Cybersécurité industrielle et problématique de la sous-traitance | Stormshield

L’année 2021 aura été une annus horribilis pour les sous-traitants, côté IT. Les cyberattaques contre Gitlab, SolarWinds ou encore Kaseya ont en effet démontré que les prestataires de services peuvent être un vecteur d’infection impactant plusieurs dizaines de milliers de clients à travers le monde. Dans le même temps, côté OT, les sous-traitants sont nombreux, en charge de la maintenance et de l’exploitation des installations. Avec des réseaux industriels sensibles par nature, la situation a tout d’un cocktail explosif. Mais comment l’anticiper et s’en protéger ?

Éléments de réponse face à cette question de la sécurité de la sous-traitance dans l’OT.

 

Sous-traitance OT : un surplus de risques à prendre en compte

Première question d’importance ici : qui sont les sous-traitants dans le monde de l’OT ? Les sous-traitants industriels interviennent quand le donneur d’ordre n’a pas les compétences ou la capacité d’intervenir en propre. Intégrateurs et autres sociétés de maintenance en sont les acteurs classiques, et sont encore aujourd’hui perçus comme des maillons faibles de la chaîne de sécurité de l’environnement OT. Mais dans les faits, d’autres acteurs de sous-traitance peuvent également être une menace, comme les bureaux d’étude et les fournisseurs de composants ou de sous-systèmes par exemple. En contact avec les entreprises industrielles, ils font partie de la chaîne de sous-traitance et sont donc par analogie une cible pour les cyber-criminels. Parce qu’ils interviennent pour des actions de spécifications du système, de conception, de développement, d’intégration, de mise en service, de validation d’un système ou de maintenance, ils sont amenés à partager des documents confidentiels quand les fournisseurs sont connectés au système d’informations de l’entreprise ciblée.

La question de la maturité cyber des sous-traitants dans l’OT devient plus centrale que jamais. La faible adoption historique des bonnes pratiques de cybersécurité contribue à la fragilité actuelle de ces acteurs – dont le métier est de gérer le fonctionnement des automatismes – et par extension celles de leurs clients industriels.

Face aux actualités de l’année 2021, la question de la maturité cyber des sous-traitants dans l’OT devient plus centrale que jamais. La faible adoption historique des bonnes pratiques de cybersécurité contribue à la fragilité actuelle de ces acteurs – dont le métier est de gérer le fonctionnement des automatismes – et par extension celles de leurs clients industriels. Chaque maillon peut alors devenir un vecteur d’infection du reste de la chaîne industrielle. D’autant plus quand, du fait d’une longévité de plusieurs dizaines d’années, les équipes en place n’ont pas une connaissance fine de l’historique des modifications des équipements (comme des changements de composants, l’ajout et la suppression d’automate jusqu’à la perte d’historisation des modifications sur les architectures de production). Les inventaires et cartographies ne sont que rarement tenus sur de longues durées, ce qui occasionne des situations risquées où le Shadow OT se répand dans les environnements industriels. Avec l’exemple classique de l’intégrateur qui va acheter un routeur 4G dans un magasin de grande distribution pour assurer la maintenance de l’installation car il n’a pas d’autre possibilité pour télécharger les mises à jour...

Mais il faut reconnaître également que cette responsabilité doit être partagée par les entreprises industrielles qui ne leur imposent pas (suffisamment ?) d'exigences de cybersécurité. Si les accès physiques des sous-traitants sont contrôlés sur les infrastructures industrielles, leurs équivalents numériques ne suivent pas (encore) la même logique. Et les méthodes et outils de surveillance et de contrôle des accès à distance sont à ce jour trop souvent absents dans les faits.

 

Un ensemble de normes et référentiels pour encadrer la sous-traitance OT

Pour s’assurer d’une certaine maturité des sous-traitants, le responsable de la sécurité OT peut toutefois s’appuyer sur plusieurs normes de bonnes pratiques de cybersécurité.

