La mise en place de solutions de maintenance à distance permet d’accroître l’efficacité, d’économiser des coûts et de maintenir les machines et les installations en état de marche. Mais le déploiement de telles solutions ouvre aussi rapidement des brèches par lesquelles peuvent se glisser les entités criminelles pour conduire des cyber-attaques. La sécurité des données doit donc être une priorité absolue. Elle ne doit pas cependant se faire au détri-ment de la convivialité. C’est ce qu’expliquent dans cet entretien Thilo Döring, directeur général de HMS Industrial Networks, et Thierry Bieber, directeur du Segment Industrie.
Pouvez-vous donner des exemples de failles de sécurité et de leurs effets dans le domaine de la production industrielle ?
Thilo Döring : Cela s’est produit il y a quelques mois chez un grand constructeur automobile. Dans ce cas, les paramètres des robots de soudage ont été manipulés par pénétration. Cela a naturellement un impact sur la sécurité et la durabilité des pièces de carrosserie si les points de soudure ne sont plus correctement positionnés. Ce n’est alors plus seulement la responsabilité du produit qui est en jeu, mais des vies humaines qui sont finalement mises en danger.
Thierry Bieber : Nous pouvons également cité l’exemple d’une usine de traitement des eaux en Floride qui a récemment subi une attaque de pirates informatiques. Cette attaque a modifié les paramètres de manière à multiplier par plus de cent la proportion d’hydroxyde de sodium dans l’eau.
Heureusement, cela a été rapidement détecté et la situation s’est immédiatement normalisée. Ce sont des attaques classiques dans le secteur industriel. Si l’accès à distance à une installation ou à une machine n’est pas sécurisé et robuste, des points d’entrée peuvent rapidement apparaître.
Où se situent les points d’entrée les plus courants ?
Thilo Döring : C’est très variable. Bien sûr, l’une des façons d’accéder aux machines et aux installations est de les connecter en réseau avec l’environnement informatique. Lorsque des logiciels malveillants sont introduits dans les ordinateurs de bureau, les pirates trouvent souvent rapidement un moyen de pénétrer dans l’atelier. Les diverses solutions de maintenance à distance constituent une menace supplémentaire. Les exploitants d’usines, en particulier, utilisent des machines de nombreux fabricants. Chaque fabricant de machines dispose, en outre, de sa propre solution de maintenance à distance. Au fil du temps, les exploitants des usines ne savent souvent plus quelles variantes, avec quel niveau de sécurité et quelles mises à jour de sécurité, ils utilisent. Il faut ici des concepts de sécurité homogènes qui garantissent à l’opérateur un contrôle total et une vue d’ensemble de l’accès à distance sécurisé.
Thierry Bieber : Bien sûr, on exclut un risque partiel, mais les inconvénients sont considérables. Il suffit de penser à la situation actuelle avec les restrictions en matière de contacts et de déplacements. Sans accès professionnel à distance, il est beaucoup plus difficile de maintenir le fonctionnement d’une usine. Et quel est l’intérêt du cloisonnement si un employé insère « accidentellement » dans un PC la clé USB qu’il a trouvée sur le parking ? Cette arnaque fonctionne malheureusement toujours…
Aujourd’hui, il est impossible d’imaginer une production sans ordinateurs, même s’ils sont isolés dans l’environnement informatique. La tentation de jeter un coup d’œil rapide à ce qui se trouve sur cette clé est trop grande ! Un autre risque est qu’un technicien de maintenance externe ait rapidement accès à l’ensemble de l’usine depuis une seule machine, puisque tout est connecté en réseau. Avec l’accès à distance contrôlé et sécurisé, en revanche, le technicien de maintenance n’a accès qu’à un appareil spécifique sur un canal dédié. Et avec une solution sécurisée et certifiée ISO 27001 comme notre portail de maintenance à distance Talk2M, chaque activité est enregistrée et peut être retracée. Cela garantit une transparence totale dans l’accès à la machine et renforce la sécurité.
La certification ISO 27001 garantit-elle une connexion au cloud complètement sécurisée ?
Thierry Bieber : Notre solution de maintenance à distance permet d’accéder à la machine via l’environnement informatique. Et dans le secteur de l’informatique, la norme ISO 27001 est un modèle de référence en matière de sécurité qui est privilégié par les experts. Cette norme est très largement acceptée et fournit la preuve que Talk2M assure une sécurité et une sûreté maximales des données et se conforme à toutes les recommandations de la norme. Pour obtenir cette certification, nous avons beaucoup investi dans nos solutions afin que nos clients travaillent toujours avec une plateforme de maintenance à distance qui respecte les dernières directives en matière de sécurité et qui est également à l’épreuve du temps grâce à une maintenance et une mise à jour constantes. Et il en va exactement de même dans l’atelier, c’est-à-dire dans l’environnement de technologie opérationnelle de l’usine. Avec la norme CEI 62443 concernant les réseaux de communication industriels, il existe également une norme qui définit à nouveau un cadre pour la manière dont la sécurité doit être traitée au niveau technique et des processus.
