La sécurité de l’internet des objets industriels

La sécurité de l’internet des objets industriels

Dossier : CybersécuritéMagazine N°753 Mars 2020
Par Laurent MAURY
Par Marie-Laure TABARY (1993)

L’internet des objets (Internet of Things ou « IoT ») est à l’industrie d’aujourd’hui ce que la chaîne de production de Ford était à l’industrie d’hier : un des incroyables moteurs d’une transformation industrielle qui s’accélère. Mais les canaux de communication, les nouveaux points de collecte et de stockage de données, tous les échanges, sont autant de portes d’entrée potentielles aux cyberattaques permettant d’atteindre les systèmes industriels eux-mêmes.

Grâce à l’installation de capteurs au cœur des systèmes industriels et aux technologies de big analytics, on peut optimiser la production, améliorer la maintenance préventive des outils industriels ou développer de nouveaux cas d’usage. La maîtrise et l’optimisation des processus industriels dépendent donc aujourd’hui très largement de la confiance dans les données et les systèmes qui les produisent, les hébergent ou les diffusent, absolument critiques pour la sûreté de fonctionnement des industries.

 


REPÈRES

Juin 2017 : le système de sécurité d’un site pétrochimique situé en Arabie saoudite se déclenche inopinément. Aucune anomalie inquiétante n’est décelée ; une erreur sans doute. Mais un mois plus tard le même événement se produit à nouveau, bloquant le fonctionnement de l’usine. La coïncidence est trop rare : il s’agit là d’une cyberattaque, à partir d’un malware dénommé Triton. Cette attaque, qui se révélera très sophistiquée et minutieusement préparée, aurait pu détruire toutes les données et provoquer une explosion aux conséquences potentiellement meurtrières. Fait inédit, les attaquants ont réussi non seulement à s’infiltrer dans le système de contrôle-commande du site, mais également à infecter le système de sécurité de l’infrastructure – dont la fonction première était de protéger cette dernière en cas de scénario catastrophe.


 

Environnements industriels : des attaques virtuelles aux conséquences bien réelles

Si l’exemple saoudien a été fortement médiatisé, il ne s’agit pourtant pas d’un cas isolé dans le milieu industriel : depuis le virus Stuxnet conçu pour espionner et corrompre les systèmes industriels des centrales iraniennes, dont la découverte en 2010 avait fait grand bruit, les cas de cyberattaque d’infrastructure industrielle se sont multipliés. Rien qu’en 2019 on peut citer la paralysie du producteur d’aluminium norvégien Norsk Hydro et du groupe d’ingénierie Altran par le ransomware LockerGoga, le cryptojacking de la centrale nucléaire ukrainienne de Yuzhnoukrainsk ou encore la série d’attaques ayant visé Airbus, probablement via la chaîne de ses sous-traitants.

Mais comment les attaquants parviennent-ils à prendre le contrôle de systèmes industriels ? Dans de très nombreux cas, ces attaques avancées, souvent menées par des groupes d’attaquants rattachés à des États, transitent par le réseau informatique de l’entreprise, via des outils « classiques » de phishing ou de compromission de mots de passe. Une fois dans le système d’information de la société, le virus recherche alors activement des nœuds de connexion entre le système IT (information technology) et le système OT (operational technology), jusqu’à trouver une brèche. Un logiciel malveillant, construit pour s’introduire dans les systèmes industriels et les objets connectés qui y sont déployés, est alors téléchargé et installé sur un ou plusieurs PLC – programmable logical controller, afin de prendre le contrôle des fonctions industrielles.

SOC Élancourt.
SOC Élancourt.

Stratégies numériques et modernisation des infrastructures

L’IoT industriel (« IIoT ») est devenu une source de performance, mais il étend considérablement la surface de vulnérabilité accessible aux attaquants : les objets connectés sont eux-mêmes devenus une cible, au même titre que les systèmes et infrastructures qu’ils contribuent à connecter. Malheureusement, ils sont encore trop souvent dépourvus de cybersécurité « embarquée » : ils n’ont tout simplement pas été pensés pour résister à des cyberattaques. Et les mesures de protection des systèmes ne peuvent remplacer l’intégration, dès la conception des objets connectés, d’une cybersécurité « native » (security by design).

Par ailleurs, les organisations sont toutes confrontées aux problèmes techniques posés par leur héritage industriel : l’utilisation et l’amortissement d’une infrastructure industrielle ne se conçoivent que sur une durée relativement longue. Certaines installations toujours en fonctionnement ont été conçues il y a parfois plusieurs dizaines d’années, avant l’apparition de l’internet voire de l’informatique. L’interconnexion progressive de ces systèmes hérités (legacy systems), leur enrichissement par des IIoT et l’exploitation des données qu’ils produisent posent des problématiques de sécurité informatique complexes. À l’origine, ces systèmes n’ont pas été conçus pour être connectés, et intégrer a posteriori la dimension sécurité relève toujours du défi.

Connectez-vous pour lire la suite.
Se connecter S’enregistrer