X
Alain Clapaud / jeudi 9 janvier 2020 / Thèmes: Dossier

Cybersécurité de l'industrie

La cyberprotection des sites industriels en question

Mis à part les OIV, bon nombre d’installations industrielles françaises sont vulnérables aux cyberattaques. Système non mis à jour, absence de briques de sécurité de base et défense périmétrique obsolète… Tout reste à faire, particulièrement dans les PME.

Arrêt de production d’un site pétrochimique en Arabie saoudite à cause du malware Triton ; arrêt de toutes les chaînes d’assemblage européennes de Renault lors de l’attaque du malware WannaCry et, plus récemment, LockerGoga qui a paralysé le système informatique de Norsk Hydro… Les sites industriels semblent notoirement démunis face aux attaques informatiques.

Longtemps, les industriels ont privilégié l’isolation totale de leur informatique industrielle, l’OT dans le jargon métier pour Operational Technologies, par opposition à l’IT, c’est-à-dire l’informatique de gestion. Une approche d’isolation qui, avec les concepts d’Industrie 4.0 qui misent sur l’exploitation des données récoltées sur les équipements de production, ne tient plus aujourd’hui. Dépourvus de toutes défenses intrinsèques, ces réseaux industriels sont vulnérables au moindre courriel de phishing ouvert sur une machine connectée derrière le firewall, ou même à un malware infectant la clé USB de l’employé de maintenance qui va accéder à une machine.

 

Le monde industriel, un environnement difficile à défendre

Du fait de la loi de programmation militaire, les OIV (Opérateurs d’importance vitale) et les OSE (Opérateurs de services essentiels) issus de la directive européenne NIS, les entreprises concernées ont dû muscler la protection de leurs installations critiques. C’est bien évidemment le cas des centrales nucléaires, les grandes infrastructures de transport, etc. L’informatique industrielle des installations sensibles est notamment protégée par des firewalls spécialisés et des systèmes de communication à diode qui empêchent physiquement les pirates de remonter un lien de communication utilisé pour collecter les données de fonctionnement des équipements. Ces solutions sont à la fois très coûteuses mais aussi très contraignantes d’un point de vue technique. Parmi les spécificités du secteur industriel, les protocoles réseau propriétaires mis en œuvre par les équipements. Alors que toutes les applications du monde IT s’appuient sur un nombre de protocoles relativement limité et basés sur TCP/IP, le secteur industriel est beaucoup plus hétérogène. Chaque fournisseur de machines a créé son propre protocole d’échange, chaque secteur d’activité, qu’il s’agisse de l’énergie, du ferroviaire a créé ses protocoles réseau si bien que la technologie de Deep Packet Inspection d’un firewall classique est totalement inopérante. De fait, des firewalls spécialement adaptés au milieu industriel sont apparus ces dernières années, notamment commercialisés par Fortinet, Cisco, ou encore le Français Stormshield, filiale d’Airbus CyberSecurity. « Nous avions participé au développement du premier pare-feu industriel avec Stormshield en 2014 », explique Yann Bourjault, directeur du département Transformation Digitale de Schneider Electric. « Il s’agissait alors d’un PIA – un Projet d’investissement d’avenir – et cela a donné naissance au Sni40. Il fut le premier pare-feu industriel de Stormshield à bénéficier de la connaissance métier des protocoles industriels apportée par Schneider Electric. »

SBM Offshore a déployé des sondes Sentryo sur 10 de ses navires d’extraction de pétrole en mer afin de contrer toute attaque informatique sur le réseau industriel extrêmement complexe de ses installations. Sur le marché des services aux compagnies pétrolières, la cybersécurité des installations est devenue un atout compétitif.

Concurrent direct du Français sur la fabrication d’équipements industriels et d’automates de production, l’Allemand Siemens a réalisé d’énormes investissements depuis l’attaque Stuxnet sur le complexe d’enrichissement nucléaire iranien en 2010. En effet, c’est en visant les équipements Siemens que le ver Stuxnet a pu détruire les centrifugeuses de la centrale de Natanz. L’annonce de cette attaque a eu l’effet d’un électrochoc chez l’Allemand qui a lancé un vaste plan de sécurisation de ses produits et de ses processus internes afin d’aller vers une approche de type Secure by Design. « Sur le volet cybersécurité, nous nous appuyons aujourd’hui sur une force de 1 500 personnes au niveau mondial, avec une organisation dédiée sous la responsabilité directe de Joe Kaeser le CEO du groupe », explique Fabien Miquet, Product & Solution Security Officer (PSSO) chez Siemens France. « La cybersécurité est devenue un différenciateur pour nous et nous sommes maintenant les seuls à disposer d’une gamme complète certifiée par l’Anssi. »

La sonde Sentryo vient se placer sur le réseau industriel afin de capter le trafic et générer des alertes en cas de comportement suspect de l’un des équipements.

