La sécurité de l’internet des objets industriels

La sécurité de l’internet des objets industriels

Dossier : CybersécuritéMagazine N°753 Mars 2020
Par Laurent MAURY
Par Marie-Laure TABARY (1993)

L’internet des objets (Inter­net of Things ou « IoT ») est à l’industrie d’aujourd’hui ce que la chaîne de pro­duc­tion de Ford était à l’industrie d’hier : un des incroy­ables moteurs d’une trans­for­ma­tion indus­trielle qui s’accélère. Mais les canaux de com­mu­ni­ca­tion, les nou­veaux points de col­lecte et de stock­age de don­nées, tous les échanges, sont autant de portes d’entrée poten­tielles aux cyber­at­taques per­me­t­tant d’atteindre les sys­tèmes indus­triels eux-mêmes.

Grâce à l’installation de cap­teurs au cœur des sys­tèmes indus­triels et aux tech­nolo­gies de big ana­lyt­ics, on peut opti­miser la pro­duc­tion, amélior­er la main­te­nance préven­tive des out­ils indus­triels ou dévelop­per de nou­veaux cas d’usage. La maîtrise et l’optimisation des proces­sus indus­triels dépen­dent donc aujourd’hui très large­ment de la con­fi­ance dans les don­nées et les sys­tèmes qui les pro­duisent, les héber­gent ou les dif­fusent, absol­u­ment cri­tiques pour la sûreté de fonc­tion­nement des industries.


REPÈRES

Juin 2017 : le sys­tème de sécu­rité d’un site pétrochim­ique situé en Ara­bie saou­dite se déclenche inopiné­ment. Aucune anom­alie inquié­tante n’est décelée ; une erreur sans doute. Mais un mois plus tard le même événe­ment se pro­duit à nou­veau, blo­quant le fonc­tion­nement de l’usine. La coïn­ci­dence est trop rare : il s’agit là d’une cyber­at­taque, à par­tir d’un mal­ware dénom­mé Tri­ton. Cette attaque, qui se révélera très sophis­tiquée et minu­tieuse­ment pré­parée, aurait pu détru­ire toutes les don­nées et provo­quer une explo­sion aux con­séquences poten­tielle­ment meur­trières. Fait inédit, les attaquants ont réus­si non seule­ment à s’infiltrer dans le sys­tème de con­trôle-com­mande du site, mais égale­ment à infecter le sys­tème de sécu­rité de l’infrastructure – dont la fonc­tion pre­mière était de pro­téger cette dernière en cas de scé­nario catastrophe.


Environnements industriels : des attaques virtuelles aux conséquences bien réelles

Si l’exemple saou­di­en a été forte­ment médi­atisé, il ne s’agit pour­tant pas d’un cas isolé dans le milieu indus­triel : depuis le virus Stuxnet conçu pour espi­onner et cor­rompre les sys­tèmes indus­triels des cen­trales irani­ennes, dont la décou­verte en 2010 avait fait grand bruit, les cas de cyber­at­taque d’infrastructure indus­trielle se sont mul­ti­pliés. Rien qu’en 2019 on peut citer la paralysie du pro­duc­teur d’aluminium norvégien Norsk Hydro et du groupe d’ingénierie Altran par le ran­somware Lock­er­Goga, le cryp­to­jack­ing de la cen­trale nucléaire ukraini­enne de Yuzh­noukrain­sk ou encore la série d’attaques ayant visé Air­bus, prob­a­ble­ment via la chaîne de ses sous-traitants. 

Mais com­ment les attaquants parvi­en­nent-ils à pren­dre le con­trôle de sys­tèmes indus­triels ? Dans de très nom­breux cas, ces attaques avancées, sou­vent menées par des groupes d’attaquants rat­tachés à des États, tran­si­tent par le réseau infor­ma­tique de l’entreprise, via des out­ils « clas­siques » de phish­ing ou de com­pro­mis­sion de mots de passe. Une fois dans le sys­tème d’information de la société, le virus recherche alors active­ment des nœuds de con­nex­ion entre le sys­tème IT (infor­ma­tion tech­nol­o­gy) et le sys­tème OT (oper­a­tional tech­nol­o­gy), jusqu’à trou­ver une brèche. Un logi­ciel malveil­lant, con­stru­it pour s’introduire dans les sys­tèmes indus­triels et les objets con­nec­tés qui y sont déployés, est alors téléchargé et instal­lé sur un ou plusieurs PLC – pro­gram­ma­ble log­i­cal con­troller, afin de pren­dre le con­trôle des fonc­tions industrielles.

