Abonnez-vous Identifiez-vous

Identifiez-vous

Vos codes d'accès sont erronés, Veuillez les saisir à nouveau. Mot de passe oublié ?

La cyber au chevet des usines

Publié le

Pour contrer les attaques, chercheurs, fabricants d’automates, spécialistes de la cybersécurité et prestataires de service unissent leurs forces.

La cyber au chevet des usines © Thomas Martinsen

Les automates industriels ne sont pas à la fête dans les laboratoires de l’Agence nationale de la sécurité des systèmes d’information (Ansii). Durant plusieurs semaines, ils sont livrés aux experts de l’agence de cybersécurité qui vont chercher par tous les moyens la vulnérabilité exploitable par un pirate informatique. S’il passe le test, le produit est certifié. Un gage de confiance pour les entreprises et notamment les opérateurs d’importance vitale (OIV), ces grandes entreprises qui veulent sécuriser leur informatique industrielle. La certification devient un passage quasi obligé pour les fabricants d’automates afin de rester sur le marché. En octobre dernier, Schneider Electric a décroché le fameux label pour son dernier modèle, le M580, qui intègre des mécanismes de cybersécurité dès sa conception (accès sécurisé aux processeurs, détection des tentatives de corruption…). « Cela a demandé des développements supplémentaires de la part de nos équipes. Nous voulons capitaliser sur cette réussite pour également certifier notre gamme de disjoncteurs industriels », explique Yann?Bourjault, le directeur cybersécurité process automation de Schneider Electric France.

Des solutions dédiées aux installations industrielles

Siemens a été un cran plus loin en passant l’étape plus exigeante de la qualification pour sa dernière gamme d’automates. Le fabricant allemand a pris le taureau par les cornes après 2010 et l’attaque Stuxnet qui avait impliqué ses automates. « Cela a été un électrochoc. Nous avons déployé une nouvelle organisation mondiale dédiée à la sécurité de nos offres. Dans le groupe, environ 1 000?personnes travaillent sur le sujet de la cybersécurité », explique Jean-Christophe?Mathieu, responsable de l’unité chargée de la sécurité de l’offre Siemens en France. Rockwell Automation a privilégié un partenariat. Il s’est rapproché du géant des réseaux Internet Cisco Systems pour mettre sur le marché l’an passé un boîtier de sécurité. Grâce à l’analyse des ordres qui circulent sur le réseau de production, le Stratix 5950 peut empêcher qu’une machine non autorisée charge un programme malveillant sur un automate.

Au-delà des automaticiens, tout l’écosystème de la cybersécurité se mobilise pour venir en aide aux usines et… également profiter de cette nouvelle opportunité de marché. Les acteurs de la cybersécurité classique adaptent l’offre de pare-feu, d’antivirus, de gestion des droits d’accès, de tests d’intrusion… Il s’agit toutefois d’apporter bien plus qu’un vernis industriel aux solutions existantes. Le fabricant de pare-feu Stormshield (filiale à 100 % d’Airbus Cybersecurity) a conçu avec Schneider Electric un équipement dédié à la protection des installations industrielles. « Cela a représenté la mobilisation d’une vingtaine de personnes durant deux ans environ », estime Yann?Bourjault. Commercialisé en 2016, une quinzaine d’OIV l’ont déjà déployé. Airbus promet de déployer ses sondes de détection d’intrusion au plus proche des systèmes d’exploitation des réseaux informatiques industriels. Grâce à l’analyse des données remontées en cas de cyberattaque, les usines savent si la menace peut être traitée en étant confinée afin d’éviter un arrêt de la production. « La quasi-totalité de nos clients qui nous ont sélectionné pour superviser leur informatique classique nous sollicitent pour étendre notre prestation à leur informatique industrielle », précise Frédéric?Julhes, le directeur de l’activité de cybersécurité en France pour Airbus Defence and Space.

Mieux détecter les intrusions

Les prestataires d’audit et des tests d’intrusion enrichissent également leur offre. À l’image d’Arkeva qui, dans le courant du premier semestre, va ouvrir en région parisienne un laboratoire dédié à l’évaluation des objets connectés industriels (automates, capteurs, système de transmission). Toutefois, il faudra aller plus loin que l’adaptation de technologies existantes et lister de manière très concrète les besoins des industriels. Créée en 2014, la start-up Sentryo a été l’un des premiers acteurs à le comprendre [lire ci-dessous]. « Avec notre solution de cartographie des réseaux industriels, certains clients découvrent qu’ils disposent d’un grand nombre de machines connectées et dont ils ignoraient ou avaient oublié l’existence », observe Laurent?Hausermann, son cofondateur. Soit autant de vulnérabilités qui n’étaient pas traitées ! Les chercheurs imaginent déjà la cybersécurité industrielle de demain. Et avancent de nouveaux concepts. « Nous partons du principe qu’il ne faut pas tout miser sur la protection périmétrique, car un pirate finira toujours par pénétrer dans un réseau. Ce qu’il faut, c’est développer une capacité de résilience des réseaux », anticipe Frédéric?Cuppens, professeur à l’Institut Mines-Télécom Atlantique et porteur de la chaire cybersécurité des infrastructures critiques. Plusieurs partenaires – dont de grands groupes industriels (Airbus Defence and Space, Amossys, BNP Paribas, EDF, La Poste, Nokia, Orange et la Société générale) – la soutiennent. Ses chercheurs travaillent sur de nouvelles façons de détecter les intrusions et de neutraliser les cyberattaques spécifiques sur les réseaux de production. « On peut détecter une intrusion en repérant les symptômes anormaux de l’installation industrielle, correspondant à des écarts avec le fonctionnement normal et attendu », insiste Frédéric?Cuppens. Appliqué au virus Stuxnet qui a frappé le nucléaire iranien en 2010, avec une variation de la vitesse de fonctionnement des centrifugeuses qui a généré la destruction de ces appareils, cela aurait déclenché une alerte et l’attaque aurait potentiellement pu être stoppée ! D’autres travaux prometteurs sont en cours comme le développement d’un outil de visualisation 3 D de l’état de sécurité d’un système informatique, ou encore la prise en compte des facteurs humains dans la conception de systèmes sécurisés.?

Réagir à cet article

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte
Suivez-nous Suivre Usine Nouvelle sur Facebook Suivre Usine Nouvelle sur Twitter RSS Usine Nouvelle

Les cookies assurent le bon fonctionnnement de nos sites et services.
En utilisant ces derniers, vous acceptez l’utilisation des cookies.

En savoir plus