Windows XP toujours en production dans les ateliers !

Parmi les autres spécificités des ateliers de production figure la présence des versions de Windows pour le moins hétérogènes. De nombreuses machines-outils restent contrôlées par des PC embarqués qui fonctionnent sous Windows XP, quand ce n’est pas Windows 95, sur les machines les plus anciennes ! Même les PC industriels plus récents ne sont pas patchés régulièrement comme c’est le cas des parcs de PC bureautiques. Outre ceux qui ne sont pas connectés à Internet, les fournisseurs de machines interdisent à leurs clients d’intervenir sur la configuration logicielle du PC industriel tel qu’il leur a été livré. Impossible de passer les patchs de sécurité de l’OS ou même d’installer le moindre antivirus sur certaines machines. En effet, un antivirus qui lance un scan de disque en plein usinage d’une pièce et celle-ci peut finir au rebus si la latence induite par l’antivirus a retardé une instruction.

On comprend donc l’extrême vulnérabilité des systèmes industriels : le moindre malware qui se lance sur un tel réseau et c’est un effet domino garanti, ce qui explique l’extrême prudence de Renault qui a préféré arrêter tous ses sites de production lorsque celui de Sandouville a été attaqué par WannaCry.

Des solutions anti-malware sur clé USB sont apparues sur le marché pour contourner le problème comme le décrit Nurfedin Zejnulahi, directeur technique de Trend Micro France : « Nous proposons une approche sur clé USB afin de scanner un poste et s’assurer qu’il n’est pas infecté par un malware. Si le test est négatif, on va sceller la machine pour s’assurer que personne ne viendra l’infecter. Si un élément suspect est détecté, on va remonter l’information via la clé ellemême afin de faire une analyse par la suite sur un poste bureautique. »

L’approche a le mérite d’être pragmatique et apporte une solution ponctuelle qui devient rapidement problématique lorsque le parc de machines à vérifier est très étendu et qu’il faut mener cette vérification régulièrement. Une évolution naturelle du marché serait que les fabricants de machines-outils ou de robots conçoivent des produits Secure by Design et embarquent directement des briques de sécurité dans leurs équipements. « Nous sommes en train de travailler avec les fabricants de systèmes industriels pour que ceux-ci intègrent directement nos solutions par défaut à leurs équipements. Nous avons le taux de faux positifs le plus bas du marché et un taux de latence très faible, ce qui est capital sur un réseau industriel où il y a souvent des problématiques de temps réel », assure Nurfedin Zejnulahi. « Nous avons pris les devants et des discussions sont en cours et ceux-ci sont très demandeurs. Ils prennent la problématique cyber très au sérieux, Il est clair que ces fabricants de machines qui veulent aller vers le Security by Design iront plus rapidement que les industriels eux-mêmes et c’est notamment comme cela que cette problématique cyber va entrer dans les PMI. »

Les clés USB sont fréquemment un vecteur qui va infecter les systèmes industriels non directement connectés à Internet. C’est aussi le moyen d’exécuter un antivirus lorsqu’on ne peut installer de logiciels sur un poste. Ici la solution Portable Security 2 de Trend Micro qui scanne le poste sans installation et permet ensuite de remonter les données suspectes vers un point central d’analyse.

