Depuis que les systèmes
de commande industriels
sont la cible d’attaques
informatiques, les entreprises
doivent apprendre à se
protéger de cette nouvelle
forme de cybercriminalité.
La start-up française
Sentryo propose à cette
fin, une solution alliant
matériels, logiciels et veille
technologique.
L’Internet industriel couvre les
réseaux machine-to-machine et
tous les systèmes qui interagissent
avec le monde réel au point que l’on
parle aujourd’hui de système cyberphysique
(cyber physical systems). Il
regroupe les systèmes de contrôlecommande
(ICS / SCADA), s’étend à
l’Internet Industriel des objets (IIoT)
et constituera le système nerveux de
l’Industrie du Futur.
Les systèmes de contrôle industriels
sont aujourd’hui ouverts et intégrés
avec les réseaux de l’entreprise et
ils s’appuient de plus en plus sur les
standards exploités de longue date
par les services informatiques. Partant,
ils sont vulnérables aux attaques
informatiques. Or, s’ils ont bien été
conçus avec un objectif de sûreté fonctionnelle,
il n’a pas été prévu que ces
systèmes pourraient être la cible de
malveillances. En outre, les solutions
de cybersécurité exploitées par les
services informatiques ne satisfont pas
aux contraintes de fonctionnement de
ces réseaux.
Depuis quelques années, les incidents
de sécurité se sont multipliés et on a
vu apparaître des malwares comme
Havex, BlackEnergy ou Dragonfly qui
ciblent spécifiquement les systèmes
de contrôle industriel. Il y a moins
d’un an par exemple, le système de
contrôle d’une aciérie allemande a été
compromis causant la destruction d’un
haut fourneau. Les gouvernements,
conscients du risque, répondent
par de nouvelles réglementations
exigeant des exploitants d’infrastructures
critiques la mise en oeuvre
de meilleures pratiques en matière
de cybersécurité. De leur côté, les industriels poussés par leurs actionnaires
cherchent à se protéger de
cette menace inédite.
Une mise en
observation discrète
C’est précisément pour combler les
manques criants dans le domaine de
la cybersécurité des systèmes industriels
que Thierry Rouquet et Laurent
Hausermann ont créé Sentryo en juin
2014. La start-up a mis au point un
système de protection appelé, Sentryo
ICS CyberVision. Ses principales fonctions
consistent à surveiller le réseau,
prévenir les risques de compromission
et détecter les comportements
anormaux. Il s’agit d’une solution
entièrement passive, ce qui est une
condition préalable à toute installation
d’un système de surveillance sur de
tels réseaux. De plus, elle permet une
étroite collaboration entre automaticiens
et experts en informatique ; un
facteur de succès en la matière.
ICS Cybervision se présente sous la
forme d’un serveur équipé de son
propre système d’exploitation et bien
sûr, des logiciels et des applicatifs
conçus par l’équipe de Sentryo. La
solution se présente en deux parties.
On trouve d’une part, des sondes
compactes au format Din qui s’installent
dans les armoires techniques et
qui écoutent de manière passive, les
réseaux Modbus, Ethernet/IP, Siemens
S7, etc. Ces sondes décodent les données qui transitent et remontent
des informations pertinentes vers le
serveur qui compose la seconde partie
de la solution.
Dès ses premières minutes de fonctionnement,
le système recense les
équipements connectés et établit une
cartographie du réseau, repérant les
relations et les interdépendances. Le
niveau de détail obtenu à propos des
équipements supportés (Schneider
Electric, Siemens ou encore, Rockwell
Automation), repose sur la capacité
de Sentryo à capturer les informations
utiles en reconnaissant le protocole de
communication. Par exemple, un automate
contacté par une station Unity
va lui transmettre son identification et
des données techniques (version de
firmware, etc.). Après quelques heures
ou quelques jours, ICS Cybervision
dispose d’une cartographie précise et
exhaustive qui va servir de référence
dès lors que tous les éléments connectés
sont en fonctionnement et bien sûr,
supportés. Au fil du développement, de
nouveaux protocoles seront reconnus
comme OPC-UA et BACnet qui viendront
s’ajouter courant 2016.
Premier avantage, ICS Cybervision
permet de faire de la prévention en
fournissant une vision détaillée du
réseau industriel. Le système permet
par exemple, d’identifier si des patchs
de mise à jour ou de sécurité doivent
être appliqués et sur quels automates.
Il repère aussi les accès déportés restés
ouverts alors que le sous-traitant
concerné n’a plus de raison d’intervenir.
Il permet encore de savoir qu’un
équipement nouvellement installé se
connecte périodiquement à Internet
pour récupérer des mises à jour alors
que cela va à l’encontre des règles
de sécurité. Bien sûr, il identifie les
mots de passe par défaut non changés,
recense les serveurs web, ftp ou telnet
ouverts, etc.
L’interface utilisateur est facile d’accès
et simple d’emploi afin que la solution
puisse être utilisée par des personnes
qui ne sont pas spécialisées dans la
sécurité informatique. Par exemple, les
rapports consolident les données dans
des fichiers au format PDF ou XLS. Il
s’agit d’une caractéristique primordiale
puisqu’elle permet aux automaticiens
de mieux collaborer avec les équipes IT.
Un référentiel de
sécurité
Les premières phases de fonctionnement
permettant aussi de qualifier
l’état normal de l’installation, il est donc
ensuite possible de détecter les anomalies
susceptibles de survenir.
Sentryo dispose d’un laboratoire de
sécurité technique qui entretient
une base de connaissances pour tous
les événements globaux relevant de
la sécurité informatique industrielle
(menaces, vulnérabilités connues des
automates, tactiques de hacking, etc.).
Les données alimentent une base de
sécurité qui va ensuite être diffusée
vers les serveurs ICS Cybervision afin
d’assurer une surveillance des réseaux
industriels en ayant la capacité de
détecter les comportements suspects
avec une acuité sans cesse remise à jour.
Parmi les autres fonctions assurées,
on trouve l’édition d’un journal d’événements
classés en fonction de leur
gravité. Il peut être exporté au moyen
du protocole Syslog pour l’envoyer
vers un logiciel de cybersécurité SIEM
(Security information event management)
qui est fréquemment utilisé dans
les grandes entreprises et même, dans
les ETI et les PME par l’intermédiaire
de prestataires de services.