SOC Élan­court.
SOC Élan­court.

Stratégies numériques et modernisation des infrastructures

L’IoT indus­triel (« IIoT ») est devenu une source de per­for­mance, mais il étend con­sid­érable­ment la sur­face de vul­néra­bil­ité acces­si­ble aux attaquants : les objets con­nec­tés sont eux-mêmes devenus une cible, au même titre que les sys­tèmes et infra­struc­tures qu’ils con­tribuent à con­necter. Mal­heureuse­ment, ils sont encore trop sou­vent dépourvus de cyber­sécu­rité « embar­quée » : ils n’ont tout sim­ple­ment pas été pen­sés pour résis­ter à des cyber­at­taques. Et les mesures de pro­tec­tion des sys­tèmes ne peu­vent rem­plac­er l’intégration, dès la con­cep­tion des objets con­nec­tés, d’une cyber­sécu­rité « native » (secu­ri­ty by design).

Par ailleurs, les organ­i­sa­tions sont toutes con­fron­tées aux prob­lèmes tech­niques posés par leur héritage indus­triel : l’utilisation et l’amortissement d’une infra­struc­ture indus­trielle ne se conçoivent que sur une durée rel­a­tive­ment longue. Cer­taines instal­la­tions tou­jours en fonc­tion­nement ont été conçues il y a par­fois plusieurs dizaines d’années, avant l’apparition de l’internet voire de l’informatique. L’interconnexion pro­gres­sive de ces sys­tèmes hérités (lega­cy sys­tems), leur enrichisse­ment par des IIoT et l’exploitation des don­nées qu’ils pro­duisent posent des prob­lé­ma­tiques de sécu­rité infor­ma­tique com­plex­es. À l’origine, ces sys­tèmes n’ont pas été conçus pour être con­nec­tés, et inté­gr­er a pos­te­ri­ori la dimen­sion sécu­rité relève tou­jours du défi.

Enfin, si le domaine IT est rel­a­tive­ment mature en matière de cyber­sécu­rité, avec notam­ment un cor­pus nor­matif et de bonnes pra­tiques, la par­tie OT est loin d’avoir atteint un niveau de pro­tec­tion équiv­a­lent, sur des sys­tèmes qui ont leurs spé­ci­ficités. De sorte que les pro­to­coles déployés aujourd’hui pour détecter effi­cace­ment des brèch­es de sécu­rité sur des sys­tèmes opéra­tionnels en milieu indus­triel sont sou­vent inadap­tés. Selon une étude menée par Thales, seules 48 % des sociétés seraient capa­bles de détecter une com­pro­mis­sion sur l’un de leurs objets con­nec­tés. Et les poli­tiques de déploiement des cor­rec­tifs de sécu­rité (« patchs ») sur les vul­néra­bil­ités con­nues sont sou­vent peu performantes.

Datacenter Élancourt.
Thales Sys­temes — Data Cen­ter et salle de con­t­role, Élancourt.

Stratégies d’entreprise et segmentation des réseaux

Loin de la matu­rité du secteur IT, l’OT est géré par des fonc­tions sou­vent struc­turées de manière éclatée, com­mu­ni­quant très peu entre elles : ces fonc­tions « ne se con­nais­sent pas ». Aux efforts tech­niques s’ajoute donc un effort de cohérence IT/OT/IIoT dans la poli­tique de sécu­rité des sociétés, poli­tique qui doit per­me­t­tre vis­i­bil­ité et entraide jusque sur le ter­rain des usines. La seg­men­ta­tion des réseaux provient aus­si des straté­gies de fusion-acqui­si­tion ou de dés­in­vestisse­ment qui con­courent à la ségré­ga­tion des flux de don­nées et à la créa­tion de zones de vul­néra­bil­ité tem­po­raire ou à plus long terme. Les mis­es à jour IT sur les flux ou droits util­isa­teurs par exem­ple, sus­citées par ces mou­ve­ments de crois­sance, créent des failles de sécu­rité. Une fois encore le défi de la ges­tion des sys­tèmes hérités se pose dans des con­textes encore plus com­plex­es car une acqui­si­tion per­met rarement une vis­i­bil­ité exhaus­tive sur le parc indus­triel acquis et son his­torique de développement.

“Seules 48 % des sociétés seraient capables
de détecter une compromission.”

