Gérer les risques
Aujourd'hui et demain

Sûreté et sécurité

Industrie 4.0 : comment la sécuriser ?

Stuxnet, Industroyer, Mirai, Wanacry… les vagues de cyberattaques ciblant l’industrie se sont succédé. Après les objets connectés, les interfaces pour interagir avec les automates sont la prochaine cible des pirates. Pour protéger l’industrie connectée, il faut associer les basiques de la sécurité à des technologies de pointe.

La cybercriminalité, assortie de ses rançons à payer en Bitcoin, ne s’intéresse pas qu’aux particuliers, banques et PME. Depuis le virus Stuxnet, qui a été élaboré en 2010 par les services secrets américains et israéliens pour stopper le programme iranien d’enrichissement de l’uranium, les cyberattaques ciblent volontiers l’industrie. En l’occurrence les automates industriels de Siemens – qui a scellé un accord mondial cette année avec le français Sentryo, spécialisé dans les solutions d’intelligence artificielle en cybersécurité. La firme allemande a été frappée en 2014 par un virus entré dans le système d’information d’une aciérie d’outre-Rhin, grâce à un mail frauduleux pour prendre le contrôle d’un haut-fourneau… L’année suivante, le virus Industroyer a provoqué de graves coupures d’électricité en Ukraine, privant d’électricité un million d’abonnés en faisant sauter des disjoncteurs et des transformateurs.

Saint-Gobain : une perte de 250 millions d’euros
En 2016, l’attaque Mirai a profité d’une faille dans des caméras de vidéosurveillance et d’autres objets connectés pour paralyser DynDNS, le prestataire de noms de domaine Internet, bloquant pendant quelques heures une partie du réseau mondial. L’année dernière, Wanacry, la plus grande vague d’attaque par rançongiciel, a infecté les systèmes d’exploitation Microsoft Windows XP embarqués dans une majorité d’automates industriels. En quelques heures, un grand nombre d’industriels ont été contaminés. A commencer par Saint-Gobain, dont l’informatique a été stoppée net pendant une semaine, soit une perte sèche de 250 millions d’euros ! Quant à la production de voitures de Renault, elle a été paralysée pendant deux jours… Bien sûr, les industriels ne crient généralement pas sur tous les toits qu’ils sont piratés. Mais la réalité est quand même bien là. L’année dernière, 12% des entreprises industrielles reconnaissaient avoir subi une intrusion ou avoir été infectées par un code malveillant durant les douze derniers mois, d’après une étude de Sans Institute sur la sécurité des systèmes de contrôle industriel.

Prochaine cible : les interfaces homme-machine

De son côté, la firme japonaise Trend Micro, qui édite des solutions de sécurité informatique, met en garde contre la vulnérabilité des interfaces homme-machine (IHM). A savoir les écrans de visualisation permettant aux opérateurs d’interagir avec les systèmes de contrôle et d’acquisition de données [Supervisory Control And Data Acquisition (SCADA)]. Ces systèmes de télégestion, intervenant à grande échelle, traitent en temps réel les télémesures massives des installations industrielles et contrôlent leurs automates. S’il parvient à accéder à une IHM vulnérable, un cyberpirate peut non seulement voir toutes les informations relatives aux systèmes critiques, mais également en abuser. Trend Micro a répertorié près de 400 alertes de vulnérabilité relatives à des systèmes SCADA. Soit une hausse de 200% comparée à la même période l’année dernière. « Si nous n’avions pas détecté le malware C&C (Commande & Control) dans notre environnement SCADA, nos systèmes de surveillance de gaz toxiques auraient pu être compromis et mettre en danger des vies humaines », confirme Ireneo Demanarig, Chief Information Officer de la société brésilienne Ceitec SA qui fabrique des puces électroniques.

