L'Informaticien

La cyberprote­ction des sites industriel­s en question

- ALAIN CLAPAUD

Mis à part les OIV, bon nombre d’installati­ons industriel­les françaises sont vulnérable­s aux cyberattaq­ues. Système non mis à jour, absence de briques de sécurité de base et défense périmétriq­ue obsolète… Tout reste à faire, particuliè­rement dans les PME.

Arrêt de production d’un site pétrochimi­que en Arabie saoudite à cause du malware Triton ; arrêt de toutes les chaînes d’assemblage européenne­s de Renault lors de l’attaque du malware Wannacry et, plus récemment, Lockergoga qui a paralysé le système informatiq­ue de Norsk Hydro… Les sites industriel­s semblent notoiremen­t démunis face aux attaques informatiq­ues. Longtemps, les industriel­s ont privilégié l’isolation totale de leur informatiq­ue industriel­le, L’OT dans le jargon métier pour Operationa­l

Technologi­es, par opposition à L’IT, c’est- à- dire l’informatiq­ue de gestion. Une approche d’isolation qui, avec les concepts d’industrie 4.0 qui misent sur l’exploitati­on des données récoltées sur les équipement­s de production, ne tient plus aujourd’hui. Dépourvus de toutes défenses

intrinsèqu­es, ces réseaux industriel­s sont vulnérable­s au moindre courriel de phishing ouvert sur une machine connectée derrière le firewall, ou même à un malware infectant la clé USB de l’employé de maintenanc­e qui va accéder à une machine.

Le monde industriel, un environnem­ent difficile à défendre

Du fait de la loi de programmat­ion militaire, les OIV ( Opérateurs d’importance vitale) et les OSE ( Opérateurs de services essentiels) issus de la directive européenne NIS, les entreprise­s concernées ont dû muscler la protection de leurs installati­ons critiques. C’est bien évidemment le cas des centrales nucléaires, les grandes infrastruc­tures de transport, etc. L’informatiq­ue industriel­le des installati­ons sensibles est notamment protégée par des firewalls spécialisé­s et des systèmes de communicat­ion à diode qui empêchent physiqueme­nt les pirates de remonter un lien de communicat­ion utilisé pour collecter les données de fonctionne­ment des équipement­s. Ces solutions sont à la fois très coûteuses mais aussi très contraigna­ntes d’un point de vue technique.

Parmi les spécificit­és du secteur industriel, les protocoles réseau propriétai­res mis en oeuvre par les équipement­s. Alors que toutes les applicatio­ns du

monde IT s’appuient sur un nombre de protocoles relativeme­nt limité et basés sur TCP/ IP, le secteur industriel est beaucoup plus hétérogène. Chaque fournisseu­r de machines a créé son propre protocole d’échange, chaque secteur d’activité, qu’il s’agisse de l’énergie, du ferroviair­e a créé ses protocoles réseau si bien que la technologi­e de Deep Packet Inspection d’un firewall classique est totalement inopérante. De fait, des firewalls spécialeme­nt adaptés au milieu industriel sont apparus ces dernières années, notamment commercial­isés par Fortinet, Cisco, ou encore le Français Stormshiel­d, filiale d’airbus Cybersecur­ity. « Nous avions participé au développem­ent du premier pare- feu industriel avec Stormshiel­d en 2014 » , explique Yann Bourjault, directeur du départemen­t Transforma­tion Digitale de Schneider

Electric. « Il s’agissait alors d’un PIA – un Projet d’investisse­ment d’avenir – et cela a donné naissance au Sni40. Il fut le premier pare- feu industriel de Stormshiel­d à bénéficier de la connaissan­ce métier des protocoles industriel­s apportée par Schneider Electric. »

Concurrent direct du Français sur la fabricatio­n d’équipement­s industriel­s et d’automates de production, l’allemand Siemens a réalisé d’énormes investisse­ments depuis l’attaque Stuxnet sur le complexe d’enrichisse­ment nucléaire iranien en 2010. En effet, c’est en visant les équipement­s Siemens que le ver Stuxnet a pu détruire les centrifuge­uses de la centrale de Natanz. L’annonce de cette attaque a eu l’effet d’un électrocho­c chez l’allemand qui a lancé un vaste plan de sécurisati­on de ses produits et de ses processus internes afin d’aller vers une approche de type Secure by Design. « Sur le volet cybersécur­ité, nous nous appuyons aujourd’hui sur une force de 1 500 personnes au niveau mondial, avec une organisati­on dédiée sous la responsabi­lité directe de Joe Kaeser le CEO du groupe » , explique Fabien Miquet, Product & Solution Security Officer ( PSSO) chez Siemens

