XIOT et Cybersécurité

XIoT et cybersécurité : une surface d’attaque en expansion rapide

Dossier : Internet des objetsMagazine N°784 Avril 2023
Par Claire DUFETRELLE (X09)
Par Philippe BERAUD

Après l’IoT, l’XIoT ! L’Internet des objets éten­du intè­gre l’IoT et les tech­nolo­gies opéra­tionnelles dans les proces­sus indus­triels. Cela per­met des béné­fices énormes en ter­mes d’efficacité pro­duc­tive, mais cela aug­mente la men­ace d’une attaque qui sera d’autant plus destruc­trice qu’elle portera sur un domaine plus vaste. La défense dans ce domaine doit donc se ren­forcer et amen­er les ser­vices à coopér­er dans un objec­tif commun.

La trans­for­ma­tion numérique con­duit à une aug­men­ta­tion inin­ter­rompue des échanges de don­nées et des besoins d’automatisation. Cette ten­dance forte a des con­séquences sur les tech­nolo­gies et les proces­sus de fab­ri­ca­tion, en par­ti­c­uli­er sur tous les sys­tèmes dits cyber­physiques et sur les sys­tèmes indus­triels d’automatisme et de con­trôle. Nous entrons dans le nou­veau par­a­digme de l’« Inter­net des objets éten­du » : l’XIoT. Ce terme recou­vre non seule­ment des dis­posi­tifs IoT (indus­triels) mul­ti­ples, mais égale­ment les tech­nolo­gies opéra­tionnelles (OT) dédiées à la détec­tion et au con­trôle des proces­sus physiques. 

L’internet des objets étendu

Les tech­nolo­gies de l’XIoT se trou­vent désor­mais inté­grées dans tous les secteurs d’activité : usines de fab­ri­ca­tion (auto­mo­bile, phar­ma­ceu­tique), com­plex­es indus­triels (traite­ment métal­lurgique, pétrochimie et raf­finer­ies), ser­vices d’énergie et d’eau (réseaux de trans­port et de dis­tri­b­u­tion d’électricité, d’eau, de gaz, cen­trales de pro­duc­tion d’énergie), sys­tèmes de trans­port (fer­rovi­aire), bâti­ments intel­li­gents (smart build­ing) ou encore villes intel­li­gentes (smart city). Selon Sta­tista, le nom­bre de dis­posi­tifs XIoT a dépassé celui des dis­posi­tifs non-XIoT en 2020. À l’horizon 2025, le groupe de con­seil et d’étude IDC (Inter­na­tion­al Data Cor­po­ra­tion) estime un total de 41,6 mil­liards de dis­posi­tifs XIoT, avec un taux de crois­sance supérieur à celui des équipements infor­ma­tiques tra­di­tion­nels. Si la cyber­sécu­rité des équipements infor­ma­tiques s’est notable­ment ren­for­cée ces dernières années, force est de con­stater que celle de ces dis­posi­tifs n’a pas suivi le même rythme. Les acteurs de la men­ace exploitent ces dis­posi­tifs qui ont un cycle de vie très long (> 10 ans) et dont beau­coup ont été conçus à l’origine pour l’air gap, c’est-à-­dire dans un con­texte d’isolement physique du réseau, avec une iden­tité faible, pas ou peu de capac­ités cryp­tographiques, ce qui les rend d’autant plus vulnérables. 

IT/OT : une convergence en marche

Tra­di­tion­nelle­ment, les tech­nolo­gies de l’information (IT) et les tech­nolo­gies opéra­tionnelles (OT) ont eu des rôles dis­tincts au sein d’une même entre­prise. Si les pre­mières con­stituent le socle d’un sys­tème d’information (SI) avec les sys­tèmes de col­lecte et d’analyse des don­nées, les sec­on­des sou­ti­en­nent les opéra­tions physiques. Elles regroupent notam­ment les sys­tèmes de con­trôle indus­triel (ICS) avec les auto­mates pro­gram­ma­bles indus­triels (PLC) et les sys­tèmes logi­ciels de super­vi­sion et de con­trôle (SCADA). Mais elles ne se lim­i­tent toute­fois pas seule­ment aux proces­sus indus­triels, on peut notam­ment citer les con­trôleurs de sys­tème HVAC (chauffage, ven­ti­la­tion et cli­ma­ti­sa­tion) et divers sys­tèmes instru­men­tés de sécu­rité (SIS). Or les sujets de trans­for­ma­tion numérique et d’optimisation amè­nent à con­necter de plus en plus étroite­ment les tech­nolo­gies IT et OT. Ain­si, ces sys­tèmes OT, con­sid­érés autre­fois comme spé­ci­fiques et auto­pro­tégés, devi­en­nent des objets com­mu­ni­quant et coopérant à la fois entre eux, avec des sys­tèmes de déci­sion décen­tral­isés et avec les humains en temps réel via le réseau IT et l’Internet. Cette con­ver­gence de l’IT et de l’OT per­met une sur­veil­lance, une analyse et un con­trôle plus directs et en temps réel des proces­sus indus­triels, avec l’utilisation des don­nées indus­trielles, de mod­èles d’IA, de répliques numériques et d’environnements virtuels, pour en tir­er des béné­fices autre­fois impos­si­bles en ter­mes de sim­u­la­tion et de con­trôle autonome. Ce sont donc des béné­fices réels qui jus­ti­fient une telle con­ver­gence, le défi étant alors de la men­er en assur­ant la sécu­rité des instal­la­tions, des don­nées, des per­son­nes et de l’environnement.