L’approche secure by design

Si la cyber­sécu­rité par con­cep­tion est rel­a­tive­ment aisée à appli­quer sur des objets con­nec­tés indus­triels ou des sys­tèmes « neufs », créer un envi­ron­nement structurel­lement cyber­sécurisé à par­tir de sys­tèmes hétérogènes et poten­tielle­ment anciens, dans le cadre d’une vision unifiée IT/OT/IIoT, est un réel défi. Plusieurs étapes clés per­me­t­tent d’aller vers cette pos­ture de robustesse par rap­port au risque cyber. La pre­mière con­siste à men­er un diag­nos­tic com­plet, en iden­ti­fi­ant l’ensemble des act­ifs et objets indus­triels, en véri­fi­ant leurs archi­tec­tures et en con­duisant des analy­ses de risque et des tests de résis­tance des réseaux. Elle est suiv­ie par des actions cor­rec­tri­ces, par exem­ple : « dur­cir » l’ensemble des com­posants sys­tèmes et réseaux ; for­mer et entraîn­er les équipes ; seg­menter cer­taines zones et niveaux de sécu­rité, de manière à com­plex­i­fi­er la pro­gres­sion d’attaques éventuelles ; établir des con­trôles d’identité et des accès renforcés.

Thales développe égale­ment des parte­nar­i­ats auprès de lead­ers de la four­ni­ture d’équipements opéra­tionnels tels que Gen­er­al Elec­tric. Au sein de son Cen­tre nation­al d’exploitation des don­nées numériques situé au pays de Galles, l’entreprise mod­élise ces envi­ron­nements com­plex­es au plus proche des con­di­tions réelles. Thales y forge des scé­nar­ios d’attaque et réponse à inci­dents pour l’édification de poli­tiques et procé­dures de sécu­rité plus sûres. Les résul­tats per­me­t­tent un meilleur entraîne­ment des équipes et con­tribuent égale­ment à la mise en œuvre d’architectures de sécu­rité plus robustes. L’approche secu­ri­ty by design se dou­ble ain­si d’une approche secu­ri­ty by ser­vice, avec un ensem­ble de presta­tions ajoutées au ser­vice d’une cyber­sécu­rité évolu­ant au rythme des attaques.

Datacenter Élancourt.
Thales Sys­temes — Data Cen­ter et salle de con­t­role, Élancourt.

Monitoring et détection : l’approche intégrée IT/OT/IIoT

Ces approches doivent être enrichies d’une sur­veil­lance dynamique de l’ensemble de l’environnement indus­triel, dans le cadre d’une vision unifiée IT/OT/IIoT. Au cœur de la majorité des poli­tiques de sécu­rité cyber se trou­ve la super­vi­sion du parc IT, matéri­al­isée par un cen­tre de super­vi­sion de cyber­sécu­rité (SOC), dont l’usage est large­ment répan­du. Les sys­tèmes de pro­duc­tion indus­triels sont, en com­para­i­son, sous-dotés et, à ce jour, il y a peu d’exemples de sociétés par­v­enues à super­vis­er inté­grale­ment leur parc OT. L’IIoT étant lui-même encore au stade de déf­i­ni­tion de son pro­pre périmètre, les tech­nolo­gies rel­e­vant de sa pro­tec­tion sont encore rel­a­tive­ment récentes. Qua­tre stades prin­ci­paux de matu­rité sont iden­ti­fiés : « aver­ti », « acteur », « vig­i­lant », « résilient ». Finale­ment il s’agit, pour chaque acteur indus­triel, de dis­pos­er d’une vision aboutie de sa matu­rité glob­ale. Des mesures de détec­tion et de réponse à inci­dents sont ren­dues pos­si­bles par une super­vi­sion proac­tive, celle-ci faisant appel notam­ment à des son­des et senseurs dédiés au domaine OT.

Pour l’ensemble des acteurs indus­triels, la ques­tion n’est plus de savoir s’ils seront attaqués, mais quand et quelles peu­vent être les con­séquences sur leurs opéra­tions. L’expérience mon­tre que la cyber­sécu­rité est un accéléra­teur et un dif­féren­ci­a­teur lorsqu’elle est inté­grée en amont, dès la con­cep­tion des sys­tèmes, et tout au long du déploiement des inno­va­tions tech­nologiques. Pour garan­tir, tel un invis­i­ble fil d’Ariane, la plus grande solid­ité face à l’attaquant, et la plus grande lib­erté pour l’industriel, en toute con­fi­ance. 

Poster un commentaire