Sécurité

La cybersécurité taillée pour l’Industrie du Futur

On attend aujourd’hui d’une
installation industrielle qu’elle
assure son rôle premier à
savoir, la fabrication ou la
transformation. Mais elle
doit aussi opérer en toute
sécurité au niveau humain,
au niveau matériel ou encore,
environnemental. Du bon
sens et quelques précautions
techniques permettent de
prévenir les risques issus du
numérique.

La mise en place d’une politique
de cybersécurité dans l’entreprise
industrielle passe d’abord
par une information de l’ensemble
du personnel sur la réalité des
risques et sur les bonnes pratiques.
Elle implique aussi de former aux technologies de communication,
tous les intervenants directement
concernés par la gestion et l’exploitation
des systèmes d’automatisation.
Viennent ensuite, l’organisation
du travail et la mise en place
de procédure en complément des
solutions matérielles mises en
place pour bloquer les intrusions,
détecter les menaces et s’assurer
de l’intégrité numérique de l’installation.

Force est de reconnaître que c’est
dans les services IT que l’on trouve
les collaborateurs les plus sensibilisés
aux enjeux de la cybersécurité.
En leur apportant une culture
orientée vers la production, il est
possible de les mobiliser afin qu’ils
contribuent significativement à la
mise en place des bonnes pratiques
découlant de la politique de sécurité
choisie jusqu’au plus profond
de l’appareil industriel.

Ces recommandations de bon sens
énoncées, voici une présentation
de quelques-unes des offres en
matériels, logiciels et services qui
constituent les solutions de cybersécurité
adaptées aux installations
industrielles.

Convergence entre
safety et security
chez Rockwell
Automation

Selon Rockwell Automation, la
nécessité d’arriver à un suivi en
temps-réel de la production industrielle,
débouche obligatoirement sur
la création de données numériques
en grand volume. Ces informations
issues des sites de production
doivent circuler entre les réseaux
OT et IT, ce qui oblige à repenser la
sécurité informatique en profondeur.

A cette fin, le constructeur a constitué
une équipe de consultant spécialisés
qui compose le département
Network Security Services (NSS),
avec par exemple, une dizaine de
personnes mobilisées en Europe.
Rockwell Automation s’est aussi
engagé dans un partenariat avec
Cisco pour par exemple, accompagner
les collaborateurs des
entreprises vers les certifications
CINS (Cisco Industrial Networking
Specialist) qui constitue le pendant
industriel du cursus IINS de la Cisco
Networking Academy.

L’alliance entre Rockwell Automation et Cisco prend
aussi la forme d’une ingénierie de réseau clé-en-main
baptisée Converged Plantwide Ethernet (CPwE). Il
s’agit d’une stratégie permettant de comprendre les
besoins, les risques, d’identifier les étapes et l’ordre
des mises en oeuvre afin notamment, que la cybersécurité
soit intégrée à toutes les étapes du processus.
Cette stratégie s’appuie sur des référentiels qui
prennent la forme de guides de mise en oeuvre des
architectures et de notes techniques d’application pour
maîtriser la mise en place d’accès distants, la création
de DMZ ou encore l’intégration d’extensions telles que
les services d’identification (Identity Service Engine).

Automates, capteurs-actionneurs, dispositifs de
contrôle-commande et logiciels chez Rockwell
Automation sont mis en conformité avec la norme
IEC 62443 qui constitue le référentiel en matière de
cybersécurité. La technologie étant un des maillons
du système de protection, les automates de Rockwell
Automation intègrent en standard des fonctions de
sécurité comme un compte d’administration et des
clés de fonctionnement, etc. Ces prémisses permettent
la création d’un domaine d’administration reposant
sur un annuaire de type Active Directory. Une telle
approche permet d’administrer les autorisations de
manière centralisée ; un connecteur logiciel assurant
la mise en relation avec les automates concernés.
Cette fonction s’appuie sur les logiciels Factorytalk
Directory qui recense la base de données des utilisateurs
et Factorytalk Security qui fait le lien entre les
utilisateurs référencés et les composants matériels et
logiciels du système de contrôle-commande.

L’intégrité des micro-logiciels est aussi un élément
essentiel de la cybersécurité. Chez Rockwell
Automation, ils sont signés électroniquement, ce qui
permet de garantir leur intégrité et leur authenticité en
vue de leur déploiement sur les systèmes en service.
Il en va de même pour les programmes destinés à
s’exécuter sur l’automate qui peuvent eux-aussi, être
signés numériquement grâce au logiciel Factorytalk
Asset Center chargé de recenser une base de données des applications. Ce logiciel est
ensuite capable de vérifier que les
programmes qui s’exécutent sur
les automates programmables de
l’entreprise, sont bien authentiques.
Factorytalk Asset Center joue aussi
le rôle de coffre-fort virtuel pour
les applications de l’entreprise
dont il conserve une sauvegarde.
Ce logiciel est donc en mesure de
restaurer les applications en cas
d’incidents.

