Les médias rendent de plus en plus fréquemment compte de cyberattaques contre les actifs industriels. La question de la cyberprotection devient à la fois existentielle et urgente. Mais une fois la prise de conscience établie, se pose la question « comment faire ? » Voici quelques bonnes pratiques à suivre pour réussir sa protection informatique.
Un enjeu encore mal maîtrisé par les industriels
Alors qu’en France de longues files d’attente se forment devant les stations-service en ce mois d’octobre 2022, c’est une cyberattaque menée en mai 2021 contre l’oléoduc Colonial Pipeline, reliant le Texas à New York (Etats-Unis), qui a engendré les mêmes conséquences. Tel Colonial Pipeline, la majorité des industriels apprennent à leurs dépens, souvent trop tard, qu’ils sont peu ou mal protégés contre de telles offensives criminelles.
Dans les faits, l’informatique industrielle (OT) découvre la problématique sécuritaire avec l’accélération des besoins de connexion : relevés d’informations à partir d’actifs déportés via des capteurs, stockage de données dans un cloud computing, supervision et gestion d’équipements de production à distance, communication de machines à machines au sein de l’atelier… ou interconnexion de l’OT à l’informatique des bureaux (IT) (typiquement l’ERP) ou à l’intersection des deux, typiquement le MES.
Les communications entre réseaux informatiques impliquent l’existence de points de connexions, qui sont autant de portes d’entrée, malheureusement encore souvent grandes ouvertes. Elles permettent aux personnes malveillantes de voler, en toute facilité, des informations, de piéger des serveurs, notamment à l’aide de rançongiciels, comme chez Colonial Pipeline, de détruire des données essentielles, etc. Ce sont autant de risques contre lesquels il est pourtant possible de se protéger.
La variété des solutions de cyberdéfense, dont la plupart sont proposées par des acteurs ignorant la culture industrielle ou ne couvrant qu’une partie du champ sécuritaire, ne facilite pas le choix du prestataire en cybersécurité.
Son identification est d’autant plus difficile qu’il existe des problèmes de recrutement. En effet, le nombre de postes vacants de cyberinformaticiens a augmenté de 30 % dans tous les secteurs d’activité ces 12 derniers mois aux Etats-Unis. La pénurie de talents est d’autant plus criante pour le secteur industriel, où l’on recherche des profils d’experts en cybersécurité et du monde industriel à la fois. Par exemple, on dénombre plus de 300 protocoles informatiques différents dans les équipements industriels, et la maîtrise d’outils de systèmes de détection d’intrusion dédiés, permettant d’analyser ces protocoles, est une compétence clé recherchée.
Les personnes, les technologies et les process : les trois leviers clés
Avant toute décision d’investissement, les industriels gagneraient à s’interroger sur au moins trois points essentiels :
- Des solutions dédiées à l’industrie. Certains prestataires proposent encore régulièrement des solutions de protection informatique issues de l’IT alors que la problématique de l’OT est bien différente. Les machines, par exemple, sont quasi toujours associées à des commandes numériques (et/ou des automates) de technologies différentes. Leur superposer une couche de sécurité uniforme ne garantira pas forcément leur inviolabilité. Par ailleurs, le degré de sécurité dans l’industrie doit être beaucoup plus élevé, car un arrêt de production peut se transformer en plusieurs millions d’euros de pertes par jour.
- La formation. Le sujet des compétences doit être pris à sa juste mesure. En effet, avant la faille technique, il y a plus souvent la faille humaine. L’expérience révèle que les salariés sont insuffisamment préparés à une bonne hygiène informatique. L’embauche de professionnels en cybersécurité ne protège pas si les autres salariés ne sont pas sensibilisés aux bons gestes. Cliquer par mégarde sur un lien piégé fera entrer le loup dans la bergerie. Il n’y a pas de sécurité informatique efficace sans formation de tous salariés, évidemment adaptée à chacun.
- Le déploiement. Une cyberdéfense doit s’appuyer sur une action programmée en trois étapes clés : avant, pendant et après l’attaque.
Avant l’attaque, il convient d’identifier et de protéger. Cela comprend l’inventaire des actifs, l’évaluation des risques, la mise en place de la stratégie défensive et de la gouvernance. Suit la mise en œuvre des moyens de protection : quelle architecture choisir pour limiter, ou retarder, les conséquences d’une cyberattaque ? Quelle politique de sécurisation des accès distants ? Cela passe par une mise à l’épreuve de l’OT via une batterie de tests. Des « hackers éthiques » pourront également déclencher des attaques afin de repérer les failles du système informatique. Face à eux, des outils spécifiques et des hommes tenteront de détecter les comportements anormaux. Rien de mieux qu’une mise en situation réelle pour éprouver un système – qu’il s’agisse d’un système monosite ou multisite.
Deuxième étape : des outils et des équipes de surveillance, via un SOC OT par exemple, doivent être capables de détecter à la minute une attaque. Des équipes de réponse à incident dédiées devront isoler au plus vite la menace pour en limiter les conséquences.
La troisième étape consiste à restaurer les données cibles des pirates afin d’en tirer des leçons dans le but d’améliorer sa défense.
L’objectif est de bénéficier d’une infrastructure OT moderne et sécurisée. Et, last but not least, d’acquérir la capacité de répondre rapidement à toute attaque pour une reprise de la production dans les meilleurs délais. In fine, c’est la résilience de l’outil de production qui importe.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));
Cliquez ici pour lire l’article depuis sa source.