machines et les équipements de production est de
plus en plus fréquemment connecté avec le réseau
informatique général de l’entreprise. Or, ce dernier
est lui-même toujours relié au monde extérieur c’est-
à-dire, à Internet. Les systèmes industriels sont donc
exposés à un nombre grandissant de risques et de
menaces extérieures.
Que peut-on dire des cyber-menaces en 2017 ?
Frédéric Planchon – Depuis 2005, le Clusif s’intéresse aux Scada,
c’est-à-dire, aux systèmes de contrôle-commande industriels.
Ces gens travaillent donc depuis plus de dix ans sur les menaces
et les vulnérabilités de ces systèmes qui sont en service dans
les entreprises. La vraie difficulté, c’est que l’inventaire des
vulnérabilités n’est pas achevé, on peut même dire qu’il est en
croissance sur un parc installé. Si le grand public n’a connaissance
que des attaques qui ont abouti, chaque jour voit son lot de découverte de faille dites « zero-day » sur des dispositifs en
service et, compte tenu de la très grande créativité des hackers,
on peut imaginer qu’un jour ou l’autre, ces vulnérabilités seront
exploitées à des fins qu’il est bien impossible de prédire.
Pascal Mioche – L’Alliance pour l’Industrie du Futur fait la
démonstration sur son stand au salon Industrie Lyon 2017, qu’il
est possible de planter une ligne de production comportant un
robot et sa distribution électrique en ouvrant un document au
format PDF reçu dans un message électronique.
Claude Vittoria – Aujourd’hui, le risque, ce n’est plus un
universitaire dans son coin qui veut faire une publication ou un
individu cherchant un instant de gloire… Vous voulez provoquer
une panne dans une usine ou porter préjudice à une entreprise
à travers un produit… de tels services ne s’achètent pas au
marché noir ou dans des officines mais auprès d’entreprises
ayant pignon sur rue qui assurent ce type de prestations.
Laurent Hausermann – Si vous avez un budget compris entre
15 000 et 30 000 euros, vous pouvez aujourd’hui vous attaquer
à un concurrent, quitte à parler un peu russe ou chinois… La
cybercriminalité est devenue un business que financièrement,
certaines études comparent au trafic de stupéfiants.
Frédéric Planchon – Les attaques sont extrêmement difficiles à
identifier et tout aussi complexes à décoder pour ce qui concerne
les mobiles. Quant à déterminer la paternité, c’est-à-dire, le
commanditaire… Il y a donc manifestement un enjeu juridique car
il faut arriver se doter d’un arsenal pour punir afin de dissuader les
criminels d’une part, et aussi de compenser les pertes subies par les
victimes.
La responsabilité se transmet-elle, lorsqu’on
fabrique des équipements embarquant du
logiciel et qui peuvent potentiellement
présenter un risque ?
Claude Vittoria – A partir de mai 2018, une entreprise dont la
responsabilité pourra être engagée dans une attaque menée contre
un opérateur d’importance vitale ou un Etat, pourra se voir infliger une
amende s’élevant à 4 % de son chiffre d’affaire mondial.
Il faut donc accompagner les entreprises dans la démarche consistant
à mettre à jour et à sécuriser leur parc de machines. C’est d’autant plus
difficile que les personnes qui ont acquis des machines à commande
numérique, des automates, etc., sont persuadées qu’ils ne comportent
aucune faille.
Serge Benoliel – Nous avons chez Alstom, structuré notre organisation
pour répondre à ce problème. On a une équipe centrale dédiée à la
cybersécurité avec des représentants présents dans tous les centres de
développement, c’est-à-dire au plus près des équipes qui conçoivent
nos produits et nos systèmes, et dans les centres régionaux auprès des
équipes qui créent des offres et conduisent des projets.
Si l’on veut offrir des systèmes sécurisés, tout commence par une
analyse de risques : nous allons définir le profil de l’attaquant potentiel
et imaginer le ou les chemins qu’il peut emprunter. Cette analyse de
risque va permettre d’établir des protections au niveau du système
central mais aussi, à chaque étape ou à chaque sous-ensemble du
système pour mettre en place une défense en profondeur.
