"Menaces sur la sécurité des installations industrielles : quelle stratégie pour les contrer ?"

L'Embarqué Opinion

[TRIBUNE de Reda Yaich, IRT SystemX] Sur le plan stratégique, le tissu industriel occupe un rôle déterminant pour la souveraineté et l'indépendance économique et énergétique d'un pays. En 2010, l'attaque Stuxnet, visant les installations nucléaires iraniennes, a révélé au grand jour l'ampleur de la menace qui pèse sur ces systèmes industriels. Depuis, la liste des incidents ne cesse de s'allonger. Face à cette menace qui pèse sur les installations industrielles, Reda Yaich, chercheur senior et responsable d'équipe Sécurité numérique au sein de l’IRT SystemX, donne un éclairage sur les stratégies de défense à mettre en place....

Les systèmes industriels doivent constamment relever de nouveaux défis afin de faire face à une concurrence mondiale accrue. C'est ainsi que ce secteur s'est massivement engagé dans une course à la numérisation en vue d'automatiser ses processus et d'optimiser son efficacité. D’ici 2020, selon une étude de PwC(1), 907 milliards de dollars seront dépensés afin de permettre à la majorité des entreprises de passer le cap de la “digitalisation”. Cette évolution s'inscrit dans une démarche plus globale, appelée au choix Industrie 4.0, Internet industriel, Internet des objets connectés Industriels (IIoT), voire Usine digitale.

Au-delà du débat terminologique, intégrer le numérique au sein d'une usine ou d'une installation industrielle se traduit systématiquement par de profondes transformations portées par de nouveaux composants matériels et/ou logiciels. Mais cette transformation est une arme à double tranchant. D'une part, elle apporte son lot d'innovations et de sophistication et, d'autre part, elle étend la surface d'attaque et rallonge la liste des vulnérabilités et des menaces auxquelles ces systèmes industriels peuvent être exposés. Typiquement, un système de contrôle industriel (ICS, Industrial Control System) représente l'ensemble des équipements et logiciels utilisés pour contrôler et surveiller les éléments constitutifs d'une installation industrielle. Ces éléments reposent sur des technologies éprouvées comme les automates programmables industriels (API), les systèmes numériques de contrôle-commande (SNCC) et les logiciels de contrôle et d'acquisition de données (SCADA).

Traditionnellement isolés des systèmes d'information de l'entreprise, ces composants industriels dits opérationnels voient leurs cloisons s'atténuer progressivement au profit d’une “interconnectivité” massive avec l’informatique traditionnelle de l’entreprise (IT), localement en réseau ou via Internet. Cette convergence entre systèmes d'information et réseaux industriels n'est pas dénuée de risques, notamment lorsqu'il s'agit d'instrumenter des équipements non informatiques avec des objets connectés industriels. Par ailleurs, désormais davantage exposés, ces composants utilisent souvent des logiciels et/ou protocoles de communication propriétaires rendant difficiles leurs évolutions pour faire face aux nouvelles menaces.

Une menace en perpétuelle évolution

En 2005, un ver informatique, appelé Zotob, a été à l'origine d'un déni de service massif qui a affecté 13 usines automobiles de DaimlerChrysler aux États-Unis. L'attaque a duré moins de deux heures et les dégâts ont été estimés à plus de 14 millions de dollars. Le ver a initialement infecté les postes de travail du système d'information pour se propager par la suite vers le réseau industriel. Deux ans plus tôt, une attaque similaire exploitant le ver Slammer avait rendu inopérants les systèmes de sûreté de la centrale nucléaire de Davis-Bess aux États-Unis. Bien que les deux attaques ne soient pas ciblées, l'absence de cloisonnement entre systèmes d'information et réseaux industriels a dans les deux cas facilité leur progression et aggravé leurs préjudices. L'enseignement principal de ces deux incidents réside justement dans le manque d'enseignements dont ont fait preuve les responsables de DaimlerChrysler suite à l'attaque sur la centrale nucléaire. Une simple mise en place d'un filtrage rigoureux entre le réseau IT et le réseau industriel leur aurait permis d'éviter l'attaque.

Quinze ans plus tard, la situation est toujours aussi préoccupante. Bien que le degré de sensibilisation vis-à-vis de la menace cyber ne soit plus le même qu'au début du siècle, la prise de conscience des industriels, bien qu'encourageante, est à relativiser. En effet, la menace a changé de dimension. Les attaques “récréationnelles” massives ont été reléguées au second plan en faveur d'une nouvelle génération d'attaques plus ciblées, plus sophistiquées et aux conséquences d'une extrême sévérité. Que ces attaques émanent d'espions industriels, de criminels, de hackers professionnels, de terroristes ou de groupuscules soutenus par des états hostiles, le constat est le même. Désormais, le visage de la menace a évolué. Il n'est plus représenté par le jeune hacker surdoué à la recherche de sensations fortes, mais par des membres de commandos suréquipés, surentrainés et surmotivés. Il s'agit désormais de professionnels dont la mission principale est de mettre à mal la sécurité de l'installation industrielle de leurs cibles.

