Industrie : comment intégrer nativement la cybersécurité
Quelles bonnes pratiques mettre en œuvre pour sécuriser les sites de production sans compliquer le quotidien des équipes opérationnelles ? Éléments de réponse avec Vincent Nicaise, Industrial Partnership and Ecosystem Manager chez Stormshield.
Quels sont les principaux risques cyber auxquels le secteur industriel est confronté ?
En 2010, la cyberattaque Stuxnet a impacté des sites d’enrichissement d’uranium en Iran et a publiquement mis en lumière les vulnérabilités des réseaux industriels. À la suite de ce ver informatique, des sites de production à travers le monde entier ont, à leur tour, fait l'objet d'attaques ciblées et complexes. Après avoir été repéré dès 2007, le cheval de Troie BlackEnergy a par exemple impacté les réseaux électriques en Ukraine. En 2017, avec les vagues Wannacry et NotPetya, les industriels n'ont pas non plus échappé aux campagnes massives de ransomwares. Et ce ne sont que trois exemples parmi tant d’autres ! La convergence des réseaux OT et IT est souvent mise en avant côté cause, car elle a notamment augmenté la surface d'attaque des entreprises industrielles. Mais un autre type de menace est ensuite apparu, touchant cette fois la supply chain. En se faisant passer pour un sous-traitant ou en prenant le contrôle de ses infrastructures, les cybercriminels peuvent attaquer son donneur d'ordre.
À cela s'ajoute un enjeu politique. Des officines liées à des États, et disposant donc d'une puissance de feu conséquente, s'attaquent en temps de guerre à des points névralgiques comme les réseaux électriques ou de distribution d'eau. L'Ukraine a par exemple récemment déjoué une cyberattaque russe lancée pour couper l'électricité dans tout le pays.
Selon le baromètre Stormshield – L'Usine Nouvelle, les industriels voient encore la question de la cybersécurité comme un frein à leurs projets opérationnels. Comment l'expliquez-vous ?
Un responsable de l'exploitation ou un directeur d'usine perçoit souvent un DSI ou un RSSI comme un empêcheur de tourner en rond. Il craint qu'il introduise des procédures et des outils venant perturber son quotidien et le réseau opérationnel. L'introduction de nouveaux composants est à prendre en compte dans l’architecture comme autant de risques de bugs potentiels et donc de menaces pour le fonctionnement du système OT. Un travail d'acculturation permet cependant de lever un certain nombre d'appréhensions : face à une menace bien réelle, la cybersécurité n'entrave pas l'action des exploitants mais répond, au contraire, à leur mission première qui est d'assurer la continuité opérationnelle d'une usine.
Les récents cas médiatisés de cyberattaques dans le secteur industriel sont là pour rappeler combien les impacts sur l'outil de production peuvent être lourds de conséquences.
Quelles bonnes pratiques mettre en œuvre pour sécuriser les sites de production sans compliquer le quotidien des opérationnels ?
Les attaques par phishing, spearphising ou spam arrivent largement en tête avec 43 % des industriels qui déclarent en avoir été victimes dans notre baromètre 2021. Face à cette menace, seulement 62 % des répondants sensibilisent leurs salariés aux risques de cybersécurité. C’est trop peu face à des attaques de type ransomware qui sont largement répandues sur les systèmes industriels et qui sont souvent initiées à travers un clic sur un lien malveillant.
Le personnel d'une usine est déjà habitué à appliquer les consignes de sécurité avec les panneaux d'affichage ou le port du casque et des chaussures de sécurité. De la même manière, la cybersécurité doit désormais devenir un réflexe et s'intégrer nativement dans le quotidien d'une usine même si le risque est immatériel.
En parallèle, le mode de gouvernance de la politique cyber diffère en fonction de la taille de l'entreprise et de sa culture. Les DSI et RSSI de grands industriels centralisent cette stratégie et la déploie sur les différents sites. D'autres préfèrent décentraliser son application en s'appuyant sur des référents locaux. Sur ce sujet, Stormshield plaide pour une approche hybride. La centralisation des décisions permet de mener une politique uniforme sur l'ensemble d'un groupe tout en laissant le soin à des référents locaux de les appliquer voire, le cas échéant, de les aménager. La politique de mises à jour et de patching ne doit pas, par exemple, perturber la production. Dans le cadre de la maintenance des installations, le patching d’un automate nécessite un arrêt de la production qui doit s’anticiper et se planifier.
Quels outils mettre en place pour assurer une protection optimale sans qu'ils ne soient perçus comme intrusifs par les opérationnels ?
Avec la convergence entre leurs infrastructures IT et les réseaux opérationnels (OT), les industriels doivent veiller à bien sécuriser l'interconnexion entre ces deux systèmes d’informations. Un ERP va, par exemple, interroger un outil dédié à la production pour s'assurer que l'état des stocks est suffisant pour répondre à une commande passée.
La segmentation des réseaux est aussi un enjeu pour stopper une menace ou, tout du moins, enrayer sa propagation. Les industriels plus matures procèdent à l'analyse des flux entre les automates et les postes de supervision afin de détecter des commandes malicieuses comme l'activation suspecte d'un vérin ou l'ouverture inopinée d'une vanne dans une usine d'assainissement qui conduirait à vider l'eau sale des décanteurs.
Il s'agit également de protéger les accès externes par des liaisons sécurisées VPN avec une authentification multi-facteurs. Cela permet de restreindre les droits d'accès d'une société tierce assurant la maintenance d'une machine qui, sans cela, pourrait potentiellement avoir accès à tout le réseau.
Pour en savoir plus, consultez le livre blanc d’analyse du baromètre sur ce lien.
Contenu proposé par STORMSHIELD