Des systèmes industriels en déficit de sécurité
Dans le domaine industriel, la plupart des installations ont 30 à 40 ans d’âge. Ces systèmes ont été construits pour être robustes et leur disponibilité n’est pas remise en cause. En revanche, ils n’ont pas été pensés pour intégrer des dispositifs de sécurité, même le plus basique. Par exemple, il est fréquent de trouver des consoles de supervision ne nécessitant aucune authentification pour y accéder.
Cela ne posait pas de problèmes lors de la conception de ces systèmes, ceux-ci étant totalement isolés. Aujourd’hui, tout l’écosystème industriel évolue. Les installations sont de plus en plus connectées, pour permettre la remontée d’informations ou la prise de contrôle à distance. Un réel enjeu de sécurité émerge alors. « Ce manque de sécurité est général, et tous les systèmes industriels ou presque, en Europe et dans le monde, présentent les mêmes lacunes. Bien souvent, lorsque ces systèmes se connectent à internet, la DSI n’est pas impliquée dans les choix techniques et la mise en œuvre de cette connexion. La DSI et les métiers sont, dans l’entreprise, des domaines distincts qui ne communiquent pas, ont des enjeux différents, des cultures différentes », analyse Aïcha Mir. « Un exemple concret lors de nos audits est la découverte d’une ou plusieurs lignes directement connectées en usines, souvent en permanence, constituant autant de points d’entrée au SI ».
Sensibiliser l’entreprise en pointant les risques
Ce manque de sécurité est peu à peu devenu flagrant et problématique. D’abord, parce que ces dernières années les entreprises ont pris conscience de la nécessité d’interconnecter leurs systèmes industriels, pour être plus efficaces et réactives. Parallèlement, des systèmes industriels connectés ont été victimes d’attaques qui ont mis en évidence leur double vulnérabilité. En effet, certaines attaques visaient le SI de l’entreprise et se propageaient au système industriel. C’était le cas de l’attaque Wannacry, en 2017. D’autres attaques ciblaient directement le monde de l’industrie, notamment dans le secteur de l’énergie, comme Stuxnet dès 2010.
La médiatisation de ces attaques a sensibilisé le monde industriel. « Orange Cyberdefense a largement participé à cette sensibilisation, grâce à des communications, des conférences… Nous avons également réalisé auprès des industriels des démonstrations d’attaques, sur une maquette (une mini-chaîne de production, composée de véritables automates industriels), qui permettent de démontrer que le manque de sécurité peut mettre en péril la continuité de production, essentielle aux métiers », souligne Aïcha Mir.
Associer compétences techniques et compréhension de l’environnement industriel
Pour l’entreprise consciente de sa vulnérabilité potentielle, le premier impératif est de réaliser un état des lieux, un véritable diagnostic de sécurité des systèmes industriels Une pratique qui exige un certain savoir-faire. « Orange Cyberdéfense a développé sa propre méthodologie et dispose d’outils dédiés et de référentiels pour identifier les actifs critiques de la chaîne de production », détaille Aïcha Mir. « Nous pouvons ainsi réaliser un diagnostic complet, qui met en évidence les failles techniques, mais aussi organisationnelles, liées par exemple aux intervenants externes auxquels l’entreprise s’ouvre… Cet inventaire est indispensable car bien souvent on constate une totale absence de formalisme dans l’entreprise. L’inventaire n’existe tout simplement pas ! », insiste l’experte.
Pour un prestataire extérieur comme Orange Cyberdefense, réaliser cet état des lieux exige bien entendu des compétences en matière de sécurité. La compréhension du métier de l’entreprise est également essentielle. Pour réaliser la cartographie du système et des flux et identifier les failles de sécurité, il faut savoir quels éléments produisent de la valeur et leur niveau de sensibilité.
Concrètement, Orange Cyberdefense propose deux méthodes de cartographie complémentaires, passive et active, se basant sur plusieurs éléments : des écoutes réseau, l’analyse des fichiers de configurations, des scans non agressifs, des visites de sites, des interviews, etc.
L’état de lieux se matérialise bien souvent par un inventaire d’équipements au simple format Excel, ou bien en CMDB (Configuration Management Database). Il permet aux équipes opérationnelles mais également à la DSI d’avoir une vision globale du système industriel. On y trouve :
- La liste des équipements (automates, cartes E/Switch, poste de travail et station de supervision…).
- Le fournisseur, le modèle, la version logicielle de l’équipement, le nombre des interfaces réseaux.
- Le plan d’adressage IP de l’usine.
- Les interconnexions et le point de contact avec le SI de gestion.
- Les accès externes.
Idéalement, les travaux de cartographie donnent lieu à la formalisation d’un dossier d’architecture et d’une matrice de flux représentant les interactions identifiées.
Et après ?
Cet état des lieux essentiel sert de socle à des actions de sécurisation, qui elles aussi demandent un savoir-faire dont peu d’entreprises disposent. La sécurisation du système industriel est bien souvent sous-traitée.
« Pour répondre aux attentes des industriels, nous proposons toute une gamme de prestations, du simple état des lieux à la réponse technique complète, préconisant des actions et conseillant des outils. Nous pouvons expliquer à l’entreprise comment mettre en place la gouvernance de sa sécurité, introduire des règles, déployer des actions organisationnelles et techniques, sensibiliser les équipes, accompagner les aspects humains du changement. En clair, nous pouvons faire simplement le constat initial, ou piloter l’ensemble des actions et des chantiers. Tout dépend de l’entreprise, de son niveau de maturité et de sa demande », conclut Aïcha Mir.