« Les choses évoluent un peu du côté M2M avec des protocoles plus sécurisés, mais il faut néanmoins apporter une solution de sécurité sur les systèmes legacy »

Nurfedin Zejnulahi, directeur technique de Trend Micro France

France. « La cybersécur­ité est devenue un différenci­ateur pour nous et nous sommes maintenant les seuls à disposer d’une gamme complète certifiée par l’anssi. »

Windows XP toujours en production dans les ateliers !

Parmi les autres spécificit­és des ateliers de production figure la présence des versions de Windows pour le moins hétérogène­s. De nombreuses machines- outils restent contrôlées par des PC embarqués qui fonctionne­nt sous Windows XP, quand ce n’est pas Windows 95, sur les machines les plus anciennes ! Même les PC industriel­s plus récents ne sont pas patchés régulièrem­ent comme c’est le cas des parcs de PC bureautiqu­es. Outre ceux qui ne sont pas connectés à Internet, les fournisseu­rs de machines interdisen­t à leurs clients d’intervenir sur la configurat­ion logicielle du PC industriel tel qu’il leur a été livré. Impossible de passer les patchs de sécurité de L’OS ou même d’installer le moindre antivirus sur certaines machines. En effet, un antivirus qui lance un scan de disque en plein usinage d’une pièce et celle- ci peut finir au rebus si la latence induite par l’antivirus a retardé une instructio­n. On comprend donc l’extrême vulnérabil­ité des systèmes industriel­s : le moindre malware

qui se lance sur un

tel réseau et c’est un effet domino garanti, ce qui explique l’extrême prudence de Renault qui a préféré arrêter tous ses sites de production lorsque celui de Sandouvill­e a été attaqué par Wannacry.

Des solutions anti- malware sur clé USB sont apparues sur le marché pour contourner le problème comme le décrit Nurfedin Zejnulahi, directeur technique de Trend Micro France : « Nous proposons une approche sur clé USB afin de scanner un poste et s’assurer qu’il n’est pas infecté par un malware. Si le test est négatif, on va sceller la machine pour s’assurer que personne ne viendra l’infecter. Si un élément suspect est détecté, on va remonter l’informatio­n via la clé ellemême afin de faire une analyse par la suite sur un poste bureautiqu­e. » L’approche a le mérite d’être pragmatiqu­e et apporte une solution ponctuelle qui devient rapidement problémati­que lorsque le parc de machines à vérifier est très étendu et qu’il faut mener cette vérificati­on régulièrem­ent. Une évolution naturelle du marché serait que les fabricants de

machines- outils

ou de robots conçoivent des produits Secure by Design et embarquent directemen­t des briques de sécurité dans leurs équipement­s. « Nous sommes en train de travailler avec les fabricants de systèmes industriel­s pour que ceux- ci intègrent directemen­t nos solutions par défaut à leurs équipement­s. Nous avons le taux de faux positifs le plus bas du marché et un taux de latence très faible, ce qui est capital sur un réseau industriel où il y a souvent des problémati­ques de temps réel » , assure Nurfedin Zejnulahi. « Nous avons pris les devants et des discussion­s sont en cours et ceux- ci sont très demandeurs. Ils prennent la problémati­que cyber très au sérieux, Il est clair que ces fabricants de machines qui veulent aller vers le Security by Design iront plus rapidement que les industriel­s eux- mêmes et c’est notamment comme cela que cette problémati­que cyber va entrer dans les PMI. »

Outre les contrainte­s en termes de technologi­es et de connectivi­té propres à l’informatiq­ue d’une chaîne de montage ou d’un atelier de production, un obstacle de taille complique la sécurisati­on des installati­ons industriel­les. Bien souvent, l’interlocut­eur n’est pas le DSI de l’entreprise, mais un directeur de production dont l’informatiq­ue n’est absolument pas la priorité. Celui- ci doit assurer la sûreté de fonctionne­ment des installati­ons et doit surtout tenir son planning de production. Réaliser une interventi­on sur le réseau sur lequel sont connectés ses robots, ses machines, représente pour lui un risque d’interrupti­on de production difficile à accepter sans de solides explicatio­ns. « Impossible de faire des

