Accueil La transition industrielle ne se fera pas sans la cybersécurité

La transition industrielle ne se fera pas sans la cybersécurité

© Freepik
Sommaire du dossier

L’essor de l’Internet des objets (IoT) et la convergence des technologies opérationnelles (OT) avec celles de l’information (IT) placent les usines dans une position de vulnérabilité numérique critique. Dans ce contexte, la cybersécurité s’impose comme un allié incontournable de la transition industrielle.

Dans un contexte économique complexe, les acteurs de l’industrie doivent produire à une cadence effrénée, tout en respectant des délais records. Cette réalité exige une approche de fabrication novatrice et une maîtrise totale de la performance énergétique. Pour les industriels, cela se traduit par une gestion minutieuse de la chaîne d’approvisionnement, l’instauration d’une continuité numérique dans le processus de production et une capacité à mesurer chaque aspect de leurs activités. Dans cette quête, les entreprises industrielles ont pris des engagements concrets, suivant un calendrier précis, pour réduire leur empreinte carbone. “Chez Schneider Electric, nous comptons plus de 200 usines et centres de distribution, dont plus de vingt en France, déclare Yann Bourjault, directeur de la transformation digitale et de la cybersécurité chez Schneider Electric France. Nous nous sommes engagés de manière significative à décarboner notre chaîne d’approvisionnement en réduisant de 15 % la consommation énergétique de l’ensemble de nos installations et bâtiments commerciaux. De plus, nous avons pour objectif de convertir un tiers de notre flotte de véhicules d’entreprise en véhicules électriques, en atteignant une conversion complète d’ici 2030.” Une démarche à l’image d’un grand nombre d’acteurs du secteur décidés à contribuer activement à une transition vers des pratiques plus respectueuses de l’environnement.

Une interconnexion quasi intégrale

Pour y parvenir, les entreprises ont besoin d’accéder à l’intégralité des informations industrielles disponibles. Que ce soit celles des usines, celles des bâtiments, ou d’ailleurs. Il est, par exemple, essentiel de connaître la consommation de chaque équipement pour réduire sa dépense énergétique. Le numérique, omniprésent, imprègne ainsi désormais chaque recoin de l’industrie pour connecter les équipements, même obsolètes, et leur permettre ainsi de “s’exprimer”. Cette interconnexion favorise une expansion rapide, de la machine à la ligne de production et de la ligne à l’usine. De même, sans outil logiciel, l’industrie ne peut pas déployer des solutions à grande échelle ni, surtout, prévenir ou anticiper les pannes. La maintenance prédictive est désormais totalement entrée dans les mœurs manufacturières et occupe une place stratégique. “Pour prendre des décisions éclairées, nous rassemblons nos données de consommation énergétique et nos données de production au sein d’une même plateforme, explique Yann Bourjault. Cette approche nous permet notamment d’anticiper les pannes et donc de renforcer ainsi notre processus industriel.

« En 2020, l’industrie manufacturière est devenue la deuxième cible la plus privilégiée par les attaquants, alors qu’elle se classait en huitième position en 2019. »
IBM X-Force Threat Intelligence Index 2021

Un besoin de modélisation préalable

Pour numériser l’environnement de production à des fins de prise de décision, il est essentiel de transformer, d’affiner et de normaliser les données industrielles produites en très grande quantité. Cela permet d’optimiser l’efficacité énergétique, le choix des matériaux et la maintenance prédictive matérielle et logicielle. Cependant, intégrer le numérique au cœur du processus industriel n’est pas une tâche facile et nécessite généralement une modélisation préalable. C’est là que les jumeaux numériques, par exemple, entrent en scène, en accompagnant des enjeux importants tels que l’efficacité énergétique ou la disponibilité des équipements de production. La continuité numérique qu’ils instaurent réunit l’intégralité de la chaîne de production autour d’un même support virtuel de travail et favorise, entre autres, les circuits décisionnels. “La démarche est globalement simple, explique Yoann Delomier, Business Strategy Leader For OT chez Wallix. Elle repose sur la collecte de données existantes au sein d’une usine qui vont être corrélées puis valorisées par l’intermédiaire de l’intelligence artificielle. Les industriels peuvent ainsi réduire leur coût de production, améliorer et stabiliser la durée de vie des machines et travailler sur des pistes d’investissements.

L’industrie, cible privilégiée numéro 2 des cyberattaquants

Le traitement de ces nouvelles données est ainsi rendu possible, directement au cœur des lignes de production avec les technologies d’Edge Computing, ou à une échelle plus décisionnaire avec les composants de supervision tel que les MES (Manufacturing Execution System) ou les MOM (Manufacturing Operations Management) ou même directement au travers de l’ERP sur un environnement IT. On parle alors de convergence IT/OT. Mais, tout cela doit se faire dans un cadre où les attaques cybernétiques dans le secteur industriel se multiplient. En 2020, l’industrie manufacturière devenait, selon le Threat Intelligence Index 2021 publié par IBM X-Force, la deuxième cible la plus privilégiée par les attaquants, alors qu’elle se classait en huitième position en 2019. Cela tandis que “le contexte géopolitique nous entraîne dans une cyberguerre à tous les niveaux. Les ressources allouées aux acteurs malveillants ont connu une croissance exponentielle“, souligne Neil Thomas, ingénieur avant-vente Europe chez Nozomi Networks. L’intégration de la cybersécurité en tant qu’élément clé de la gouvernance industrielle représente un défi majeur et, en particulier, celle liée aux technologies opérationnelles (OT) constitue désormais un fondement essentiel de la transition numérique à laquelle les industriels sont confrontés.

