Gérer les risques
Aujourd'hui et demain

Cyberprévention

Cybersécurité : l’industrie doit combler son retard

A l’heure de l’industrie 4.0, les unités de production accroissent leur surface d’attaque à mesure que se développent les machines-outils et objets connectés. Mais on ne protège pas l’informatique industrielle (OT) de la même manière que l’informatique de gestion (IT). Etat des lieux.

Lockbit, le groupe de pirates russophones qui revendique plus 1 500 attaques contre rançon ciblant des multinationales industrielles via sa centaine d’affiliés, a infecté Thales l’an passé. Et SpaceX, il y a quelques semaines… Si Elon Musk refuse de payer, ce collectif menace de vendre plus de 3 000 plans volés à SpaceX après avoir piraté un de ses sous-traitants, Maximum Industries. A l’heure de l’industrie 4.0, l’usine connectée qui se veut agile, communicante et flexible, ne serait-elle pas en fait un colosse aux pieds d’argile, à la traîne de la cybersécurité ? Comment en est-on arrivé là ? Comment hisser la cybersécurisation de l’informatique industrielle (OT) au niveau de celle de l’informatique de gestion (IT) ?

initialement-les-systemes-industriels-fonctionnaient-en-silos

Initialement, les systèmes industriels fonctionnaient en silos. © Agence TCA

Dix à quinze ans de retard

« Initialement, les systèmes d’informatique industrielle fonctionnaient en silos. Certes, ils n’étaient pas sécurisés mais ils n’étaient pas non plus connectés au monde extérieur. Seules les personnes autorisées par badge de contrôle d’accès et habilitées pouvaient y toucher, expliquait la semaine dernière Laurent Mahieux, expert en cybersécurité industrielle chez Cap Gemini, lors d’une conférence organisée par le Club de la presse informatique B2B. Peu à peu, les usines se sont équipées en capteurs et objets connectés (IoT). Elles se sont mises à collecter et traiter les données pour piloter leur production. » Dans ce contexte de transformation digitale, la cybersécurité n’a été prioritaire. Malgré les IoT et les réseaux 4G/5G. Résultat : « La cybersécurité industrielle a entre dix et quinze ans de retard » par rapport à celle de l’informatique des activités tertiaires, reprend Laurent Mahieux. « Aujourd’hui, la gestion de la relation client (CRM) impacte déjà la chaîne de fabrication en fonction de la prévision des ventes. »

Prolifération des cibles potentielles

Depuis plus de dix ans, les systèmes de gestion de la fabrication [Manufacturing Execution Systems (MES)] sont capables de remonter des informations à partir des capteurs, contrôleurs et automates des machines-outils jusqu’aux CRM et au système de gestion globale de l’entreprise (ERP). « Mais ce qui est nouveau, c’est l’explosion des IoT, des réseaux 4G/5G, de l’Intelligence artificielle (IA), des jumeaux numériques… Les entreprises industrielles accélèrent leur digitalisation jusqu’au niveau de la chaîne de production tandis que les unités de production sont dispersées au plan géographique, pointe Dimitri Catanese, architecte de solutions industrielles chez Dell France. Ce qui complexifie la gestion, le contrôle et la sécurisation de ces entités. » Et de citer en exemple GRDF qui projette de ne transporter que du biogaz d’ici 2050. Aujourd’hui, l’opérateur relie 500 sites de méthanisation. Mais, pour remplir son objectif, il lui faudra passer à 7.500 sites. Soit autant de cibles potentielles pour les pirates… « C’est le business qui conduit l’innovation. Et celle-ci casse les silos. Ce qui accroît les vulnérabilités », remarque Jean-Baptiste Grandvallet, ingénieur système chez Cohesity qui édite une plateforme de gestion des données. Pis : « En majorité, les équipes de l’OT n’ont pas réalisé l’inventaire complet de leurs systèmes productifs à protéger », poursuit Laurent Mahieux. Et lorsque ce travail est commencé, « il n’est pas mis à jour », enchaîne Dimitri Catanese.