Mettre la politique de sécurité par écrit
Avec les objets connectés manufacturés, de la brosse à dents aux serrures motorisées de portes qu’on débloque avec un smartphone, et avec l’Internet industriel connecté [Industrial Internet of Things (IIoT)], l’industrie 4.0 multiplie les connexions comme les possibilités de faille de sécurité. D’où l’intérêt de rédiger une politique de sécurité. Cela semble être le B.a.-ba, mais « de nombreux industriels n’ont pas forcément une politique de sécurité écrite sur papier », constate Talyana Cunningham, responsable marketing Industrie 4.0 au sein de la filiale française du géant américain des réseaux informatiques Cisco. Il s’agit alors de se poser les questions suivantes : qui peut accéder au réseau de l’usine ? De quelle manière (par réseau filaire, sans fil, station de travail fixe ou mobile, téléphone, équipement professionnel ou personnel avec le BYOD) ? A quelles données chacun peut-il accéder ? Qui doit être alerté des différentes connexions ? La politique de sécurité doit également contenir un plan de réponse à un incident, incluant des procédures pour restauration des systèmes de production critiques.

Le malware C&C aurait pu compromettre les systèmes
de surveillance des gaz toxiques chez Ceitec
s’il n’avait pas été détecté à temps. © Ceitec SA.
Le malware C&C aurait pu compromettre les systèmes
de surveillance des gaz toxiques chez Ceitec
s’il n’avait pas été détecté à temps. © Ceitec SA.

Cartographier le réseau industriel

Il convient ensuite d’inventorier les équipements électroniques (capteurs, automates de contrôle-commande), les réseaux locaux et leurs protocoles industriels (Modbus, Profibus, EtherCAT, Ethernet IP, etc.) et réseaux ouverts (Ethernet filaire, WiFi, etc.) sur la bureautique et l’extérieur. Pour des automaticiens, mécaniciens et autres électrotechniciens, cette cartographie est une tâche complexe à réaliser. C’est pourquoi on voit apparaître des technologies qui leur simplifient le travail. A l’instar de celle de la start-up française Sentryo qui est labellisée « Cool Vendor » par le cabinet américain d’analyse des tendances du numérique Gartner. « A partir de cette cartographie, qui, selon la complexité des sites, prend un à cinq jours, nous montrons où se situent les points de faiblesse comme les connexions à distance, les mots de passe par défaut, les vulnérabilités connues de certains équipements, etc. », décrit Laurent Hausermann, cofondateur de Sentryo, qui emploie 35 personnes. A cet égard, certains exploitants d’usine pensaient que leur site était complètement déconnecté d’Internet. Or la start-up s’est rendue compte que des prestataires avaient un accès à distance à des machines pour faire de la télémaintenance. « Parfois, le sous-traitant n’était même plus en contrat avec l’entreprise. Et celle-ci avait oublié de couper l’accès », reprend Laurent Hausermann qui a aussi en ligne de mire la vulnérabilité des IHM sous Windows XP. Sans oublier le cas de figure, très classique, de l’utilisation sur le réseau d’une clé USB déjà infectée.

Créer un modèle de fonctionnement normal
Dans le sillage de la cartographie, il est nécessaire de placer sur le réseau des boîtiers électroniques qui vont décoder les flux de données qui transitent : remontée des capteurs de mesure, points de consigne demandés aux automates de production, ordre de démarrage ou d’arrêt de lignes de production… A partir de là, il s’agit de construire, dans un délai de un à cinq jours également, un modèle du fonctionnement « normal » de l’usine qui sera ensuite utilisé comme référence. « L’idée, c’est de toujours comparer ce qu’il se passe sur le réseau avec ce modèle de référence, de sorte à détecter les anomalies et prendre au plus tôt les mesures de protection nécessaires » précise Laurent Hausermann. Reste à coordonner cybersécurité industrielle et sécurité physique de l’usine. « Pour l’instant, les industriels veulent avant tout protéger leur outil de production. Du coup, la sécurisation des systèmes de sécurité apparaît un cran au-dessus », poursuit-il. Cependant, les projet de sécurisation des systèmes de protection incendie, de contrôle d’accès, de détection d’intrusion et de vidéosurveillance commencent à émerger, à commencer par les bases militaires, les hôpitaux ou encore les Data Centers. En attendant le Security by Design, le reste de l’industrie mettra très certainement des années à se mettre à niveau.

Erick Haehnsen

Dans certaines usines, les prestataires de télémaintenance
peuvent avoir un accès distant aux machines,
et ce même après la clôture de leur contrat. © SKF
Dans certaines usines, les prestataires de télémaintenance
peuvent avoir un accès distant aux machines,
et ce même après la clôture de leur contrat. © SKF

Commentez

Participez à la discussion