L’essor de l’industrie 4.0 a intensifié la convergence entre les systèmes IT et OT, offrant des gains en efficacité et en connectivité. Toutefois, cette interconnexion expose les infrastructures industrielles aux menaces cyber, obligeant à renforcer la posture de sécurité de ces environnements.
Les environnements industriels, ou OT, ont longtemps fonctionné en vase clos. Protégés par leur isolement, les automates programmables, les systèmes SCADA et les réseaux industriels étaient à l’abri des cyberattaques qui, jusqu’à récemment, ne visaient que l’univers IT. Mais ça, c’était avant. L’intégration croissante des technologies de l’information et de l’OT, la multiplication des capteurs IoT et la nécessité de piloter les opérations à distance ont fait voler en éclats les murs qui protégeaient ces systèmes.
Or la définition de l’OT est large : on pense souvent aux systèmes industriels et aux lignes de production mais les technologies opérationnelles couvrent aussi bien le système d’aiguillage dans le ferroviaire que l’IRM dans un hôpital ou encore le contrôle des dosages de produits chimiques dans une usine de traitement des eaux usées. Autant de systèmes qui sont de plus en plus interconnectés avec l’IT et, par extension, connectés, interfacés, ouverts sur l’extérieur. Et donc vulnérables. En effet, la convergence entre IT et OT provoque une augmentation substantielle de la surface d’attaque.
La convergence IT/OT au cœur du problème
L’environnement industriel était en effet, par essence, isolé du monde extérieur et se retrouve désormais connecté à Internet par le biais d’un réseau informatique. Or les appareils et systèmes OT n’ont, en règle générale, pas été conçus avec une sécurité informatique intégrée. Se pose également un problème de culture. D’un côté l’IT, avec ses cycles courts et ses impératifs de mise à jour, de l’autre l’OT, où la stabilité prime sur tout et où une mise à jour non testée peut causer l’arrêt d’une ligne de production. D’autant que les temporalités ne sont pas les mêmes et que l’on ne remplace pas aussi aisément la climatisation d’une maison de retraite ou un scanner dans un hôpital qu’un serveur. Les équipements relevant de l’OT sont des investissements lourds qui s’amortissent sur un cycle de vie de 20 à 30 ans, si ce n’est plus.
Nomios
« C’est une problématique connue depuis plus de 20 ans mais l’IT est plus exposé, avec plus de machines connectées, plus d’utilisateurs. On a donc priorisé la sécurité des systèmes d’information mais c’est un des effets collatéraux, plus l’IT est protégé, plus l’OT devient une cible de choix », nous explique Emmanuel Le Bohec, responsable groupe offre OT/ICS & xIoT chez Nomios. Les menaces ne sont plus théoriques. Les attaques sur les environnements industriels se multiplient et leurs impacts peuvent être catastrophiques. Sabotage, espionnage industriel, perturbation de la production, voire atteinte à la sécurité des opérateurs et des humains… les scénarios sont multiples et bien réels. Pourtant, la prise de conscience est encore trop lente.
La disponibilité préférée à la sécurité
Seckiot
« On assiste à une prise en compte de la menace mais l’OT est dans le même état qu’il y a 20 ans en termes de capacité de réaction, parce qu’on ne sait pas ce qu’on a, ni qui est derrière » indique François Foyer, CTO de Seckiot. L’industrie 4.0, la servicisation et une supply chain toujours plus connectée portent ainsi la transformation numérique de l’OT, sans que la cybersécurité ne soit une priorité dans ces projets. C’est pourquoi il n’est pas rare de croiser des sites où des postes d’opérateur d’équipements critiques tournent sur des OS obsolètes, où les accès distants sont protégés par des mots de passe par défaut – à moins qu’ils ne soient pas protégés du tout – et où la segmentation réseau est inexistante. Ces failles peuvent être utilisées par un attaquant comme point d’entrée dans les systèmes informatiques d’une entreprise mais un pirate visant l’IT d’une organisation peut également se déplacer vers les systèmes OT. Or une attaque touchant une aide mécanique à la respiration, un centre de traitement des eaux – comme on a pu le voir aux États-Unis – ou encore les feux tricolores d’un carrefour aura des conséquences autrement plus graves qu’un serveur chiffré par un ransomware.
Nozomi Networks
Pourquoi donc ce manque d’entrain à sécuriser l’informatique industrielle ? « Les DSI et RSSI ont longtemps vu l’OT comme un territoire inconnu et les responsables industriels perçoivent encore trop souvent les mesures de cybersécurité comme des contraintes susceptibles de freiner la production », nous explique Kevin Isaac, CRO de Nozomi Networks. C’est à ces derniers, notamment aux plant managers, qu’incombe l’arbitrage entre la performance opérationnelle et la sécurité. « Ce sont eux qui connaissent les systèmes sur lesquels repose la chaîne industrielle », précise-t-il. Le premier enjeu de l’OT, c’est la disponibilité: « Que ce soit un hôpital ou une usine, on est sur une recherche de disponibilité maximale de l’outil de production », insiste François Foyer. Mais on n’éteint pas aussi simplement un robot sur une chaîne de production qu’un PC pour appliquer un patch.
