XIOT et Cybersécurité

XIoT et cybersécurité : une surface d’attaque en expansion rapide

Dossier : Internet des objetsMagazine N°784 Avril 2023
Par Claire DUFETRELLE (X09)
Par Philippe BERAUD

Après l’IoT, l’XIoT ! L’Internet des objets éten­du intègre l’IoT et les tech­no­lo­gies opé­ra­tion­nelles dans les pro­ces­sus indus­triels. Cela per­met des béné­fices énormes en termes d’efficacité pro­duc­tive, mais cela aug­mente la menace d’une attaque qui sera d’autant plus des­truc­trice qu’elle por­te­ra sur un domaine plus vaste. La défense dans ce domaine doit donc se ren­for­cer et ame­ner les ser­vices à coopé­rer dans un objec­tif commun.

La trans­for­ma­tion numé­rique conduit à une aug­men­ta­tion inin­ter­rom­pue des échanges de don­nées et des besoins d’automatisation. Cette ten­dance forte a des consé­quences sur les tech­no­lo­gies et les pro­ces­sus de fabri­ca­tion, en par­ti­cu­lier sur tous les sys­tèmes dits cyber­phy­siques et sur les sys­tèmes indus­triels d’automatisme et de contrôle. Nous entrons dans le nou­veau para­digme de l’« Inter­net des objets éten­du » : l’XIoT. Ce terme recouvre non seule­ment des dis­po­si­tifs IoT (indus­triels) mul­tiples, mais éga­le­ment les tech­no­lo­gies opé­ra­tion­nelles (OT) dédiées à la détec­tion et au contrôle des pro­ces­sus physiques. 

L’internet des objets étendu

Les tech­no­lo­gies de l’XIoT se trouvent désor­mais inté­grées dans tous les sec­teurs d’activité : usines de fabri­ca­tion (auto­mo­bile, phar­ma­ceu­tique), com­plexes indus­triels (trai­te­ment métal­lur­gique, pétro­chi­mie et raf­fi­ne­ries), ser­vices d’énergie et d’eau (réseaux de trans­port et de dis­tri­bu­tion d’électricité, d’eau, de gaz, cen­trales de pro­duc­tion d’énergie), sys­tèmes de trans­port (fer­ro­viaire), bâti­ments intel­li­gents (smart buil­ding) ou encore villes intel­li­gentes (smart city). Selon Sta­tis­ta, le nombre de dis­po­si­tifs XIoT a dépas­sé celui des dis­po­si­tifs non-XIoT en 2020. À l’horizon 2025, le groupe de conseil et d’étude IDC (Inter­na­tio­nal Data Cor­po­ra­tion) estime un total de 41,6 mil­liards de dis­po­si­tifs XIoT, avec un taux de crois­sance supé­rieur à celui des équi­pe­ments infor­ma­tiques tra­di­tion­nels. Si la cyber­sé­cu­ri­té des équi­pe­ments infor­ma­tiques s’est nota­ble­ment ren­for­cée ces der­nières années, force est de consta­ter que celle de ces dis­po­si­tifs n’a pas sui­vi le même rythme. Les acteurs de la menace exploitent ces dis­po­si­tifs qui ont un cycle de vie très long (> 10 ans) et dont beau­coup ont été conçus à l’origine pour l’air gap, c’est-à-­dire dans un contexte d’isolement phy­sique du réseau, avec une iden­ti­té faible, pas ou peu de capa­ci­tés cryp­to­gra­phiques, ce qui les rend d’autant plus vulnérables. 

