Cyber-sécuriser un système industriel est essentiel… mais complexe. Entre continuité de services, implication des équipes et modélisation, échange de bonnes pratiques.
À l’occasion de notre baromètre 2021 sur la cybersécurité industrielle, plus de la moitié de sondés (51%) déclaraient avoir subi au moins une cyberattaque contre leur réseau opérationnel. Et pour plus d’un quart d’entre eux (27%), ces cyberattaques avaient entraîné un arrêt ou une perturbation de la production. De quoi renforcer la nécessite d’investir dans la cybersécurité pour réduire au maximum les surfaces d’attaque industrielles. Pour autant, déployer des solutions de cybersécurité dans un site industriel n’a rien d’un long fleuve tranquille. Latence, indisponibilité, ruptures de conformité : comment éviter ces risques afin que ces opérations cruciales se déroulent au mieux ?
Un déploiement dans l’industrie essentiel, mais complexe
La production quoi qu’il en coûte. Pour les industriels, l’un des défis principaux est d’assurer la continuité de service, explique Vincent Nicaise, Responsable des partenaires et de l'écosystème industriels chez Stormshield. « Si on intervient dans une usine qui tourne 24h sur 24, 7 jours sur 7, tout arrêter pour intégrer de nouveaux équipements est compliqué ». Compliqué, mais « largement réalisable » pour des équipes expérimentées, rassure l’expert en industrie. « Avant tout, il faut le planifier, parfois quelques mois en avance. Surtout, il faut avoir l’adhésion et l’implication des équipes métier, des responsables d’usine ou des chefs d’opérations par exemple, pour assurer la mise en œuvre. »
Il faut planifier le déploiement d’une solution de sécurité, parfois quelques mois en avance. Surtout, il faut avoir l’adhésion et l’implication des équipes métier, des responsables d’usine ou des chefs d’opérations par exemple, pour assurer la mise en œuvre.
Vincent Nicaise, chargé des partenariats et de l'écosystème industriels Stormshield
Autre difficulté inhérente à l’OT : il s’agit de systèmes qui ont parfois plusieurs décennies d’existence et sur lesquels plusieurs sociétés de maintenance sont intervenues. « On n’a pas forcément d’historique précis des modifications, ce qui veut dire que nous n’avons pas une maîtrise complète et sereine du système », prévient Vincent Nicaise. Là encore, il est impératif de « planifier largement l’intervention en amont », souligne l’expert, et surtout d’intégrer les équipes métiers au processus pour maîtriser le déploiement : équipe RSSI, intégrateurs, qui « connaissent les enjeux et le réseau ». « Les difficultés se posent plus sur la modification de l’infrastructure que sur la solution en elle-même, confirme Pierre Vidard, chef de projet pour l’entreprise de solutions industrielles Actemium Maisons-Laffitte. Que ce soit un firewall, un réseau ou encore de la supervision d’automates, l’enjeu est de ne pas avoir d’impact sur les systèmes et installations existants. En fonction des infrastructures, une mauvaise exécution peut entraîner une perte de visibilité ou de production temporaire. » Déployer des solutions de cybersécurité dans l’industrie est donc un vrai défi, qui demande une vraie maîtrise des différentes étapes.
L’étape essentielle de la cartographie du réseau OT
Avant d’intervenir, le prestataire en charge du déploiement devra d’abord effectuer un audit. Il s’agit d’une étape essentielle, qui va permettre d’identifier là où il y a un manque de protection sur le site ainsi que l’ampleur que ce risque peut avoir sur la sûreté du réseau. « Cela implique de faire des analyses de configuration de PC, de vérifier les OS utilisés, de chercher des problèmes de configuration ou des fichiers accessibles qui comportent des mots de passe, de surveiller tout particulièrement les postes avec des droits d’administrateurs, etc. », détaille Pierre Vidard. Un temps d’étude essentiel, qui passe également, selon le chef de projet, par la cartographie du réseau. « On utilise des outils pour capturer les réseaux et cartographier les flux entre les équipements, les identifier et analyser s’ils sont légitimes et, pour la France, conformes aux recommandations de l’ANSSI. »
Pour s’assurer du meilleur déploiement terrain, les experts ont ensuite recours au test en pré-production. Il s’agit d’une sorte de maquette aussi proche que possible de la réalité et sur laquelle différents tests sont effectués pour valider les fonctionnalités. Une maquette physique, précise Pierre Vidard, puisque « pour la majorité des switchs industriels, on ne peut pas les ouvrir dans une interface virtuelle grâce à un fichier de configuration. Il faut avoir le matériel. » Une contrainte qui rend certaines modélisations compliquées, reconnaît Pierre Vidard car « on ne peut pas nécessairement faire l’acquisition du même matériel que le client ». Mais la technique n’en reste pas moins efficace. « Il peut toujours y avoir des surprises lors de la mise en service, mais cela supprime au moins 90% des problèmes qu’il peut y avoir », estime le chef de projet.
