cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop...

Cybersécurité en milieu industriel un constat alarmant, une prise de conscience encore trop lente

Mars 2015

Livre Blanc

Chers clients,

Vos processus industriels s’appuient sur des automates électroniques et mécaniques, capteurs d’informations électroniques ou actionneurs, pilotés par des systèmes de contrôle et de sécurité/sûreté. Cet ensemble définit votre système d’information industriel (SII). Ce dernier repose sur les mêmes technologies que le système d’information d’entreprise (SIE) : communications réseau TCP/IP et systèmes Microsoft ou Unix.

Votre SII regorge d’informations que le management de vos entreprises souhaite consulter parfois en temps quasi réel. Par ailleurs, la direction des opérations industrielles déploie de plus en plus des fonctions de pilotage à distance, interconnectées. Votre SII est et sera de moins en moins isolé du SIE et de fait plus exposé aux cybermenaces classiques.

Le volume des cyberattaques est en constante croissance depuis quelques années et, fait nouveau, des outils et virus ciblés SII ont fait leur apparition. Modification de la logique, mise en place d’inhibiteurs… Quels sont les impacts sur vos systèmes de contrôle ? Au-delà des probables pertes de production, quels dégâts physiques et humains anticiper si ces modifications sont faites sur vos systèmes de sécurité ?

La culture et les modes opératoires industriels très éloignés de ceux de l’informatique de gestion nécessitent une réponse adaptée.

Forts de notre expérience tant sur des projets industriels que sur des usines existantes, en Europe, Asie et USA, nous avons souhaité partager avec vous quelques questions importantes et éléments concrets de solutions pour renforcer la protection de vos infrastructures industrielles.

Je vous laisse parcourir ce livre blanc et me tiens à votre disposition pour enrichir nos réflexions mutuelles.

Maxime de JABRUN, Security & Risk Management VP, Head of Risk & Security

Le mot du responsable de la Practice Risque & Sécurité

Table des matières

Attaques et incidents de cybersécurité en milieu industriel : mythe ou réalité ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

L’évolution des SII : standardisation technologique et multiplication des interconnexions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

De nouveaux risques mal pris en compte par les industriels . . . . . . . . . . . . 7

Les processus opérationnels et la gestion du changement ne prennent pas en compte la cybersécurité . . . . . . . . . . . . . . . . . . . . . . . 8

La culture industrielle face au défi de la cybersécurité . . . . . . . . . . . . . . . . 9

Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Livre BlancCybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente

5

Depuis 2009, les cyberattaques ciblant les systèmes d’information industriels (SII) sont de plus en plus sophistiquées. Les virus tels que Stuxnet, Night Dragon, Duqu ou Flame démontrent que la menace se précise, qu’elle s’industrialise et que les cyber-attaquants sont capables de mobiliser des moyens importants pour arriver à leurs fins qu’elles soient concurrentielles, hacktivistes ou étatiques.

Ces cyberattaques génèrent parfois pour les entreprises d’importantes pertes financières(1) souvent liées à l’arrêt de leur activité, mais il arrive également que ces attaques provoquent des dégâts (incendie, explosion, rejet de matière dangereuse,…). En effet, les SII ne sont pas uniquement le support de flux d’information, ils contrôlent des processus industriels supportés par des automates dont les actions peuvent avoir des conséquences physiques considérables si leur logique est modifiée.

Face à l’explosion de la cybercriminalité, la cybersécurité est devenue un enjeu essentiel à intégrer dans les processus industriels critiques. Les menaces les plus récentes ciblent directement les composants des systèmes

de contrôles (le malware Havex exploite directement le protocole de communication OPC largement utilisé dans l’industrie).

Cependant, les cyberattaques ne sont pas les seules menaces qui pèsent sur les SII. Les erreurs humaines, en particulier les négligences des règles de sécurité peuvent avoir des impacts bien plus préjudiciables pour les entreprises, leurs salariés, l’environnement et les populations. En 2010, le contournement des règles de sécurité a provoqué une marée noire depuis la plateforme

pétrolière exploitée par British Petroleum (BP) au large du Golfe du Mexique. Bilan : 11 morts et quelque 16 milliards de dollars de dédommagements financiers !

En 2013, McAfee a estimé qu’au moins 375 milliards de dollars

de pertes étaient attribuables aux attaques et incidents de cybersécurité. Ces incidents sont pour la plupart non divulgués publiquement et très rarement partagés entre industriels. Ces exemples montrent le besoin d’accélérer la prise de conscience des industriels face à l’ampleur de la cybercriminalité.

Attaques et incidents de cybersécurité en milieu industriel : mythe ou réalité ?

(1) 2,86 millions d’euros était le coût moyen par incident d’un défaut de cybersécurité en 2012, selon l’étude «Cost of data breach» de Symantec et du Ponemon Institute.

