Le volume des cyberattaques est en constante croissance depuis quelques années et, fait nouveau, des outils et virus ciblés SII (Systèmes d'Information Industriels) ont fait leur apparition. Quels sont les impacts sur vos systèmes de contrôle ? Au-delà des probables pertes de production, quels dégâts physiques et humains anticiper si ces modifications sont faîtes sur vos systèmes de sécurité ? La culture et les modes opératoires industriels très éloignés de ceux de l'informatique de gestion nécessitent une réponse adaptée.
Fort de son expérience tant sur des projets industriels que sur des usines existantes, en Europe, Asie et USA, Beijaflore a souhaité partager avec vous quelques questions importantes et éléments concrets de solutions pour renforcer la protection de vos infrastructures industrielles.
Pour + d'infos sur l'offre Risk & Security du cabinet : bit.ly/1N4bF8y
Panorama et enjeux de la publicité digitale mars 2012 partie 1
Cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente
1. Cybersécurité en milieu industriel
un constat alarmant, une prise de conscience encore trop lente
Mars 2015
Livre Blanc
2.
3. Chers clients,
Vos processus industriels s’appuient sur des automates
électroniques et mécaniques, capteurs d’informations
électroniques ou actionneurs, pilotés par des systèmes de
contrôle et de sécurité/sûreté. Cet ensemble définit votre
système d’information industriel (SII). Ce dernier repose
sur les mêmes technologies que le système d’information
d’entreprise (SIE) : communications réseau TCP/IP et
systèmes Microsoft ou Unix.
Votre SII regorge d’informations que le management
de vos entreprises souhaite consulter parfois en temps
quasi réel. Par ailleurs, la direction des opérations
industrielles déploie de plus en plus des fonctions de
pilotage à distance, interconnectées. Votre SII est et sera
de moins en moins isolé du SIE et de fait plus exposé aux
cybermenaces classiques.
Le volume des cyberattaques est en constante croissance
depuis quelques années et, fait nouveau, des outils et
virus ciblés SII ont fait leur apparition. Modification de
la logique, mise en place d’inhibiteurs… Quels sont
les impacts sur vos systèmes de contrôle ? Au-delà des
probables pertes de production, quels dégâts physiques
et humains anticiper si ces modifications sont faites sur
vos systèmes de sécurité ?
La culture et les modes opératoires industriels très éloignés
de ceux de l’informatique de gestion nécessitent une
réponse adaptée.
Forts de notre expérience tant sur des projets industriels
que sur des usines existantes, en Europe, Asie et USA,
nous avons souhaité partager avec vous quelques
questions importantes et éléments concrets de solutions
pour renforcer la protection de vos infrastructures
industrielles.
Je vous laisse parcourir ce livre blanc et me tiens à votre
disposition pour enrichir nos réflexions mutuelles.
Maxime de JABRUN,
Security & Risk Management
VP, Head of Risk & Security
Le mot du responsable de la Practice
Risque & Sécurité
4. Table des matières
Attaques et incidents de cybersécurité en milieu industriel :
mythe ou réalité ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
L’évolution des SII : standardisation technologique
et multiplication des interconnexions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
De nouveaux risques mal pris en compte par les industriels. . . . . . . . . . . . . 7
Les processus opérationnels et la gestion du changement
ne prennent pas en compte la cybersécurité . . . . . . . . . . . . . . . . . . . . . . . . 8
La culture industrielle face au défi de la cybersécurité . . . . . . . . . . . . . . . . . 9
Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
5. Livre Blanc
Cybersécurité en milieu industriel : un constat alarmant,
une prise de conscience encore trop lente
5
Depuis 2009, les cyberattaques ciblant les systèmes
d’information industriels (SII) sont de plus en plus
sophistiquées. Les virus tels que Stuxnet, Night Dragon,
Duqu ou Flame démontrent que la menace se précise,
qu’elle s’industrialise et que les cyber-attaquants sont
capables de mobiliser des moyens importants pour arriver
à leurs fins qu’elles soient concurrentielles, hacktivistes ou
étatiques.
