Retour sur Advens.fr
Cyber Stratégie Article

Cybersécurité industrielle : pourquoi faut-il se protéger ?

11 mai 2023 7 min de lecture
Cybersécurité industrielle
Auteur
Stéphane Potier
Stéphane Potier
Cybersécurité OT & IoT
Page LinkedIn
Sommaire :

Rapport sur l'état de la menace 2022

Dans ce rapport complet, vous découvrirez les vulnérabilités les plus exploitées, les tactiques de compromissions les plus employées, mais aussi les bonnes pratiques de sécurité à mettre en place en 2023.

Je télécharge le rapport

En France, l’ANSSI alerte sur les risques liés à la sécurisation des systèmes industriels : la recrudescence des cybermenaces ciblant ce type d’environnement n’est pas qu’un ressenti, elle se traduit dans les chiffres. Comment se prémunir des cyberattaques en environnement industriel ? Quelles sont les contraintes et les solutions pour y remédier ? Tour d’horizon et éléments de réponse…

91 % des organisations industrielles déclarent avoir rencontré au moins un problème de sécurité dans leur environnement OT en 2021 (Kaspersky ICS Security Survey 2022).

Qu’est-ce que la cybersécurité OT ?

Les Operational Technologies (OT) désignent toutes les technologies d’exploitation et /ou opérationnelles. Attention à ne pas confondre avec l’IIoT (internet des objets industriels), qui est un domaine parallèle : cela concerne les objets connectés à l’intérieur d’un environnement industriel.

L’objectif de la sécurité OT est d’assurer la sûreté et la pérennité du fonctionnement des outils de production industriels, des hommes et des biens pendant leurs activités.

La cybersécurité industrielle : le point de vue d’Advens

La cybersécurité industrielle doit concerner un large spectre de marchés et non se limiter à l’industrie au sens “usine” stricto sensu – le bâtiment. Elle englobe l’ensemble des activités qui couvrent des flux sur des éléments physiques.

Trois exemples de périmètres de cybersécurité industrielle

  • Les circuits logistiques et les entrepôts,
  • Dans les smart cities : la sécurisation de la signalisation routière,
  • Dans les bâtiments industriels gérés par les collectivités : les chauffages collectifs.

La gestion d’un tunnel ou d’un barrage électrique peut avoir les mêmes problématiques de cybersécurité qu’une usine agroalimentaire.

Pourquoi investir dans la cybersécurité en environnement industriel ?

L’environnement OT est la nouvelle cible des cyberattaquants

Attaquer le monde de l’IT devient plus complexe car les systèmes d’information sont de mieux en mieux protégés. Les acteurs IT ont aujourd’hui une bonne maturité cyber : ils sensibilisent le personnel, montent en compétences en termes d’expertise cyber, déploient de solutions nouvelle génération (EDR, NDR), etc.

La conséquence directe de l’augmentation de leur cyber résilience de l’IT ? Les pirates informatiques se tournent vers un autre secteur d’activité stratégique moins sécurisé : l’environnement industriel.

En OT, l’attaque peut faire des dommages collatéraux qui sortent du périmètre de l’organisation, comme un impact direct sur la chaîne de production (le moteur de revenus d’une organisation), ou des impacts écologiques et sanitaires qui vont toucher le grand public et l’environnement (fuite radioactive, déversement de produits chimiques dans la nature, etc.).

L’attaque de l’usine d’Oldsmar

En 2021, un cyberattaquant rentre dans le réseau d’ordinateurs d’une usine d’approvisionnement en eau en Floride. Il donne des instructions pour multiplier par 100 la teneur de l’eau en hydroxyde de sodium jusqu’à un seuil dangereux et corrosif. Un technicien a détecté une intrusion dans le système informatique et a immédiatement réduit le niveau de concentration. L’eau infectée n’a pas atteint le système de distribution.

Ce n’est qu’un exemple parmi d’autres qui montre que le secteur industriel est vulnérable, car il touche des facteurs externes liés à l’environnement et à la santé publique.

Source : The New York Times, 2021

Une plus grande surface d’attaques due à la convergence IT / OT

Depuis 5 ou 6 ans, on note une évolution et un changement du modèle de fonctionnement dans l’industrie.

Auparavant, l’environnement OT était très protégé d’un point de vue cybersécurité et simple à surveiller parce que les équipements étaient isolés et hétérogènes. Mais ces technologies restent anciennes donc potentiellement vulnérables si on les digitalise aujourd’hui.

À l’ère de l’industrie 4.0, les équipements industriels sont centrés sur la donnée : tout est communicant et connecté. Il y a une plus grande homogénéité, calquée sur les technologies de l’IT.

La convergence cybersécurité OT et IT

Le processus global de cybersécurité en OT est le même que dans l’IT :

  • Découvrir son environnement,
  • Identifier les vulnérabilités (accès, configuration, défauts logiciels, CVE, etc.),
  • Essayer d’y remédier,
  • Quand la remédiation n’est pas possible, détecter et contenir la menace avec le SOC.