Il faut accélérer la prise de conscience des industriels face à l’ampleur de la cybercriminalité


6

Depuis une vingtaine d’années, afin de réduire leurs coûts de développement, les fournisseurs de systèmes industriels ont remplacé leurs systèmes propriétaires par des technologies standardisées et disponibles du grand public.

Des composants informatiques standards sont désormais derrière chaque système de contrôle et équipement industriel ! Les interfaces Homme-Machine ? Microsoft Windows. L’automate programmable ? Un dérivé d’Unix. Quelle maîtrise en ont les industriels ? Bien faible, lorsque l’on compare SII et SIE.

Par ailleurs, les industriels montrent un intérêt grandissant à pouvoir offrir à leurs utilisateurs la possibilité d’accéder

aux données de leurs SII en temps réel et depuis n’importe quel point du globe. Les réseaux industriels ont multipliés les interconnexions avec les systèmes d’information d’entreprise (SIE). Ils sont par ailleurs de

plus en plus ouverts sur le monde extérieur, vers les réseaux distants des fournisseurs, via internet, pour faciliter la maintenance et réduire significativement les délais et coûts d’intervention sur incidents.

Enfin, les avancées techno-logiques en matière de mobilité

(ex. tablette & smartphone) sont fortement adoptées par les responsables de production dans de nombreuses industries. A quand le déport de console sur iPad ?

L’évolution des SII : standardisation technologique et multiplication des interconnexions

L’informatique grand public est désormais derrière chaque

système de contrôle et chaque équipement industriel


7

Toutes ces avancées ont apporté de la valeur aux industriels mais avec leur lot de nouveaux risques.

Les acteurs de la chaîne industrielle sont désormais tous concernés par les vulnérabilités déjà connues des SIE. Et ils doivent être impliqués dans leur prévention : le client final, son sous-traitant du composant industriel, son sous-traitant de l’automate… et le sous-traitant qui a installé l’interface homme-machine de l’automate. Une complexité contractuelle qui, hélas, voit la responsabilisation si ce n’est la responsabilité des acteurs se diluer, faute de maturité.

Les équipes opérant la chaîne de production et assurant la maintenance manquent de compétences IT. Bien souvent, les mécanismes de sécurité essentiels font ainsi défaut. De nombreuses pratiques à risque constatées en témoignent :

• Les fournisseurs ne qualifient que très rarement la compatibilité des correctifs avec leurs systèmes. Les systèmes d’exploitation et les applications ne sont ainsi pas mis à jour ;

• Des systèmes obsolètes (ex. Windows XP) sont parfois déployés durant les projets ;

• Les politiques de gestion de mots de passe sont trop rares, cela se traduit systématiquement par des mots de passe usine que les fournisseurs laissent sur les systèmes de leurs clients, mots de passe parfois triviaux ;

• Les services inutilisés et accessibles depuis le réseau ne sont pas désactivés ; les ports physiques (ex. USB) ne sont pas sécurisés.

Les déploiements technologiques et les ouvertures de flux sont rarement intégrés dans une politique de sécurité globale augmentant ainsi l’exposition aux cyber risques.

La volonté de bien faire est parfois mitigée par quelques controverses :

• Les réseaux SIE et SII sont filtrés par des firewalls mais un équipement est connecté sur les deux réseaux contournant ainsi la protection mise en place ;

• Des antivirus sont installés sur les postes de travail et serveurs Windows du SII, cependant ils ne sont que rarement mis à jour limitant ainsi leur efficacité face aux attaques virales ;

• Des architectures avancées à base de firewall et DMZ sont définies mais les règles de filtrage sont trop permissives, ne permettant pas la maîtrise des échanges inter-réseaux.

Des nouveaux risques mal pris en compte par les industriels

On constate de nombreuses pratiques à risque : déploiement de systèmes obsolètes, mots de passe triviaux,

ports USB non sécurisés…


8

Appliquer à l’identique les mesures de sécurité du SIE sur les SII ne peut pas fonctionner. En effet, l’industrie possède de nombreuses spécificités qui nécessitent de définir la cybersécurité en prenant en compte les aspects ou contraintes liés à la chaîne de valeur et au cœur de métier des opérateurs. Tout en tenant compte de l’environnement industriel (cycle de production 24/7, mesures de sûreté, durée de vie étendue des installations, etc.), la sécurité doit s’intégrer de manière appropriée et mesurée, et rester en cohérence avec les nombreux enjeux métiers.

Par exemple, la question de la mise à jour des systèmes d’exploitation et des applications illustre les problématiques que pose l’intégration de la cybersécurité au sein des processus opérationnels :

• l’exposition grandissante des SII et le volume de correctifs en provenance des éditeurs la rendent nécessaire ;

• du point de vue opérationnel, la règle du maintien en l’état des systèmes tant qu’aucun incident ne survient persiste, et est souvent confortée par de forts enjeux métiers, comme la production en flux tendu.