Lire aus­si : IoT et IA : con­ver­gence des tech­nolo­gies et besoin de normalisation


Des systèmes industriels vulnérables

De plus en plus nom­breux, de plus en plus con­nec­tés, les dis­posi­tifs XIoT représen­tent une sur­face d’attaque en expan­sion rapi­de et sou­vent incon­trôlée ! On peut observ­er une aug­men­ta­tion des vul­néra­bil­ités de 34 % au sec­ond trimestre de l’année 2022 et de 110 % sur les qua­tre dernières années (par ex. vul­néra­bil­ité Apache Log4j). Le domaine indus­triel est particulière­ment touché, Microsoft a ain­si pu iden­ti­fi­er des vul­néra­bil­ités non cor­rigées et de sévérité haute dans 75 % des con­trôleurs indus­triels les plus courants de ses clients. La pré­va­lence de ces vul­néra­bil­ités mal maîtrisées représente un défi pour toutes les organ­i­sa­tions ; les infra­struc­tures cri­tiques se trou­vent par­ti­c­ulière­ment exposées. Les attaquants peu­vent chercher à com­pro­met­tre les dis­posi­tifs XIoT pour accéder à d’autres réseaux, dis­posant par exem­ple de don­nées sen­si­bles. L’XIoT con­stitue ain­si une porte d’entrée de choix. Néan­moins, on voit aus­si se dévelop­per ces dernières années des attaques qui visent directe­ment les sys­tèmes indus­triels, avec pour objec­tif une per­tur­ba­tion ou une destruc­tion des instal­la­tions industrielles.

Les logiciels malveillants dans le domaine industriel

Per­turber des ser­vices cri­tiques, sans même néces­saire­ment les détru­ire, con­stitue un puis­sant levi­er. Et les attaquants peu­vent avoir des motifs var­iés. Il peut s’agir de deman­des de rançon ou, dans le cas d’attaques menées ou soutenues par des États-nations, d’objectifs mil­i­taires, économiques ou de désta­bil­i­sa­tion d’un pays. L’exemple récent du con­flit rus­so-ukrainien mon­tre l’importance gran­dis­sante de cette forme de com­bat. Les sys­tèmes indus­triels ont con­nu plusieurs grands logi­ciels malveil­lants : Stuxnet, Indus­troy­er et Tri­ton. L’un des derniers en date est Incon­troller, très prob­a­ble­ment par­rainé par un État ; il offre une capac­ité de cyber­at­taque excep­tion­nelle­ment dan­gereuse vis-à-vis de dis­posi­tifs d’automatisation, allant de la per­tur­ba­tion en pas­sant par le sab­o­tage jusqu’à la destruc­tion physique des instal­la­tions. Aujourd’hui 72 % des exploits (c’est-à-dire des pro­grammes per­me­t­tant de tir­er par­ti d’une vul­néra­bil­ité ou d’une faille) de cette boîte à out­ils sont disponibles en ligne. 

Une diffusion toujours plus large

La disponi­bil­ité crois­sante d’outils acces­si­bles au plus grand nom­bre con­stitue aus­si une évo­lu­tion majeure du secteur. L’expertise tech­nique et les autres bar­rières à l’entrée dimin­u­ent, amenant de nou­veaux acteurs malveil­lants. À mesure que l’économie cyber­crim­inelle se développe et que les logi­ciels malveil­lants ciblant les sys­tèmes OT devi­en­nent plus répan­dus et plus faciles à utilis­er, les acteurs de la men­ace dis­posent de moyens plus var­iés pour mon­ter des attaques à grande échelle. Les attaques par rançongi­ciel, aupar­a­vant perçues comme une men­ace axée sur l’IT, affectent aujourd’hui les envi­ron­nements OT, comme on l’a vu en 2021 dans la cyber­at­taque de Colo­nial Pipeline. Cette infra­struc­ture pétrolière de trans­port a été com­pléte­ment paralysée pen­dant que les inter­venants s’efforçaient d’identifier et de con­tenir la prop­a­ga­tion du rançongi­ciel sur le réseau IT de l’entreprise. Le levi­er d’extorsion est donc bien plus puis­sant quand on s’attaque à des infra­struc­tures cri­tiques, capa­bles de paral­yser, au min­i­mum de ralen­tir forte­ment l’économie d’un pays.

