Cybersécurité

Attaques contre les systèmes d'approvisionnement en eau, manipulation des proportions de mélange des médicaments dans les entreprises pharmaceutiques, pannes des panneaux d'affichage dans les transports publics : les pirates informatiques découvrent de plus en plus la technologie opérationnelle (OT) et l'Internet des objets (IoT) comme cible d'attaque lucrative. Alors que la plupart des gens savent désormais qu'ils ne doivent pas cliquer sur des mails douteux remplis de fautes d'orthographe, les machines et les installations sont souvent sans protection.

Pendant longtemps, les cybercriminels ne s'intéressaient pas à l'OT parce que les installations de production ou les systèmes d'approvisionnement en électricité, en eau et en gaz n'étaient pas reliés à d'autres systèmes informatiques, ce qui ne leur permettait guère de causer des dommages ou rendait les attaques très complexes.

La production en réseau attire les criminels

L'industrie manufacturière numérise ses processus commerciaux tout au long de la chaîne de valeur, de la virtualisation dans le processus de création de produits aux nouveaux procédés de fabrication comme la fabrication additive, en passant par des modèles de service et d'entreprise plus flexibles. La connexion des installations de production et des machines aux systèmes internes de contrôle de la production ou, de plus en plus, au cloud, augmente le risque de logiciels malveillants et de cyberattaques.

Les cybercriminels tentent alors de perturber une installation et d'extorquer une rançon ou d'obtenir des secrets d'entreprise pour le compte de concurrents ou d'États généralement étrangers. Puis, des mois plus tard, des copies de pièces détachées automobiles apparaissent, que même un technicien de maintenance ne peut pas distinguer de l'original. Si la sécurité de la technologie de l'information est si en retard par rapport à l'état de l'informatique, c'est parce que la technologie de l'information est planifiée par des ingénieurs qui doivent mettre en œuvre les exigences techniques de la production sous la pression des coûts et dans des délais courts, mais pour qui la cybersécurité n'a jamais été un sujet de préoccupation par le passé. Ils développent une installation en se basant uniquement sur des aspects fonctionnels.

En cas de nouveaux risques liés à la cybersécurité, le logiciel des installations devrait en principe être patché. Mais cela n'est généralement pas prévu dans l'OT. Ne jamais toucher à un système en marche, c'est encore plus vrai dans l'OT que dans l'IT. La plupart du temps, il n'y a pas non plus le temps d'appliquer les correctifs. Même si la mise à jour ne dure que quelques minutes, elle peut entraîner l'arrêt de toute une production et un long redémarrage, d'autant plus que des tests de fonctionnement sont généralement nécessaires. Il faut donc se rabattre sur des fenêtres de maintenance prévues de toute façon, mais qui sont rares. Dans les installations de production chimique, par exemple, il peut s'écouler plusieurs années avant que l'occasion d'une mise à jour incluant tous les tests fonctionnels ne se présente.

Ce qu'il faut faire

Comme mesure complémentaire, il est souvent recommandé de commencer par une segmentation du réseau. Il s'agit de séparer des parties d'une installation des autres systèmes en fonction du niveau de risque et de la criticité. Pour ce faire, la structure détaillée et la communication de l'installation doivent être connues. Il est également recommandé de séparer les anciens systèmes, qui peuvent parfois avoir des décennies et pour lesquels il n'existe plus de mises à jour, des nouvelles parties et d'appliquer des stratégies de sécurité séparées. Mais les fabricants et les exploitants d'une installation ne sont pas les seuls à être sollicités : les responsables de la maintenance doivent également être impliqués pour garantir une sécurité élevée. En cas de maintenance à distance, ils accèdent généralement à un serveur Jump via une connexion VPN. Les pirates parviennent parfois à placer des logiciels malveillants et des logiciels espions via de telles connexions, qui peuvent ensuite infecter des installations et des usines entières, en particulier si l'accès au serveur Jump ou l'authentification VPN n'est que faiblement protégé.

Pour réduire de tels risques, il faut une meilleure architecture. Certains prestataires de services de sécurité recommandent à cet effet un audit avec un test d'intrusion qui doit mettre en évidence les points faibles de l'infrastructure IT et OT. Il est probable que l'on trouve des tas de points faibles, mais le gain de connaissances est faible, surtout si aucune sécurité n'a été implémentée dans les systèmes OT. Il est bien mieux de commencer par mettre en œuvre des mesures et de les vérifier ensuite par un audit. Le point de départ pour une meilleure sécurité OT est une plus grande visibilité dans les réseaux OT. Souvent, les entreprises ne savent même pas quels composants détaillés elles ont dans leurs installations, quelles versions de logiciels elles utilisent, quelles données elles échangent et quelles sont les connexions vers l'extérieur avec des entreprises tierces. Mais ce qui n'est pas connu ne peut pas non plus être protégé. Connaître les versions des logiciels utilisés, les relations de communication, les accès externes, le zonage du réseau et bien d'autres choses encore est la base de toute stratégie de cybersécurité.

De nombreuses entreprises qui demandent un soutien pour la sécurité OT ont déjà connu un incident de sécurité ou connaissent des entreprises dans leur environnement qui ont connu un tel incident. La prise de conscience s'est accrue au cours des dernières années et les entreprises sont motivées pour faire plus en matière de sécurité. Cependant, les entreprises se sentent souvent dépassées et ne savent pas par où commencer. Une approche structurée est alors nécessaire pour orienter l'entreprise.

PDF en anglais