Accueil Industrie et PME en quête de solutions

Industrie et PME en quête de solutions

Sommaire du dossier

Industrie

Malwares, l’industrie en état de choc

Arrêt de chaînes de production, gestion de stocks et prises de commandes bloquées : les industriels français ont été durement frappés par les grandes vagues de malwares. Un signal d’alarme pour toute l’industrie mondiale.

 

Les attaques de Petya, WannaCry et NotPetya ont créé un véritable électrochoc chez les industriels français et internationaux. Alors que l’informatique industrielle semblait être relativement à l’écart des attaques des pirates informatiques, les masques tombent. Renault, Saint-Gobain, Verallia ont enfin osé briser le silence, les attaques informatiques leur coûtent des millions d’euros, plusieurs dizaines de millions pour certains : il n’est plus possible de faire l’impasse sur la cybersécurité.

Le réveil des fournisseurs d’équipements a eu lieu

Le secteur industriel a pris conscience du danger et les choses bougent désormais rapidement. Schneider Electric et son rival Siemens ont enfin adopté le «Secure by Design «dans la conception de leurs automates. « Qu’il s’agisse de la distribution d’énergie, de gestion des bâtiments et des parkings, de la signalisation ferroviaire et de l’industrie, c’est du contrôle-commande industriel. Or ce sont des systèmes qui sont vulnérables » reconnaît Vincent Riondet, chef de projet Cybersécurité chez Schneider Electric. « Historiquement, avant 2010, la cybersécurité n’était pas prise en compte dans la R&D produit, dans le design d’architecture et dans l’implémentation des solutions. » Depuis, Schneider Electric a sécurisé ses équipements, mais avec une durée de vie parfois supérieure à 20 ans et des équipements qui fonctionnent en 24/7, ce sont plusieurs millions de matériels industriels toutes marques confondues qui sont peu, voire pas sécurisés du tout et qu’il est très difficile de faire évoluer.

En ce sens, le témoignage de Nicolas Barbier, Automation group leader chez Syngenta lors des dernières Assises de la Sécurité est exemplaire. Cette société d’agrochimie suisse a décidé d’investir 100 millions de francs afin de sécuriser ses sites industriels.

Jean-Christophe Mathieu, responsable de la gamme Cybersécurité chez Siemens. Première certification (cspn) prononcée par l’ANSSI pour une gamme complète d’automates programmables industriels : 20 produits de la gamme S7-1500 de Siemens.

Illustration de cette stratégie, la sécurisation de l’informatique du site chimique de Monthey, une usine où travaillent 900 personnes. Le site utilise un système de contrôle-commande maison, Foclan, afin de piloter des automates Siemens, soit 100 000 entrées/sorties au total. « Nous avons choisi le système Trinonex avant même qu’il fasse partie de Schneider Electric, et aujourd’hui 100 % de nos systèmes ont été sécurisés avec ses équipements. » Ce système permet notamment un filtrage protocolaire des réseaux Modbus afin de s’assurer qu’un pirate ne passe pas d’ordre parmi le trafic réseau échangé avec les automates. Autre difficulté du projet, gérer les accès distants sur l’infrastructure nécessaire pour les opérations de maintenance notamment. Une DMZ a été mise en place et tous les échanges avec l’extérieur du site industriel transitent désormais par un bastion Wallix. « L’idée était d’éliminer tous les flux directs en passant par des relais en DMZ ou de la dépose de fichiers. Cela porte sur la prise en main à distance, de la visualisation de processus notamment, des transferts de fichiers, des accès Web pour le reporting, qui étaient les principaux flux, détaille Vincent Riondet. Nous avons pu y ajouter le flux d’impression pour rationaliser le parc imprimante avec l’IT, la gestion des mots de passe puis la gestion des mises à jour Windows et des antivirus via le serveur relais. » Viendront ensuite les flux réseaux du MES de l’industriel.

