Les installations industrielles peuvent être la cible d’attaques
cybercriminelles. S’il existe de nombreux moyens de protection
comme les systèmes d’authentification renforcée, les pare-feux
ou encore, les data-diodes, toute bonne défense commence
par une connaissance approfondie des installations exposées.
Phoenix Contact expose sa démarche…
La digitalisation des sites industriels qui conduit au déploiement de machines communicantes et de réseaux industriels
pour aboutir à l’usine connectée, n’apporte
pas seulement des gains de productivité. On
attend d’autres avancées majeures comme une
adaptation ou une personnalisation poussée
des produits, une production moins énergivore
que par le passé et une consommation de
matières premières mieux maîtrisée. Ces
transformations doivent à la fois, redonner
de l’attractivité aux produits fabriqués dans
les pays industrialisés consentant à l’effort
de modernisation, et dans une certaine
mesure, faire baisser les coûts de production
à un niveau suffisamment sensible pour
que s’accroisse la marge des entreprises,
soit directement, soit indirectement par
l’augmentation des volumes de vente.
Reste que la création d’un véritable Internet
industriel des objets (IIoT) expose les usines à des vols d’informations sensibles, à de
nouvelles formes de criminalité, voire à des
attaques terroristes. Ces dernières années,
plusieurs incidents graves ont visé des
installations industrielles au travers de leurs
systèmes informatiques ou de leurs passerelles
de communication numériques. La prise en
main à distance d’un robot ou d’une machine
peut occasionner des dégâts aussi réels que
coûteux et même, faire courir un risque aux
opérateurs ou pire, aux populations résidant à
proximité du site industriel ciblé.
La cybersécurité est donc le rempart
indispensable pour autoriser un déploiement
massif des technologies numériques dans
l’industrie du 21e siècle. Chef de produit
automatisation et cybersécurité chez Phoenix
Contact, lorsque l’équipe de Manufacturing.fr l’a
rencontré, Thierry Lecoeur détaille les solutions
qui permettent de protéger les installations
industrielles.
Quelles sont aujourd’hui les ressources
qui concourent à la cybersécurité des
sites de production ?
Phoenix Contact a construit depuis plusieurs
années, des gammes de pares-feux industriels.
Nous sommes désormais, bien implantés chez
les fabricants de machines comme chez les
utilisateurs dont certains appartiennent à la
catégorie des opérateurs d’importance vitale
(OIV).
Phoenix Contact complète aujourd’hui cette
offre avec un partenaire appelé
SecurityMatters qui propose une offre se
plaçant au-dessus des firewalls. Il s’agit de
cartographier le réseau au niveau matériel mais
aussi, au niveau des protocoles utilisés. Le
client va être en mesure d’analyser son site
industriel en s’appuyant sur des PC qui
exécutent le logiciel de SecurityMatters. Ainsi
transformés en détecteurs, ces dispositifs se
mettent en écoute passive sur un port en
miroir pour créer une carte de la topologie du
matériel en service en référençant tous les
protocoles industriels utilisés. Il est alors
possible d’identifier les canaux de
communication viables et ceux qui semblent
suspects.
Quels sont les réseaux Ethernet
industriels supportés par cette solution ?
A l’heure actuelle, tous les protocoles
industriels courants (OT) de Siemens,
Schneider Electric, etc. et tous les protocoles
informatiques (IT) mais aussi, des protocoles
spécifiques à un constructeur comme ceux
créés par ABB, sont couverts.
L’utilisateur récupère une cartographie
complète de son réseau qui lui permet de
détecter d’éventuels protocoles indésirables
ou des canaux de communication qui n’ont
pas lieu d’être comme des points d’accès
sans fil non sécurisés. Pour tous les
protocoles recensés, il va ensuite être
capable d’exporter des règles de sécurité
dans les pares-feux que Phoenix Contact lui a
fournis. La configuration des produits de
sécurité déployés s’en trouve en quelque
sorte semi-automatisée.
Peut-on déployer une solution comme
celle-ci dans une installation déjà en
place ?
Cette solution couvre tous les types
d’installation puisque le principe de
fonctionnement est simple. Il consiste à
équiper un PC industriel fonctionnant sous
Linux avec la plateforme SilentDefense.
Cet équipement va être déployé aux
emplacements stratégiques de la topologie.
Sur un réseau de taille modeste, un seul
détecteur suffit tandis que sur une installation
plus importante, il peut être nécessaire
d’avoir recours à deux, trois, cinq ou même,
un nombre encore plus élevé d’équipements
et toutes les informations seront remontées vers l’unité de commande qui va
cartographier la topologie complète.
Ce premier travail effectué, l’outil permet de
créer des tableaux de bord généraux et des
tableaux de bord spécifiques. Par exemple, un
administrateur peut choisir d’afficher la carte
des ressources utilisant le seul protocole
Modbus/TCP, à l’inverse, il peut aussi choisir
d’afficher tous les protocoles utilisés mais sur
un nombre restreint de ressources digitales.
Quelle est la portée de cette solution
dans l’infrastructure de communication
de l’entreprise industrielle ?
En pratique, quasiment tous les réseaux
industriels sont concernés depuis les
automates programmables déployés dans
les machines jusqu’aux systèmes de Edge
Computing et aux serveurs d’applications de
PLM1 et de MES2.
C’est un complément idéal pour nos
équipements de cybersécurité industrielle
qui sont placés au plus bas niveau. Nous
sommes ainsi en mesure d’apporter à nos
clients, l’outil d’analyse de leur situation
réelle, qui manquait à notre offre pour
optimiser le déploiement des dispositifs de
protection aux emplacements les mieux
adaptés.
Rappelons que les dispositifs de
cybersécurité proposés par Phoenix Contact sont conçus pour protéger n’importe quel
type d’applications – une machine comme
un site industriel dans son ensemble – et
cette solution d’analyse sera disponible
selon deux formules. Tout d’abord, une offre
de location qui permet de profiter de ses
fonctionnalités pendant quelques jours ou
quelques semaines afin de cartographier
l’état du réseau industriel à un instant précis.
Et aussi, une offre qui permet d’installer la
solution à demeure sur le site pour
cartographier le réseau comme
précédemment mais aussi, pour analyser de
manière continue, les protocoles utilisés et
ainsi, être en mesure de détecter
d’éventuelles attaques pouvant survenir.
L’Industrie 4.0 fait entrer l’outil de production
dans un monde déjà largement
interconnecté avec des canaux de
communication qui se déploient aussi bien
parallèlement, c’est-à-dire à un niveau donné
de l’entreprise mais aussi, verticalement pour
mettre en relation, le commercial avec
l’ingénierie, la production avec la logistique,
etc. Les solutions de sécurité de Phoenix
Contact ont vocation à s’intégrer à tous les
niveaux et donc, apporter une protection du
capteur jusqu’au MES en toute
confidentialité grâce à nos algorithmes de
chiffrement.