Ces cyberattaques génèrent parfois pour les entreprises
d’importantes pertes financières(1)
souvent liées à l’arrêt
de leur activité, mais il arrive
également que ces attaques
provoquent des dégâts (incendie,
explosion, rejet de matière
dangereuse,…). En effet, les
SII ne sont pas uniquement le
support de flux d’information,
ils contrôlent des processus industriels supportés par
des automates dont les actions peuvent avoir des
conséquences physiques considérables si leur logique
est modifiée.
Face à l’explosion de la cybercriminalité, la cybersécurité
est devenue un enjeu essentiel à intégrer dans les
processus industriels critiques. Les menaces les plus
récentes ciblent directement les composants des systèmes
de contrôles (le malware Havex exploite directement le
protocole de communication OPC largement utilisé dans
l’industrie).
Cependant, les cyberattaques ne sont pas les seules
menaces qui pèsent sur les SII. Les erreurs humaines,
en particulier les négligences des règles de sécurité
peuvent avoir des impacts bien plus préjudiciables pour
les entreprises, leurs salariés, l’environnement et les
populations. En 2010, le contournement des règles de
sécurité a provoqué une marée noire depuis la plateforme
pétrolière exploitée par British
Petroleum (BP) au large du Golfe
du Mexique. Bilan : 11 morts et
quelque 16 milliards de dollars
de dédommagements financiers !
En 2013, McAfee a estimé qu’au
moins 375 milliards de dollars
de pertes étaient attribuables aux attaques et incidents
de cybersécurité. Ces incidents sont pour la plupart non
divulgués publiquement et très rarement partagés entre
industriels. Ces exemples montrent le besoin d’accélérer
la prise de conscience des industriels face à l’ampleur de
la cybercriminalité.
Attaques et incidents de cybersécurité
en milieu industriel : mythe ou réalité ?
(1) 2,86 millions d’euros était le coût moyen par incident d’un défaut de cybersécurité en 2012, selon l’étude «Cost of data breach» de Symantec
et du Ponemon Institute.
Il faut accélérer la prise
de conscience des industriels face
à l’ampleur de la cybercriminalité
6. Livre Blanc
Cybersécurité en milieu industriel : un constat alarmant,
une prise de conscience encore trop lente
6
Depuis une vingtaine d’années, afin de réduire leurs coûts de
développement, les fournisseurs de systèmes industriels ont
remplacé leurs systèmes propriétaires par des technologies
standardisées et disponibles du grand public.
Des composants informatiques
standards sont désormais derrière
chaque système de contrôle
et équipement industriel ! Les
interfaces Homme-Machine ?
Microsoft Windows. L’automate
programmable ? Un dérivé
d’Unix. Quelle maîtrise en ont les
industriels ? Bien faible, lorsque l’on compare SII et SIE.
Par ailleurs, les industriels montrent un intérêt grandissant
à pouvoir offrir à leurs utilisateurs la possibilité d’accéder
aux données de leurs SII en temps réel et depuis
n’importe quel point du globe. Les réseaux industriels
ont multipliés les interconnexions avec les systèmes
d’information d’entreprise (SIE). Ils sont par ailleurs de
plus en plus ouverts sur le monde
extérieur, vers les réseaux distants
des fournisseurs, via internet, pour
faciliter la maintenance et réduire
significativement les délais et
coûts d’intervention sur incidents.
Enfin, les avancées techno-
logiques en matière de mobilité
(ex. tablette smartphone) sont fortement adoptées par
les responsables de production dans de nombreuses
industries. A quand le déport de console sur iPad ?
L’évolution des SII : standardisation technologique et
multiplication des interconnexions
L’informatique grand public
est désormais derrière chaque
système de contrôle et
chaque équipement industriel
7. Livre Blanc
Cybersécurité en milieu industriel : un constat alarmant,
une prise de conscience encore trop lente
7
Toutes ces avancées ont apporté de la valeur aux
industriels mais avec leur lot de nouveaux risques.