IT/OT : une convergence en marche

Tra­di­tion­nel­le­ment, les tech­no­lo­gies de l’information (IT) et les tech­no­lo­gies opé­ra­tion­nelles (OT) ont eu des rôles dis­tincts au sein d’une même entre­prise. Si les pre­mières consti­tuent le socle d’un sys­tème d’information (SI) avec les sys­tèmes de col­lecte et d’analyse des don­nées, les secondes sou­tiennent les opé­ra­tions phy­siques. Elles regroupent notam­ment les sys­tèmes de contrôle indus­triel (ICS) avec les auto­mates pro­gram­mables indus­triels (PLC) et les sys­tèmes logi­ciels de super­vi­sion et de contrôle (SCADA). Mais elles ne se limitent tou­te­fois pas seule­ment aux pro­ces­sus indus­triels, on peut notam­ment citer les contrô­leurs de sys­tème HVAC (chauf­fage, ven­ti­la­tion et cli­ma­ti­sa­tion) et divers sys­tèmes ins­tru­men­tés de sécu­ri­té (SIS). Or les sujets de trans­for­ma­tion numé­rique et d’optimisation amènent à connec­ter de plus en plus étroi­te­ment les tech­no­lo­gies IT et OT. Ain­si, ces sys­tèmes OT, consi­dé­rés autre­fois comme spé­ci­fiques et auto­pro­té­gés, deviennent des objets com­mu­ni­quant et coopé­rant à la fois entre eux, avec des sys­tèmes de déci­sion décen­tra­li­sés et avec les humains en temps réel via le réseau IT et l’Internet. Cette conver­gence de l’IT et de l’OT per­met une sur­veillance, une ana­lyse et un contrôle plus directs et en temps réel des pro­ces­sus indus­triels, avec l’utilisation des don­nées indus­trielles, de modèles d’IA, de répliques numé­riques et d’environnements vir­tuels, pour en tirer des béné­fices autre­fois impos­sibles en termes de simu­la­tion et de contrôle auto­nome. Ce sont donc des béné­fices réels qui jus­ti­fient une telle conver­gence, le défi étant alors de la mener en assu­rant la sécu­ri­té des ins­tal­la­tions, des don­nées, des per­sonnes et de l’environnement.


Lire aus­si : IoT et IA : conver­gence des tech­no­lo­gies et besoin de normalisation


Des systèmes industriels vulnérables

De plus en plus nom­breux, de plus en plus connec­tés, les dis­po­si­tifs XIoT repré­sentent une sur­face d’attaque en expan­sion rapide et sou­vent incon­trô­lée ! On peut obser­ver une aug­men­ta­tion des vul­né­ra­bi­li­tés de 34 % au second tri­mestre de l’année 2022 et de 110 % sur les quatre der­nières années (par ex. vul­né­ra­bi­li­té Apache Log4j). Le domaine indus­triel est particulière­ment tou­ché, Micro­soft a ain­si pu iden­ti­fier des vul­né­ra­bi­li­tés non cor­ri­gées et de sévé­ri­té haute dans 75 % des contrô­leurs indus­triels les plus cou­rants de ses clients. La pré­va­lence de ces vul­né­ra­bi­li­tés mal maî­tri­sées repré­sente un défi pour toutes les orga­ni­sa­tions ; les infra­struc­tures cri­tiques se trouvent par­ti­cu­liè­re­ment expo­sées. Les atta­quants peuvent cher­cher à com­pro­mettre les dis­po­si­tifs XIoT pour accé­der à d’autres réseaux, dis­po­sant par exemple de don­nées sen­sibles. L’XIoT consti­tue ain­si une porte d’entrée de choix. Néan­moins, on voit aus­si se déve­lop­per ces der­nières années des attaques qui visent direc­te­ment les sys­tèmes indus­triels, avec pour objec­tif une per­tur­ba­tion ou une des­truc­tion des ins­tal­la­tions industrielles.

