Depuis plusieurs années, la mondialisation du marché de l’industrie, l’augmentation des exigences clients et la recherche permanente d’une baisse des coûts induisent un accroissement fort de la complexité des environnements industriels. Ainsi, la collaboration des acteurs de sûreté et ceux de la sécurité des systèmes d’information (SI) est plus que jamais essentielle pour maintenir et renforcer la compétitivité des entreprises. Dans cette optique, le SI peut – selon sa flexibilité et sa robustesse – freiner ou faciliter cette collaboration.
D’autre part, la sécurité des infrastructures critiques utilisant des systèmes de contrôle industriels – et plus particulièrement pour les opérateurs d’importance vitale – s’impose désormais comme une priorité essentielle. Ce constat est d’autant plus vrai depuis l’émergence et l’augmentation des risques sur les systèmes industriels initiées dans les années 2010.
Conçus à l’origine pour fonctionner de manière isolée, ces systèmes sont désormais intégrés au SI de l’entreprise afin de répondre à des exigences de productivité. Les évolutions amènent, de fait, les systèmes de pilotage informatisés des installations à s’ouvrir aux réseaux extérieurs, ce qui les expose à de nouveaux risques, d’autant que leur sensibilité est de plus en plus importante. A cela s’ajoute la faiblesse des composants techniques utilisés dans les systèmes de contrôle industriels, en général peu préparés aux défis de la cyberguerre en cours. Comme pour les autres domaines de la cybersécurité, les premières réponses sont d’abord organisationnelles avant d’être technologiques.
Quelle est la différence entre un SI traditionnel et un SI industriel ?
Dans une entreprise composée de SI industriels, le besoin croissant de consolider les données et d’y accéder en temps réel depuis n’importe quel point sur la planète, la réduction des coûts de développement et de possession ont précipité la convergence des domaines de l’informatique industrielle et de gestion.
Contrairement au domaine des SI traditionnels où les correctifs de sécurité sont publiés par les concepteurs de logiciels et les éditeurs eux-mêmes, le domaine industriel, en raison principalement de contraintes de disponibilité et de sûreté de fonctionnement, ne permet pas d’adopter ce même mode de fonctionnement. Cette différence de traitement, face aux vulnérabilités, est l’un des principaux facteurs de risque subis par les systèmes de contrôle industriels.
La principale différence, entre la sensibilité des SI industriels et des SI de gestion, est liée à la priorisation des exigences de sécurité vis-à-vis du type de données traitées. Au-delà des classiques critères de confidentialité, intégrité et disponibilité, s’ajoutent également des exigences liées à la sécurité physique, à l’environnement, la santé, la dépendance et la régulation.
Quelles sont les différentes vulnérabilités des SI industriels ?
Les vulnérabilités des SI industriels sont souvent liées à l’architecture et la cartographie du SI (absence d’inventaire du parc du SI, des équipements et de vision des générations technologiques et de leurs vulnérabilités intrinsèques, d’une analyse de risques sur les SI industriels ou encore de plan de continuité et de reprise d’activité), aux mesures techniques préventives (mauvaise utilisation de comptes administrateur, outils de prise en main à distance non sécurisés, partage de fichiers sur le réseau en accès complet alors qu’un accès en lecture seul suffit, accès en lecture ou écriture à des fichiers de configurations via FTP ou TFTP, mot de passe par défaut pour les comptes de services, bases de données et accès en mode console (contrôleur logique programmable « PLC », passerelles, équipements réseau) ainsi qu’à la pérennité de la sécurité (absence de politique des médias amovibles (blocage de ports USB), absence de sauvegarde des données, de la configuration des équipements et du code source, absence de mise à jour corrective des systèmes d’exploitation, applications et firmwares, absence de mécanisme de signature des firmwares).
Comment donc sécuriser efficacement ces SI industriels ?
Les systèmes industriels utilisent aujourd’hui abondamment les technologies de l’information, alors qu’ils n’ont pas été conçus pour faire face aux menaces qu’elles introduisent. Les exemples de publication de vulnérabilités des systèmes industriels sont nombreux (les protocoles Modbus et OPC en sont un bon exemple). C’est pourquoi, il est nécessaire de les intégrer dans la réflexion générale sur la sécurité des SI de l’entreprise (culture de sécurité). Deux stratégies peuvent alors se dessiner en termes de sécurisation des environnements.
Tout d’abord, la sécurité by design est une stratégie d’intégration de la cybersécurité dans tous les projets de l’entreprise – que ce soit en phase de spécification, de conception, d’intégration ou dans la phase de test. Il ne s’agit pas de complexifier les démarches et processus, mais plutôt d’intégrer les enjeux de cybersécurité dans les différentes méthodes d’analyse des risques réalisées historiquement – notamment celles de sûreté – dont l’AMDEC (Analyse des Modes de Défaillance, de leurs Effets, et de leur Criticité) ou HAZOP (analyse de risques et de sécurité de fonctionnement), ainsi que l’intégration de la cybersécurité dans les achats (détermination des clauses juridiques à intégrer dans les contrats, définition des conditions de propriété des codes sources et des paramètres).
Tandis que la sécurité post-design, stratégie de mise en place des mesures de sécurité – concernant les installations et les systèmes anciens, architecture et cartographie des systèmes industriels (gestion des accès, modification des accès en lecture et écriture aux fichiers de configuration des PLC par exemple) – vient, elle, renforcer la sécurité des équipements par défaut et obsolètes, et optimiser la sécurité des systèmes industriels.
Chaque installation présente des particularités et des risques propres qu’il convient d’analyser pour déployer des solutions adaptées en limitant les impacts sur l’activité métier de l’entreprise. La sécurisation d’une installation engendre des coûts, bien souvent difficiles à estimer. Les gains apportés le sont également. Néanmoins, ce processus de sécurisation protège les investissements et la production de l’entreprise. C’est pourquoi il est plus qu’important de définir vos objectifs et de les adapter à vos besoins.
Attention cependant, la sur-sécurité peut provoquer des effets contraires à ceux recherchés et nuire aux performances industrielles attendues. Ajouter à cela, la difficulté des opérateurs industriels à appréhender le risque effectif et à le quantifier… L’écart de culture – entre les pratiques de la sécurité des SI d’un côté et les pratiques de la production industrielle de l’autre – peut présenter des difficultés d’organisation liées à la mise en place de la gouvernance. Afin de pallier cela, il est essentiel de développer une réelle collaboration entre ces deux parties – dans le but de réunir réflexions du risque cyber et réponses aux exigences de sécurité des deux environnements. L’approche par les risques, qui a su prouver sa valeur et son intérêt pour adresser les risques sur les SI traditionnels, à toute sa place pour accompagner à leur tour les SI industriels dans leur refonte et leur ouverture.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));
Cliquez ici pour lire l’article depuis sa source.