Parler de sécurisation des systèmes industriels est relativement complexe puisque ces milieux sont très variés. Je resterais donc relativement généraliste. J’évoque ici quelques premières pistes relativement faciles à mettre en œuvre et permettant, sans perturber la production industrielle, de traiter des risques inhérents à ces architectures. Je vous invite à aller lire le rapport du groupe de travail du CIGREF sur la convergence IT/OT qui donne cette définition de la convergence :
Définition des systèmes convergés proposée par le groupe de travail Cigref Les systèmes industriels font partie du système d’information (données) de l’entreprise qui peut être redéfini comme l’ensemble des équipements matériels et logiciels générateurs de données, capables de transmettre ces données et de les traiter via un standard de communication (couche d’interface). |
Particularité des systèmes d'information industriels
Classiquement les équipements des systèmes d'information sont renouvelés tous les 3 à 5 ans. Ils peuvent parfois être loués avec une durée qui peut être encore plus courte. Côté constructeurs, les produits sont commercialisés pendant environ 3 ans avec ensuite une maintenabilité maximum de 5 ans. Par exemple Cisco développent des correctifs pendant environ 1 an et supportent les produits pendant 5 ans, sans nouveau développement : https://www.cisco.com/c/en/us/products/eos-eol-policy.html Côté industriel, les durées de vie sont plus complexes. Les investissements industriels sont sur des durées beaucoup plus importantes. On ne change peut pas changer une machine outils tous les 3 ans. L'informatique qui pilote l'industrie n'est donc pas du tout alignée sur le cycle de vie des matériels et logiciels informatiques. Il n'est donc pas rare de voir encore des ordinateurs avec Windows XP qui est en fin de support depuis 2014. Lorsqu'un OS est en fin de support, plus aucun patch de sécurité n'est développé. Les failles découvertes depuis 2014 sur Windows XP ne sont donc théoriquement plus corrigées (à l'exception de RDP en 2019 https://msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708). Les ordinateurs, les serveurs, les systèmes embarqués et leurs systèmes d'exploitation sont donc très souvent vulnérables à une très longue liste de failles connues. Les protocoles de communication sont eux aussi différents et complexes à appréhender pour les solutions informatiques standards. On parle de BUS, de protocole SCADA, etherCAT... qui doivent par exemple être inclus dans les reconnaissances des protocoles des firewalls Next Generation pour assurer une segmentation dans le système industriel.
Différences entre maintenance industrielle et maintenance informatique
Une des difficultés de convergence entre l’IT et l’OT vient de la différence entre les deux types de maintenance à effectuer sur les systèmes. Côté Système d’Information, les équipes de maintenance effectuent essentiellement des tâches logiques. Ils ne réparent pas physiquement leurs matériels. Ces installations se sont aussi fortement dématérialisés dans des Clouds privés et public. Cette caractéristique s’est accélérée ces dernières années avec la mise en place de toutes les architectures As A Service. Concernant les Systèmes Industriels, les mainteneurs conservent une forte compétence mécanique. Ils doivent intervenir physiquement sur des chaînes de production. Les mainteneurs ont la plupart du temps des risques industriels associés. Ils doivent maîtriser une informatique spécifique, mais ne peuvent pas être à la fois experts en cybersécurité et en mécanique.
Intégration IT/OT, premier pas vers la convergence
Avant de parler de convergence qui peut mettre des mois, voire des années à mettre en place, une première étape consiste à intégrer les deux systèmes et les faire interagir. Pour illustrer la convergence qui s’engage entre les deux plateformes, on utilise classiquement la norme ISA95.
La séparation entre IT et OT s’effectue au niveau L3 du modèle, c’est-à-dire le niveau de management des opérations. Ces infrastructures restent le plus souvent physiquement et logiquement distinctes ; réseaux physiques, câblage et baies informatiques différents car installés et managés par des équipes différentes. Les réseaux IT et OT étant la plupart du temps séparés, leur interconnexion s’effectue donc pour des besoins de maintenance, planifications. Mais aussi de pilotage tel que l’ERP avec la gestion des commandes, des stocks, des ordres de production, etc…. En listant ces besoins, nous nous rendons compte qu’il est illusoire de penser que ces deux infrastructures ne sont pas fortement liées.
La production, frein à la mise en place de la sécurité
L’industrie a l’habitude de maîtriser les plages de maintenances de leurs systèmes afin de perturber le moins souvent possible la production. L’image de la cybersécurité est bien souvent une image d’obstacle non compatible avec les contraintes de production. Pourtant, quelques étapes essentielles sont à mettre en place facilement et rapidement afin de limiter les risques d’attaques du Système Industriel.