Proposez-vous votre propres solutions dans le domaine de la sécurité ?
Thilo Döring : En tant que fournisseur de solutions de communication, nous avons toujours été préoccupés par la sécurité des données, car l’un ne va pas sans l’autre. Nous avons acquis une grande expertise, réalisé des acquisitions et continuons à investir des ressources importantes dans la sécurisation de nos solutions. Nous travaillons également avec des partenaires dans le domaine de la sécurité des données, afin de toujours pouvoir offrir une sécurité maximale dans l’environnement spécifique du client. Nous développons actuellement des produits permettant d’effectuer des analyses en réseau. De cette façon, le niveau de sécurité de la communication est analysé en permanence et les anomalies, et donc les manipulations, sont immédiatement détectées. La sécurité des données est un domaine dans lequel il ne faut jamais se reposer sur ses lauriers !
Les entreprises ont-elles conscience que leurs propres systèmes de sécurité sont généralement beaucoup moins robustes que des plateformes cloud professionnelles ?
Thilo Döring : Oui, on le constate régulièrement. Nous observons également une certaine tendance selon laquelle les entreprises qui s’intéressent à l’informatique aiment établir elles-mêmes une connexion à un réseau privé virtuel (VPN pour virtual private network) à leurs installations en passant par un routeur. C’est généralement rapide et facile, surtout avec des routeurs destinés au grand public. Cependant, plus le nombre de points d’accès souhaité est élevé, plus la situation devient complexe par la suite, notamment au niveau de la maintenance, des mises à jour de sécurité, de la gestion des connexions, etc. Et c’est là, bien sûr, que nous mettons en avant les avantages de notre plateforme Talk2M, entièrement évolutive et administrable de manière centralisée. Nous avons déjà mis en réseau plus de 300 000 machines dans le monde entier grâce à cette plateforme qui a ainsi largement prouvé son évolutivité et sa facilité de gestion. Le portail Talk2M résout, en outre, un autre problème pour les entreprises de production. Les usines de production utilisent de nombreuses machines de divers constructeurs. Si chaque constructeur propose désormais ses propres services IIoT, la gestion des droits d’accès pour l’exploitant de l’installation et son équipe informatique deviendra tout de suite complexe, confuse et difficile à contrôler. Grâce à Talk2M, l’exploitant de l’installation peut contrôler de manière centralisée les droits d’accès à distance de tous les constructeurs de machines et fournisseurs de services. Et ce sont de nombreux aspects auxquels on oublie souvent de penser au début d’un projet IIoT, mais qui augmentent ensuite considérablement la complexité et les coûts finaux.
Finalement, comment faciliter l’accès aux machines en toute sécurité ?
Thierry Bieber : Pour les constructeurs de machines ou les exploitants d’usines, c’est très simple ! Il suffit simplement de connecter notre Ewon Flexy Gateway 205 au système de contrôle de la machine. Nous sommes compatibles avec tous les fabricants renommés grâce à des pilotes API, nous maîtrisons tous les principaux protocoles de communication industrielle et nous offrons également notre propre client et serveur OPC UA. La passerelle établit automatiquement la connexion Plug & Play au portail Talk2M. Le portail permet ensuite un accès authentifié à la machine via un réseau privé virtuel (VPN pour virtual private network) et permet également de visualiser les indicateurs de performance de la machine en quelques clics. Étant donné que Talk2M peut en outre servir d’intergiciel, tous les services d’analyse et les services des plateformes cloud courantes peuvent être connectés via des interfaces standardisées. Le processus est extrêmement simple. Il s’effectue en quelques minutes et la sécurité est assurée tout au long du parcours par la suite. Nous voulons rendre les choses les plus simples possible pour le client tout en garantissant un niveau de sécurité extrêmement élevé.
Pour la mise en réseau sécurisée d’appareils et de machines, pourquoi les industriels devraient-ils vous faire confiance ?
Thilo Döring : Parce que nous avons l’expérience et l’expertise de plus de 300 000 machines connectées en réseau dans le monde entier. Nous mettons l’accent sur l’implémentation de normes de sécurité élevées dans tous les produits et solutions. Et nous ne voulons pas donner du travail en plus aux industriels. Nous voulons les soulager. C’est pourquoi nous proposons une maintenance à distance sécurisée, évolutive et Plug & Play.
Thierry Bieber : Avec nous, les industriels bénéficient d’un partenaire qui les accompagne sur l’ensemble du cycle de vie des solutions IIoT. En particulier en matière de sécurité, l’accompagnement ne doit pas s’arrêter à la vente d’appareils ou de licences. En raison de l’évolution constante des scénarios de menace, nous proposons un développement et une assistance continus pour nos solutions afin de garantir une sécurité maximale à tout moment.
Le routeur Ewon Flexy 205 établit également la connexion au portail Talk2M, et ce, sans avoir à modifier les règles du pare-feu de l’entreprise.