Les logiciels malveillants dans le domaine industriel

Per­tur­ber des ser­vices cri­tiques, sans même néces­sai­re­ment les détruire, consti­tue un puis­sant levier. Et les atta­quants peuvent avoir des motifs variés. Il peut s’agir de demandes de ran­çon ou, dans le cas d’attaques menées ou sou­te­nues par des États-nations, d’objectifs mili­taires, éco­no­miques ou de désta­bi­li­sa­tion d’un pays. L’exemple récent du conflit rus­so-ukrai­nien montre l’importance gran­dis­sante de cette forme de com­bat. Les sys­tèmes indus­triels ont connu plu­sieurs grands logi­ciels mal­veillants : Stux­net, Indus­troyer et Tri­ton. L’un des der­niers en date est Incon­trol­ler, très pro­ba­ble­ment par­rai­né par un État ; il offre une capa­ci­té de cybe­rat­taque excep­tion­nel­le­ment dan­ge­reuse vis-à-vis de dis­po­si­tifs d’automatisation, allant de la per­tur­ba­tion en pas­sant par le sabo­tage jusqu’à la des­truc­tion phy­sique des ins­tal­la­tions. Aujourd’hui 72 % des exploits (c’est-à-dire des pro­grammes per­met­tant de tirer par­ti d’une vul­né­ra­bi­li­té ou d’une faille) de cette boîte à outils sont dis­po­nibles en ligne. 

Une diffusion toujours plus large

La dis­po­ni­bi­li­té crois­sante d’outils acces­sibles au plus grand nombre consti­tue aus­si une évo­lu­tion majeure du sec­teur. L’expertise tech­nique et les autres bar­rières à l’entrée dimi­nuent, ame­nant de nou­veaux acteurs mal­veillants. À mesure que l’économie cyber­cri­mi­nelle se déve­loppe et que les logi­ciels mal­veillants ciblant les sys­tèmes OT deviennent plus répan­dus et plus faciles à uti­li­ser, les acteurs de la menace dis­posent de moyens plus variés pour mon­ter des attaques à grande échelle. Les attaques par ran­çon­gi­ciel, aupa­ra­vant per­çues comme une menace axée sur l’IT, affectent aujourd’hui les envi­ron­ne­ments OT, comme on l’a vu en 2021 dans la cybe­rat­taque de Colo­nial Pipe­line. Cette infra­struc­ture pétro­lière de trans­port a été com­plé­te­ment para­ly­sée pen­dant que les inter­ve­nants s’efforçaient d’identifier et de conte­nir la pro­pa­ga­tion du ran­çon­gi­ciel sur le réseau IT de l’entreprise. Le levier d’extorsion est donc bien plus puis­sant quand on s’attaque à des infra­struc­tures cri­tiques, capables de para­ly­ser, au mini­mum de ralen­tir for­te­ment l’économie d’un pays.

Des méthodes de protection insuffisantes

Nous l’avons vu, l’XIoT intro­duit de nou­velles pos­si­bi­li­tés mais aus­si de grands risques (perte de pro­duc­tion, inci­dent sur le pro­cé­dé, exfil­tra­tion de don­nées sen­sibles, mise en dan­ger du per­son­nel voire des popu­la­tions, atteinte à l’environnement, etc.). La conver­gence IT/OT néces­site donc plu­sieurs mesures de sécu­ri­té. His­to­ri­que­ment il était d’usage d’isoler phy­si­que­ment ou de pro­té­ger de manière péri­mé­trique les infra­struc­tures OT. On cite sou­vent le modèle Pur­due du stan­dard ISA-95 pour illus­trer cette seg­men­ta­tion. Or ces mesures ne suf­fisent plus à se pré­mu­nir de logi­ciels mal­veillants sophis­ti­qués ou d’attaques ciblées. De plus, elles sont illu­soires dans un contexte où les réseaux OT sont de plus en plus connec­tés. Bon nombre de tac­tiques mal­veillantes connues, et donc lar­ge­ment évi­tées dans l’IT, sont encore effi­caces pour l’XIoT. On peut citer la décou­verte des dis­po­si­tifs connec­tés (camé­ras, auto­mates, acces­sibles via une requête Google ciblée), l’utilisation de mots de passe par défaut ou l’exploitation de l’accès accor­dé aux sous-traitants.