Mettre en place un filtrage à l’interconnexion OT/IT
Comme le relève le CIGREF dans son groupe de travail, les matériels informatiques sur les systèmes industriels sont souvent obsolètes. Les mises à jour d’OS et les patchs de sécurité ne peuvent pas être réalisés pour des raisons de compatibilité avec les logiciels ou tout simplement par méconnaissance des risques. La plupart des flux de données ne s’échangent qu’à l’intérieur du Système Industriel. Par exemple, les ordres de pilotage d’un robot sont donnés par un progiciel présent dans ce système. Cependant, l’interface client/serveur présente sur le robot peut être accessible et vulnérable depuis le SI si l’interconnexion entre OT et IT n’est pas sécurisée. Nous pouvons donc très bien imaginer un attaquant, déjà présent dans le SI, se déplacer vers le Système industriel en utilisant ces vulnérabilités exposées. Nous pouvons aussi imaginer un ransomware, à l’origine présent sur le SI, se propager au système industriel obsolète et paralyser l’ensemble de la production (exemple de NotPetya en 2018) La mise en place d’un firewall comme moyen d’interconnexion entre les deux systèmes est donc une étape essentielle. Les systèmes industriels vulnérables seront alors nettement moins exposés à l’exploitation de leur faille depuis le SI. Les flux légitimes entre les deux systèmes sont assez limités et peuvent facilement être implémentés dans un Firewall sans perturber la production. Par exemple, l’ERP ou la prise en main à distance ne sont nécessaires que depuis un nombre limité de serveurs/ordinateurs du SI vers le Système Industriel.
Contrôler la télémaintenance
Les systèmes industriels nécessitent la plupart du temps d’être maintenus par le constructeur ou l’un de ces prestataires, à distance. Cette interconnexion s’effectue soit directement entre le prestataire et le système industriel, soit à travers le SI qui dispose en généralement d’une passerelle VPN. Depuis la crise de la COVID-19, les télémaintenances se sont généralisées aussi pour les systèmes industriels.
Qui se connecte au Système industriel et quand ?
Si vous ne pouvez pas répondre à cette question, il est important de renforcer votre passerelle. Il s’avère risqué de faire entièrement confiance à un tiers mainteneur, qui peut lui-même être victime d’une attaque informatique. Un attaquant prenant la main chez un mainteneur aura potentiellement accès à tous ses clients, ce type d’attaque étant beaucoup plus rentable et donc relativement fréquent. Une passerelle VPN vous permettra de vérifier que le poste qui se connecte est conforme à votre politique de sécurité (mise à jour, avec anti-virus…), que l’utilisateur a bien les droits de se connecter dans cette période de temps. Cela permettra également de lui autoriser les accès uniquement vers les équipements qu’il maintient. Il est possible et recommandé d’ajouter à cette passerelle VPN un bastion. Ce portail de connexion permettra d’accorder finement les droits d'accès (qui, quoi, comment, quand) et d’enregistrer toutes les actions effectuées pour pouvoir conserver des traces des interventions.
La législation évolue et contraint les systèmes industriels
Depuis décembre 2013, la loi de programmation militaire régit les infrastructures vitales.
« Art. L. 1332-6-1.-Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d'information des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation. Ces opérateurs sont tenus d'appliquer ces règles à leurs frais. « Les règles mentionnées au premier alinéa peuvent notamment prescrire que les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information. Ces systèmes de détection sont exploités sur le territoire national par des prestataires de service qualifiés en matière de sécurité de systèmes d'information, par l'autorité nationale de sécurité des systèmes d'information ou par d'autres services de l'Etat désignés par le Premier ministre.
Certains systèmes industriels comme les réseaux d'énergie, d'eau etc... ont donc des contraintes légales obligeant la mise en place de moyens pour sécuriser les systèmes et détecter les failles. Le CIGREF a publié en partenariat avec l'INHESJ un rapport sur la loi de programmation militaire (https://www.cigref.fr/archives/entreprises-et-cultures-numeriques/wp/wp-content/uploads/2015/08/Rapport-CIGREF-INHESJ-2015-LPM.pdf) qui propose par exemple d'installer du matériel de sécurité validé par l'ANSSI (voire souverain) et de chiffre les données présentes sur un OS non souverain. La mise en place d'une passerelle VPN et de firewalls sont assez rapides et permettent de limiter vos risques de perturbation informatique de votre système industriel. Elles constituent la première étape indispensable avant de mettre en place l’ensemble des mesures de couverture du risque cyber. Les mesures à mettre en place décrites dans le rapport du CIGREF sont très structurantes et sont des remises en cause de la manière de travailler. Elles sont indispensables mais longues à mettre en place. Nomios sait vous accompagner dans la mise en place de la sécurité dans les milieux industriels et l'intégration de solutions issues de nos partenaires.