Les systèmes de contrôle industriels (ICS - Industrial Control Systems) sont des éléments aussi complexes que critiques pour le fonctionnement des infrastructures industrielles. Ils connectent la partie numérique à la partie physique et interprètent les commandes qui contrôlent votre installation. Un rôle-clé qui s'accompagne d'un fort besoin de management du risque. Grâce à nos clients et à notre expérience, voici la liste des 9 problématiques les plus rencontrées. Et surtout, comment nous y répondons !
« Je dois garantir la disponibilité de mon installation industrielle »
Une règle simple s’applique aux installations industrielles : elles doivent constamment pouvoir fonctionner. Un réseau encombré, une perte de connectivité ou encore une attaque par déni de service (DDoS) peuvent occasionner une rupture dans la chaine de contrôle, et donc un arrêt inopiné bref ou prolongé.
Rupture qui va dégrader l’installation, faire chuter la productivité ou provoquer de plus grands problèmes (impacts environnementaux ou risques humains). Dans une fonderie par exemple, on peut imaginer une cuve remplie de métal en fusion qui ne serait plus suffisamment chauffée et qui verrait son contenant se solidifier ; il faudra alors détruire l’ensemble et remplacer totalement l’installation. Côté transport, on peut imaginer un train arrivant sur un aiguillage défectueux, qui l’enverrait dans une mauvaise direction.
Assurer la disponibilité réseau avec Stormshield Network Security
Pour répondre à ces besoins, la gamme Stormshield Network Security offre une fonctionnalité de haute disponibilité pour assurer une continuité de service en cas de dysfonctionnement. Notre pare-feu industriel, le SNi40, présente également un mode Sureté (fail safe), qui garantit la connectivité même en cas d’arrêt de l’équipement.
« Je dois m’assurer de l’intégrité de mes données »
Dans le monde industriel, la manipulation des données peut être aussi grave que leur vol. Il s’agit de l’un des principaux enseignements tirés après le virus Stuxnet ; le monde industriel a besoin d’une vraie assurance que les commandes envoyées et informations reçues par les différents équipements soient toujours intègres.
Le monde industriel a besoin d’une vraie assurance que les commandes envoyées et informations reçues par les différents équipements soient toujours intègres.
En 2010, le ver informatique le plus célèbre du monde industriel avait en effet corrompu les informations envoyées aux machines de supervision et de contrôle, en faisant croire que les centrifugeuses tournaient encore à la bonne vitesse. Pour le résultat que l’on connaît.
Protéger les protocoles industriels avec Stormshield Network Security
Avec nos produits Stormshield Network Security, nous avons la capacité de protéger et de filtrer différents types de protocoles industriels (ex. : Modbus, OPC…) grâce à une véritable approche DPI (deep packet inspection), des fonctionnalités de VPN IPSec et VPN SSL, et un système avancé de gestions des événements et des alarmes.
« J’ai besoin d’une connexion internet entrante sûre »
Dans le cas d’une installation industrielle télé-maintenue ou télé-supervisée, une connexion internet entrante est nécessaire – que ce soit dans la zone de supervision ou dans celle des automates. Dès lors qu’il existe une connectivité extérieure, il faut s’assurer que la machine qui se connecte à distance à l’infrastructure industrielle ne soit pas corrompue – afin d’éviter notamment les attaques par rebond.
En plus d’assurer une connexion entrante sûre, il faut dans certains cas de figure pouvoir couper toute connexion. Imaginons une panne dans une presse industrielle, détectée en télémaintenance, mais qui nécessite l’intervention humaine sur place. La coupure avec la connexion extérieure permet ainsi d’éviter le risque humain.
Filtrer les flux d’informations avec Stormshield Network Security et Stormshield Endpoint Security
Notre gamme Stormshield Network Security permet de configurer plusieurs règles de flux qui vont autoriser des connexions en fonction de l’heure, de la personne (identification par captive portal par exemple), mais aussi de DPI pour analyser les commandes. En complément, notre produit Stormshield Endpoint Security permet de limiter les communications uniquement au tunnel monté, empêchant ainsi les attaques par rebond.
« J’ai besoin d’une communication contrôlée entre mon OT et mon IT »
Entre le système d’informations industriel (OT) et le système d’informations plus « classique » (IT), la communication doit être sûre et sécurisée. Notamment quand il s’agit d’informations à renseigner dans l’ERP, côté IT.
Une passerelle adéquate et sécurisée entre les deux univers permet par exemple de réduire les coûts de stockage et d’indisponibilité sur la chaine de production. Dans le cadre d’une usine de mise en bouteilles, il sera alors possible de commander un camion de transport pour que celui-ci arrive au bon moment, une fois la production terminée.