Il est essentiel d’adapter le processus aux spécificités de l’OT : le déploiement des solutions diffère pour s’adapter à la réalité de l’industrie.

Trois spécificités OT à prendre en compte

#1 La durée de vie des équipements est élevée

Dans l’OT, les systèmes très anciens n’étaient pas connectables et donc peu vulnérables. Les équipements plus récents sont connectables mais n’ont pas été conçus pour être résistants à des cyberattaques. Conséquence : ils embarquent des vulnérabilités qu’il faut traiter et sécuriser.

#2 Le traitement des vulnérabilités est différent

Le processus est beaucoup plus limité que dans le monde IT car les systèmes OT doivent être opérationnels 24/7. Les fenêtres disponibles pour mettre à jour un équipement sont réduites au minimum pour limiter l’indisponibilité du système.

Les nouveaux équipements sont connectés mais embarquent des vulnérabilités, la volumétrie de vulnérabilités présentes dans ces équipements est donc présente dans la durée.

#3 La notion de faux positif

Un faux positif dans la détection d’une alerte de sécurité a des conséquences plus importantes car cela induit d’avoir une action sur un équipement opérationnel, ce qui peut impacter l’ensemble de la chaîne de production, contrairement à ce qui est fait dans l’IT où on coupe l’ordinateur incriminé du réseau le temps de qualifier l’alerte.

Pour éviter tout effet négatif sur la chaîne de production, l’exigence de la qualification d’un incident doit être plus profonde et nécessite donc des compétences métier.

Deux temps pour sécuriser le système opérationnel des industriels ?

Le triptyque « Prévention-Détection-Réaction » doit devenir un réflexe dans l’OT comme dans l’IT. Cependant, le déploiement des solutions de cybersécurité doit inclure les contraintes liées à l’environnement industriel : arrêt de production, temps limité, etc.

38 % des entreprises indiquent être confrontées, de manière au moins occasionnelle, à une solution de cybersécurité qui affecte leurs processus de production et d’automatisation (Kaspersky ICS Security Survey 2022).

Temps #1 : prévenir les attaques

ContraintesSolutions
Cartographier les installationsTravail chronophage

Beaucoup de shadow OT

Risque de perturbation en cas de scan actif		Placer des capteurs sur le système industriel (IDS passifs)

Récolter des données sur lesquelles construire des cas d’usage
Segmenter le réseau pour complexifier la progression de l’attaquantDesign de l’architecture cible potentiellement complexe

Mise en place des règles de segmentation chronophages qui peuvent avoir des incidences sur la production		Mise en place de pare-feu et de VLAN pour mieux contenir l’attaque
AuthentificationGestion des mots de passe complexe sur les machines : pas de clavier, pas de lecteur d’empreinte (gants), pas de reconnaissance vocale (bruit)Mise à disposition d’un badge pour chaque employé
Durcir les équipementsProcessus pas forcément mis en place auparavant car nouvelles fonctionnalités des équipementsDésactiver des services non utilisés

Utiliser des services sécurisés (SFTP, HTTPS, OPC UA…)
Réaliser des mises à jourTemps limité : ne peuvent s’effectuer qu’au moment des arrêts de maintenance (1-2 fois par an)

Validation de la non-régression suite à une mise à jour		Virtual patching en attendant le prochain arrêt

Temps #2 : détecter l’attaquant et réagir

Il faut mettre en place un processus inspiré de l’IT qui permet de détecter et analyser des comportements anormaux et malveillants, qui exploitent les vulnérabilités non traitées, via :

  • un outil dédié : des sondes de détection spécialisées OT qui tournent en 24/7, beaucoup moins intrusives et qui connaissent les protocoles utilisés dans le monde industriel (bacnet, profinet, modbus, etc.), comme Nozomi, Claroty, CyberMDX, Microsoft Defender for OT.
  • un processus et une organisation SOC qui détecte, analyse et remédie en cas d’attaque.

Les contraintes de l’environnement industriel peuvent sembler défavorables à l’adoption d’une politique de cybersécurité. Mais l’interopérabilité des équipements industriels rend indispensable de se protéger et prévenir les attaques en raison des conséquences graves qu’une cyberattaque peut entraîner. Il existe des solutions pour prévenir ces menaces sans arrêter la chaîne de production (détection moins intrusive, segmentation, sensibilisation du personnel).

En savoir plus sur notre offre Industrie 4.0
Sur le même sujet…
Data lake
Sécurité opérationnelle

Data Lake : quel rôle au sein d’un SOC moderne ?

29 avril 2024 8 min
Sécurité opérationnelle

Markess Blueprint : Quel prestataire de SOC managé choisir ?

25 avril 2024 1 min
Sécurité opérationnelle

Nouveau Baromètre SOC 2023-24

25 avril 2024 2 min

Retour à la page Cyber Stratégie