Le déploiement devra enfin être progressif. « Lorsqu’il y a plusieurs usines, on peut choisir la plus représentative, celle où il y a le plus d’adhésion pour qu’elle serve de Proof of Concept, suggère Vincent Nicaise. On peut ainsi travailler sur un projet de sécurité et déterminer un modèle que l’on peut dupliquer sur l’ensemble des usines. » Dit comme cela, le déploiement d’une solution de cybersécurité est tout à fait possible – mais l’industrie est-elle prête ?
Cybersécurité et enjeux de l’industrie 4.0
Cela dépend surtout de la maturité du secteur. En France, les Opérateurs d’importance vitale – issus des secteurs de l’eau, l’énergie, le pétrole et le gaz, le nucléaire… –, sont à la fois bien au fait des risques et ont une obligation légale à mettre en place des protections. L’industrie manufacturière est de son côté encore en retard. « Ils considèrent les risques IT mais pas OT », analyse Vincent Nicaise.
Un constat que partage Pierre Vidard. « L’un des plus gros défis est de convaincre les clients de l’intérêt de la mise en place des solutions dans leur environnement industriel. Beaucoup parlent de cyber en réaction à une attaque, mais sans savoir ce que ça implique. Et puis, ils laissent tomber, car ils ont reçu un devis trop haut ou que leurs priorités ont changé. Pour un patron d’usine, il est compliqué de dégager du budget sans gain de production. Mais il faut qu’ils se rendent comptent de la perte de production et donc de l’impact financier engendré par une attaque. »
L’un des plus gros défis est de convaincre les clients de l’intérêt de la mise en place des solutions dans leur environnement industriel. Beaucoup parlent de cyber en réaction à une attaque, mais sans savoir ce que ça implique. Et puis, ils laissent tomber, car ils ont reçu un devis trop haut ou que leurs priorités ont changé.
Pierre Vidard, chef de projet pour l’entreprise de solutions industrielles Actemium
L’industrie 4.0 pourrait changer la perception de l’importance de la cybersécurité sur l’OT avec l’implantation d’objets connectés tout au long de la chaîne de production. « L’objectif est d’optimiser l’outil de production et anticiper la maintenance mais cela introduit également une plus grande surface d‘attaque avec une multitude de composants supplémentaires, reconnaît Vincent Nicaise. Il y a de plus en plus de failles potentielles. » Le cloud notamment, élément essentiel de l’industrie 4.0 puisqu’il permet de stocker de la puissance de calcul et un grand volume de données, décentralise l’information. Pour en assurer la disponibilité, « il faut sécuriser les flux », appuie Vincent Nicaise.
« Le problème est que les questions sur la cybersécurité viennent souvent une fois que le réseau a été ouvert, souligne Pierre Vidard. Mais cette ouverture intervient sur un système historiquement autonome et isolé donc sans firewalls ou anti-virus, pas cloisonnés et opérant avec des comptes administrateurs. Une fois ouverts sur l'extérieur, les systèmes ne sont pas assez robustes. » Malgré tout, la prise de conscience semble aller dans le bon sens, même si les compétences au sein des usines restent disparates, estime Pierre Vidard. « Ces enjeux se démocratisent de plus en plus. Certains clients veulent avoir la maîtrise de leurs systèmes et forment en interne pour monter en compétences. D’autres clients, n’ont pas ces compétences ni vocation à les avoir. Ils ont des salariés capables de comprendre les principes théoriques fondamentaux et font appel à des sociétés extérieures. D’autres encore n’ont quasiment rien de tout ça. »
Dans tous les cas, les experts cybersécurité sont capables de faire du cas par cas selon l’expérience et la maturité des équipes. Et d’accompagner les structures pour un déploiement technique en douceur.
