La sécurité de l’internet des objets industriels

La sécurité de l’internet des objets industriels

Dossier : CybersécuritéMagazine N°753 Mars 2020
Par Laurent MAURY
Par Marie-Laure TABARY (1993)

L’internet des objets (Inter­net of Things ou « IoT ») est à l’industrie d’aujourd’hui ce que la chaîne de pro­duc­tion de Ford était à l’industrie d’hier : un des incroyables moteurs d’une trans­for­ma­tion indus­trielle qui s’accélère. Mais les canaux de com­mu­ni­ca­tion, les nou­veaux points de col­lecte et de sto­ckage de don­nées, tous les échanges, sont autant de portes d’entrée poten­tielles aux cybe­rat­taques per­met­tant d’atteindre les sys­tèmes indus­triels eux-mêmes.

Grâce à l’installation de cap­teurs au cœur des sys­tèmes indus­triels et aux tech­no­lo­gies de big ana­ly­tics, on peut opti­mi­ser la pro­duc­tion, amé­lio­rer la main­te­nance pré­ven­tive des outils indus­triels ou déve­lop­per de nou­veaux cas d’usage. La maî­trise et l’optimisation des pro­ces­sus indus­triels dépendent donc aujourd’hui très lar­ge­ment de la confiance dans les don­nées et les sys­tèmes qui les pro­duisent, les hébergent ou les dif­fusent, abso­lu­ment cri­tiques pour la sûre­té de fonc­tion­ne­ment des industries.


REPÈRES

Juin 2017 : le sys­tème de sécu­ri­té d’un site pétro­chi­mique situé en Ara­bie saou­dite se déclenche inopi­né­ment. Aucune ano­ma­lie inquié­tante n’est déce­lée ; une erreur sans doute. Mais un mois plus tard le même évé­ne­ment se pro­duit à nou­veau, blo­quant le fonc­tion­ne­ment de l’usine. La coïn­ci­dence est trop rare : il s’agit là d’une cybe­rat­taque, à par­tir d’un mal­ware dénom­mé Tri­ton. Cette attaque, qui se révé­le­ra très sophis­ti­quée et minu­tieu­se­ment pré­pa­rée, aurait pu détruire toutes les don­nées et pro­vo­quer une explo­sion aux consé­quences poten­tiel­le­ment meur­trières. Fait inédit, les atta­quants ont réus­si non seule­ment à s’infiltrer dans le sys­tème de contrôle-com­mande du site, mais éga­le­ment à infec­ter le sys­tème de sécu­ri­té de l’infrastructure – dont la fonc­tion pre­mière était de pro­té­ger cette der­nière en cas de scé­na­rio catastrophe.


Environnements industriels : des attaques virtuelles aux conséquences bien réelles

Si l’exemple saou­dien a été for­te­ment média­ti­sé, il ne s’agit pour­tant pas d’un cas iso­lé dans le milieu indus­triel : depuis le virus Stux­net conçu pour espion­ner et cor­rompre les sys­tèmes indus­triels des cen­trales ira­niennes, dont la décou­verte en 2010 avait fait grand bruit, les cas de cybe­rat­taque d’infrastructure indus­trielle se sont mul­ti­pliés. Rien qu’en 2019 on peut citer la para­ly­sie du pro­duc­teur d’aluminium nor­vé­gien Norsk Hydro et du groupe d’ingénierie Altran par le ran­som­ware Locker­Go­ga, le cryp­to­ja­cking de la cen­trale nucléaire ukrai­nienne de Yuzh­nou­krainsk ou encore la série d’attaques ayant visé Air­bus, pro­ba­ble­ment via la chaîne de ses sous-traitants. 

Mais com­ment les atta­quants par­viennent-ils à prendre le contrôle de sys­tèmes indus­triels ? Dans de très nom­breux cas, ces attaques avan­cées, sou­vent menées par des groupes d’attaquants rat­ta­chés à des États, tran­sitent par le réseau infor­ma­tique de l’entreprise, via des outils « clas­siques » de phi­shing ou de com­pro­mis­sion de mots de passe. Une fois dans le sys­tème d’information de la socié­té, le virus recherche alors acti­ve­ment des nœuds de connexion entre le sys­tème IT (infor­ma­tion tech­no­lo­gy) et le sys­tème OT (ope­ra­tio­nal tech­no­lo­gy), jusqu’à trou­ver une brèche. Un logi­ciel mal­veillant, construit pour s’introduire dans les sys­tèmes indus­triels et les objets connec­tés qui y sont déployés, est alors télé­char­gé et ins­tal­lé sur un ou plu­sieurs PLC – pro­gram­mable logi­cal control­ler, afin de prendre le contrôle des fonc­tions industrielles.