La cyber, condition préalable à tout déploiement numérique

Aujourd’hui, clairement, la cybersécurité est devenue une condition préalable à tout déploiement numérique dans une usine, plutôt qu’une simple conséquence, assure Yann Bourjault. Elle peut être intégrée dans les budgets des nouveaux projets industriels, tels que la modernisation d’une ligne de production, l’implantation d’une nouvelle usine ou le déploiement d’une solution de surveillance énergétique sur un ou plusieurs sites.” La cybersécurité ne peut plus être considérée comme un mal nécessaire qui impacte le retour sur investissement des projets industriels, mais plutôt comme un moyen de déployer rapidement, et en toute sécurité, des solutions numériques visant à réaliser des économies d’énergie, à améliorer la production et bien d’autres aspects. En effet, quel que soit le projet envisagé, qu’il s’agisse de l’installation d’une nouvelle machine ou de la mise en place d’une nouvelle organisation, la question de la cybersécurité devra inévitablement être prise en compte à un moment ou à un autre.

Renforcer l’efficacité opérationnelle grâce à la cybersécurité

D’autant que, dans cette dynamique, si la cybersécurité joue un rôle clé du point de vue technologique, elle est également phare en termes de  gouvernance et d’efficacité opérationnelle. Elle offre, en effet, une occasion unique de décloisonner les approches fonctionnelles, rompant ainsi avec les schémas traditionnels basés sur des lignes de production distinctes. Comme le souligne Yoann Delomier, “cela favorise également les échanges entre les équipes et contribue à surmonter les tensions souvent présentes entre les départements informatiques et opérationnels.” Le rôle du responsable de la sécurité des systèmes d’information (RSSI) dans le domaine industriel prend tout son sens dans l’accompagnement de tels projets. De plus, cette démarche offre l’opportunité de créer de nouveaux processus axés sur l’efficacité opérationnelle. “Les prestataires qui utilisent ces solutions constatent souvent des retours positifs bien au-delà de leurs attentes initiales”, observe Yoann Delomier. Selon lui, la mise en place de solutions de cybersécurité génère des gains de temps et d’efficacité significatifs, notamment en termes d’accès à distance. Des avantages qui se traduisent par l’élimination de déplacements inutiles, la traçabilité de l’activité et l’activation aisée des connexions à distance, sans perturber le client. “Lorsque la cybersécurité se met au service de l’efficacité opérationnelle, le succès est au rendez-vous”, assure-t-il.

Connaître ses assets, les flux d’échanges et les vulnérabilités associées

A la question “par quoi commencer  ?”, l’étape d’inventaire exhaustif et de cartographie intégrale de l’environnement concerné s’impose comme première phase incontournable de cette démarche de sécurisation. Comme le confirme Neil Thomas, ingénieur avant-vente chez Nozomi Networks, “la sécurité et la maîtrise sont impossibles si l’on ne possède pas une connaissance approfondie des éléments en jeu. L’inventaire minutieux et l’analyse approfondie des protocoles OT permettent de mettre en évidence différents éléments clés, notamment les versions des systèmes d’exploitation, qui révèlent souvent de multiples vulnérabilités.” Cela passe, notamment, par la mise en place de sondes de type “passif”, conformément aux recommandations de l’ANSSI (Agence nationale de sécurité des systèmes d’information) ainsi qu’à la norme internationale IEC 62443. L’objectif principal est de réaliser cette découverte de manière passive afin de ne pas perturber la production, tout en permettant aux organisations d’inventorier et de cartographier l’ensemble des flux présents sur le réseau.

Cette maîtrise du réseau permet ensuite d’établir une “baseline” de fonctionnement, de détecter les anomalies protocolaires et de mettre en évidence toutes les vulnérabilités au sein du réseau OT. Neil Thomas explique en détail comment Nozomi parvient à identifier toute déviation de comportement ou attaque en s’appuyant sur quatre moteurs différents : “Une signature (utilisant Yara, Stix & Packet Rules avec une syntaxe Snort), une détection d’anomalies protocolaires, la mise en place d’alertes spécifiques en fonction de la criticité de l’environnement du client (telles que la persistance de liens ou le dépassement de seuils spécifiques), ainsi que l’utilisation de l’intelligence artificielle intégrée à la sonde pour apprendre le fonctionnement du réseau et détecter toute déviation de comportement selon le profil de sécurité choisi par le client pour le réseau (par vlan/subnet/range d’IP). Ces alertes sont ensuite transmises à un SOC (Security Operations Center), à un SIEM (Security Information and Event Management) ou à un client SOAR (Security Orchestration, Automation and Response).