Limiter les flux d’informations avec Stormshield Network Security
Grâce aux règles de flux et de DPI de notre gamme Stormshield Network Security, les connexions peuvent être limitées aux seuls échanges sûrs et voulus entre IT et OT.
« Je souhaite que mes DSI IT et OT collaborent »
La cybersécurité n’est pas propre au monde IT ou au monde OT. Il faut donc pouvoir parler le même langage, afin de se comprendre et d’assurer la cohérence des règles des deux zones.
Côté IT, la DSI est généralement plus mature concernant les risques et bonnes pratiques de cybersécurité. Il faut donc qu’elle puisse échanger avec la DSI côté OT, pour une efficacité maximale des solutions de sécurité. Mais quand les outils sont différents, les échanges peuvent vite devenir très complexes.
Parler le même langage de sécurité avec Stormshield Management Center
Notre solution Stormshield Management Center vous permet de configurer nos pare-feux Stormshield Network Security à la fois en zone IT et en zone OT. Cet outil d’administration va ainsi fournir la même base d’information aux deux parties et leur permettre de communiquer avec les mêmes éléments de langage.
« Je dois mettre à jour mes produits de protection des postes »
Dans le monde industriel plus que partout ailleurs, les postes de travail constituent des points sensibles des systèmes opérationnels. Les postes de supervision sont déconnectés d’internet et lorsqu’ils sont équipés d’antivirus, ceux-ci ne sont – de fait – pas mis à jour. Des mises à jour qui présentent en plus le risque de rendre les applications métier dysfonctionnelles ; ce qui freine leur déploiement.
Protéger les postes non-connectés avec Stormshield Endpoint Security
Sans base de signatures et grâce à son moteur d’analyse comportementale, Stormshield Endpoint Security maintient les conditions de sécurité optimales pour les environnements déconnectés.
« Je dois mettre à jour les systèmes d’exploitation »
Même cas de figure qu’au-dessus avec des postes de travail déconnectés d’internet qui fonctionnent encore avec des OS datés ou non mis à jour. En plus du coût financier certain que représenterait la mise à jour du parc informatique, celle-ci peut amener des instabilités. Il faut par conséquent refaire certifier l’ensemble.
Par exemple, en début d’année 2018, un fournisseur de solutions industrielles a ainsi vu son outil interne devenir instable suite à une mise à jour… censée protéger du malware Meltdown !
Protéger les systèmes d’exploitation obsolètes avec Stormshield Endpoint Security
Face à des systèmes d’exploitation obsolète, Stormshield Endpoint Security maintient des conditions de sécurité optimales. Ne nécessitant ni mise à jour, ni connexion vers un système externe, cette solution est donc notamment adaptée aux systèmes en fin de vie (ex. : Windows XP).
« Je veux me prévenir des risques de l’IIoT »
Depuis quelques années, l’IIoT et l’Industrie du futur proposent de nombreuses évolutions technologies et continuent à en promettre de nouvelles. Mais comment intégrer ces nouveautés technologiques sans mettre en péril les installations existantes ?
Que ce soit avec un ajout de capteurs pour prédire les pannes ou une optimisation de la production avec la puissance de calcul du Cloud, les nouvelles technologies impliquent de remonter des flux d’informations entre l’installation et le monde extérieur. Flux d’informations qui peuvent devenir une porte d’entrée pour les cyberattaques.
Contrôler les flux d’informations avec Stormshield Network Security
Dès qu’il est question d’échanger des flux depuis/vers l’infrastructure industrielle, notre gamme Stormshield Network Security permet d’en limiter les volumes et d’en contrôler les messages grâce à des règles de flux et de DPI.
« Je veux être sûr de l’intégrité de mon jumeau numérique »
Maintenance préventive et prédictive, simulation de modification, surveillance des niveaux de consommation d’énergie ; les possibilités autour du jumeau numérique sont déjà nombreuses. Mais les données envoyées et récupérées n’ont de valeur que si elles sont intègres.
La projection est ici la même qu’avec Stuxnet ; si le jumeau numérique est corrompu et remonte des informations erronées, les conséquences peuvent s’avérer dramatique au moment de la mise en production.
Garantir un jumeau numérique intègre avec Stormshield Network Security
L’objectif est ici de réussir dupliquer la sécurité de l’environnement de production dans le jumeau numérique. Pour cela, notre gamme Stormshield Network Security se décline en machines virtuelles, avec la même efficacité que les boîtiers physiques.