SOC Élan­court.
SOC Élan­court.

Stratégies numériques et modernisation des infrastructures

L’IoT indus­triel (« IIoT ») est deve­nu une source de per­for­mance, mais il étend consi­dé­ra­ble­ment la sur­face de vul­né­ra­bi­li­té acces­sible aux atta­quants : les objets connec­tés sont eux-mêmes deve­nus une cible, au même titre que les sys­tèmes et infra­struc­tures qu’ils contri­buent à connec­ter. Mal­heu­reu­se­ment, ils sont encore trop sou­vent dépour­vus de cyber­sé­cu­ri­té « embar­quée » : ils n’ont tout sim­ple­ment pas été pen­sés pour résis­ter à des cybe­rat­taques. Et les mesures de pro­tec­tion des sys­tèmes ne peuvent rem­pla­cer l’intégration, dès la concep­tion des objets connec­tés, d’une cyber­sé­cu­ri­té « native » (secu­ri­ty by desi­gn).

Par ailleurs, les orga­ni­sa­tions sont toutes confron­tées aux pro­blèmes tech­niques posés par leur héri­tage indus­triel : l’utilisation et l’amortissement d’une infra­struc­ture indus­trielle ne se conçoivent que sur une durée rela­ti­ve­ment longue. Cer­taines ins­tal­la­tions tou­jours en fonc­tion­ne­ment ont été conçues il y a par­fois plu­sieurs dizaines d’années, avant l’apparition de l’internet voire de l’informatique. L’interconnexion pro­gres­sive de ces sys­tèmes héri­tés (lega­cy sys­tems), leur enri­chis­se­ment par des IIoT et l’exploitation des don­nées qu’ils pro­duisent posent des pro­blé­ma­tiques de sécu­ri­té infor­ma­tique com­plexes. À l’origine, ces sys­tèmes n’ont pas été conçus pour être connec­tés, et inté­grer a pos­te­rio­ri la dimen­sion sécu­ri­té relève tou­jours du défi.

Enfin, si le domaine IT est rela­ti­ve­ment mature en matière de cyber­sé­cu­ri­té, avec notam­ment un cor­pus nor­ma­tif et de bonnes pra­tiques, la par­tie OT est loin d’avoir atteint un niveau de pro­tec­tion équi­valent, sur des sys­tèmes qui ont leurs spé­ci­fi­ci­tés. De sorte que les pro­to­coles déployés aujourd’hui pour détec­ter effi­ca­ce­ment des brèches de sécu­ri­té sur des sys­tèmes opé­ra­tion­nels en milieu indus­triel sont sou­vent inadap­tés. Selon une étude menée par Thales, seules 48 % des socié­tés seraient capables de détec­ter une com­pro­mis­sion sur l’un de leurs objets connec­tés. Et les poli­tiques de déploie­ment des cor­rec­tifs de sécu­ri­té (« patchs ») sur les vul­né­ra­bi­li­tés connues sont sou­vent peu performantes.

Datacenter Élancourt.
Thales Sys­temes – Data Cen­ter et salle de controle, Élancourt.

Stratégies d’entreprise et segmentation des réseaux

Loin de la matu­ri­té du sec­teur IT, l’OT est géré par des fonc­tions sou­vent struc­tu­rées de manière écla­tée, com­mu­ni­quant très peu entre elles : ces fonc­tions « ne se connaissent pas ». Aux efforts tech­niques s’ajoute donc un effort de cohé­rence IT/OT/IIoT dans la poli­tique de sécu­ri­té des socié­tés, poli­tique qui doit per­mettre visi­bi­li­té et entraide jusque sur le ter­rain des usines. La seg­men­ta­tion des réseaux pro­vient aus­si des stra­té­gies de fusion-acqui­si­tion ou de dés­in­ves­tis­se­ment qui concourent à la ségré­ga­tion des flux de don­nées et à la créa­tion de zones de vul­né­ra­bi­li­té tem­po­raire ou à plus long terme. Les mises à jour IT sur les flux ou droits uti­li­sa­teurs par exemple, sus­ci­tées par ces mou­ve­ments de crois­sance, créent des failles de sécu­ri­té. Une fois encore le défi de la ges­tion des sys­tèmes héri­tés se pose dans des contextes encore plus com­plexes car une acqui­si­tion per­met rare­ment une visi­bi­li­té exhaus­tive sur le parc indus­triel acquis et son his­to­rique de développement.

“Seules 48 % des sociétés seraient capables
de détecter une compromission.”