Gouvernance partagée
Il apparaît donc essentiel de repenser l’organisation de la cybersécurité OT, avec une coopération des différentes parties prenantes. Mais qui doit être en charge, côté usine, des aspects de cybersécurité ? Si les opérationnels dans les usines ou la gestion des bâtiments voient débarquer un beau matin des responsables IT leur expliquant qu’ils représentent un risque et leur imposant de nouvelles contraintes, il y a fort à parier que les projets de sécurisation de l’OT prennent du temps et génèrent quelques tensions.
La gouvernance OT devrait, dans le meilleur des mondes, être pilotée conjointement par la production et l’IT, mettant tout le monde autour de la table de sorte à définir des politiques de sécurité adaptées sans compromettre l’efficacité des opérations. Soit une démarche qualité, bien comprise par les directeurs d’usine, plutôt qu’une approche par les risques. « On sent qu’il y a quand même la volonté des opérateurs OT d’avoir des données plus interprétables, souligne François Foyer. L’un de nos objectifs est d’être capables de s’adresser à tous ces gens-là, du programmeur automate au responsable de l’informatique industrielle ; c’est d’amener un outil proposant des vues pour chacun des métiers, pour la compréhension de l’OT par l’IT et aussi pour que l’OT ait accès à des données compréhensibles. » S’y ajoutent des enjeux de sensibilisation des équipes : la cybersécurité ne peut plus être l’affaire exclusive des experts IT. Les opérateurs, techniciens et ingénieurs de production doivent comprendre les risques, savoir identifier une anomalie et adopter des pratiques sûres au quotidien. Une connexion USB infectée, une mauvaise configuration d’un accès distant, une méconnaissance des menaces actuelles peuvent suffire à compromettre un site entier.
Connais-toi toi-même
Une fois les violons accordés, le premier dossier auquel s’attaquer est la cartographie des différents assets. En effet, contrairement à l’IT et ses protocoles relativement communs et standardisés, l’OT est fortement hétérogène. Des équipements généralement propriétaires, avec des protocoles différents parfois même au sein d’un seul et même site et des communications entre machines qui ne sont souvent pas comprises. Selon le CTO de Seckiot, « cet inventaire, c’est une première étape qu’on fait, avec nos prospects. L’IT doit aller plus en profondeur, comprendre l’OT, mais c’est un univers très différent, sans vision commune de l’inventaire, ni matrice de fonctionnement ».
Or tout nouvel outil intégré au réseau OT pour y collecter des données représente un risque en soi pour la production, pour la fameuse disponibilité des équipements. « Nozomi Networks vient initialement du monde du monitoring, nous avons donc l’habitude de ces
problématiques et avons une approche passive/active des agents afin de voir qui se trouve sur le réseau et quel équipement communique avec quel autre », raconte Kevin Isaac. En assurant un inventaire rigoureux des actifs industriels connectés et une cartographie des flux de communication, les équipes seront en mesure d’identifier les premières vulnérabilités et d’agir en conséquence, en renforçant les mots de passe ou en désactivant les accès inutilisés par exemple.
Cloisonner et se préparer
Le cloisonnement des réseaux devient impératif : segmenter, isoler les zones critiques, mettre en place des pare-feu industriels et contrôler strictement les accès sont des prérequis fondamentaux. « Depuis quelques années, un premier niveau de segmentation est mis en place avec la création d’une DMZ entre IT et OT », signale Emmanuel Le Bohec. Il faut également composer avec des équipements propriétaires connectés pour des besoins de télémaintenance, qui agissent comme de véritables boîtes noires au sein des réseaux. Il est ainsi d’usage de trouver des routeurs 4G non maîtrisés dans les environnements industriels. Selon François Foyer, « on remarque très souvent le manque de bastion, l’absence de contrôle des accès, là où l’on a besoin de firewalls, de bastions et de sondes. Il faut avoir une approche a minima périmétrique de la sécurité des environnements OT ». Et les fabricants de machines-outils et autres équipements ont un rôle à jouer, en adoptant le security by design dans leurs produits. Si les grands du marché, Siemens et Schneider en tête, multiplient les efforts, reste le problème de la mise à niveau des équipements sur site et de son coût.
Une fois un certain niveau de maturité atteint côté OT, on peut se pencher sur les solutions. Force est de constater que l’on retrouve peu ou prou les mêmes types d’outils dans les environnements industriels que dans les systèmes IT. Détection continue, SOC, EDR, pentests, PAM, etc. Des termes communs aujourd’hui pour les RSSI, qui s’appliquent aussi à l’OT. « Du côté de l’IT comme de l’OT, on a des outils qui apportent beaucoup de données : le défi est de les utiliser pour apporter des actionnables », assure le CRO de Nozomi Networks.
Enfin, il faut anticiper l’inévitable. Aucune protection n’est infaillible et il est impératif de se préparer à gérer une crise. Tester les plans de réponse aux incidents, disposer de sauvegardes hors ligne fonctionnelles et s’assurer que l’ensemble des acteurs savent comment réagir en cas de cyberattaque est essentiel. Et c’est sur ce point précis que les RSSI et autres tenants de l’IT peuvent dialoguer avec leurs homologues de l’OT. « La capacité à répondre à un incident, qu’il soit cyber ou opérationnel, va permettre de garder cette haute disponibilité et de redémarrer l’outil de production le plus vite possible », explique François Foyer. Dans tous les cas, seule une vraie coopération entre IT et production, entre RSSI et plant managers, pourra limiter les risques et garantir la résilience des systèmes industriels, qui ne peut plus être un sujet annexe ou repoussé à plus tard.
Guillaume Périssat