Des méthodes de protection insuffisantes

Nous l’avons vu, l’XIoT intro­duit de nou­velles pos­si­bil­ités mais aus­si de grands risques (perte de pro­duc­tion, inci­dent sur le procédé, exfil­tra­tion de don­nées sen­si­bles, mise en dan­ger du per­son­nel voire des pop­u­la­tions, atteinte à l’environnement, etc.). La con­ver­gence IT/OT néces­site donc plusieurs mesures de sécu­rité. His­torique­ment il était d’usage d’isoler physique­ment ou de pro­téger de manière périmétrique les infra­struc­tures OT. On cite sou­vent le mod­èle Pur­due du stan­dard ISA-95 pour illus­tr­er cette seg­men­ta­tion. Or ces mesures ne suff­isent plus à se pré­mu­nir de logi­ciels malveil­lants sophis­tiqués ou d’attaques ciblées. De plus, elles sont illu­soires dans un con­texte où les réseaux OT sont de plus en plus con­nec­tés. Bon nom­bre de tac­tiques malveil­lantes con­nues, et donc large­ment évitées dans l’IT, sont encore effi­caces pour l’XIoT. On peut citer la décou­verte des dis­posi­tifs con­nec­tés (caméras, auto­mates, acces­si­bles via une requête Google ciblée), l’utilisation de mots de passe par défaut ou l’exploitation de l’accès accordé aux sous-traitants.

Accroître sa résilience opérationnelle

La démarche pour sécuris­er les réseaux indus­triels partage néan­moins de grandes sim­i­lar­ités avec celle pour les réseaux IT. On recom­man­dera par exem­ple de démar­rer par une car­togra­phie des act­ifs, en met­tant en évi­dence les act­ifs cri­tiques, de pour­suiv­re par une analyse de risques et enfin d’établir une stratégie de sécuri­sa­tion cohérente. Cette stratégie se décide en fonc­tion de l’impact poten­tiel sur l’entreprise des événe­ments red­outés. On recom­man­dera bien sûr d’appliquer les basiques en ter­mes d’hygiène de sécu­rité : sur­veiller les vul­néra­bil­ités et réduire son expo­si­tion au risque en appli­quant les mis­es à jour de sécu­rité. Néan­moins, l’application de cor­rec­tifs peut se révéler impos­si­ble dans cer­tains con­textes. Il est par exem­ple très dif­fi­cile d’arrêter une chaîne de fab­ri­ca­tion pour faire des mis­es à jour. Par­fois, sur les auto­mates notam­ment, les cor­rec­tifs de sécu­rité n’existent sim­ple­ment pas. Dans ce cas, seul l’isolement du matériel ou la mise en place de mod­ule gar­di­en se révèle être une solution.


De nombreuses ressources existent pour vous aider dans ces démarches, on pourra citer (sans être exhaustif) :

  • MITRE pro­pose un frame­work dédié à la com­posante indus­trielle ATT&CK® for indus­tri­al con­trol sys­tems (ICS) ;
  • la méthodolo­gie Microsoft SDL per­met de réaliser
    une mod­éli­sa­tion des menaces ;
  • les pub­li­ca­tions pro­posées par l’ENISA, Agence de l’Union européenne pour la cybersécurité.

Sup­primer le cloi­son­nement IT/OT

Dans un con­texte de con­ver­gence IT/OT, les approches Zero Trust sont égale­ment intéres­santes. Cela représente un change­ment impor­tant pour l’OT, plus habitué à des archi­tec­tures en « château fort ». Il s’agit non plus de réalis­er un fil­trage et une pro­tec­tion en périphérie du SI, con­sid­érant l’intérieur du SI comme un espace clos et pro­tégé, mais bien de con­sid­ér­er que chaque act­if doit par défaut ne pas faire con­fi­ance à un autre. Cette stratégie implique donc de sécuris­er et d’authentifier les con­nex­ions entre les act­ifs. Cette con­ver­gence ne pour­ra pas se faire sans sup­primer les cloi­son­nements organ­i­sa­tion­nels entre l’IT et l’OT. Il s’agit d’instaurer une solide col­lab­o­ra­tion avec des équipes IT et OT, qui ont tra­di­tion­nelle­ment tra­vail­lé dans des silos dis­tincts et qui par­lent par­fois deux lan­gages dif­férents. Par exem­ple, si l’on prend le clas­sique trip­tyque CIA pour con­fi­den­tial­ité, intégrité et disponi­bil­ité, l’IT val­orise d’abord la con­fi­den­tial­ité là où l’OT don­nera la pri­or­ité à la disponibilité.