De l'importance des chaînes de défense pour une sécurité de bout en bout

L'écart entre le niveau de la menace et le degré de protection est ainsi en train d'atteindre son paroxysme. Preuve de ce déficit, la longue liste d'attaques visant les installations industrielles depuis Stuxnet et leurs impacts sur l'économie mondiale. Bien que la prise de conscience de la gravité de la menace cyber ne soit pas récente pour les services de l'État et les grands groupes, celle-ci n'en est qu'à ses premiers balbutiements quand il s'agit de petites ou moyennes entreprises(2). Or, une chaîne n'est pas plus solide que son maillon le plus faible et les capacités techniques, humaines et financières limitées des TPE-PME en font des proies faciles. C'est d'ailleurs ce qu'a souligné Guillaume Poupard, directeur général de l'ANSSI (Agence nationale pour la sécurité des systèmes d'information) lors de l'édition 2019 du Forum international de la cybersécurité (FIC) : « Les attaquants ont compris que pour toucher certaines cibles, il était beaucoup plus efficace de s'en prendre aux prestataires, à la supply chain ».

C'est d'ailleurs ce que démontre une étude de terrain menée depuis 2016 par l'IRT SystemX sur la quantification du risque informatique sur l'ensemble du territoire français, avec une soixantaine de petites entreprises et d'associations de loi 1901 victimes d'attaques(3)(4)(5). Alors que le directeur de l'ANSSI milite pour mobiliser tous les acteurs de la sécurité pour une défense collective, solidaire et globale à l'échelle de la France, voire de l'Europe, certaines voix n'hésitent plus à évoquer le sujet longtemps tabou de la défense offensive.

Motivée par une situation qu'ils qualifient de “cyberguerre” cette ligne de défense proactive est notamment portée par la ministre des Armées, Florence Parly, au travers du volet offensif de la doctrine cybermilitaire dévoilée au FIC en janvier 2019. Tandis que la sécurité collaborative prônée par l'ANSSI met l'accent sur l'importance de la coopération entre les acteurs de la sécurité industrielle, la doctrine soutenue par le ministère des Armées vise à instrumenter le lien entre la cible et son attaquant. Ces instruments offensifs ont pour objectif de neutraliser et mettre hors d'état de nuire la source de l'agression.

Cependant, la plupart des entreprises visées par les cybercriminels, notamment les TPE/PME, sont très loin de ce niveau de sophistication et n'ont certainement pas la capacité de l'atteindre à court et moyen terme. Pourtant, une troisième stratégie de sécurité centrée sur l'entreprise et sa gestion interne de la sécurité est possible. Portée par des industriels et des académiques, cette approche repose sur des concepts inspirés par la biologie tels que “immunité”, “vigilance” et “résilience”(6). A terme, cette approche vise à sensibiliser les entreprises à la pratique d'une sécurité robuste, complète et évolutive afin d'inscrire la mise en œuvre de politiques de sécurité interne dans un processus d'amélioration continue de la qualité de protection.

Cyberimmunité : vers une stratégie de protection adaptative

Le concept de cyberimmunité vise à reproduire par mimétisme les phénomènes d'autoprotection observés chez certains êtres vivants pour mieux appréhender la menace. En réalité, le principe de cyberimmunité fait partie d'une approche globale visant à intégrer “by design” des fonctions de protection, de détection et de réaction afin d'assurer la continuité de l'activité métier malgré les perturbations liées à des actes malveillants. Ce changement de paradigme par rapport à la pratique classique de la sécurité informatique repose sur l'intégration synergétique des concepts de cyberimmunité, cybervigilance et cyberrésilience afin de fournir une approche de sécurité industrielle intégrale, dite à 360°.

- La cyberimmunité vise à renforcer le système vis-à-vis des menaces connues. Cela implique le déploiement et la mise en œuvre de solutions de protection adaptées à l'état de l'art. Ce principe vise également à immuniser le personnel, souvent considéré comme le maillon faible de la chaîne de sécurité, en le sensibilisant et en le formant au respect des règles définies au sein de la politique de sécurité de l'entreprise. Enfin, la cyberimmunité se nourrit des expériences passées en inscrivant le système dans un processus d'amélioration continue de la qualité de la protection. Cela passe, à titre d'exemple, par une gestion efficace des correctifs et des procédures de maintien en conditions de sécurité et maintien en conditions opérationnelles.

- La cybervigilance de son côté vise à maintenir le système dans une posture de méfiance permanente vis-à-vis des menaces du cyberespace industriel. Cela se traduit par la mise en œuvre de mécanismes de surveillance des activités du système ainsi que le déploiement de solutions de détection d'intrusions. Enfin, la posture de vigilance ne saurait être complète sans une tâche de veille régulière afin d'identifier les nouvelles menaces et de s'y préparer.

- Enfin, la cyberrésilience a pour objectif de doter le système industriel de capacités de réaction rapides et adaptées à la menace. L'objectif est d'ajuster la réaction à l'ampleur de l'attaque et cela englobe les procédures de mitigation d'attaques et de remédiation. La menace étant inévitable, le but de la cyberrésilience est de garantir la continuité des activités industrielles, même en mode dégradé, malgré la menace.

(1) https://www.pwc.fr/fr/espace-presse/communiques-de-presse/2018/avril/transformation-digitale-industriels-francais-prevoient-economies-augmentation-revenus.html

(2) https://www.chefdentreprise.com/Thematique/digital-innovation-1074/Infographies/Plus-PME-cinq-est-victime-cyber-attaque-335996.htm

(3) https://www.irt-systemx.fr/wp-content/uploads/2017/10/ISX-IC-Cyber-Risque.pdf

(4) https://blog.irt-systemx.fr/le-piratage-informatique-en-france-un-cyberimpot/

(5) https://www.lepoint.fr/economie/les-cyberattaques-un-risque-pour-les-pme-aussi-03-11-2017-2169603_28.php

(6) https://blog.irt-systemx.fr/wp-content/uploads/2019/03/cyber-blog-300x298.png