Toujours plus connecté, le monde industriel est exposé à des menaces informatiques nombreuses et variées. Cette pression impose au secteur industriel une politique de sécurité renforcée. Plus que jamais, le secteur industriel est donc exposé à la menace cyber. Mais quelle forme peut-elle prendre ? Pour se jouer des frontières de l'IT et de l'OT, les cyberattaques sont devenues polymorphes, sous la forme de quatre principaux vecteurs : réseau, logiciel, humain et physique.
En juin 2018, une étude de Kaspersky Lab soulignait la forte menace pesant sur les ICS (industrial control systems) en matière de cybersécurité. Plus des trois quarts des entreprises interrogées affirmaient ainsi qu'il était très probable qu’elles deviennent la cible d'une attaque de cybersécurité. Or, 23% seulement d’entre elles déclaraient être en conformité avec les directives et réglementations de l'industrie ou des pouvoirs publics.
23% seulement des entreprises déclaraient être en conformité avec les directives et réglementations de l'industrie ou des pouvoirs publics
Les dernières données du site américain MITRE, qui recense les CVE (common vulnerabilities and exposures), à savoir toutes les vulnérabilités et menaces liées à la sécurité des systèmes d’information, confirment cette tendance. À titre d’exemples, l’entreprise américaine Rockwell Automation voyait ses vulnérabilités doubler entre 2017 et 2018 (+108%), loin devant les entreprises françaises Schneider Electric (+64%) et Siemens (+22%).
Vecteur réseau
- Définition : ensemble des attaques exploitant une faiblesse dans une configuration réseau ou directement dans un protocole réseau.
- Exemples : WannaCry, Heartbleed.
- Accessibilité : locale ou distante, selon l'accessibilité du lien transportant le flux ciblé.
- Cibles : le réseau n’est ici bien qu’un vecteur ; les véritables cibles sont l'émetteur ou le récepteur des données transitant sur le lien ciblé.
- Impact : sabotage industriel, corruption de données, rebond pour mouvement latéral, extraction d'informations.
Vecteur logiciel
- Définition : ensemble des attaques exploitant une faiblesse logicielle.
- Exemple : Mirai.
- Accessibilité : principalement locale via le réseau auquel la cible est connectée, mais potentiellement distante si la cible est accessible via le réseau internet.
- Cibles : dans la majorité des cas, l'équipement ciblé est la cible réelle, mais parfois ce n'est qu'une machine qui servira à rebondir et à effectuer un mouvement latéral.
- Impact : sabotage industriel, corruption de données, extraction d'informations, rebond pour mouvement latéral.
Vecteur humain
- Définition : ensemble des attaques utilisant ou ciblant un individu, par e-mail mais aussi tout simplement par téléphone.
- Exemples : arnaque au président, WannaCry
- Accessibilité : distante.
- Cibles : les collaborateurs (ou sous-traitants) des entreprises industrielles ciblés ne sont généralement qu’un point d'entrée et non une fin en soi. C’est bien l’entreprise elle-même qui est visée in fine par ce genre d’attaques.
- Impact : extraction d'informations (phase de reconnaissance), rebond pour mouvement latéral ; corruption de l'ordinateur de la personne.
Vecteur physique
- Définition : ensemble des attaques visant un équipement physique.
- Exemple : Stuxnet (USB).
- Accessibilité : locale.
- Cibles : dans l’immense majorité des cas, l'équipement ciblé est la cible réelle, mais parfois ce n'est qu'une machine qui servira à rebondir et à effectuer un mouvement latéral.
- Impact : corruption de l’équipement, sabotage industriel, rebond pour mouvement latéral.
Les nouveaux enjeux de sécurité de l’usine du futur
Le recours aux jumeaux numériques – ces modèles logiciels et dynamiques d’un processus, d’un produit ou d’un service recourant à des connexions IoT et souvent reliés au cloud – est un cas emblématique des nouveaux risques de vulnérabilité de l’usine du futur. Pour faire face à ce développement de la connectivité en milieu industriel, la sécurité doit être de plus en plus pensée en amont de la conception des objets et machines connectés. Une tendance qui se traduit par l’essor des concepts de Security-by-Design et de Cybersecurity-by-Design.
Au vu du large spectre des vecteurs d’attaque, la sécurité d’un ICS ne peut se permettre de négliger une seule de ces familles d’attaque et donc ignorer la moindre de ses propres failles potentielles.