Outre les contraintes en termes de technologies et de connectivité propres à l’informatique d’une chaîne de montage ou d’un atelier de production, un obstacle de taille complique la sécurisation des installations industrielles. Bien souvent, l’interlocuteur n’est pas le DSI de l’entreprise, mais un directeur de production dont l’informatique n’est absolument pas la priorité. Celui-ci doit assurer la sûreté de fonctionnement des installations et doit surtout tenir son planning de production. Réaliser une intervention sur le réseau sur lequel sont connectés ses robots, ses machines, représente pour lui un risque d’interruption de production difficile à accepter sans de solides explications. « Impossible de faire des mises à jour directement sur un poste opérateur ou sur un poste SCADA. Impossible aussi de remplacer des équipements en place, comme on va changer un firewall IT. Il faut une vraie connaissance des impacts en milieu industriel pour dialoguer avec les responsables de la production, il faut être du métier ! », explique Maxime Brun, responsable commercial du secteur industrie chez Airbus CyberSecurity. La branche cyber d’Airbus a ainsi créé une équipe d’une quinzaine d’experts de l’industrie qui vont assurer l’interface entre l’industriel et l’équipe cybersécurité elle-même qui vient installer les équipements. En outre, le Français propose aux industriels de tester et valider les solutions de sécurité qu’ils comptent déployer sur l’infrastructure avec une approche plutôt originale. Les équipes d’Airbus CyberSecurity vont littéralement cloner l’infrastructure réseau de l’industriel en virtualisant chacun de ses composants et en faisant jouer le trafic réseau sur cette architecture virtuelle. Maxime Brun livre quelques détails sur l’équipement mis au point par Airbus pour faire tourner ce clone virtuel de réseau industriel : « Notre outil Cyber Range nous permet de reproduire des topologies réseau de l’industriel dans un environnement virtualisé. Nous pouvons alors totalement simuler un trafic comparable au trafic réseau réel sur le site industriel et vérifier ainsi l’impact de la solution que l’on veut installer chez l’industriel avant de la déployer réellement. »

Airbus CyberSecurity propose aux industriels de valider sur un Cyber Range les solutions de sécurité qui vont être déployées sur le réseau industriel en validant son impact sur une réplique virtualisée de ce dernier.

Des sondes spécialisées apportent un peu de visibilité

Face à la vulnérabilité des équipements industriels, une nouvelle classe d’équipements de sécurité adaptés à cet environnement est apparue, celle des sondes industrielles. Darktrace propose ainsi une solution de sonde qui intercepte le trafic sur le réseau industriel et le fait analyser par un algorithme de Machine Learning. « Nous sommes leader dans les usages de l’IA dans la cyber défense, qu’il s’agisse de la bureautique, du Cloud et de l’industriel, mais à l’origine nous venons du monde de l’industrie », explique Hippolyte Fouque, directeur commercial de Darktrace en France. « Notre premier client fut la centrale de Drax, une grosse centrale thermique au Royaume-Uni. L’IA est mise en œuvre afin de suivre le comportement de chacun des équipements de l’usine et signaler lorsque certains devient de leur comportement habituel et légitime. Ce n’est que dans un deuxième temps que nous avons décliné cette approche au monde de l’IT, avec notamment la capacité de lancer une réponse à incident de manière autonome, une approche moins fréquemment mise en place en environnement industriel ou l’interruption de la production est plus difficile mais l’alerting temps réel est une fonction majeure. »

En s’attaquant au système de sécurité des processus Triconex de Schneider Electric en 2017, les attaquants ont réussi à stopper à plusieurs reprises la production d’un site pétrochimique en Arabie saoudite.

L’un des plus sérieux concurrents de Darktrace sur ce marché de l’industrie est la start-up Sentryo. Le Français a été racheté par Cisco le 8 août dernier afin de rejoindre la business unit IoT du Californien. Tout comme son concurrent anglo-saxon, Sentryo génère des alertes en fonction du trafic collecté sur le réseau industriel. Outre le CEA, il compte parmi ses clients l’opérateur d’infrastructure de transport et de stockage de gaz Teréga, ainsi que divers opérateurs d’infrastructures portuaires, ferroviaires et aéroportuaires. « Notre solution supporte une cinquantaine de protocoles industriels, dont les protocoles des automates Siemens et Schneider, Modbus, mais aussi énormément de protocoles plus propriétaires dans le secteur ferroviaire, pétrolier dans le monde de la production électrique », argumente Laurent Hausermann, co-fondateur de Sentryo.

L’interface de la solution Darktrace permet de rejouer à tout moment le trafic réseau de l’installation industrielle et comprendre ce qui a poussé l’algorithme d’IA de la solution à générer une alerte de sécurité.