Accroître sa résilience opérationnelle

La démarche pour sécu­ri­ser les réseaux indus­triels par­tage néan­moins de grandes simi­la­ri­tés avec celle pour les réseaux IT. On recom­man­de­ra par exemple de démar­rer par une car­to­gra­phie des actifs, en met­tant en évi­dence les actifs cri­tiques, de pour­suivre par une ana­lyse de risques et enfin d’établir une stra­té­gie de sécu­ri­sa­tion cohé­rente. Cette stra­té­gie se décide en fonc­tion de l’impact poten­tiel sur l’entreprise des évé­ne­ments redou­tés. On recom­man­de­ra bien sûr d’appliquer les basiques en termes d’hygiène de sécu­ri­té : sur­veiller les vul­né­ra­bi­li­tés et réduire son expo­si­tion au risque en appli­quant les mises à jour de sécu­ri­té. Néan­moins, l’application de cor­rec­tifs peut se révé­ler impos­sible dans cer­tains contextes. Il est par exemple très dif­fi­cile d’arrêter une chaîne de fabri­ca­tion pour faire des mises à jour. Par­fois, sur les auto­mates notam­ment, les cor­rec­tifs de sécu­ri­té n’existent sim­ple­ment pas. Dans ce cas, seul l’isolement du maté­riel ou la mise en place de module gar­dien se révèle être une solution.


De nombreuses ressources existent pour vous aider dans ces démarches, on pourra citer (sans être exhaustif) :

  • MITRE pro­pose un fra­me­work dédié à la com­po­sante indus­trielle ATT&CK® for indus­trial control sys­tems (ICS) ;
  • la métho­do­lo­gie Micro­soft SDL per­met de réaliser
    une modé­li­sa­tion des menaces ;
  • les publi­ca­tions pro­po­sées par l’ENISA, Agence de l’Union euro­péenne pour la cybersécurité.

Sup­pri­mer le cloi­son­ne­ment IT/OT

Dans un contexte de conver­gence IT/OT, les approches Zero Trust sont éga­le­ment inté­res­santes. Cela repré­sente un chan­ge­ment impor­tant pour l’OT, plus habi­tué à des archi­tec­tures en « châ­teau fort ». Il s’agit non plus de réa­li­ser un fil­trage et une pro­tec­tion en péri­phé­rie du SI, consi­dé­rant l’intérieur du SI comme un espace clos et pro­té­gé, mais bien de consi­dé­rer que chaque actif doit par défaut ne pas faire confiance à un autre. Cette stra­té­gie implique donc de sécu­ri­ser et d’authentifier les connexions entre les actifs. Cette conver­gence ne pour­ra pas se faire sans sup­pri­mer les cloi­son­ne­ments orga­ni­sa­tion­nels entre l’IT et l’OT. Il s’agit d’instaurer une solide col­la­bo­ra­tion avec des équipes IT et OT, qui ont tra­di­tion­nel­le­ment tra­vaillé dans des silos dis­tincts et qui parlent par­fois deux lan­gages dif­fé­rents. Par exemple, si l’on prend le clas­sique trip­tyque CIA pour confi­den­tia­li­té, inté­gri­té et dis­po­ni­bi­li­té, l’IT valo­rise d’abord la confi­den­tia­li­té là où l’OT don­ne­ra la prio­ri­té à la disponibilité.

Une illus­tra­tion avec les villes intel­li­gentes sécurisées

Les grandes métro­poles et les villes uti­lisent de plus en plus de dis­po­si­tifs XIoT afin d’améliorer la qua­li­té des ser­vices urbains et de gérer plus effi­ca­ce­ment leurs res­sources. On peut citer par exemple les mesures du niveau de pol­lu­tion ou du tra­fic rou­tier, la sur­veillance des réseaux de chauf­fage et de refroi­dis­se­ment urbains, ou encore la sur­veillance de l’irrigation des espaces verts, dans un contexte de pré­ser­va­tion de l’eau. Ces cap­teurs de plus en plus nom­breux génèrent de grandes quan­ti­tés de don­nées, qui doivent être ren­dues publiques par prin­cipe depuis 2018 et la loi pour une Répu­blique numé­rique. Néan­moins, il ne faut pas tom­ber dans la cari­ca­ture qui consis­te­rait à géné­rer quan­ti­té de don­nées sans jamais s’en ser­vir, au pré­texte de la smart city.

