La cyberprotection des sites industriels en question

Le monde industriel, un environnement difficile à défendre
Du fait de la loi de programmation militaire, les OIV (Opérateurs d’importance vitale) et les OSE (Opérateurs de services essentiels) issus de la directive européenne NIS, les entreprises concernées ont dû muscler la protection de leurs installations critiques. C’est bien évidemment le cas des centrales nucléaires, les grandes infrastructures de transport, etc. L’informatique industrielle des installations sensibles est notamment protégée par des firewalls spécialisés et des systèmes de communication à diode qui empêchent physiquement les pirates de remonter un lien de communication utilisé pour collecter les données de fonctionnement des équipements. Ces solutions sont à la fois très coûteuses mais aussi très contraignantes d’un point de vue technique. Parmi les spécificités du secteur industriel, les protocoles réseau propriétaires mis en œuvre par les équipements. Alors que toutes les applications du monde IT s’appuient sur un nombre de protocoles relativement limité et basés sur TCP/IP, le secteur industriel est beaucoup plus hétérogène. Chaque fournisseur de machines a créé son propre protocole d’échange, chaque secteur d’activité, qu’il s’agisse de l’énergie, du ferroviaire a créé ses protocoles réseau si bien que la technologie de Deep Packet Inspection d’un firewall classique est totalement inopérante. De fait, des firewalls spécialement adaptés au milieu industriel sont apparus ces dernières années, notamment commercialisés par Fortinet, Cisco, ou encore le Français Stormshield, filiale d’Airbus CyberSecurity. « Nous avions participé au développement du premier pare-feu industriel avec Stormshield en 2014 », explique Yann Bourjault, directeur du département Transformation Digitale de Schneider Electric. « Il s’agissait alors d’un PIA – un Projet d’investissement d’avenir – et cela a donné naissance au Sni40. Il fut le premier pare-feu industriel de Stormshield à bénéficier de la connaissance métier des protocoles industriels apportée par Schneider Electric. »

Windows XP toujours en production dans les ateliers !
Parmi les autres spécificités des ateliers de production figure la présence des versions de Windows pour le moins hétérogènes. De nombreuses machines-outils restent contrôlées par des PC embarqués qui fonctionnent sous Windows XP, quand ce n’est pas Windows 95, sur les machines les plus anciennes ! Même les PC industriels plus récents ne sont pas patchés régulièrement comme c’est le cas des parcs de PC bureautiques. Outre ceux qui ne sont pas connectés à Internet, les fournisseurs de machines interdisent à leurs clients d’intervenir sur la configuration logicielle du PC industriel tel qu’il leur a été livré. Impossible de passer les patchs de sécurité de l’OS ou même d’installer le moindre antivirus sur certaines machines. En effet, un antivirus qui lance un scan de disque en plein usinage d’une pièce et celle-ci peut finir au rebus si la latence induite par l’antivirus a retardé une instruction. On comprend donc l’extrême vulnérabilité des systèmes industriels : le moindre malware qui se lance sur un tel réseau et c’est un effet domino garanti, ce qui explique l’extrême prudence de Renault qui a préféré arrêter tous ses sites de production lorsque celui de Sandouville a été attaqué par WannaCry. Des solutions anti-malware sur clé USB sont apparues sur le marché pour contourner le problème comme le décrit Nurfedin Zejnulahi, directeur technique de Trend Micro France : « Nous proposons une approche sur clé USB afin de scanner un poste et s’assurer qu’il n’est pas infecté par un malware. Si le test est négatif, on va sceller la machine pour s’assurer que personne ne viendra l’infecter. Si un élément suspect est détecté, on va remonter l’information via la clé ellemême afin de faire une analyse par la suite sur un poste bureautique. »


Des sondes spécialisées apportent un peu de visibilité
Face à la vulnérabilité des équipements industriels, une nouvelle classe d’équipements de sécurité adaptés à cet environnement est apparue, celle des sondes industrielles. Darktrace propose ainsi une solution de sonde qui intercepte le trafic sur le réseau industriel et le fait analyser par un algorithme de Machine Learning. « Nous sommes leader dans les usages de l’IA dans la cyber défense, qu’il s’agisse de la bureautique, du Cloud et de l’industriel, mais à l’origine nous venons du monde de l’industrie », explique Hippolyte Fouque, directeur commercial de Darktrace en France. « Notre premier client fut la centrale de Drax, une grosse centrale thermique au Royaume-Uni. L’IA est mise en œuvre afin de suivre le comportement de chacun des équipements de l’usine et signaler lorsque certains devient de leur comportement habituel et légitime. Ce n’est que dans un deuxième temps que nous avons décliné cette approche au monde de l’IT, avec notamment la capacité de lancer une réponse à incident de manière autonome, une approche moins fréquemment mise en place en environnement industriel ou l’interruption de la production est plus difficile mais l’alerting temps réel est une fonction majeure. »


La marche difficile des PMI vers la cybersécurité
Si toutes ces solutions sont aujourd’hui matures et sont mises en œuvre par les grands industriels, pour beaucoup de PME industrielles, faire ce pas vers la cybersécurité reste difficile. Bien souvent tous les investissements sont orientés vers l’outil de production luimême. Les prestations de sécurité sont toujours perçues comme extrêmement coûteuses et peu génératrices de retour sur investissement. « Les PMI ont souvent d’autres priorités à faire passer devant la cybersécurité en termes de gestion de risque. En outre, bien souvent, elles ne peuvent s’appuyer sur un RSSI ou même parfois sur un DSI pour mener à bien des projets de sécurisation », déplore Laurent Hausermann. Pourtant, le blocage d’un outil de production par un ransomware peut être fatal à une PME dont la trésorerie est déjà très tendue, comme l’a montré la malheureuse faillite de Clermont Pièces en septembre 2018. Pour l’heure, les premiers industriels à avoir véritablement engagé une stratégie de sécurisation de leurs installations sont ceux que la loi contraint de le faire et, contrairement à ce qu’on pourrait penser, il y a parmi eux des PME/ PMI. En effet, tous les OIV et OSE ne sont pas des géants industriels et si Guillaume Poupard ne souhaite pas voir leurs noms exposés et éviter de braquer le projecteur des pirates sur elles, certaines PME sont bien soumises à la LPM et à la directive NIS.