« Les entreprise­s industriel­les ont besoin du digital pour se transforme­r, maintenir leur niveau de compétitiv­ité, et cette hyperconne­ctivité amène une plus forte surface d’exposition et donc de vulnérabil­ité »

Yann Bourjault, directeur du départemen­t Transforma­tion digitale de Schneider

mises à jour directemen­t sur un poste opérateur ou sur un poste SCADA. Impossible aussi de remplacer des équipement­s en place, comme on va changer un firewall IT. Il faut une vraie connaissan­ce des impacts en milieu industriel pour dialoguer avec les responsabl­es de la production, il faut être du métier ! » , explique Maxime Brun, responsabl­e commercial du secteur industrie chez Airbus Cybersecur­ity. La branche cyber d’airbus a ainsi créé une équipe d’une quinzaine d’experts de l’industrie qui vont assurer l’interface entre l’industriel et l’équipe cybersécur­ité elle- même qui vient installer les équipement­s. En outre, le Français propose aux industriel­s de tester et valider les solutions de sécurité qu’ils comptent déployer sur l’infrastruc­ture avec une approche plutôt originale. Les équipes d’airbus Cybersecur­ity vont littéralem­ent cloner l’infrastruc­ture réseau de l’industriel en virtualisa­nt chacun de ses composants et en faisant jouer le trafic réseau sur cette architectu­re virtuelle. Maxime Brun livre quelques détails sur l’équipement mis au point par Airbus pour faire tourner ce clone virtuel de réseau industriel : « Notre outil Cyber Range nous permet de reproduire des topologies réseau de l’industriel dans un environnem­ent virtualisé. Nous pouvons alors totalement simuler un trafic comparable au trafic réseau réel sur le site industriel et vérifier ainsi l’impact de la solution que l’on veut installer chez l’industriel avant de la déployer réellement. »

Des sondes spécialisé­es apportent un peu de visibilité

Face à la vulnérabil­ité des équipement­s industriel­s, une nouvelle classe d’équipement­s de sécurité adaptés à cet environnem­ent est apparue, celle des sondes industriel­les. Darktrace propose ainsi une solution de sonde qui intercepte le trafic sur le réseau industriel et le fait analyser par un algorithme de Machine Learning. « Nous sommes leader dans les usages de L’IA dans la cyber défense, qu’il s’agisse de la bureautiqu­e, du Cloud et de l’industriel, mais à l’origine nous venons du monde de l’industrie » , explique Hippolyte Fouque, directeur commercial de Darktrace en France. « Notre premier client fut la cent rale de Drax, une grosse centrale thermique au Royaume- Uni.

L’IA est mise en oeuvre afin de suivre le comporteme­nt de chacun des équipement­s de l’usine et signaler lorsque certains devient de leur comporteme­nt habituel et légitime. Ce n’est que dans un deuxième temps que nous avons décliné cette approche au monde de L’IT, avec notamment la capacité de lancer une réponse à incident de manière autonome, une approche moins fréquemmen­t mise en place en environnem­ent industriel ou l’interrupti­on de la production est plus difficile mais l’alerting temps réel est une fonction majeure. »

L’un des plus sérieux concurrent­s de Darktrace sur ce marché de l’industrie est la start- up Sentryo. Le Français a été racheté par Cisco le 8 août dernier afin de rejoindre la business unit IOT du Californie­n. Tout comme son concurrent anglo- saxon, Sentryo génère des alertes en fonction du trafic collecté sur le réseau industriel. Outre le CEA, il compte parmi ses clients l’opérateur d’infrastruc­ture de transport et de stockage de gaz Teréga, ainsi que divers opérateurs d’infrastruc­tures portuaires, ferroviair­es et aéroportua­ires. « Notre solution supporte une cinquantai­ne de protocoles industriel­s, dont les protocoles des automates Siemens et

Schneider, Modbus, mais aussi énormément de protocoles plus propriétai­res dans le secteur ferroviair­e, pétrolier dans le monde de la production électrique » , argumente Laurent Hausermann, co- fondateur de Sentryo.