Les sites télé-opérés, une cible de choix pour les pirates

Autre contexte et autre solution, le projet de sécurisation des installations hydrauliques d’Hydrostadium. Cette filiale d’EDF qui compte 110 personnes gère le parc de plus de 200 installations de petite taille. La télémaintenance est donc la règle, ce qui expose ces installations au risque de cyberattaques. Afin de protéger ses installations où il n’y a généralement pas de présence humaine, Hydrostadium s’est tournée vers l’ANSSI qui l’a aiguillé vers quelques fournisseurs de solutions de sécurité, dont Stormshield (Airbus Defense and Space). « Les gens qui font de la maintenance sur les centrales hydrauliques n’ont pas de compétences réseau et il n’était pas pensable de leur demander de mener des mises à jour sur des équipements informatiques et de sécurité » souligne Robert Wakim, responsable de l’offre industrie de Stormshield. « Le concept de l’architecture que nous avons élaboré pour Hydrostadium était de sécuriser l’infrastructure avec des firewalls, du routage, mais en privilégiant le process. En cas de problème, les automates doivent continuer à échanger et lorsqu’on rebranche les firewalls, la sécurité se rétablit immédiatement. »

Autre particularité du projet, le firewall sélectionné devait réaliser une analyse protocolaire afin de garantir la sécurité et la disponibilité des process exécutés par les automates industriels. « Cette analyse protocolaire constitue la valeur ajoutée de Stormshield car elle permet d’aller en profondeur dans la configuration des protocoles industriels » explique Daniel Fages, CTO de Stormshield. « Il s’agit du fruit d’une collaboration entre la R&D de Stormshield et celle de Schneider Electric pour implémenter le protocole Modbus et surtout le protocole U-Mass qui est le protocole des automates Schneider Electric. Les fonctions de ce protocole ont été codées dans les produits Stormshield et implémentées sur l’ensemble de la gamme et pas uniquement le produit industriel durci. » Qu’il s’agisse de solutions venues du monde IT comme celles de Stormshield, Kasperksy, BlueCoat, Bertin ou purement industrielles comme celles de Schneider Electric, Siemens, Sentryo, Fox-IT, les responsables d’infrastructures informatiques industrielles ont aujourd’hui à leur disposition toute une gamme de solutions pour sécuriser leurs installations. Une prise de conscience plus que nécessaire à l’heure où les concepts de l’industrie 4.0 prennent leur essor.

 


Partage d’expérience

« Le risque n° 1 n’est pas le risque de fuite de données, mais le risque industriel. »

Nicolas Barbier, Automation group leader chez Syngenta

 

« Si on ne sécurise pas aujourd’hui nos installations, nous aurons des risques élevés. Le premier risque mis en avant n’étant pas la fuite de données, mais le risque industriel. Nous avons une directive HSE qui est très claire, c’est avec 0 incident sur le site, 0 rejet dans l’atmosphère, 0 rejet dans le Rhône et 0 cyberattaque. Il n’y a pas de réglementation en Suisse, mais elle impose de se mettre au meilleur niveau de la technique. Une grosse partie du projet à consisté dans la mise en place de cette DMZ, ce qui paraît facile sur un schéma. Mais, quand on regarde les réseaux et les flux entre machines, les architectures sont très complexes, et la mise en place doit se faire sans arrêt de production ».

 


Partage d’expérience

« La télégestion est synonyme de surface d’attaque, donc une cible potentielle. »

 

 

Alexandre Muraz,
chef de service chez Hydrostadium

 

« Nous gérons la moitié du parc hydraulique EDF, mais cela représente au total une faible puissance, de l’ordre de 5 à 10 % de la puissance installée EDF. Nos contraintes de coûts sont donc proches de celles des producteurs autonomes et nous devons gérer tous les aspects de ces projets : le génie civil, la géotechnique, la mécanique, le contrôle-commande et la cybersécurité. Qui dit télégestion dit accès à distance à des systèmes de contrôle-commande, donc potentiellement une surface d’attaque pour des personnes mal intentionnées. Nous nous sommes tournés vers Stormshield pour la qualité de leur accompagnement mais aussi pour leurs firewalls qui fonctionnent dans les SI classiques et également dans le monde industriel. »