Les acteurs de la chaîne industrielle sont désormais tous
concernés par les vulnérabilités déjà connues des SIE. Et
ils doivent être impliqués dans leur prévention : le client
final, son sous-traitant du composant industriel, son sous-
traitant de l’automate… et le sous-traitant qui a installé
l’interface homme-machine de l’automate. Une complexité
contractuelle qui, hélas, voit la responsabilisation si ce
n’est la responsabilité des acteurs se diluer, faute de
maturité.
Les équipes opérant la chaîne de production et assurant
la maintenance manquent de compétences IT. Bien
souvent, les mécanismes de sécurité essentiels font ainsi
défaut. De nombreuses pratiques à risque constatées en
témoignent :
• Les fournisseurs ne qualifient que très rarement la
compatibilité des correctifs avec leurs systèmes. Les
systèmes d’exploitation et les applications ne sont ainsi
pas mis à jour ;
• Des systèmes obsolètes (ex. Windows XP) sont parfois
déployés durant les projets ;
• Les politiques de gestion de mots de passe sont trop
rares, cela se traduit systématiquement par des mots de
passe usine que les fournisseurs laissent sur les systèmes
de leurs clients, mots de passe parfois triviaux ;
• Les services inutilisés et accessibles depuis le réseau ne
sont pas désactivés ; les ports physiques (ex. USB) ne
sont pas sécurisés.
Les déploiements technologiques et les ouvertures de
flux sont rarement intégrés dans une politique de sécurité
globale augmentant ainsi l’exposition aux cyber risques.
La volonté de bien faire est parfois mitigée par quelques
controverses :
• Les réseaux SIE et SII sont filtrés par des firewalls mais
un équipement est connecté sur les deux réseaux
contournant ainsi la protection mise en place ;
• Des antivirus sont installés sur les postes de travail et
serveurs Windows du SII, cependant ils ne sont que
rarement mis à jour limitant ainsi leur efficacité face
aux attaques virales ;
• Des architectures avancées à base de firewall et
DMZ sont définies mais les règles de filtrage sont
trop permissives, ne permettant pas la maîtrise des
échanges inter-réseaux.
Des nouveaux risques mal pris en compte
par les industriels
On constate de nombreuses pratiques
à risque : déploiement de systèmes
obsolètes, mots de passe triviaux,
ports USB non sécurisés…
8. Livre Blanc
Cybersécurité en milieu industriel : un constat alarmant,
une prise de conscience encore trop lente
8
Appliquer à l’identique les mesures de sécurité du SIE
sur les SII ne peut pas fonctionner. En effet, l’industrie
possède de nombreuses spécificités qui nécessitent de
définir la cybersécurité en prenant en compte les aspects
ou contraintes liés à la chaîne
de valeur et au cœur de métier
des opérateurs. Tout en tenant
compte de l’environnement
industriel (cycle de production
24/7, mesures de sûreté, durée
de vie étendue des installations,
etc.), la sécurité doit s’intégrer de
manière appropriée et mesurée,
et rester en cohérence avec les nombreux enjeux métiers.
Par exemple, la question de la mise à jour des
systèmes d’exploitation et des applications illustre les
problématiques que pose l’intégration de la cybersécurité
au sein des processus opérationnels :
• l’exposition grandissante des SII et le volume de
correctifs en provenance des éditeurs la rendent
nécessaire ;
• du point de vue opérationnel, la règle du maintien en
l’état des systèmes tant qu’aucun incident ne survient
persiste, et est souvent confortée par de forts enjeux
métiers, comme la production en flux tendu.
Intégrer la cybersécurité comme
activité opérationnelle est trop
souvent perçu comme une
contrainte, peu soutenue par
les personnels et fournisseurs
industriels. De plus la sécurité
est souvent désactivée pour
implémenter les modifications
dans les systèmes, et n’est pas réactivée par la suite faute
de maîtrise. Cette mauvaise pratique opérationnelle est
parfois due au manque de définition du processus de
gestion du changement sur les composants informatiques,
qui ne prend pas en compte correctement la cybersécurité.