Quelles sont les bonnes pratiques à
recommander ?
Frédéric Planchon – On tend à être sous le joug de gens qui
viennent de l’informatique et qui perçoivent la cybersécurité
industrielle de la même manière qu’on la traite pour manipuler des
données dans un ERP ou dans un logiciel bureautique.
Les systèmes industriels pilotent des fonctions qui aboutissent
à des manipulations d’objets physiques dans le monde réel.
L’industrie a besoin de faire fonctionner un processus, d’animer une
infrastructure d’une manière totalement sécurisée, c’est-à-dire dans
laquelle la cybersécurité devient un des éléments de la sûreté de
fonctionnement.
Les analyses de risque qui viennent de l’informatique se limitent
le plus souvent aux DICT : disponibilité, intégrité, criticité et
traçabilité. Chez FPC Ingénierie, nous avons développé une analyse
de risque adaptée à l’industrie que nous avons baptisé, Apéro, ce
qui signifie : analyse pour l’évaluation des risques opérationnels.
Une méthode d’analyse de risque sert à ce qu’un client utilise au
mieux le budget dont il dispose pour améliorer sa sécurité. Il ne
s’agit pas de s’éparpiller sur trois fronts avec les méthodes Hazop
pour la sécurité des processus, Amdec pour la sûreté et Ebios pour
la cybersécurité. Posé comme ça, le problème aboutit à conduire
trois études, avec trois groupes de travail distincts qui arriveront
immanquablement à des conclusions que l’on ne saura pas rendre
homogènes.
Notre méthode cherche à faire la synthèse des trois
composantes en partant du risque opérationnel (événement
critique, études de danger préexistantes, etc.) pour remonter à
la sécurité en ajoutant les causes de malveillance, etc. De cette
façon on a toujours une seule étude que l’on enrichit au fur et à
mesure et on proportionne les moyens en fonction du budget
pour se protéger des risques les moins supportables.
Comment doit-on s’y prendre pour sécuriser
une infrastructure ?
Pascal Mioche – Il y a sensiblement trois axes : on
pense souvent en premier à l’attaque extérieure mais il
y a aussi, les modifications que l’on réalise par exemple,
pour moderniser le parc de machines avec le risques que
certains éléments comme le réseau ou le bus de terrain
ne puissent faire face par exemple, à un accroissement du
trafic et puis, il faut aussi contrôler le processus car si l’on
détecte un comportement anormal, c’est que selon toute
vraisemblance, on est confronté à une attaque ou au moins,
à un dysfonctionnement significatif.
Frédéric Planchon – Que l’on parle de l’industrie ou des
infrastructures, les systèmes de contrôle-commande sont
composés comme un patchwork épouvantable d’un point
de vue structurel. On y trouve des équipements plus ou
moins vétustes sur lesquels fonctionnent des programmes
d’automatisation rarement documentés qui ont été conçus
par des personnes qui ne sont parfois plus dans l’entreprise,
le tout configuré par des intervenants qui ont suffisamment
bien travaillé pour que cela fonctionne, ce qui arrange tout le
monde sans que l’on cherche à en savoir un peu plus.
La plupart du temps dans une entreprise, on ne sait pas
comment fonctionne un système de contrôle-commande
dont on ne perçoit que la partie visible, c’est pourquoi dans
notre démarche nous parlons de « traversée de l’iceberg ».
C’est pour cela que le travail d’un intégrateur qui fait l’effort
de documenter une solution est utile. C’est pourquoi les
systèmes de recensement de ressources et de détection
d’intrusions comme celles conçues par Sentryo ou FPC
Ingénierie ont une portée fondamentale au point que je suis
persuadé que dans cinq ans, on ne pourra plus imaginer qu’un
système de contrôle puisse s’en passer.
