Cybersécurité
L’avènement des équipements connectés dans le secteur industriel fait craindre un risque de perte de contrôle de la sécurité. Les RSSI ont un important rôle à jouer pour faire converger les objectifs de chacun entre efficacité opérationnelle et cybersécurité, afin que ce soit l’entreprise qui en sorte renforcée.

La révolution de l’industrie 4.0 a débuté. Pour les RSSI, ce sont surtout de nouveaux enjeux en termes de cybersécurité, mais aussi en termes métiers. La multiplication des objets communicants et des réseaux de communication associés crée de fait un nouvel état des lieux qu’il est impossible d’ignorer.

Le chantier se poursuit dans la continuité de la partie IT et mêle dans un même ensemble les matériels OT (Operational Technology), BMS (Building Management Systems – ascenseurs, climatisations, détection incendie, etc.) et IoT (Internet des Objets), mais aussi les réseaux (wifi industriel, 5G, LoRa) et les équipes (métiers, services généraux, responsable de site).

Le nouvel enjeu pour les équipes cybersécurité est alors la réunion de ces objets et technologies au sein d’une même unité cohérente. Et même encore plus : cela nécessite de trouver la bonne adéquation entre gains de productivité, maintien opérationnel, équilibre financier et enjeux sécuritaires. Les défis sont donc nombreux, d’autant que l’équilibre des forces tend également à changer.  

Ne pas laisser échapper le contrôle sur la cybersécurité

Le rapprochement entre les environnements OT et IT entraîne évidemment un besoin de contrôle et de sécurité sur les équipements connectés. Surtout que l’on commence à retrouver ces derniers dans des endroits plutôt inattendus, voire surprenant de prime abord mais, après tout, en phase avec la logique de l’usine 4.0 (5.0 déjà pour la Commission Européenne depuis 4 ans) qui veut notamment optimiser et rendre plus flexible l’outil de travail (l’usine) et augmenter sa résilience, pour reprendre un terme devenu à la mode.

Ainsi, l’entrée en force de la 5G dans les usines dépasse la simple connectivité sans-fil pour des communications mobiles ou même de la data au sens « surf Internet » d’utilisateurs bureautique.

De plus en plus souvent, la 5G se retrouve utilisée pour des échanges intra-site, en remplacement de l’infrastructure réseau traditionnelle, en remplacement de routeurs, switches ou même de simples câbles.

En effet, sur des chaînes de production utilisant des bras robotisés effectuant de nombreux et rapides mouvements, un câble Ethernet classique a tendance à se décrocher et/ou à s’user fortement. Nous voyons ainsi de plus en plus de remplacement par des modules 5G, évitant ainsi une interruption de service nécessitant obligatoirement une intervention physique.

Or les spécialistes font face à un défi singulier : la publicité faite sur l’intégration dans le standard 5G de modules et fonctions de sécurité inhérentes à cette technologie de dernière génération fait que, dans l’industrie, les métiers peuvent être tentés de négliger l’aspect cybersécurité, pensant que ces solutions packagées offrent toutes les garanties. Il y a donc un risque que les équipes sécurité soient outrepassées, avec pour seul enjeu la promesse d’un bénéfice opérationnel simple et rapide.

Le choix de l’installation d’un nouvel équipement communicant, tout comme le choix de mettre des briques de cybersécurité, revient donc aux métiers, au responsable du site industriel, responsable notamment du P&L (Profit & Loss, donc le bilan) du site, véritable petite entreprise, même au sein de grands groupes. S’ils n’ont pas nécessairement les compétences pour juger de la qualité sous tous les aspects, les opérateurs mettent en avant les bénéfices d’une connectivité « 5G privée » pour les rassurer et apporter des garanties.

Aussi de nombreux environnements se retrouvent bardés de matériels censés être sécurisés, sans pour autant en avoir la maîtrise. La question de l’efficacité du standard sécurité de la 5G devient alors prépondérante,tout comme l’utilisation sécurisée de ces modules se posent, tout comme le suivi par les équipes dédiées.

Tout l’enjeu de la sécurité industrielle est donc de favoriser une approche globale au service d’objectifs communs. Elle concerne tant les matériels (OT et xIoT) que les équipes (RSSI, OT manager, services généraux, responsable de site) dont les intérêts doivent converger pour maintenir un niveau de sécurité suffisant, à l’aube d’accueillir une multitude de nouveaux objets communicants.  

