XIoT et cybersécurité : une surface d’attaque en expansion rapide

Internet des Objets

Dossier : Internet des objetsMagazine N°784 Avril 2023

Après l’IoT, l’XIoT ! L’Internet des objets étendu intègre l’IoT et les technologies opérationnelles dans les processus industriels. Cela permet des bénéfices énormes en termes d’efficacité productive, mais cela augmente la menace d’une attaque qui sera d’autant plus destructrice qu’elle portera sur un domaine plus vaste. La défense dans ce domaine doit donc se renforcer et amener les services à coopérer dans un objectif commun.

La transformation numérique conduit à une augmentation ininterrompue des échanges de données et des besoins d’automatisation. Cette tendance forte a des conséquences sur les technologies et les processus de fabrication, en particulier sur tous les systèmes dits cyberphysiques et sur les systèmes industriels d’automatisme et de contrôle. Nous entrons dans le nouveau paradigme de l’« Internet des objets étendu » : l’XIoT. Ce terme recouvre non seulement des dispositifs IoT (industriels) multiples, mais également les technologies opérationnelles (OT) dédiées à la détection et au contrôle des processus physiques.

L’internet des objets étendu

Les technologies de l’XIoT se trouvent désormais intégrées dans tous les secteurs d’activité : usines de fabrication (automobile, pharmaceutique), complexes industriels (traitement métallurgique, pétrochimie et raffineries), services d’énergie et d’eau (réseaux de transport et de distribution d’électricité, d’eau, de gaz, centrales de production d’énergie), systèmes de transport (ferroviaire), bâtiments intelligents (smart building) ou encore villes intelligentes (smart city). Selon Statista, le nombre de dispositifs XIoT a dépassé celui des dispositifs non-XIoT en 2020. À l’horizon 2025, le groupe de conseil et d’étude IDC (International Data Corporation) estime un total de 41,6 milliards de dispositifs XIoT, avec un taux de croissance supérieur à celui des équipements informatiques traditionnels. Si la cybersécurité des équipements informatiques s’est notablement renforcée ces dernières années, force est de constater que celle de ces dispositifs n’a pas suivi le même rythme. Les acteurs de la menace exploitent ces dispositifs qui ont un cycle de vie très long (> 10 ans) et dont beaucoup ont été conçus à l’origine pour l’air gap, c’est-à-dire dans un contexte d’isolement physique du réseau, avec une identité faible, pas ou peu de capacités cryptographiques, ce qui les rend d’autant plus vulnérables.

IT/OT : une convergence en marche

Traditionnellement, les technologies de l’information (IT) et les technologies opérationnelles (OT) ont eu des rôles distincts au sein d’une même entreprise. Si les premières constituent le socle d’un système d’information (SI) avec les systèmes de collecte et d’analyse des données, les secondes soutiennent les opérations physiques. Elles regroupent notamment les systèmes de contrôle industriel (ICS) avec les automates programmables industriels (PLC) et les systèmes logiciels de supervision et de contrôle (SCADA). Mais elles ne se limitent toutefois pas seulement aux processus industriels, on peut notamment citer les contrôleurs de système HVAC (chauffage, ventilation et climatisation) et divers systèmes instrumentés de sécurité (SIS). Or les sujets de transformation numérique et d’optimisation amènent à connecter de plus en plus étroitement les technologies IT et OT. Ainsi, ces systèmes OT, considérés autrefois comme spécifiques et autoprotégés, deviennent des objets communiquant et coopérant à la fois entre eux, avec des systèmes de décision décentralisés et avec les humains en temps réel via le réseau IT et l’Internet. Cette convergence de l’IT et de l’OT permet une surveillance, une analyse et un contrôle plus directs et en temps réel des processus industriels, avec l’utilisation des données industrielles, de modèles d’IA, de répliques numériques et d’environnements virtuels, pour en tirer des bénéfices autrefois impossibles en termes de simulation et de contrôle autonome. Ce sont donc des bénéfices réels qui justifient une telle convergence, le défi étant alors de la mener en assurant la sécurité des installations, des données, des personnes et de l’environnement.

Des systèmes industriels vulnérables

De plus en plus nombreux, de plus en plus connectés, les dispositifs XIoT représentent une surface d’attaque en expansion rapide et souvent incontrôlée ! On peut observer une augmentation des vulnérabilités de 34 % au second trimestre de l’année 2022 et de 110 % sur les quatre dernières années (par ex. vulnérabilité Apache Log4j). Le domaine industriel est particulièrement touché, Microsoft a ainsi pu identifier des vulnérabilités non corrigées et de sévérité haute dans 75 % des contrôleurs industriels les plus courants de ses clients. La prévalence de ces vulnérabilités mal maîtrisées représente un défi pour toutes les organisations ; les infrastructures critiques se trouvent particulièrement exposées. Les attaquants peuvent chercher à compromettre les dispositifs XIoT pour accéder à d’autres réseaux, disposant par exemple de données sensibles. L’XIoT constitue ainsi une porte d’entrée de choix. Néanmoins, on voit aussi se développer ces dernières années des attaques qui visent directement les systèmes industriels, avec pour objectif une perturbation ou une destruction des installations industrielles.