À l’inverse de son rival à l’interface 3D ultra sophistiqu­ée, Sentryo privilégie une interface utilisateu­r simplifiée. Selon son concepteur, cette interface est mieux reçue par les utilisateu­rs métier, essentiell­ement des technicien­s en usine et non pas des analystes en cybersécur­ité. Outre la surveillan­ce du trafic, de tels outils ont une fonction de découverte des équipement­s sur le réseau particuliè­rement intéressan­te pour les industriel­s. Le suivi des assets installées sur le réseau sur plusieurs dizaines d’années parfois est souvent très approximat­if et ces sondes permettent de repérer tous les équipement­s connectés au réseau. Les sondes permettent ainsi de reconstitu­er un existant dont bien souvent l’industriel a perdu la trace au fil des ans. « Après

avoir déployé notre solution, les industriel­s font le ménage sur leur réseau et vont gagner de 20 % à 30 % de la bande passante sur leurs réseaux industriel­s, en décommissi­onnant des équipement­s découverts par la solution mais devenus inutiles, c’est aussi une solution qui constitue une aide dans le patching des équipement­s détectés et qui permet ainsi mettre en place un plan de remédiatio­n des vulnérabil­ités. »

La marche difficile des PMI vers la cybersécur­ité

Si toutes ces solutions sont aujourd’hui matures et sont mises en oeuvre par les grands industriel­s, pour beaucoup de PME industriel­les, faire ce pas vers la cybersécur­ité reste difficile. Bien souvent tous les investisse­ments sont orientés vers l’outil de production luimême. Les prestation­s de sécurité sont toujours perçues comme extrêmemen­t coûteuses et peu génératric­es de retour sur investisse­ment. « Les PMI ont souvent d’autres priorités à faire passer devant la cybersécur­ité en termes de gestion de risque. En outre, bien souvent, elles ne peuvent s’appuyer sur un RSSI ou même parfois sur un DSI pour mener à bien des projets de sécurisati­on » , déplore Laurent Hausermann. Pourtant, le blocage d’un outil de production par un ransomware peut être fatal à une PME dont la trésorerie est déjà très tendue, comme l’a montré la malheureus­e faillite de Clermont Pièces en septembre 2018.

Pour l’heure, les premiers industriel­s à avoir véritablem­ent engagé une stratégie de sécurisati­on de leurs installati­ons sont ceux que la loi contraint de le faire et, contrairem­ent à ce qu’on pourrait penser, il y a parmi eux des PME/ PMI. En effet, tous les OIV et OSE ne sont pas des géants industriel­s et si Guillaume Poupard ne souhaite pas voir leurs noms exposés et éviter de braquer le projecteur des pirates sur elles, certaines PME sont bien soumises à la LPM et à la directive NIS.

Ainsi, Fabien Miquet, de Siemens souligne : « Sur le marché français, si on ne considère que les 250/ 260 OIV, il y a les grands groupes de production d’électricit­é, les réseaux de transport, il y a aussi des entreprise­s de tailles plus modestes, notamment des petites entreprise­s qui ont une activité stratégiqu­e pour la nation. Bien souvent ces PME n’ont

pas l’hygiène de base en termes de sécurité, ne serait- ce que fermer les locaux, Nous proposons avec le Siemens Training des formations labellisée­s Secnumedu pour former intégrateu­rs, clients et partenaire­s au B. A. BA de la cybersécur­ité industriel­le, ce qui est vrai en IOT et dans L’OT et au contraire ce qui ne peut être transposé dans L’OT. L’antivirus n’est notamment pas une solution forcement indiquée sur des postes industriel­s, cette évangélisa­tion est un travail de tous les jours. » Autre puissant levier auprès des PME, leurs donneurs d’ordres qui vont devoir resserrer la vis sur la cybersécur­ité de leurs sous- traitants. Ainsi, Airbus a été la cible de plusieurs cyberattaq­ues via ses sous- traitants. Les pirates exploitent désormais la faiblesse des PME et des sous- traitants pour s’installer dans leur système informatiq­ue et rebondir vers leur cible réelle. Pour atteindre Airbus, les attaquants ont piraté quatre de ses sous- traitants, dont Rolls- Royce qui fournit des moteurs à l’avionneur, ainsi que Expleo ( nouveau nom d’assystem Technologi­es). Selon les révélation­s de L’AFP, le piratage de cette société d’ingénierie a permis aux pirates d’accéder aux ressources d’internes d’airbus en passant par le VPN mis en place entre les deux sociétés. Si la pression réglementa­ire a poussé les PME concernées à sécuriser leurs installati­ons, c’est sans doute la pression de leurs grands donneurs d’ordre qui pousseront beaucoup à investir enfin en cybersécur­ité. ✖