Anticiper pour déjouer les attaques

A l’heure de cette révolution industrielle 4.0, le rôle du RSSI est schématiquement simple : réussir à conserver une visibilité sur le périmètre matériel, celui du réseau de l’entreprise mais aussi des processus de sécurité et de la gouvernance.

Dans les faits, la tâche est évidemment complexe car le propre des équipements communicants est de… communiquer. Ainsi, et comme on le voit parfois sur la partie OT, les constructeurs xIoT (IoIoT – IoT Industriel par exemple) imposent désormais un accès en télémaintenance pour superviser, mettre à jour, etc.

Dans les hôpitaux par exemple, cela arrange souvent les équipes informatiques qui ont peu de ressources et généralement pas les compétences. En contrepartie, cela signifie laisser entrer des équipements et des connexions sans réellement de contrôle. Ce qui pourrait peu ou prou s’assimiler à une forme de backdoor.

Le déport de la sécurité sur le fabricant et sur les capacités intrinsèques des équipements et, dans le cas des modules 5G sur l’opérateur et les améliorations apportées au standard, interroge donc sur le rôle de contrôle au sein des entreprises ; ne serait-ce que sur le suivi des risques et des mises à jour des équipements. Les exemples pour illustrer ceci ne sont d’ailleurs pas rares.

L’attaque « tendance » de ces derniers mois n’est autre que celle sur les citernes de stockage des produits chimiques, et notamment sur les capteurs de remplissage. Le principe est simple : contrôler le capteur pour faire croire que la cuve n’est pas remplie jusqu’à ce qu’elle déborde. Ce qui impacte tant la production que l’image de l’entreprise et évidemment, l’environnement.  

3 étapes pour reprendre le contrôle

Dans ce contexte, le principe de safety prend tout son sens : protection de la production, des personnes et de l’environnement. D’un point de vue cybersécurité, s’il n’y a pas de réponse magique en termes de recommandations, il existe toutefois trois démarches pragmatiques et concrètes à rapidement mettre en place.

Cela débute avec un besoin impérieux de visibilité, et donc par un inventaire précis de tous les matériels confondus. L’opération peut être plus ou moins détaillée, et nécessite au maximum quelques jours de travail pour un site industriel. Il s’agira de répertorier les matériels avec jusqu’à potentiellement beaucoup de détails (fabricant, modèle, version OS/firmware, etc.), sans oublier les vulnérabilités connues.

Cet état des lieux est donc important, et moins intrusif que la deuxième étape qu’est la cartographie, qui quant à elle va scruter les échanges internes et externes de chaque équipement avec son environnement. C’est ce qui permet de voir toutes les anomalies d’architecture et de pouvoir les corriger.

Ces deux étapes permettent donc d’avoir une visualisation globale des équipements et de leurs comportements. La troisième est celle de l’action : en fonction de la situation, l’entreprise pourra alors déployer une multitude de corrections. Il est alors possible de mieux contrôler et sécuriser les accès distants, faire de la micro-segmentation, du contrôle d’accès réseau (NAC), mettre en place de l’authentification forte, etc. Tout ce qui a été corrigé pendant 20 ans côté IT peut donc potentiellement se retrouver côté métier.

Aujourd’hui, les RSSI ont toutefois plusieurs cartes à jouer, au moment de l’arrivée de ces nouveaux équipements. En l’occurrence, cela tient plus de la bonne pratique : s’assurer que tout nouveau matériel passe par les passerelles de sécurité de l’entreprise, qu’il est maintenu à jour, etc. Et pour cela, que ce soient les services généraux ou les métiers, la question de l’éducation est fondamentale. C‘est aussi ce pourquoi la formation est nécessaire pour sensibiliser et montrer que les choix peuvent avoir de réels impacts opérationnels.

Enfin, le RSSI doit aussi adapter son discours et parler opérationnel : en classant les priorités, c’est toute l’entreprise qui devient proactive et enregistrera à terme des gains financiers, de temps et d’efficacité.

Par Emmanuel Le Bohec, Directeur de la division OT/xIoT du Groupe Nomios