À l’inverse de son rival à l’interface 3D ultra sophistiquée, Sentryo privilégie une interface utilisateur simplifiée. Selon son concepteur, cette interface est mieux reçue par les utilisateurs métier, essentiellement des techniciens en usine et non pas des analystes en cybersécurité. Outre la surveillance du trafic, de tels outils ont une fonction de découverte des équipements sur le réseau particulièrement intéressante pour les industriels. Le suivi des assets installées sur le réseau sur plusieurs dizaines d’années parfois est souvent très approximatif et ces sondes permettent de repérer tous les équipements connectés au réseau. Les sondes permettent ainsi de reconstituer un existant dont bien souvent l’industriel a perdu la trace au fil des ans. « Après avoir déployé notre solution, les industriels font le ménage sur leur réseau et vont gagner de 20 % à 30 % de la bande passante sur leurs réseaux industriels, en décommissionnant des équipements découverts par la solution mais devenus inutiles, c’est aussi une solution qui constitue une aide dans le patching des équipements détectés et qui permet ainsi mettre en place un plan de remédiation des vulnérabilités. »

La marche difficile des PMI vers la cybersécurité

Si toutes ces solutions sont aujourd’hui matures et sont mises en œuvre par les grands industriels, pour beaucoup de PME industrielles, faire ce pas vers la cybersécurité reste difficile. Bien souvent tous les investissements sont orientés vers l’outil de production luimême. Les prestations de sécurité sont toujours perçues comme extrêmement coûteuses et peu génératrices de retour sur investissement. « Les PMI ont souvent d’autres priorités à faire passer devant la cybersécurité en termes de gestion de risque. En outre, bien souvent, elles ne peuvent s’appuyer sur un RSSI ou même parfois sur un DSI pour mener à bien des projets de sécurisation », déplore Laurent Hausermann. Pourtant, le blocage d’un outil de production par un ransomware peut être fatal à une PME dont la trésorerie est déjà très tendue, comme l’a montré la malheureuse faillite de Clermont Pièces en septembre 2018.

Pour l’heure, les premiers industriels à avoir véritablement engagé une stratégie de sécurisation de leurs installations sont ceux que la loi contraint de le faire et, contrairement à ce qu’on pourrait penser, il y a parmi eux des PME/ PMI. En effet, tous les OIV et OSE ne sont pas des géants industriels et si Guillaume Poupard ne souhaite pas voir leurs noms exposés et éviter de braquer le projecteur des pirates sur elles, certaines PME sont bien soumises à la LPM et à la directive NIS.

Les postes de contrôle des processus industriels, les SCADA, sont souvent dépourvus de toute cyber-protection. Une cible de choix pour les pirates.

Ainsi, Fabien Miquet, de Siemens souligne : « Sur le marché français, si on ne considère que les 250/260 OIV, il y a les grands groupes de production d’électricité, les réseaux de transport, il y a aussi des entreprises de tailles plus modestes, notamment des petites entreprises qui ont une activité stratégique pour la nation. Bien souvent ces PME n’ont pas l’hygiène de base en termes de sécurité, ne serait-ce que fermer les locaux, Nous proposons avec le Siemens Training des formations labellisées SecNumEdu pour former intégrateurs, clients et partenaires au B.A. BA de la cybersécurité industrielle, ce qui est vrai en IoT et dans l’OT et au contraire ce qui ne peut être transposé dans l’OT. L’antivirus n’est notamment pas une solution forcement indiquée sur des postes industriels, cette évangélisation est un travail de tous les jours. »

Autre puissant levier auprès des PME, leurs donneurs d’ordres qui vont devoir resserrer la vis sur la cybersécurité de leurs sous-traitants. Ainsi, Airbus a été la cible de plusieurs cyberattaques via ses sous-traitants. Les pirates exploitent désormais la faiblesse des PME et des sous-traitants pour s’installer dans leur système informatique et rebondir vers leur cible réelle. Pour atteindre Airbus, les attaquants ont piraté quatre de ses sous-traitants, dont Rolls-Royce qui fournit des moteurs à l’avionneur, ainsi que Expleo (nouveau nom d’Assystem Technologies). Selon les révélations de l’AFP, le piratage de cette société d’ingénierie a permis aux pirates d’accéder aux ressources d’internes d’Airbus en passant par le VPN mis en place entre les deux sociétés. Si la pression réglementaire a poussé les PME concernées à sécuriser leurs installations, c’est sans doute la pression de leurs grands donneurs d’ordre qui pousseront beaucoup à investir enfin en cybersécurité.

