Le nombre de groupes industriels touchés par une cyberattaque a explosé à la fin de l’année 2020. Et l’année 2021 part sur des bases au moins aussi élevées. Alors que la 5G et l’IIoT sont régulièrement pointés comme de nouvelles portes d’entrée à cadenasser, les attaques observées récemment semblent finalement très classiques. De quoi réviser ses priorités pour 2021.
Les premières cyberattaques contre l’univers industriel concernaient principalement des entreprises de gaz, d’énergie, de nucléaire, d’eau… Et semblaient relever davantage de la géopolitique. Mais depuis plusieurs années, les cibles se diversifient. Il ne s’agit plus seulement d’acteurs de l’énergie mais aussi de ceux du manufacturing, de la distribution, de l’agro-alimentaire voire des transports et de la mobilité. Beneteau, Toyota, Trigano, X-Fab : le nombre de cas médiatisés en France ces derniers mois révèlent des entreprises de toutes tailles et de tous secteurs. Vous l’aurez compris, personne n’est à l’abri.
Snake, l’emblème d’une nouvelle surface d’attaque
La qualité de certaines attaques industrielles, très ciblées, interroge. Comme WildPressure, une campagne d’attaque opérée en mars 2020 utilisant le cheval de Troie Milum et visant des sociétés industrielles au Moyen-Orient. Ou encore l’infiltration, fin avril, des systèmes de contrôle-commande d’une station d’épuration israélienne.
Même les ransomwares sont de plus en plus sophistiqués, à l’image de ekanS/Snake, rendu public en janvier 2020. Ce ransomware d'un nouveau genre représente une menace particulière pour le monde de l'OT, en cela qu'il est capable de cibler des logiciels et protocoles de communication spécifiques au monde industriel.
C’est un tournant. Jusque-là cantonnés aux réseaux IT, ces ransomwares d’un nouveau genre sont devenus une nouvelle menace sérieuse pour les réseaux OT. Plus complexes, plus dévastateurs, ces malwares témoignent de la complexification des techniques d’intrusion. « Les ransomwares s’adaptent aux industries, analyse Khobeib Ben Boubaker, Head of Industrial Security Business Line chez Stormshield. Mais si la forme change, le principe est toujours le même : il s’agit de s’infiltrer et de profiter de l’interconnexion de l’OT avec l’IT pour descendre jusqu’aux couches basses industrielles. » Cette évolution des attaques concerne directement les problématiques opérationnelles. Un enjeu crucial que tout industriel doit adresser.
Les fragilités des systèmes industriels
En quelques années, la cybersécurité des systèmes industriels est devenue un enjeu de premier plan. Avec trois principales fragilités, qui restent encore à travailler en 2021 :
- l’interconnexion des usines entre elles. La gestion d’un parc industriel étendu (via une architecture distribuée), avec des usines de plus en plus connectées entre elles, représente un risque majeur de propagation d’une attaque ;
- la porosité croissante des systèmes industriels avec les systèmes d’information. Par nature, les systèmes industriels sont déjà complexes et fonctionnent en un va-et-vient permanent de communications en temps réel, des capteurs aux automates, et des automates au SCADA. Avec la convergence OT/IT qui s’accélère, les communications débordent du SCADA au MES et du MES à l’ERP, et ouvrent de nouvelles fenêtres d’attaques ;
- la gouvernance cyber. Avec cette convergence OT/IT, l’enjeu de gouvernance n’est toujours pas résolu dans beaucoup d’industrie. D'une part, les équipes IT doivent monter en compétence sur les enjeux et particularités de l’OT et ont une mission de faire évoluer les mentalités auprès de la direction générale sur les questions de budgets de sécurité OT. D'autre part, les équipes OT doivent quant à elles apprendre à travailler avec ces équipes IT, dans la démarche de sécurité globale.
« Ce qui est exploité, c’est le fait qu’il y ait de plus en plus de convergence dans l’industrie pour être de plus en plus connectée à l’IT », résume Khobeib Ben Boubaker. Cette convergence vise à raccourcir les temps de réponse, suivre la production ou optimiser la gestion des ressources. Mais en étant de plus en plus connectées, les usines augmentent leur surface d’attaque. Et avec l’industrie 4.0 et les promesses d’objets connectés boostés à la 5G, l’usine, historiquement conçue comme une citadelle isolée, devient un environnement interconnecté truffé de capteurs. Mais cette transformation numérique ne doit pas se faire au détriment de la cybersécurité. En matière de cybersécurité des systèmes industriels, le premier enjeu porte sur ces interconnexions entre IT et OT. L’ERP, côté IT, et le MES, côté OT, sont de plus en plus interconnectés et échangent toujours plus de données. En cas d’attaque côté IT, cela impacte aussi l’OT.