Intégrer la cybersécurité comme activité opérationnelle est trop souvent perçu comme une contrainte, peu soutenue par les personnels et fournisseurs industriels. De plus la sécurité est souvent désactivée pour implémenter les modifications

dans les systèmes, et n’est pas réactivée par la suite faute de maîtrise. Cette mauvaise pratique opérationnelle est parfois due au manque de définition du processus de gestion du changement sur les composants informatiques, qui ne prend pas en compte correctement la cybersécurité.

Néanmoins les nouveaux projets commencent à intégrer une spécification cybersécurité.

Les processus opérationnels et la gestion du changement ne prennent pas en compte la cybersécurité

Appliquer à l’identique les mesures de sécurité du SIE

sur les SII ne peut pas fonctionner


9

La maturité de l’informatique industrielle semble suivre celle de l’informatique de gestion et de la supply chain avant elle. Les initiatives gouvernementales (OIV en France, protection des infrastructures critiques aux USA) et la standardisation des pratiques de cybersecurité des systèmes de contrôle telle IEC 62443 démontre la prise de conscience d’une nécessaire amélioration.

Initialement les systèmes étaient basés sur Unix pour les stations opérateurs, avec des communications propriétaires vers les automates. Puis dans les années 90, les systèmes client-serveur ont basculé sur Microsoft, avec des protocoles de plus en plus ouverts et complexes (protocole OPC et réseaux TCP/IP). Et maintenant, les accès Internet, le Wifi, les terminaux mobiles investissent les usines.

La gestion du risque est beaucoup plus prégnante dans l’industrie car elle est inhérente au métier. L’analyse de risques est un exercice courant et sera facilitée par le métier. La modélisation du périmètre est généralement plus aisée et change assez peu dans le temps. Les impacts des risques sont souvent très bien pris en compte par les personnels qui ont une bonne compréhension des procédés industriels sous-jacents. Cependant le métier est d’ordinaire habitué aux évènements quantifiables et non forcés, l’évaluation de la probabilité des risques de cybersecurité nécessitera de prendre des précautions particulières.

De nombreux points d’appui faciliteront l’intégration de la cybersécurité et participeront à la réduction rapide des risques :

• La culture risque historique des automaticiens favorisera les initiatives cybersécurité ;

• Les technologies de sécurité – en pratique inutilisables dans les SIE – telles que le whitelisting applicatif sont parfaitement adaptées aux SII ;

• La gestion rigoureuse du cycle de vie, des phases de recette et de maintenance permet une meilleure maîtrise des risques.

L’intégration de la cybersécurité dans la gestion des risques sera un levier essentiel de la lutte de l’industrie face aux attaques et incidents.

La culture industrielle face au défi de la cybersécurité

L’intégration de la cybersécurité dans la gestion des risques sera un levier

contre les attaques et les incidents


Les systèmes d’information d’entreprise (SIE) ont vu leur sécurité largement progresser au cours des 15 dernières années, avec une implication croissante des éditeurs tels que Microsoft pour améliorer la sécurité de leur système.

L’évolution des attaques informatiques s’est ainsi confron-tée à une sophistication des solutions des éditeurs de sécurité. Par ailleurs, des efforts constants durant cette période ont permis une forte sensibilisation des profes-sionnels IT au sujet des problématiques sécurité.

Historiquement, le monde industriel a été préservé de ces problématiques et donc peu sensibilisé aux notions de cybersécurité. Nous constatons aujourd’hui que la plupart des systèmes de contrôle industriels ne sont pas sécurisés.

Pourtant, ce faible niveau de sécurité des systèmes indus-triels expose aujourd’hui les entreprises à des risques forts de perte financière et d’image en cas d’indisponibilité des systèmes, voire de sûreté en cas de perte d’intégrité d’un système assurant la sécurité des personnes (alarme incendie par exemple).

Néanmoins, le pragmatisme des industriels, leur discipline dans le respect des processus, leur culture de la sûreté et de la qualité sont autant d’atouts différenciants pour ce secteur qui lui permettront de rapidement atteindre le niveau de maturité requis.

Conclusion

Desig

n &

impr

essio

n : S

olut

ion

www.beijaflore.com

Contact : [email protected]

Beijaflore Management SI - Tel. 01 44 30 91 09

w Directeur d’étude : Maxime de JABRUN

Paris - Siège social

Pavillon Bourdan11-13 avenue du Recteur Poincaré75016 Paris

Bruxelles

IT TowerAvenue Louise / Louizalaan 4801050 Brussels

Zurich

Dufourstrasse 1798008 Zürich

CSSIIS

cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop...

Services