La plus connue dans l’univers industriel est sans contestation le référentiel IEC 62443. Pragmatique, il est dédié à la cybersécurité dans les milieux industriels en proposant des bonnes pratiques et en évaluant le niveau de maturité des composants industriels. En détails, le cahier IEC 62443-2-4 décrit les exigences de sécurité pour l’ensemble des fournisseurs de services ; ils couvrent une douzaine de sujets dont les enjeux des accès à distance, du sans fil et de la gestion des configurations. Mais le responsable de la sécurité OT peut aussi s’appuyer sur des normes qui viennent de l’IT, à l’image de la norme ISO/IEC 27001. Cette norme est dédiée au management des systèmes d’information et permet de définir les exigences relatives à la mise en place d’un SMSI (système de management de la sécurité de l’information). La méthodologie de cette norme permet d’identifier, d’évaluer et de traiter le risque cyber au travers d’un plan de gestion. Issue de la même famille, la norme ISO/IEC 27036 est une norme internationale dédiée aux relations entre le client et le fournisseur. Elle permet d’établir les règles de sécurisation d’un système d’information dans un contexte d’échange de données avec un tiers. Toutes ces normes sont structurantes pour la filière industrielle et permettent de prendre en compte les prérogatives et enjeux organisationnels et opérationnels de la cybersécurité des environnements OT. De son côté, l’ANSSI a également publié un référentiel intitulé ‘Exigences de cybersécurité pour les prestataires d’intégration et de maintenance de systèmes industriels’. Bien qu’édité en 2016, il reste toujours d’actualité.

La structure documentaire du référentiel IEC 62443

Mais comment choisir un sous-traitant tout en s’assurant qu’il intègre les bonnes pratiques de cybersécurité ? Une question centrale qui doit intervenir dès la phase d’appel d’offres. L’un des premiers leviers est de bien choisir son prestataire par l’évaluation de son niveau de sécurité lors de la soutenance. Pour se faire, il est impératif que le RSSI du client soit présent et qu’il soit possible de vérifier que les bonnes pratiques de cybersécurité soient intégrées et mises en place dans les fonctions techniques et organisationnelles de l’entreprise sous-traitante. Cette étape d’évaluation peut également se faire au travers d’un audit de sécurité par l’intermédiaire d’un prestataire indépendant. Ces audits doivent se systématiser tous les ans ou tous les deux ans sur l’ensemble des prestataires. Un autre moyen de s’assurer de la qualité d’un prestataire est d’imposer des exigences dans la relation contractuelle. Dans les appels d’offres, de véritables clauses relatives à l’intégration des exigences de cybersécurité doivent être intégrées. Ces clauses doivent par exemple contenir les exigences de l’application d’une PSSI (politique de sécurité du système d’information) chez le sous-traitant et d’une sensibilisation à la cybersécurité des équipes qui viennent installer et maintenir les équipements sur site. L'identification d’un référent cyber est également indispensable, tout comme la présence d’une SLA (service-level agreement) spécifique au patching de sécurité. Enfin, il est essentiel d’inclure dans ces clauses la description de la méthode de communication entre le sous-traitant et son client en cas d’incident de sécurité. Tous ces points (et d’autres encore) devant faire partie intégrante de la note de soutenance qui sera attribuée à chaque prestataire, avant l’accord final et la validation du RSSI de l’entreprise émettrice de l’appel d'offres. Pour la rédaction de votre cahier des charges à direction des prestataires d’administration et de maintenance, le référentiel PAMS de l’ANSSI s’avère d’une précieuse aide.

 

Sous-traitance OT : une responsabilité des entreprises industrielles

Mais la question de la sécurité de la chaine des sous-traitants doit également être prise en compte du côté des industriels. Et ce, à plusieurs niveaux.