C’est justement ce qui est arrivé à plusieurs acteurs industriels. En février 2021, le fabricant de camping-car et caravanes Trigano a été victime d’un ransomware qui a bloqué une partie des serveurs du groupe et arrêté la production de plusieurs sites en France, en Italie, en Espagne et en Allemagne. L’entreprise a restauré progressivement l’ensemble de ces services et même repris la production après une semaine d’arrêt. Même punition à grande échelle pour Honda. Victime d’un ransomware en juin 2020, le constructeur japonais a dû interrompre une partie de sa production. En tout, 11 usines ont été affectées aux Etats-Unis, au Brésil, en Turquie et en Inde. Et plus récemment, c’est le groupe sidérurgique indien Tata Steel qui doit faire face à un ransomware.
Segmenter, segmenter et encore segmenter
Et l’exemple de Honda est particulièrement intéressant puisque l’attaque a débuté sur une usine avant de se propager aux autres. La première mesure à prendre est donc de faire de la segmentation entre toutes les usines pour qu’une attaque soit arrêtée et contenue à un endroit. Illustration avec le groupe pharmaceutique Fareva, qui a vu son data center de Savigny-le-Temple (Seine-et-Marne) être la cible d’une attaque. Conséquence, les informaticiens de permanence ont coupé l’ERP. « Nos informaticiens ont réagi rapidement, ce qui nous sauve de pertes plus grandes. Environ 0,5% de notre système a été pollué par ce virus », a indiqué Bernard Fraisse, président de Fareva, dans Les Échos. Pourtant, ce sous-traitant spécialisé dans le transport et le conditionnement de produits pharmaceutiques a vu son système informatique paralysé dans quasiment tout son parc d’usines. Tous ses sites français ont été touchés, à l’exception de deux, situés en Ille-et-Vilaine et non connectés au serveur central de la société. Une « segmentation » qui les a préservés.
« Faire de la segmentation dans le monde industriel est le premier point de sécurité, prévient Khobeib Ben Boubaker. Cela permet de s’assurer que le système de production, le système de qualité ou le système de sûreté ne soient pas tous interdépendants. Cela limite les attaques par rebond. » Cette hygiène numérique est essentielle. Et pose les bases d’une sécurité globale, avant même d’envisager le déploiement de la 5G ou de l’IIoT.
Elle consiste en trois grandes étapes de sécurisation. La première étape consiste à maintenir la barrière entre l’IT et l’OT. Il s’agit de segmenter les systèmes d’information entre eux, les usines entre elles, le réseau bureautique et le système industriel, le système industriel et internet… Bref, faire en sorte qu’il y ait un premier niveau de sécurité qui soit apporté entre les usines et le reste. La deuxième étape porte sur la segmentation du réseau industriel. Aujourd’hui, les systèmes industriels des usines sont souvent à plat, c’est-à-dire qu’il n’y a pas de segmentation. Les équipements sont parfois tous sur le même réseau. En cas d’attaque, il suffit qu’un équipement soit touché pour que l’attaque se propage à l’ensemble de l’usine. Apporter une segmentation permet de sécuriser certaines zones, ralentir l’attaque et la contenir. Enfin la troisième étape consiste à être au plus proche des automates industriels et sécuriser les communications entre eux.
« Il faut bien comprendre une chose : qu’il s’agisse d’IT ou d’OT, on est sur des communications informatiques, souligne Khobeib Ben Boubaker. Tout comme l’informatique traditionnelle, l’informatique industrielle doit contrôler ses communications par des firewalls adaptés. » Et ce, même jusque dans le Cloud.
Les nouveaux enjeux de sécurité du cloud computing
Il y a quelques années, les industriels ne juraient que par les environnements on-premise. mais aujourd’hui, de plus en plus d’entreprises réduisent leurs investissements on-premise et optent pour le cloud.
