systèmes industriels subissent-ils autant d’attaques ?
Plusieurs raisons à cela. Tout d’abord, ces cyberattaques ciblent les réseaux OT des installations industrielles propriétaires car ils sont moins protégés que le système d’information de l’entreprise. Ils constituent un terrain d’autant plus propice à leur propagation rapide que la surface d’attaque des réseaux OT a beaucoup augmenté. En effet, les industriels sont plus nombreux à “ouvrir” leurs systèmes de production, jadis fermés et propriétaires, afin d’accélérer leur numérisation et leur automatisation dans le cadre de l’Industrie 4.0 (voir encadré). Les systèmes industriels deviennent ainsi plus communicants, et donc plus vulnérables lorsqu’ils remontent des données et des flux capturés sur leurs réseaux vers le système d’information (SI) central de l’entreprise.
Une convergence OT-IT confrontée aux réalités humaines et techniques sur le terrain
La convergence OT – IT voulue par l’Industrie 4.0 est donc engagée par un nombre croissant d’industriels. Mais elle se heurte à de nombreuses réalités humaines et techniques sur le terrain.
« C’est souvent une intégration à l’initiative de la DSI, plus qu’à l’équipe qui gère les réseaux OT, qui n’y est pas toujours favorable, contrairement aux autres départements fonctionnels de l’entreprise », analyse Emmanuel Le Bohec, directeur des ventes en France de Claroty, un leader de la cybersécurité industrielle.
Eric Vautier, RSSI du groupe de gestion aéroportuaire ADP, estime aussi que c’est plus à l’équipe IT de sécuriser l’OT, du fait de ses compétences en cyber sécurité… et de ses budgets. A condition d’acquérir la connaissance nécessaire sur les sujets industriels après avoir dressé un état des lieux avec les métiers concernés et les puissants directeurs d’usine. Et de préciser : « La complexité d’une convergence OT – IT est plus liée à la gestion du facteur humain (querelles de chapelles, de sachants, etc.) qu’à l’intégration technique de l’OT vers l’IT ».
Une migration à réaliser par étapes
La convergence sécurisée des réseaux OT – IT chère à l’Industrie 4.0 nécessite donc de progresser par étapes pour la réussir. En effet, il est souvent délicat de raccorder au SI des environnements et machines industrielles propriétaires fiabilisées depuis des années, voire des décennies, comme les trieurs de bagages dans les aéroports. Certains équipements tournent encore sous Windows 98 et n’ont même pas de prise Ethernet ou de connectivité suffisante pour les raccorder au SI. Eric Vautier conseille donc de profiter des plans de modernisation des installations industrielles prévus, dans le cadre du respect des réglementations et des obligations par exemple.
Les outils de protection IT sur les réseaux OT ?
Pas directement. « Il faut collecter les infos des réseaux OT, puis les analyser. On ne peut pas sécuriser ce qu’on ne connait pas » explique Vincent Rouault. Ce que confirme Stéphane Potier : « Ne pas oublier de cartographier également ses outils passifs, mais attention, même cette activité risque de faire planter les réseaux OT. Difficile aussi d’y implanter des solutions EDR car elles peuvent générer des faux positifs qui peuvent déclencher l’arrêt automatique de la chaîne de production ! » Toutefois, Emmanuel Le Bohec remarque que les postes admin des machines OT « peuvent accepter certains anti-virus avec l’aide de la DSI, et à terme des EDR sur les nouvelles versions de Windows quand l’infrastructure est mise à jour. C’est le plus gros du travail car l’accès distant, via VPN notamment, est souvent négligé par l’OT dont les réseaux à plat utilisent souvent des protocoles exotiques ».
Mais si la DSI n’est pas autorisée à modifier l’environnement OT existant pour le sécuriser davantage, la « solution radicale consiste à le sortir de la chaine ou à le mettre sous cloche pour le sécuriser. Ce n’est pas parfait, mais cela permet de trouver un compromis acceptable par tous » conclut Eric Vautier, RSSI d’ADP. On l’aura compris, le Diable se cache aussi dans les détails et peut freiner la convergence OT-IT sécurisée promue par l’Industrie 4.0.