Au niveau des équipements déjà, certains industriels appliquent une phase d’auto-certification interne et cela avant toute installation d’un nouveau matériel ou d’un nouveau système. Cette pratique permet de certifier la conformité des machines industrielles reçues en se basant sur un cahier des charges développé par le client lui-même. Ce cahier des charges contient les règles et bonnes pratiques de cybersécurité. Associé à un MCS (Maintien en Condition de Sécurité), le client possède ainsi la capacité de s’assurer qu’il n’intègre pas un équipement ou un système vulnérable à son environnement de production. D’un point de vue organisationnel ensuite, une bonne pratique est de nommer des référents cybersécurité dont la mission est de s’assurer de l’application des règles de la PSSI dans les environnements de production dans chaque usine. Un référent qui peut être un responsable d’usine ou un automaticien ayant une appétence et des connaissances dans la gestion des réseaux, et qui vient soulager le RSSI qui ne peut pas être présent chaque jour sur les différents sites industriels. En complément et dans le but d’endiguer le phénomène de Shadow OT, il est également conseillé d’effectuer une cartographie des flux et des différents équipements et composants utilisés dans l’environnement industriel. La cartographie s’effectue au travers de sondes qui vont découvrir et inventorier les éléments présents sur les réseaux. Pour faire face aux nombreuses modifications de l’environnement de production, cette cartographie doit être mise à jour de manière régulière. En complément, il est nécessaire d’interdire aux équipes de connecter des équipements réseaux supplémentaires et d’ainsi contourner la DSI, en pensant gagner du temps d’intervention.

Dernier point et non des moindres, avant d’imposer des règles aux sous-traitants et fournisseurs, il est impératif de mettre en place des infrastructures pouvant les accueillir. Les actions les plus répandues sont la création d’une DMZ (demilitarized zone) par fournisseur, la fourniture d’accès VPN ou encore la mise en place d’outils sécurisés de prise en main à distance. Des mécanismes de contrôle des accès ou encore une solution de filtrage de données appelée DLP (Data Leak Prevention) permettent ensuite de s’assurer que les données qui sont échangées avec le prestataire le sont bien dans un cadre légitime.

Face à ce besoin d’accompagnement, plusieurs initiatives se sont développées ces dernières années. Sur l’aspect de la formation, en France, l’institut de régulation et d’automation propose la formation CYB-OT, formation dédiée à la cybersécurité des systèmes industriels. En parallèle, des groupements d’acteurs de la filière industrie se sont également formés, comme le GIMELEC. Ce groupement est composé d’éditeurs, constructeurs et intégrateurs du domaine de la cybersécurité industrielle. Sa mission est notamment de produire du contenu informationnel à destination des entreprises industrielles dans le but de faire monter en maturité les décideurs sur les problématiques de la cybersécurité. À ce titre et via son club GIMELEC Cyber OT, elle vient de publier son premier guide pédagogique sur la cybersécurité OT à destination des décideurs informatiques.

 

La question de la sécurité de la sous-traitance est donc un mix de bonnes pratiques et de responsabilités partagées entre le commanditaire et le sous-traitant. C’est un cercle vertueux qu’il faut s’évertuer à maintenir tout au long de la relation contractuelle. Cette responsabilité sera d’ailleurs renforcée dans l’ensemble de l'Union européenne dès l’application en 2024 de la réforme de la directive NIS pour tous les sous-traitants ayant en charge une infrastructure critique. Dans ce cadre, la responsabilité des dirigeants des entreprises pourra être engagée et les entreprises pourront être soumises à des amendes allant jusqu’à 2,4% du chiffre d’affaires global. De quoi accélérer la prise de conscience de la nécessité de sécuriser son système d’information pour les acteurs de la filière industrielle.

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Pour faire face aux cyber-menaces qui pèsent sur les réseaux OT et qui s’accélèrent avec le déploiement de l’industrie 4.0, Stormshield recommande une approche unique et globale. Avec comme objectif le bon fonctionnement des réseaux et une continuité d’activité pour tous les acteurs : énergie, transport, industrie, santé… et les autres.
Cyber-sécuriser un système industriel est essentiel… mais complexe. Et déployer des solutions de cybersécurité dans un site industriel n’a rien d’un long fleuve tranquille. Latence, indisponibilité, ruptures de conformité : comment éviter ces risques afin que ces opérations cruciales se déroulent au mieux ?
À propos de l'auteur
mm
Vincent Nicaise Responsable des partenaires et de l'écosystème industriels, Stormshield

Fort d'une déjà longue expérience pro., Vincent navigue dans l'univers cyber avec une vraie appétence commerciale, marketing et technique. Passionné de street-art, de poulpe et de cybersécurité (pas forcément dans cet ordre), il est en charge des partenariats avec l’ensemble de l’écosystème cyber industriel. Tout un programme.