“Inté­grer et com­prendre davan­tage les menaces et les risques.”

La meilleure pos­ture en termes de sécu­ri­té est celle de la sobrié­té : faire le juste néces­saire pour l’usage requis. Et cela com­mence dès la col­lecte des don­nées : par exemple, pour détec­ter une pré­sence dans une pièce, il n’est pas utile de col­lec­ter l’état de la porte en per­ma­nence alors que cer­tains cap­teurs savent remon­ter l’information d’un chan­ge­ment d’état. Par ailleurs, l’une des com­plexi­tés majeures dans les réseaux urbains est leur éten­due géo­gra­phique et le fait qu’ils soient implan­tés sur la voie publique. Les cap­teurs et ins­tal­la­tions se retrouvent ain­si par­fois expo­sés phy­si­que­ment, et donc le modèle Zero Trust intro­duit pré­cé­dem­ment est incon­tour­nable. La légis­la­tion est éga­le­ment un levier pour accom­pa­gner la sécu­ri­sa­tion de ces infra­struc­tures, que ce soit la loi de pro­gram­ma­tion mili­taire, la direc­tive NIS (Net­work and Infor­ma­tion Secu­ri­ty, légis­la­tion euro­péenne) ou plus récem­ment le Cyber Resi­lience Act (CRA) qui prône une concep­tion digne de confiance pour garan­tir la cyber­ré­si­lience de ces systèmes.

Soyons tous responsables ! 

En guise de conclu­sion, nous ne sau­rions (trop) insis­ter sur le fait qu’il est cru­cial d’intégrer et de com­prendre davan­tage les menaces et les risques qui pèsent sur la cyber­sé­cu­ri­té de ces dis­po­si­tifs XIoT. Pour reprendre le leit­mo­tiv de Guillaume Pou­pard, ancien direc­teur géné­ral de l’ANSSI (Agence natio­nale de la sécu­ri­té des sys­tèmes d’information) : « Soyons tous connec­tés, tous impli­qués, tous res­pon­sables ! » afin de ren­for­cer et de garan­tir la rési­lience et la confiance de ces dis­po­si­tifs. Il en va notam­ment du suc­cès de l’Industrie 4.0, de la révo­lu­tion de l’Internet indus­triel et de tous les éco­sys­tèmes en émer­gence avec l’impératif numérique.


Notes bibliographiques

Commentaire

Ajouter un commentaire

Claude Bau­doin (X70)répondre
9 avril 2023 à 3 h 42 min

Voir aus­si l’In­dus­trial Inter­net Secu­ri­ty Fra­me­work (IISF) de l’In­dus­try Inter­net Consor­tium (IIC), dis­po­nible en ligne et gra­tui­te­ment ici : https://www.iiconsortium.org/iisf/. A noter que l’un des prin­ci­paux acteurs du groupe de tra­vail qui a pro­duit ce docu­ment, et conti­nue de le faire évo­luer, est Bob Mar­tin de MITRE, orga­ni­sa­tion jus­te­ment citée dans les réfé­rences de cet article. J’a­jou­te­rais que la conver­gence IT/OT est cru­ciale mais se heurte à un fos­sé cultu­rel entre les deux orga­ni­sa­tions parce que OT veut tout connec­ter pour amé­lio­rer les opé­ra­tions, IT veut tout blo­quer pour assu­rer la sécu­ri­té, et aucun des deux ne parle le lan­gage de l’autre. Ce qui est quel­que­fois ren­du par ce mot d’hu­mour : on frappe à la porte du direc­teur char­gé de l’OT, et le visi­teur dit « Bon­jour, je viens du dépar­te­ment IT pour vous aider. » Ce sur quoi le res­pon­sable OT part en courant…

Répondre