Factorytalk est une infrastructure
logicielle globale qui se subdivise en
briques, certaines gratuites, d’autres
payantes. Les services de cybersécurité
par exemple, sont gratuits, ce
qui ne sera pas le cas de Factorytalk
Studio, Factorytalk Asset Center
ou encore, Factorytalk View qui
permet de connaître l’état des équipements
(automates, actionneurs,
capteurs intelligents, etc.) présents
sur le réseau.

Les grands groupes industriels
aujourd’hui et à plus ou moins brève
échéance, les TPE et certaines PME
vont connaître la convergence de
leurs réseaux IT et OT. Rockwell
Automation préconise le recours
à des commutateurs Ethernet
industriels Stratix sur la partie OT
associé à des commutateurs Cisco pour la partie IT conformément à
la norme IEC 62443 qui préconise
la segmentation de l’infrastructure
en trois couches comportant accès,
distribution et coeur de réseau
avec la mise en place d’une DMZ
servant d’interface entre la partie
IT et la partie OT. Cette dernière
peut par exemple, prendre la
forme d’un équipement Stratix
5950 qui concentre les fonctions
de firewall temps-réel, de serveur
VPN, d’analyseur de protocoles de
contrôle-commande tout en assurant
la détection, la prévention et le
reporting des tentatives d’intrusion.

Schneider Electric,
des équipements
et des services
dédiés

En tant que constructeur d’équipements
industriels, Schneider
Electric considère qu’il est de son
devoir d’assurer la sécurisation des
produits proposés à ses clients,
tant pour les nouvelles installations
que pour les infrastructures déjà
opérationnelles.

L’Agence nationale de la sécurité
des systèmes d’information (ANSSI)
a provoqué le rapprochement
entre la société Stormshield –
devenue filiale à 100% d’Airbus
Defense & Space Cybersecurity – et
Schneider Electric pour le développement
d’un pare-feu industriel de
confiance labéllisé afin d’offrir une
plateforme matérielle aux opérateurs
d’importance vitale (OIV).

La commercialisation de cette
solution passe par le réseau d’intégrateurs
de Schneider Electric,
premier distributeur en mesure
d’assurer sa mise en oeuvre par des
intervenants titulaires de certifications
reconnues. Volontairement
proposé à un prix attractif, cet
équipement compact peut être
placé au plus près des automates.
Parallèlement, Schneider Electric
fait évoluer ses équipements pour
faire descendre la sécurité directement
au coeur des installations
industrielles. Le contrôleur d’automatismes
Modicon M580 par
exemple, intègre déjà un coupleur
VPN/IPSec.

Pour le constructeur français, la
maîtrise de la cybersécurité industrielle
implique aussi de disposer
d’un département spécialisé s’appuyant
sur une équipe aux compétences
larges. Elles s’étendent
des automatismes à la sécurité
informatique sans perdre de vue
les impératifs de production, ce
qui passe par une adaptation fine et
précise des moyens mis en oeuvre
: vérification et sécurisation des
postes de travail, surveillance des
terminaux dédiés à la maintenance,
mise en place de dispositifs de sécurité
périmétrique, etc. Cette équipe
intervient chez les clients équipés,
en tout ou partie, en matériels siglés
Schneider Electric.

L’accompagnement d’un projet de
sécurité comporte des étapes quasi
incontournables comme l’inventaire
des équipements déployés et la
cartographie de l’infrastructure
de communication. A cela s’ajoute
l’obligation d’intégrer la sûreté
de fonctionnement (safety) pour
prioriser les actions en phase avec
les préoccupations des clients
(budgets, arrêts ou mise à jour en
adéquation avec les impératifs de
production, le maintien des performances,
la maintenance, etc.).

Outre une réflexion approfondie
sur les besoins en ressources
matérielles et logicielles, l’équipe
de Schneider Electric porte un
soin particulier à la formation des
opérateurs qui prennent directement
en charge de la maintenance
de l’installation. Ainsi, les ingénieurs
du département cybersécurité
peuvent procéder à des mises à
jour de micro-logiciels (firmware)
mais en collaboration avec l’équipe
de maintenance interne qui va
apprendre à réaliser elle-même ces
opérations afin d’être en mesure de
les reproduire.