certaines-machines-industrielles-peuvent-fonctionner-plus-de-20-ans

Certaines machines industrielles peuvent fonctionner plus de 20 ans. © Agence TCA

Des contraintes cyber spécifiques à l’industrie

Une chose est sûre : impossible de plaquer la cybersécurité de l’IT sur l’OT. Tout d’abord, la durée de vie des outils industriels s’inscrit dans un temps long. En effet, certaines machines affichent plus de 20 ans d’activité. Impossible de changer leur système d’informatique industrielle en un claquement de doigt. Ensuite, pour un grand nombre d’entre eux, leurs automates n’ont même pas de système d’exploitation mais de simples firmware. « Allez mettre des anti-virus là-dedans…, tempête Laurent Mahieux. Lorsque les gens de l’IT débarquent dans les usines, le dialogue se passe mal. Pour les équipes de l’OT, ce sont des psychopathes qui les empêchent de travailler en imposant des mots de passe. Comment faire lorsqu’on porte des masques de protection et des gants de protection ? Dans certains ateliers, les gens de l’OT ne veulent même plus ouvrir la porte aux gens de l’IT. »

Nécessité d’un dialogue entre OT et IT

On l’aura compris, « l’ITisme » ne s’imposera jamais à « l’OTisme » ! « Il faut d’abord parler avec les gens de l’OT et leur expliquer qu’on ne vient pas pour les empêcher de travailler mais pour protéger leur outil de production », insiste Laurent Mahieux. Une bonne méthode d’autant qu’ils sont souvent passionnés par leur métier et se révèlent capables d’en parler pendant des heures. Une certitude : « Si l’exigence de ce dialogue provient de la direction générale, cela facilite les choses. C’est ce qu’il se passe dans le cadre du projet de GRDF », remarque l’expert de Cap Gemini. Dans les autres cas, le chemin s’annonce long. « Les directions de la production interviennent rarement dans les discussions », déplore Yoann Castillo, ingénieur technico-commercial chez Veam, un autre éditeur de plateforme de gestion des données.

dans-l-industrie-il-n-y-a-pas-de-solution-magique-pour-tout-cybersecuris

Dans l’industrie, il n’y a pas de solution magique pour tout cybersécuriser. © Agence TCA

Comment s’y prendre ?

« Il faut offrir une bonne protection des données industrielles tout en garantissant la continuité de la production », estime Jean-Baptiste Grandvallet. Pour Laurent Mahieux, il faut tout d’abord « s’assurer que les personnes n’accèdent qu’à ce à quoi elles ont droit, tracer ce qu’elles font, notamment pour alerter sur les comportements inadéquats, bloquer les accès par clé USB, souligne Laurent Mahieux. En ce qui concerne les équipes de maintenance, il faut savoir en amont de leur intervention, ce sur quoi elles vont travailler, quel jour, à quelle heure, et enregistrer ce qu’elles font grâce à des outils connectés. »

C’est clair : « Il est nécessaire de travailler de façon collective et de s’adapter à chaque cas, à chaque ligne de production. Mais il n’existe aucun standard à cet égard, prévient Dimitri Catanese. A la différence de l’IT, où l’on peut automatiser certaines opérations de cybersécurité, dans l’industrie, il n’y a pas de solution magique pour tout sécuriser. [Y parvenir] est un travail de longue haleine. »

Malgré cet état de fait, l’OT s’inspire de l’IT avec les plateformes de gestion du cycle de vie des données, le chiffrement des données et la démarche du Zero Trust. Laquelle ne donne accès qu’aux personnes et terminaux dûment autorisés. Autre démarche qui tend à se généraliser : exiger des fournisseurs que leurs systèmes soit conçus en fonction de la cybersécurité (Security by Design) et qu’ils soient capables de procéder à des mises à jour de façon sécurisée. Dans ces discussions, il reste un grand absent : le directeur sécurité-sûreté. Preuve que le dialogue entre les métiers est encore bien entravé.

Erick Haehnsen

Commentez

Participez à la discussion


La période de vérification reCAPTCHA a expiré. Veuillez recharger la page.