Les logiciels malveillants dans le domaine industriel

Perturber des services critiques, sans même nécessairement les détruire, constitue un puissant levier. Et les attaquants peuvent avoir des motifs variés. Il peut s’agir de demandes de rançon ou, dans le cas d’attaques menées ou soutenues par des États-nations, d’objectifs militaires, économiques ou de déstabilisation d’un pays. L’exemple récent du conflit russo-ukrainien montre l’importance grandissante de cette forme de combat. Les systèmes industriels ont connu plusieurs grands logiciels malveillants : Stuxnet, Industroyer et Triton. L’un des derniers en date est Incontroller, très probablement parrainé par un État ; il offre une capacité de cyberattaque exceptionnellement dangereuse vis-à-vis de dispositifs d’automatisation, allant de la perturbation en passant par le sabotage jusqu’à la destruction physique des installations. Aujourd’hui 72 % des exploits (c’est-à-dire des programmes permettant de tirer parti d’une vulnérabilité ou d’une faille) de cette boîte à outils sont disponibles en ligne.

Une diffusion toujours plus large

La disponibilité croissante d’outils accessibles au plus grand nombre constitue aussi une évolution majeure du secteur. L’expertise technique et les autres barrières à l’entrée diminuent, amenant de nouveaux acteurs malveillants. À mesure que l’économie cybercriminelle se développe et que les logiciels malveillants ciblant les systèmes OT deviennent plus répandus et plus faciles à utiliser, les acteurs de la menace disposent de moyens plus variés pour monter des attaques à grande échelle. Les attaques par rançongiciel, auparavant perçues comme une menace axée sur l’IT, affectent aujourd’hui les environnements OT, comme on l’a vu en 2021 dans la cyberattaque de Colonial Pipeline. Cette infrastructure pétrolière de transport a été complétement paralysée pendant que les intervenants s’efforçaient d’identifier et de contenir la propagation du rançongiciel sur le réseau IT de l’entreprise. Le levier d’extorsion est donc bien plus puissant quand on s’attaque à des infrastructures critiques, capables de paralyser, au minimum de ralentir fortement l’économie d’un pays.

Des méthodes de protection insuffisantes

Nous l’avons vu, l’XIoT introduit de nouvelles possibilités mais aussi de grands risques (perte de production, incident sur le procédé, exfiltration de données sensibles, mise en danger du personnel voire des populations, atteinte à l’environnement, etc.). La convergence IT/OT nécessite donc plusieurs mesures de sécurité. Historiquement il était d’usage d’isoler physiquement ou de protéger de manière périmétrique les infrastructures OT. On cite souvent le modèle Purdue du standard ISA-95 pour illustrer cette segmentation. Or ces mesures ne suffisent plus à se prémunir de logiciels malveillants sophistiqués ou d’attaques ciblées. De plus, elles sont illusoires dans un contexte où les réseaux OT sont de plus en plus connectés. Bon nombre de tactiques malveillantes connues, et donc largement évitées dans l’IT, sont encore efficaces pour l’XIoT. On peut citer la découverte des dispositifs connectés (caméras, automates, accessibles via une requête Google ciblée), l’utilisation de mots de passe par défaut ou l’exploitation de l’accès accordé aux sous-traitants.

Accroître sa résilience opérationnelle

La démarche pour sécuriser les réseaux industriels partage néanmoins de grandes similarités avec celle pour les réseaux IT. On recommandera par exemple de démarrer par une cartographie des actifs, en mettant en évidence les actifs critiques, de poursuivre par une analyse de risques et enfin d’établir une stratégie de sécurisation cohérente. Cette stratégie se décide en fonction de l’impact potentiel sur l’entreprise des événements redoutés. On recommandera bien sûr d’appliquer les basiques en termes d’hygiène de sécurité : surveiller les vulnérabilités et réduire son exposition au risque en appliquant les mises à jour de sécurité. Néanmoins, l’application de correctifs peut se révéler impossible dans certains contextes. Il est par exemple très difficile d’arrêter une chaîne de fabrication pour faire des mises à jour. Parfois, sur les automates notamment, les correctifs de sécurité n’existent simplement pas. Dans ce cas, seul l’isolement du matériel ou la mise en place de module gardien se révèle être une solution.