Une veille technologique est aussi
assurée au niveau des logiciels
embarqués au sein des équipements
Schneider Electric pour identifier
les vulnérabilités éventuelles, les
référencer et les répertorier par
appareils, par famille et évidemment,
proposer des correctifs. Il peut s’agir
d’une fonctionnalité utile comme par
exemple, un service ftp qui peut être
ouvert par défaut et qui doit donc
être fermé pour éviter les risques. Il
en va de même pour ce qui concerne
les procédures d’accès par identifiant
et mot de passe qui sont l’objet de
véritables campagnes de sensibilisation
pour que les opérateurs changent
les valeurs enregistrées par défaut.

Enfin, Schneider Electric intervient
aussi en tant qu’organisme de formation
agréé dans la cybersécurité qui
comprend évidemment, le déploiement
et l’intégration du SNI 40.

Sentryo, ICS
Cybersecurity

Sentryo est une startup créée en juin
2014 par Laurent Hausermann et
Thierry Rouquet, deux spécialistes
de la cybersécurité qui travaillaient
précédemment chez Arkoon
Network Security.

En quelques mois, cette entreprise
a créée en collaboration avec des
partenaires tels que le CEA, la
solution ICS CyberVision. Elle
permet une étroite collaboration
entre automaticiens et experts en
informatique ; ce qui est un facteur
clé de succès pour la protection des
réseaux industriels.

ICS CyberVision permet de prévenir
les risques de compromission
de l’infrastructure OT en apportant
une connaissance approfondie de
tous les composants connectés au
réseau, des flux de communication
qu’ils échangent et des points de
faiblesse. ICS CyberVision permet
ensuite au travers de la constitution
automatique d’un modèle de fonctionnement
normal, de détecter les
événements atypiques. Il facilite enfin
la réponse à incident en rassemblant
l’ensemble des informations nécessaires
au travail d’investigation.

ICS CyberVision s’appuie sur des
sondes qui analysent les flux applicatifs
sur le réseau pour en extraire
des métadonnées caractérisant
le fonctionnement du réseau de
contrôle commande. Ces informations
sont ensuite agrégées
sur le serveur CyberVision qui
génère dynamiquement une carte
de l’infrastructure qui délivre une
vision instantanée de la situation :
quel équipement est connecté, avec
quels autres systèmes échange-t-il,
quelles sont les points de faiblesses,
etc. Ces sondes sont placées sur le
réseau en fonction de sa topologie et des risques spécifiques (typiquement
sur le réseau de contrôle
derrière les stations Scada, derrière
les connexions extérieures comme
les pare-feux, les routeurs Wi-Fi,
devant certains automates, voire sur
le bus de terrain).

ICS CyberVision ne nécessite
aucune modification de la topologie
du réseau. Les sondes sont plug
and play et fonctionnent à l’instar
de diodes, ce qui garantit leur totale
transparence tant pour le réseau
que pour les dispositifs qui lui sont
connectés.

Premier avantage, ICS Cybervision
permet de faire de la prévention en
fournissant une vision détaillée du
réseau industriel. Le système permet
par exemple, d’identifier si des
patchs de mise à jour ou de sécurité
doivent être appliqués et sur quels
automates. Il repère aussi les accès
déportés restés ouverts alors que
le sous-traitant concerné n’a plus
de raison d’intervenir. Il permet
encore de savoir qu’un équipement
nouvellement installé se connecte
périodiquement à Internet pour
récupérer des mises à jour alors
que cela va à l’encontre des règles
de sécurité et bien sûr, il identifie
les mots de passe par défaut non
changés, recense les serveurs web,
ftp ou telnet ouverts, etc.

L’interface utilisateur est facile
d’accès et simple d’emploi afin que la
solution puisse être utilisée par des
personnes qui ne sont pas spécialisées
dans la sécurité informatique.
Par exemple, les rapports consolident
les données dans des fichiers
au format PDF ou XLS. Il s’agit
d’une caractéristique primordiale
puisqu’elle permet aux automaticiens
de mieux collaborer avec les
équipes IT.

Sentryo dispose d’un laboratoire de
sécurité technique qui entretient une
base de connaissances pour tous les
événements globaux relevant de la
sécurité informatique industrielle
(menaces, vulnérabilités connues
des automates, tactiques de hacking,
etc.). Les données alimentent une
base de sécurité qui va ensuite
être diffusée vers les serveurs ICS
Cybervision afin d’assurer une
surveillance des réseaux industriels
en ayant la capacité de détecter les
comportements suspects avec une
acuité sans cesse remise à jour.

j108-p52-57

Ces articles peuvent vous intéresser :