Une illus­tra­tion avec les villes intel­li­gentes sécurisées

Les grandes métrop­o­les et les villes utilisent de plus en plus de dis­posi­tifs XIoT afin d’améliorer la qual­ité des ser­vices urbains et de gér­er plus effi­cace­ment leurs ressources. On peut citer par exem­ple les mesures du niveau de pol­lu­tion ou du traf­ic routi­er, la sur­veil­lance des réseaux de chauffage et de refroidisse­ment urbains, ou encore la sur­veil­lance de l’irrigation des espaces verts, dans un con­texte de préser­va­tion de l’eau. Ces cap­teurs de plus en plus nom­breux génèrent de grandes quan­tités de don­nées, qui doivent être ren­dues publiques par principe depuis 2018 et la loi pour une République numérique. Néan­moins, il ne faut pas tomber dans la car­i­ca­ture qui con­sis­terait à génér­er quan­tité de don­nées sans jamais s’en servir, au pré­texte de la smart city.

“Inté­gr­er et com­pren­dre davan­tage les men­aces et les risques.”

La meilleure pos­ture en ter­mes de sécu­rité est celle de la sobriété : faire le juste néces­saire pour l’usage req­uis. Et cela com­mence dès la col­lecte des don­nées : par exem­ple, pour détecter une présence dans une pièce, il n’est pas utile de col­lecter l’état de la porte en per­ma­nence alors que cer­tains cap­teurs savent remon­ter l’information d’un change­ment d’état. Par ailleurs, l’une des com­plex­ités majeures dans les réseaux urbains est leur éten­due géo­graphique et le fait qu’ils soient implan­tés sur la voie publique. Les cap­teurs et instal­la­tions se retrou­vent ain­si par­fois exposés physique­ment, et donc le mod­èle Zero Trust intro­duit précédem­ment est incon­tourn­able. La lég­is­la­tion est égale­ment un levi­er pour accom­pa­g­n­er la sécuri­sa­tion de ces infra­struc­tures, que ce soit la loi de pro­gram­ma­tion mil­i­taire, la direc­tive NIS (Net­work and Infor­ma­tion Secu­ri­ty, lég­is­la­tion européenne) ou plus récem­ment le Cyber Resilience Act (CRA) qui prône une con­cep­tion digne de con­fi­ance pour garan­tir la cyber­résilience de ces systèmes.

Soyons tous responsables ! 

En guise de con­clu­sion, nous ne sauri­ons (trop) insis­ter sur le fait qu’il est cru­cial d’intégrer et de com­pren­dre davan­tage les men­aces et les risques qui pèsent sur la cyber­sécu­rité de ces dis­posi­tifs XIoT. Pour repren­dre le leit­mo­tiv de Guil­laume Poupard, ancien directeur général de l’ANSSI (Agence nationale de la sécu­rité des sys­tèmes d’information) : « Soyons tous con­nec­tés, tous impliqués, tous respon­s­ables ! » afin de ren­forcer et de garan­tir la résilience et la con­fi­ance de ces dis­posi­tifs. Il en va notam­ment du suc­cès de l’Industrie 4.0, de la révo­lu­tion de l’Internet indus­triel et de tous les écosys­tèmes en émer­gence avec l’impératif numérique.


Notes bibliographiques

Commentaire

Ajouter un commentaire

Claude Bau­doin (X70)répondre
9 avril 2023 à 3 h 42 min

Voir aus­si l’In­dus­tri­al Inter­net Secu­ri­ty Frame­work (IISF) de l’In­dus­try Inter­net Con­sor­tium (IIC), disponible en ligne et gra­tu­ite­ment ici : https://www.iiconsortium.org/iisf/. A not­er que l’un des prin­ci­paux acteurs du groupe de tra­vail qui a pro­duit ce doc­u­ment, et con­tin­ue de le faire évoluer, est Bob Mar­tin de MITRE, organ­i­sa­tion juste­ment citée dans les références de cet arti­cle. J’a­jouterais que la con­ver­gence IT/OT est cru­ciale mais se heurte à un fos­sé cul­turel entre les deux organ­i­sa­tions parce que OT veut tout con­necter pour amélior­er les opéra­tions, IT veut tout blo­quer pour assur­er la sécu­rité, et aucun des deux ne par­le le lan­gage de l’autre. Ce qui est quelque­fois ren­du par ce mot d’hu­mour : on frappe à la porte du directeur chargé de l’OT, et le vis­i­teur dit “Bon­jour, je viens du départe­ment IT pour vous aider.” Ce sur quoi le respon­s­able OT part en courant…

Répondre