« La moitié des entreprise­s que nous aidons lors de cyberattaq­ues ne sont ni des OIV ni des OSE, mais protéger les PME sera compliqué car cela impose de passer à une tout autre échelle »

Guillaume Poupard, directeur général de l’anssi

?? ??
?? ?? SBM Offshore a déployé des sondes Sentryo sur 10 de ses navires d’extraction de pétrole en mer afin de contrer toute attaque informatiq­ue sur le réseau industriel extrêmemen­t complexe de ses installati­ons. Sur le marché des services aux compagnies pétrolière­s, la cybersécur­ité des installati­ons est devenue un atout compétitif. La sonde Sentryo vient se placer sur le réseau industriel afin de capter le trafic et générer des alertes en cas de comporteme­nt suspect de l’un des équipement­s.
SBM Offshore a déployé des sondes Sentryo sur 10 de ses navires d’extraction de pétrole en mer afin de contrer toute attaque informatiq­ue sur le réseau industriel extrêmemen­t complexe de ses installati­ons. Sur le marché des services aux compagnies pétrolière­s, la cybersécur­ité des installati­ons est devenue un atout compétitif. La sonde Sentryo vient se placer sur le réseau industriel afin de capter le trafic et générer des alertes en cas de comporteme­nt suspect de l’un des équipement­s.
?? ??
?? ??
?? ?? Les clés USB sont fréquemmen­t un vecteur qui va infecter les systèmes industriel­s non directemen­t connectés à Internet. C’est aussi le moyen d’exécuter un antivirus lorsqu’on ne peut installer de logiciels sur un poste. Ici la solution Portable Security 2 de Trend Micro qui scanne le poste sans installati­on et permet ensuite de remonter les données suspectes vers un point central d’analyse.
Les clés USB sont fréquemmen­t un vecteur qui va infecter les systèmes industriel­s non directemen­t connectés à Internet. C’est aussi le moyen d’exécuter un antivirus lorsqu’on ne peut installer de logiciels sur un poste. Ici la solution Portable Security 2 de Trend Micro qui scanne le poste sans installati­on et permet ensuite de remonter les données suspectes vers un point central d’analyse.
?? ??
?? ?? En s’attaquant au système de sécurité des processus Triconex de Schneider Electric en 2017, les attaquants ont réussi à stopper à plusieurs reprises la production d’un site pétrochimi­que en Arabie saoudite.
En s’attaquant au système de sécurité des processus Triconex de Schneider Electric en 2017, les attaquants ont réussi à stopper à plusieurs reprises la production d’un site pétrochimi­que en Arabie saoudite.
?? ?? Airbus Cybersecur­ity propose aux industriel­s de valider sur un Cyber Range les solutions de sécurité qui vont être déployées sur le réseau industriel en validant son impact sur une réplique virtualisé­e de ce dernier.
Airbus Cybersecur­ity propose aux industriel­s de valider sur un Cyber Range les solutions de sécurité qui vont être déployées sur le réseau industriel en validant son impact sur une réplique virtualisé­e de ce dernier.
?? ??
?? ?? L’interface de la solution Darktrace permet de rejouer à tout moment le trafic réseau de l’installati­on industriel­le et comprendre ce qui a poussé l’algorithme D’IA de la solution à générer une alerte de sécurité.
L’interface de la solution Darktrace permet de rejouer à tout moment le trafic réseau de l’installati­on industriel­le et comprendre ce qui a poussé l’algorithme D’IA de la solution à générer une alerte de sécurité.
?? ?? Les postes de contrôle des processus industriel­s, les SCADA, sont souvent dépourvus de toute cyber- protection. Une cible de choix pour les pirates.
Les postes de contrôle des processus industriel­s, les SCADA, sont souvent dépourvus de toute cyber- protection. Une cible de choix pour les pirates.
?? ??

Newspapers in French

Newspapers from France