De nombreuses ressources existent pour vous aider dans ces démarches, on pourra citer (sans être exhaustif) :

MITRE propose un framework dédié à la composante industrielle ATT&CK® for industrial control systems (ICS) ;
la méthodologie Microsoft SDL permet de réaliser
une modélisation des menaces ;
les publications proposées par l’ENISA, Agence de l’Union européenne pour la cybersécurité.

Supprimer le cloisonnement IT/OT

Dans un contexte de convergence IT/OT, les approches Zero Trust sont également intéressantes. Cela représente un changement important pour l’OT, plus habitué à des architectures en « château fort ». Il s’agit non plus de réaliser un filtrage et une protection en périphérie du SI, considérant l’intérieur du SI comme un espace clos et protégé, mais bien de considérer que chaque actif doit par défaut ne pas faire confiance à un autre. Cette stratégie implique donc de sécuriser et d’authentifier les connexions entre les actifs. Cette convergence ne pourra pas se faire sans supprimer les cloisonnements organisationnels entre l’IT et l’OT. Il s’agit d’instaurer une solide collaboration avec des équipes IT et OT, qui ont traditionnellement travaillé dans des silos distincts et qui parlent parfois deux langages différents. Par exemple, si l’on prend le classique triptyque CIA pour confidentialité, intégrité et disponibilité, l’IT valorise d’abord la confidentialité là où l’OT donnera la priorité à la disponibilité.

Une illustration avec les villes intelligentes sécurisées

Les grandes métropoles et les villes utilisent de plus en plus de dispositifs XIoT afin d’améliorer la qualité des services urbains et de gérer plus efficacement leurs ressources. On peut citer par exemple les mesures du niveau de pollution ou du trafic routier, la surveillance des réseaux de chauffage et de refroidissement urbains, ou encore la surveillance de l’irrigation des espaces verts, dans un contexte de préservation de l’eau. Ces capteurs de plus en plus nombreux génèrent de grandes quantités de données, qui doivent être rendues publiques par principe depuis 2018 et la loi pour une République numérique. Néanmoins, il ne faut pas tomber dans la caricature qui consisterait à générer quantité de données sans jamais s’en servir, au prétexte de la smart city.

“Intégrer et comprendre davantage les menaces et les risques.”

La meilleure posture en termes de sécurité est celle de la sobriété : faire le juste nécessaire pour l’usage requis. Et cela commence dès la collecte des données : par exemple, pour détecter une présence dans une pièce, il n’est pas utile de collecter l’état de la porte en permanence alors que certains capteurs savent remonter l’information d’un changement d’état. Par ailleurs, l’une des complexités majeures dans les réseaux urbains est leur étendue géographique et le fait qu’ils soient implantés sur la voie publique. Les capteurs et installations se retrouvent ainsi parfois exposés physiquement, et donc le modèle Zero Trust introduit précédemment est incontournable. La législation est également un levier pour accompagner la sécurisation de ces infrastructures, que ce soit la loi de programmation militaire, la directive NIS (Network and Information Security, législation européenne) ou plus récemment le Cyber Resilience Act (CRA) qui prône une conception digne de confiance pour garantir la cyberrésilience de ces systèmes.

Soyons tous responsables !

En guise de conclusion, nous ne saurions (trop) insister sur le fait qu’il est crucial d’intégrer et de comprendre davantage les menaces et les risques qui pèsent sur la cybersécurité de ces dispositifs XIoT. Pour reprendre le leitmotiv de Guillaume Poupard, ancien directeur général de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) : « Soyons tous connectés, tous impliqués, tous responsables ! » afin de renforcer et de garantir la résilience et la confiance de ces dispositifs. Il en va notamment du succès de l’Industrie 4.0, de la révolution de l’Internet industriel et de tous les écosystèmes en émergence avec l’impératif numérique.

Notes bibliographiques

Internet des objets

Commentaire

Ajouter un commentaire

Claude Baudoin (X70)répondre

9 avril 2023 à 3 h 42 min

Voir aussi l’Industrial Internet Security Framework (IISF) de l’Industry Internet Consortium (IIC), disponible en ligne et gratuitement ici : https://www.iiconsortium.org/iisf/. A noter que l’un des principaux acteurs du groupe de travail qui a produit ce document, et continue de le faire évoluer, est Bob Martin de MITRE, organisation justement citée dans les références de cet article. J’ajouterais que la convergence IT/OT est cruciale mais se heurte à un fossé culturel entre les deux organisations parce que OT veut tout connecter pour améliorer les opérations, IT veut tout bloquer pour assurer la sécurité, et aucun des deux ne parle le langage de l’autre. Ce qui est quelquefois rendu par ce mot d’humour : on frappe à la porte du directeur chargé de l’OT, et le visiteur dit « Bonjour, je viens du département IT pour vous aider. » Ce sur quoi le responsable OT part en courant…