Néanmoins les nouveaux projets commencent à intégrer
une spécification cybersécurité.
Les processus opérationnels
et la gestion du changement
ne prennent pas en compte la cybersécurité
Appliquer à l’identique
les mesures de sécurité du SIE
sur les SII ne peut pas fonctionner
9. Livre Blanc
Cybersécurité en milieu industriel : un constat alarmant,
une prise de conscience encore trop lente
9
La maturité de l’informatique industrielle semble suivre
celle de l’informatique de gestion et de la supply chain
avant elle. Les initiatives gouvernementales (OIV en
France, protection des infrastructures critiques aux USA)
et la standardisation des pratiques de cybersecurité des
systèmes de contrôle telle IEC 62443 démontre la prise
de conscience d’une nécessaire amélioration.
Initialement les systèmes étaient basés sur Unix pour les
stations opérateurs, avec des communications propriétaires
vers les automates. Puis dans les années 90, les systèmes
client-serveur ont basculé sur Microsoft, avec des protocoles
de plus en plus ouverts et complexes (protocole OPC et
réseaux TCP/IP). Et maintenant, les accès Internet, le Wifi,
les terminaux mobiles investissent les usines.
La gestion du risque est beaucoup plus prégnante dans
l’industrie car elle est inhérente au métier. L’analyse de
risques est un exercice courant et sera facilitée par le métier.
La modélisation du périmètre est généralement plus aisée et
change assez peu dans le temps. Les impacts des risques
sont souvent très bien pris en compte par les personnels
qui ont une bonne compréhension des procédés industriels
sous-jacents. Cependant le métier est d’ordinaire habitué
aux évènements quantifiables et non forcés, l’évaluation de
la probabilité des risques de cybersecurité nécessitera de
prendre des précautions particulières.
De nombreux points d’appui faciliteront l’intégration de
la cybersécurité et participeront à la réduction rapide des
risques :
• La culture risque historique des automaticiens favorisera
les initiatives cybersécurité ;
• Les technologies de sécurité – en pratique inutilisables
dans les SIE – telles que le whitelisting applicatif sont
parfaitement adaptées aux SII ;
• La gestion rigoureuse du cycle de vie, des phases de
recette et de maintenance permet une meilleure maîtrise
des risques.
L’intégration de la cybersécurité dans la gestion des
risques sera un levier essentiel de la lutte de l’industrie
face aux attaques et incidents.
La culture industrielle face au défi
de la cybersécurité
L’intégration de la cybersécurité
dans la gestion des risques sera un levier
contre les attaques et les incidents
10. Livre Blanc
Cybersécurité en milieu industriel : un constat alarmant,
une prise de conscience encore trop lente
Les systèmes d’information d’entreprise (SIE) ont vu leur
sécurité largement progresser au cours des 15 dernières
années, avec une implication croissante des éditeurs tels
que Microsoft pour améliorer la sécurité de leur système.
L’évolution des attaques informatiques s’est ainsi confron-
tée à une sophistication des solutions des éditeurs de
sécurité. Par ailleurs, des efforts constants durant cette
période ont permis une forte sensibilisation des profes-
sionnels IT au sujet des problématiques sécurité.
Historiquement, le monde industriel a été préservé de ces
problématiques et donc peu sensibilisé aux notions de
cybersécurité. Nous constatons aujourd’hui que la plupart
des systèmes de contrôle industriels ne sont pas sécurisés.
Pourtant, ce faible niveau de sécurité des systèmes indus-
triels expose aujourd’hui les entreprises à des risques forts
de perte financière et d’image en cas d’indisponibilité
des systèmes, voire de sûreté en cas de perte d’intégrité
d’un système assurant la sécurité des personnes (alarme
incendie par exemple).
Néanmoins, le pragmatisme des industriels, leur discipline
dans le respect des processus, leur culture de la sûreté
et de la qualité sont autant d’atouts différenciants pour
ce secteur qui lui permettront de rapidement atteindre le
niveau de maturité requis.
Conclusion