L’approche secure by design

Si la cyber­sé­cu­ri­té par concep­tion est rela­ti­ve­ment aisée à appli­quer sur des objets connec­tés indus­triels ou des sys­tèmes « neufs », créer un envi­ron­ne­ment structurel­lement cyber­sé­cu­ri­sé à par­tir de sys­tèmes hété­ro­gènes et poten­tiel­le­ment anciens, dans le cadre d’une vision uni­fiée IT/OT/IIoT, est un réel défi. Plu­sieurs étapes clés per­mettent d’aller vers cette pos­ture de robus­tesse par rap­port au risque cyber. La pre­mière consiste à mener un diag­nos­tic com­plet, en iden­ti­fiant l’ensemble des actifs et objets indus­triels, en véri­fiant leurs archi­tec­tures et en condui­sant des ana­lyses de risque et des tests de résis­tance des réseaux. Elle est sui­vie par des actions cor­rec­trices, par exemple : « dur­cir » l’ensemble des com­po­sants sys­tèmes et réseaux ; for­mer et entraî­ner les équipes ; seg­men­ter cer­taines zones et niveaux de sécu­ri­té, de manière à com­plexi­fier la pro­gres­sion d’attaques éven­tuelles ; éta­blir des contrôles d’identité et des accès renforcés.

Thales déve­loppe éga­le­ment des par­te­na­riats auprès de lea­ders de la four­ni­ture d’équipements opé­ra­tion­nels tels que Gene­ral Elec­tric. Au sein de son Centre natio­nal d’exploitation des don­nées numé­riques situé au pays de Galles, l’entreprise modé­lise ces envi­ron­ne­ments com­plexes au plus proche des condi­tions réelles. Thales y forge des scé­na­rios d’attaque et réponse à inci­dents pour l’édification de poli­tiques et pro­cé­dures de sécu­ri­té plus sûres. Les résul­tats per­mettent un meilleur entraî­ne­ment des équipes et contri­buent éga­le­ment à la mise en œuvre d’architectures de sécu­ri­té plus robustes. L’approche secu­ri­ty by desi­gn se double ain­si d’une approche secu­ri­ty by ser­vice, avec un ensemble de pres­ta­tions ajou­tées au ser­vice d’une cyber­sé­cu­ri­té évo­luant au rythme des attaques.

Datacenter Élancourt.
Thales Sys­temes – Data Cen­ter et salle de controle, Élancourt.

Monitoring et détection : l’approche intégrée IT/OT/IIoT

Ces approches doivent être enri­chies d’une sur­veillance dyna­mique de l’ensemble de l’environnement indus­triel, dans le cadre d’une vision uni­fiée IT/OT/IIoT. Au cœur de la majo­ri­té des poli­tiques de sécu­ri­té cyber se trouve la super­vi­sion du parc IT, maté­ria­li­sée par un centre de super­vi­sion de cyber­sé­cu­ri­té (SOC), dont l’usage est lar­ge­ment répan­du. Les sys­tèmes de pro­duc­tion indus­triels sont, en com­pa­rai­son, sous-dotés et, à ce jour, il y a peu d’exemples de socié­tés par­ve­nues à super­vi­ser inté­gra­le­ment leur parc OT. L’IIoT étant lui-même encore au stade de défi­ni­tion de son propre péri­mètre, les tech­no­lo­gies rele­vant de sa pro­tec­tion sont encore rela­ti­ve­ment récentes. Quatre stades prin­ci­paux de matu­ri­té sont iden­ti­fiés : « aver­ti », « acteur », « vigi­lant », « rési­lient ». Fina­le­ment il s’agit, pour chaque acteur indus­triel, de dis­po­ser d’une vision abou­tie de sa matu­ri­té glo­bale. Des mesures de détec­tion et de réponse à inci­dents sont ren­dues pos­sibles par une super­vi­sion proac­tive, celle-ci fai­sant appel notam­ment à des sondes et sen­seurs dédiés au domaine OT.

Pour l’ensemble des acteurs indus­triels, la ques­tion n’est plus de savoir s’ils seront atta­qués, mais quand et quelles peuvent être les consé­quences sur leurs opé­ra­tions. L’expérience montre que la cyber­sé­cu­ri­té est un accé­lé­ra­teur et un dif­fé­ren­cia­teur lorsqu’elle est inté­grée en amont, dès la concep­tion des sys­tèmes, et tout au long du déploie­ment des inno­va­tions tech­no­lo­giques. Pour garan­tir, tel un invi­sible fil d’Ariane, la plus grande soli­di­té face à l’attaquant, et la plus grande liber­té pour l’industriel, en toute confiance. 

Poster un commentaire