3207

x
Rechercher dans les dossiers

Actuellement à la Une...
Présenté ce matin en session plénière par Jean-Noël de Galzain, le projet de plateforme communautaire répondant au doux nom de Gallia entend faire vivre l'écosystème cyber. Si ses contours sont encore à définir, le président d'Hexatrust a déjà une idée précise des finalités de ce futur réseau.

Le FIC s'est ouvert hier et attend quelque 13 000 visiteurs. Avant le début des conférences plénières et des visites des ministres et élus, nous avons pu faire le point sur ce qu'est devenu la grand messe lilloise de la cybersécurité avec son organisateur, Guillaume Tissier, directeur général du CEIS.

Depuis l’apparition de la norme DSP2, le secteur bancaire est contraint d’évoluer vers des opérations plus ouvertes vers l’extérieur en suivant un concept relativement nouveau, l’Open Banking. HSBC s’appuie sur la plate-forme de Mulesoft pour créer de nouveaux services et mieux servir ses 38 millions de clients. Article paru dans L'Informaticien n°183.

Les deux associations présentaient aujourd'hui à Lille, à l'occasion de l'édition 2020 du FIC, un Livre Blanc dont l'objectif est de sensibiliser les dirigeants d'entreprise à la cybersécurité, abordant 15 thématiques telles que le BYOD, l'Active Directory, la certification ou encore le cloud. Le tout sans jargon, qu'il soit technique ou marketing.

Annoncée il y a quelques jours, la mise à jour d’Office 365 ProPlus de février installe d’autorité Bing comme outil de recherche par défaut… sur Google Chrome. Tollé général.

Récemment Decathlon s’est réinstallé aux États-Unis. L’entreprise est revenue avec un œil neuf et de nouvelles idées dans ses magasins de San Francisco – et de Montréal – pour réinventer le système informatique de l’entreprise. Le maître mot de cette réinvention : API. Avec l’aide de Mulesoft, la plate-forme d’intégration d’applications de Salesforce. Article paru dans L'Informaticien n°183.

Après avoir frôlé la liquidation, l’opérateur de gros est sur le point d’être sauvé. L’entreprise doit avoir déposé aujourd’hui un plan de continuité, soutenu par un autre opérateur, Altitude Infrastructure, à hauteur de 100 millions d’euros sur cinq ans.

La plateforme de bug bounty vient d’annoncer une nouvelle levée de fonds. Après un tour de table à 1,2 million d’euros en 2017, Yogosha réunit cette fois-ci 2 millions d’euros, qui seront mis à profit pour se développer dans la zone EMEA et continuer à recruter.

Le fournisseur d ’énergie s’est engagé dans une transformation ambitieuse pour devenir un leader dans les énergies propres et se transformer en offreur de services. Pour y parvenir, Engie s’est allié à Accenture, Vlocity et Salesforce en vue de déployer une plate-forme unique de gestion de la relation client qui devient sa priorité stratégique. Article paru dans L'Informaticien n°183.

L’éditeur de solutions de business intelligence crée deux nouveaux services pour aider les entreprises à s’imprégner d’une réelle culture de la donnée.

Toutes les News
LIVRES BLANCS

Le présent guide d'achat vous aidera à améliorer l'efficacité de votre cloud hybride, en mettant l'accent sur les stratégies de gestion des données dédiées aux applications correspondantes.


Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au coeur des entreprises, mais pas uniquement. Ce changement de paradigme engage, en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.


Lorsque l'on déploie des postes de travail, ils ont généralement tous la même configuration matérielle et logicielle (avec certaines spécificités selon les services). Mais on ne peut pas toujours tout prévoir et il arrive par exemple que de nouveaux programmes doivent être installés ou n’aient pas été prévus. L’accumulation de logiciels « lourds » est susceptible de provoquer des lenteurs significatives sur un PC allant jusqu’à l’extinction nette de l’application. Ce livre blanc explique comment optimiser les performances au travers de 5 conseils rapides à mettre en place.


Tous les Livres Blancs
0123movie