La cyberprotection des sites industriels en question
Le monde industriel, un environnement difficile à défendre
Du fait de la loi de programmation militaire, les OIV (Opérateurs d’importance vitale) et les OSE (Opérateurs de services essentiels) issus de la directive européenne NIS, les entreprises concernées ont dû muscler la protection de leurs installations critiques. C’est bien évidemment le cas des centrales nucléaires, les grandes infrastructures de transport, etc. L’informatique industrielle des installations sensibles est notamment protégée par des firewalls spécialisés et des systèmes de communication à diode qui empêchent physiquement les pirates de remonter un lien de communication utilisé pour collecter les données de fonctionnement des équipements. Ces solutions sont à la fois très coûteuses mais aussi très contraignantes d’un point de vue technique. Parmi les spécificités du secteur industriel, les protocoles réseau propriétaires mis en œuvre par les équipements. Alors que toutes les applications du monde IT s’appuient sur un nombre de protocoles relativement limité et basés sur TCP/IP, le secteur industriel est beaucoup plus hétérogène. Chaque fournisseur de machines a créé son propre protocole d’échange, chaque secteur d’activité, qu’il s’agisse de l’énergie, du ferroviaire a créé ses protocoles réseau si bien que la technologie de Deep Packet Inspection d’un firewall classique est totalement inopérante. De fait, des firewalls spécialement adaptés au milieu industriel sont apparus ces dernières années, notamment commercialisés par Fortinet, Cisco, ou encore le Français Stormshield, filiale d’Airbus CyberSecurity. « Nous avions participé au développement du premier pare-feu industriel avec Stormshield en 2014 », explique Yann Bourjault, directeur du département Transformation Digitale de Schneider Electric. « Il s’agissait alors d’un PIA – un Projet d’investissement d’avenir – et cela a donné naissance au Sni40. Il fut le premier pare-feu industriel de Stormshield à bénéficier de la connaissance métier des protocoles industriels apportée par Schneider Electric. »
SBM Offshore a déployé des sondes Sentryo sur 10 de ses navires d’extraction de pétrole en mer afin de contrer toute attaque informatique sur le réseau industriel extrêmement complexe de ses installations. Sur le marché des services aux compagnies pétrolières, la cybersécurité des installations est devenue un atout compétitif.
Concurrent direct du Français sur la fabrication d’équipements industriels et d’automates de production, l’Allemand Siemens a réalisé d’énormes investissements depuis l’attaque Stuxnet sur le complexe d’enrichissement nucléaire iranien en 2010. En effet, c’est en visant les équipements Siemens que le ver Stuxnet a pu détruire les centrifugeuses de la centrale de Natanz. L’annonce de cette attaque a eu l’effet d’un électrochoc chez l’Allemand qui a lancé un vaste plan de sécurisation de ses produits et de ses processus internes afin d’aller vers une approche de type Secure by Design. « Sur le volet cybersécurité, nous nous appuyons aujourd’hui sur une force de 1 500 personnes au niveau mondial, avec une organisation dédiée sous la responsabilité directe de Joe Kaeser le CEO du groupe », explique Fabien Miquet, Product & Solution Security Officer (PSSO) chez Siemens France. « La cybersécurité est devenue un différenciateur pour nous et nous sommes maintenant les seuls à disposer d’une gamme complète certifiée par l’Anssi. »
La sonde Sentryo vient se placer sur le réseau industriel afin de capter le trafic et générer des alertes en cas de comportement suspect de l’un des équipements.
Windows XP toujours en production dans les ateliers !
