Quelles menaces l’Internet des objet fait-il peser sur l’industrie ?
Le passage à un monde hyper-connecté, 100% numérique, et l’arrivée de nouvelles générations d’objets connectés renforcent notre besoin de cybersécurité. Si les conséquences des vulnérabilités numériques en matière de vol d’information, d’espionnage ou de détournements financiers commencent à être bien connues dans les entreprises, la prise de conscience des risques qui pèsent sur les systèmes industriels et plus généralement sur tous les automatismes qui régissent notre monde physique est plus récente. L’avènement annoncé de l’Internet des Objets (IoT) et la connexion massive des centaines de milliers d’objets connectés posent le problème de manière encore plus aiguë. Ces objets seront dotés d’une capacité de collecte et de traitement des informations issues du monde physique et pourront agir sur celui-ci. Dans cette perspective, la notion de périmètre n’a plus de sens, l’ouverture est l’ADN du système, le nombre d’intervenants est très difficile à contrôler et les contraintes technologiques sont spécifiques.
On parle beaucoup de l’IoT mais il n’est pas si développé...
Ce monde n’est effectivement pas encore notre quotidien : les réfrigérateurs ne sont pas encore connectés à Internet, nos lunettes ou notre montre ne sont pas »intelligentes » et beaucoup de ces objets connectés n’ont pas dépassé le stade expérimental. En revanche, il est déjà là dans les domaines industriels qui, sans forcément en avoir pris conscience, possèdent les mêmes caractéristiques : absence de périmètre, ouverture difficile à contrôler, multiplicité des intervenants et contraintes technologiques qui empêchent l’application des méthodes et outils issus de la cybersécurité des systèmes d’information. Ces systèmes industriels – ICS ou Industrial Control System – pilotent le monde physique : production et distribution d’énergie, systèmes urbains (traitement des eaux, ports ou aéroports) ou encore transports publics (train, métro). Ils sont confrontés à des risques nouveaux, allant jusqu’à la destruction de l’appareil de production, la pollution de l’environnement ou la perte de vies humaines. Ces risques qui pèsent, en particulier, sur les infrastructures critiques sont considérables du fait de leur impact systémique sur nos sociétés. Ils ne sont plus cantonnés aux films hollywoodiens à gros budget mais sont pris très au sérieux par les pouvoirs publics qui se sont engagés dans des campagnes de sensibilisation très importantes et dans la mise en place de réglementations contraignantes.
Les réseaux informatiques industriels sont-ils si fragiles ?
Contrairement aux domaines du commerce, de la gestion et de la bureautique où les systèmes d’information font l’objet d’une direction intégrée, les réseaux industriels ne possèdent pas de logique d’urbanisme au sens informatique. Ceux-ci sont, en général, conçus autour des processus qu’ils pilotent. Ils sont pensés de façon indépendante des autres systèmes qui les entourent et sont sous la responsabilité d’une direction »industrielle ». Il n’y a pas de couple »métier/IT » comme dans une Direction informatique où un informaticien métier représente le client alors que d’autres informaticiens fournissent les éléments d’infrastructure, réseau notamment, en s’assurant de sa cohérence et de sa sécurité. Dans le monde industriel, ces deux rôles sont confondus avec un tropisme fort sur le »métier ». Ainsi, l’informaticien industriel est-il d’abord un automaticien qui connaît très bien le processus industriel à piloter et qui sait comment programmer, maintenir et gérer les automatismes pour le faire. Par nécessité, il s’intéresse au réseau industriel mais sans en avoir la responsabilité en tant que telle. Cette situation génère du risque dans la mesure où le réseau industriel peut être partagé par plusieurs sous-systèmes qui dépendent de responsables différents, sans que personne ne soit capable d’assurer que celui-ci est maîtrisé et ne fasse pas l’objet de compromission. Cette absence de responsabilité crée une difficulté en matière de cybersécurité. Elle complique l’interaction entre les hommes de la sécurité informatique et ceux des technologies opérationnelles. Trop souvent, les automaticiens n’ont pas d’expertise informatique. Plus encore, pour les managers de production ou de maintenance, le cyber-risque arrive très loin dans la liste des risques qui pèsent sur l’outil industriel.
Par où commencer ?
Il faut se garder d’adopter une posture naïve de recherche d’un absolu visant à sécuriser le système de manière parfaite. Cette posture théorique donnerait le sentiment aux responsables industriels qu’ils doivent s’engager dans un effort considérable pour voir apparaître les premiers bénéfices. Ce qui aurait pour conséquence de les inciter à ne rien faire. Les règles qui en découlent sont souvent issues des pratiques de la sécurité des systèmes d’information.
A quoi pensez-vous par exemple ?
A l’obligation d’appliquer des correctifs de sécurité, à la création de politiques de sécurité détaillée issues d’une analyse de risque, à une logique de » tout interdire et verrouiller » au risque d’empêcher les uns et les autres de travailler et les machines de fonctionner. Ces approches ne sont, en général, pas économiquement viables, à court terme. Elles demandent un investissement initial important. Elles sont complexes car elles se veulent exhaustives (tous les serveurs, tous les points d’accès, etc.), et manquent de pragmatisme. Plus encore, les solutions de cybersécurité IT existantes nécessitent de disposer d’une expertise technique pointue pour les mettre en œuvre et les exploiter efficacement. Elles sont intrusives et pourraient conduire à des perturbations fortes de la production via, par exemple, des faux-positifs. Elles s’adressent à des informaticiens, bien formés, maîtrisant les problématiques de cybersécurité. Et même si la plupart des solutions bénéficient maintenant d’interfaces graphiques ergonomiques, il faut, la plupart du temps, plusieurs jours à un technicien bien formé pour les déployer.
Quels sont les principaux facteurs de réussite ?
Tout d’abord, il est important de mettre rapidement en place une première initiative. Car la question » Par où commencer , » appelle une réponse pragmatique. Trois points sont essentiels pour démarrer. Le premier consiste à identifier des responsabilités claires sur le réseau industriel. La démarche doit être menée par des hommes de terrain, qui connaissent la réalité des opérations de leur entreprise. Un rôle doit être clairement identifié, celui de Responsable de la sécurité des systèmes et réseaux industriels (RSSRI). Le second point vise à dresser un diagnostic précis de la situation actuelle. Cela passe par la connaissance détaillée du parc d’équipements connectés à son réseau et de sa cartographie complète. Cette connaissance permettra de mettre en place très vite des règles simples qui permettront d’augmenter rapidement le niveau de protection. Enfin le troisième point consiste à se préparer à répondre à une intrusion ou à une activité malveillante. Cela passe par la centralisation des événements de sécurité et des journaux d’événements. La cybersécurité des systèmes industriels est un sujet à prendre rapidement en considération. La protection numérique des infrastructures critiques, de l’appareil de production n’est plus une option. C’est un impératif.
Propos recueillis par Erick Haehnsen
Commentez