« Les exigences de l’ANSSI et de la norme 62443 imposent également la mise en place de mécanismes d’authentification et de traçabilité pour superviser l’activité des prestataires intervenant sur les équipements industriels. »

La gestion des accès et des identités humaines… et machines

Les exigences de l’ANSSI et de la norme 62443 imposent également la mise en place de mécanismes d’authentification et de traçabilité pour superviser l’activité des prestataires intervenant sur les équipements industriels. Depuis près de quinze ans, les fabricants de machines intègrent et imposent des outils de prise de contrôle afin d’assurer la maintenance et les opérations à distance au service de la production. Cependant, ces solutions “propriétaires” proposent des mécanismes de sécurité tels que l’authentification simplifiée ou le chiffrement des données, qui ne suffisent plus face à la menace cybernétique. Il est donc impératif d’investir dans des solutions de gestion des accès et des identités (IAM ou Identity and Access Management) qui offrent une centralisation et une sécurisation de l’activité des prestataires, incluant une authentification robuste, une traçabilité, la sécurisation des mots de passe et des mécanismes de rupture protocolaire. C’est ce que l’on désigne couramment sous le nom de “bastion”. “Les prestataires peuvent se montrer réticents à ce type d’approche et invoquer des risques liés à la production. Toutefois, j’insiste sur le fait que la simplicité et l’expérience utilisateur sont des facteurs clés pour accompagner le changement et favoriser l’adoption par les prestataires. C’est précisément le choix opéré par Wallix à travers sa solution Pam4OT”, précise Yoann Delomier.

Cartographier, encadrer et sensibiliser

Enfin, pour mener à bien l’ensemble de ces projets, il est primordial d’établir une gouvernance solide. Yann Bourjault rappelle que “de nombreux clients désignent un directeur de programme cyber OT, accompagné d’un CISO OT (Chief Information Security Officer) et d’un CSL (Cyber Site Leader), qui joue le rôle d’interlocuteur privilégié en matière de cybersécurité au sein de l’usine. Ces experts, dotés d’une expertise industrielle, d’une connaissance en automatisation ou en informatique, doivent bénéficier d’une formation régulière pour être à la hauteur de leurs responsabilités.” Selon lui, il est également essentiel de sensibiliser toutes les équipes sur le terrain, qui devront s’approprier les solutions de cybersécurité et les utiliser efficacement. Pour Yann Bourjault, “ une cybersécurité réussie se conforme à la règle des “3U” : elle doit être utile, uti­lisable et effectivement utilisée”. Ainsi, il est primordial de veiller à ce que les solutions de cybersécurité soient véritablement utiles, faciles à mettre en œuvre et réellement adoptées par l’ensemble des acteurs concernés.

Avantages et inconvénients de la segmentation

Côté OT, la segmentation des réseaux est un élément clé. Elle permet de compartimenter des zones au sein de l’atelier, d’un même niveau de confiance, et ainsi, en cas d’attaque, cette conception en zones étanches permet de réduire drastiquement l’impact sur le process, sur les stations de travail ou sur les machines de l’industriel. “Ce sont des choses que l’on voit tous les jours dans nos usines ou celles de nos clients, observe Yann Bourjault. Le seul bémol, c’est que cette segmentation n’est pas simple à mettre en place. Elle doit être déployée par des personnes compétentes en ingénierie réseau et sécurité bien évidemment, mais aussi par des personnes dotées d’une connaissance du métier, puisqu’il va falloir modifier les adresses IP des équipements pour les changer de réseau virtuel (VLAN). Et ces opérations peuvent s’accompagner d’une interruption de service, courte certes, mais bien présente. C’est pourquoi ce type d’opération asset par asset prend du temps et peut se révéler risqué. Avec une bonne planification le nombre d’arrêts de production est à zéro !” L’autre point majeur est le fait d’aider l’industriel à faire parler ses équipements OT et à remonter les logs qui viennent du réseau industriel vers le SOC (Security Operation Center). Cela lui offre une vision claire de ce qui se passe dans son usine. “Ce n’est pas encore si trivial que cela car même si l’IT et l’OT convergent, c’est encore deux métiers bien distincts avec des profils et des backgrounds différents. Et la transition prendra encore un peu de temps, il faut s’y préparer et accompagner ”, conclut Yann Bourjault.

_______________________________

Trend Micro Portable Security  3

Une clé USB pour valider la connexion
de machines externes au réseau

Pour faciliter les convergences IT/OT et les connexions des collaborateurs des deux univers, Trend Micro a conçu une clé USB qui opère un scan rapide sur une machine avant de la connecter au réseau.
Les voyants LED intégrés indiquent la détection ou l’élimination de malware et si une enquête plus poussée est requise.