Laurent Hausermann – Tous nos clients commencent par
réaliser un audit pour connaître l’état de leur système et
souvent, lorsque nous mettons en place notre solution,
on voit très vite apparaître une liste de composants que
personne n’est en mesure d’identifier. Les dispositifs d’audit
sont complètement passifs : ils écoutent le réseau sans avoir
la moindre influence sur les équipements en service. Cette
connaissance profonde des éléments qui constituent un
système de commande manque sur tous les types de site de
production, y compris au sein d’installations critiques classées
Seveso.
Claude Vittoria – Réaliser un audit qui conduit à disposer
d’une cartographie exhaustive du système est une première
étape indispensable. Découvrir un automate dont la présence
est jusque-là insoupçonnée, peut paraître ubuesque mais c’est
pourtant ainsi que certains chefs d’entreprise découvrent qu’ils
ont un problème de connaissance de leur outil de production.
Quelles sont les briques qu’il faut mettre en
place pour sécuriser un réseau industriel ?
Laurent Hausermann – Les briques dont on a besoin sont de
deux types. Il y a d’une part les mesures de protection comme
les firewalls industriels qui vont introduire de la segmentation,
ce qui est notamment intéressant lorsqu’on met en place
une nouvelle installation ou que l’on reconditionne l’existant
en profondeur. Dans ce dernier cas, on peut aussi mettre en
place une solution d’audit et de détection qui va recenser les
équipements et qualifier une image du fonctionnement normal.
Un firewall pour les installations industrielles comme
Stormshield, présente d’une part des caractéristiques physiques
comme le format du boîtier, le montage sur rail Din, et des
caractéristiques fonctionnelles comme l’alimentation en
courant continu, la température supportée jusqu’à 70°C et
la compatibilité logicielle avec les protocoles de Schneider
Electric, de Siemens qu’il sait décoder et inspecter. Que l’on
parle d’un firewall ou d’une sonde, ce point est d’ailleurs critique
puisqu’il est essentiel de comprendre le langage des machines
et leurs routines pour protéger leurs communications.
Frédéric Planchon – Aujourd’hui, on recense de l’ordre de
quatre-vingt protocoles industriels nés de développements qui
ont eu lieu dans les années 80. Certains ont disparu mais pas
toujours complètement, d’autres ont évolué et les efforts de normalisation ne sont pas toujours arrivés à
temps sur certains secteurs… Il faut donc être pragmatique et
regarder les parts de marché. Supporter Ethernet/IP, Modbus
TCP, les autres protocoles des grands constructeurs que sont
Profibus, Profinet, Powerlink, etc., et vous offrez déjà une large
couverture qui ne vous interdit pas d’adapter vos équipements
de protection à d’autres protocoles pour adresser les besoins de
certains clients sur des installations anciennes et critiques.
Laurent Hausermann – Parmi les dispositifs de protection, on
peut aussi mentionner les diodes de données qui installent un
canal de communication unidirectionnel entre deux segments
de réseau, pour par exemple, remonter des informations depuis
la zone la production vers l’espace bureautique plus ouvert.
On peut aussi parler des sas de décontamination de
clés
USB qui permettent de réaliser des images sécurisées de clés
venant de l’espace public. Enfin, on voit des sociétés de service
proposer aujourd’hui des prestations de maintien des conditions
de sécurité. Il s’agit d’une logique d’amélioration continue
qui à intervalles réguliers propose de mettre l’installation en
conformité, de surveillance du fonctionnement, d’audit des
rapports, etc.
Il est primordial que les industriels considèrent la cybersécurité
comme un processus continu qui s’améliore sans cesse.
Frédéric Planchon – Deux mesures très simples mais
absolument indispensables doivent être mises en œuvre par
les industriels. Il y a d’abord la mise en place d’un serveur
d’authentification de type LDAP avec un tiers de confiance au
travers des services informatiques puisqu’il est fondamental
que les services opérationnels ne restent pas isolés. Il faut aussi
mettre en place un système de sauvegarde automatique des
programmes déployés sur les machines et les équipements
industriels. En cas d’attaque qui met le système à l’arrêt, on est
ainsi en mesure de remettre l’installation en fonctionnement
rapidement. Il existe des outils qui couvrent ce besoin.