Un cloud qui s’impose donc peu à peu comme un nouveau paramètre à prendre en compte dans sa stratégie globale de sécurité. Et parce que le système industriel est connecté directement au cloud, utiliser celui-ci amène de nouveaux enjeux de sécurisation :
- De l’importance de sécuriser les données remontées dans le cloud
« Le cloud permet de stocker un certain nombre d’informations. Mais quelle est la sensibilité de ces données ? Certaines informations peuvent être commerciales ou liées à de la production… Il faut définir quel est le niveau de sensibilité de ces données. Et mettre en place le bon niveau de sécurité en fonction de l’analyse de risques », précise Khobeib Ben Boubaker.
Souvent, le cloud est associé à des applications ou des solutions de maintenance prédictive ou préventive. Ces éléments séparés de l’usine permettent de contrôler l’état opérationnel des équipements et du process, et de remonter de la donnée dans le cloud… donc vers l’extérieur. « Sortir » des données est une opération toujours risquée, face à des risques de fuites ou d’altération. L’industriel qui décide d’externaliser sa donnée doit s’assurer que l’applicatif et les outils mis dans le cloud soient sécurisés, en mettant des firewalls dans le cloud, pour sécuriser les accès et les données qui transitent entre le cloud et un site industriel. Donc sécuriser les communications entre le système industriel et le cloud.
- De l’importance de sécuriser son infrastructure
Autre enjeu : avoir une plateforme cloud sécurisée pour éviter les rebonds vers le système industriel. « Certains fournisseurs de cloud assurent aussi la sécurité, via des services managés ou décentralisés, opérés par un autre prestataire. Or, même si c’est opéré par l’équipe informatique ou un tiers, il faut s’assurer que les bonnes sécurités soient mises en place », note encore Khobeib Ben Boubaker.
L’erreur est (souvent) humaine
Autre enjeu d’importance : la télémaintenance. En février 2021, un cyberattaquant est parvenu à s’introduire dans le réseau informatique d’une usine d’approvisionnement en eau en Floride et a tenté de modifier la teneur en hydroxyde de sodium de l’eau. L’intrusion a été remarquée par un technicien informatique, qui a vu avec surprise que quelqu’un déplaçait à distance le curseur de sa souris pour augmenter dangereusement la concentration de cet additif chimique corrosif.
Cette attaque soulève non seulement la question de la cybersécurité des réseaux d’eau, mais révèle aussi cruellement les fragilités de l’usine. Un réseau informatique basé sur le système d’exploitation obsolète Windows 7, l’absence de firewall entre Internet et le système d’information de la structure ou encore un même et unique mot de passe pour TeamViewer sur tous les ordinateurs de la station ; autant de trous dans la raquette et d’opportunités pour les cyber-criminels.
Une question de culture aussi. « Très souvent, les industriels ont plus peur d’une négligence par clé USB que d’une attaque qui viendrait de l’IT », rappelle Khobeib Ben Boubaker. Or, tous les mainteneurs, internes ou externes à l’entreprise, représentent une faille potentielle. « Dès l’instant où une personne se connecte à distance sur le réseau de l’entreprise pour récupérer des données sur un serveur, elle ouvre une brèche entre le serveur et l’extérieur ! Il est impératif que le tunnel de communication soit sécurisé : qu’on puisse bien authentifier la personne et que les échanges soient chiffrés. »
En 2021, priorité aux… bases
Deux stratégies sont généralement mises en œuvre chez les industriels pour sécuriser leurs activités. D’un côté, avoir une approche globale et tout sécuriser en même temps : firewalls, segmentation, gestion des clés USB, durcissement des postes, authentification des utilisateurs, access management etc. La sécurisation de l’usine repose alors sur tout un programme qui implique une intégration de cette sécurité avec plusieurs solutions. De plus en plus d’industriels suivent cette démarche de sécuriser au global, en s’appuyant sur une société de conseils pour réaliser un audit, identifier les risques, proposer des solutions de sécurisation et intégrer ensuite les différentes briques de sécurité retenues, via un intégrateur, pour assurer une sécurité complète de l’usine. Mais cette approche suppose aussi de disposer d’un budget conséquent.
Un obstacle majeur pour certains industriels. De l’autre côté, certains industriels choisissent donc d’y aller par étape et de donner la priorité aux bases, d’abord en sécurisant la barrière OT-IT, puis en séquençant la sécurité des usines (par exemple, commencer par ses usines localement puis celles basées à l’étranger). Segmenter ses réseaux, maintenir une bonne hygiène numérique et sécuriser son usage du cloud, telles sont les principales priorités pour le monde industriel cette année. De quoi bâtir des fondations solides avant d’envisager de déployer la 5G et l’IIoT.