Parmi les autres spécificités des ateliers de production figure la présence des versions de Windows pour le moins hétérogènes. De nombreuses machines-outils restent contrôlées par des PC embarqués qui fonctionnent sous Windows XP, quand ce n’est pas Windows 95, sur les machines les plus anciennes ! Même les PC industriels plus récents ne sont pas patchés régulièrement comme c’est le cas des parcs de PC bureautiques. Outre ceux qui ne sont pas connectés à Internet, les fournisseurs de machines interdisent à leurs clients d’intervenir sur la configuration logicielle du PC industriel tel qu’il leur a été livré. Impossible de passer les patchs de sécurité de l’OS ou même d’installer le moindre antivirus sur certaines machines. En effet, un antivirus qui lance un scan de disque en plein usinage d’une pièce et celle-ci peut finir au rebus si la latence induite par l’antivirus a retardé une instruction. On comprend donc l’extrême vulnérabilité des systèmes industriels : le moindre malware qui se lance sur un tel réseau et c’est un effet domino garanti, ce qui explique l’extrême prudence de Renault qui a préféré arrêter tous ses sites de production lorsque celui de Sandouville a été attaqué par WannaCry. Des solutions anti-malware sur clé USB sont apparues sur le marché pour contourner le problème comme le décrit Nurfedin Zejnulahi, directeur technique de Trend Micro France : « Nous proposons une approche sur clé USB afin de scanner un poste et s’assurer qu’il n’est pas infecté par un malware. Si le test est négatif, on va sceller la machine pour s’assurer que personne ne viendra l’infecter. Si un élément suspect est détecté, on va remonter l’information via la clé ellemême afin de faire une analyse par la suite sur un poste bureautique. »
L’approche a le mérite d’être pragmatique et apporte une solution ponctuelle qui devient rapidement problématique lorsque le parc de machines à vérifier est très étendu et qu’il faut mener cette vérification régulièrement. Une évolution naturelle du marché serait que les fabricants de machines-outils ou de robots conçoivent des produits Secure by Design et embarquent directement des briques de sécurité dans leurs équipements. « Nous sommes en train de travailler avec les fabricants de systèmes industriels pour que ceux-ci intègrent directement nos solutions par défaut à leurs équipements. Nous avons le taux de faux positifs le plus bas du marché et un taux de latence très faible, ce qui est capital sur un réseau industriel où il y a souvent des problématiques de temps réel », assure Nurfedin Zejnulahi. « Nous avons pris les devants et des discussions sont en cours et ceux-ci sont très demandeurs. Ils prennent la problématique cyber très au sérieux, Il est clair que ces fabricants de machines qui veulent aller vers le Security by Design iront plus rapidement que les industriels eux-mêmes et c’est notamment comme cela que cette problématique cyber va entrer dans les PMI. »
Les clés USB sont fréquemment un vecteur qui va infecter les systèmes industriels non directement connectés à Internet. C’est aussi le moyen d’exécuter un antivirus lorsqu’on ne peut installer de logiciels sur un poste. Ici la solution Portable Security 2 de Trend Micro qui scanne le poste sans installation et permet ensuite de remonter les données suspectes vers un point central d’analyse.
Outre les contraintes en termes de technologies et de connectivité propres à l’informatique d’une chaîne de montage ou d’un atelier de production, un obstacle de taille complique la sécurisation des installations industrielles. Bien souvent, l’interlocuteur n’est pas le DSI de l’entreprise, mais un directeur de production dont l’informatique n’est absolument pas la priorité. Celui-ci doit assurer la sûreté de fonctionnement des installations et doit surtout tenir son planning de production. Réaliser une intervention sur le réseau sur lequel sont connectés ses robots, ses machines, représente pour lui un risque d’interruption de production difficile à accepter sans de solides explications. « Impossible de faire des mises à jour directement sur un poste opérateur ou sur un poste SCADA. Impossible aussi de remplacer des équipements en place, comme on va changer un firewall IT. Il faut une vraie connaissance des impacts en milieu industriel pour dialoguer avec les responsables de la production, il faut être du métier ! », explique Maxime Brun, responsable commercial du secteur industrie chez Airbus CyberSecurity. La branche cyber d’Airbus a ainsi créé une équipe d’une quinzaine d’experts de l’industrie qui vont assurer l’interface entre l’industriel et l’équipe cybersécurité elle-même qui vient installer les équipements. En outre, le Français propose aux industriels de tester et valider les solutions de sécurité qu’ils comptent déployer sur l’infrastructure avec une approche plutôt originale. Les équipes d’Airbus CyberSecurity vont littéralement cloner l’infrastructure réseau de l’industriel en virtualisant chacun de ses composants et en faisant jouer le trafic réseau sur cette architecture virtuelle. Maxime Brun livre quelques détails sur l’équipement mis au point par Airbus pour faire tourner ce clone virtuel de réseau industriel : « Notre outil Cyber Range nous permet de reproduire des topologies réseau de l’industriel dans un environnement virtualisé. Nous pouvons alors totalement simuler un trafic comparable au trafic réseau réel sur le site industriel et vérifier ainsi l’impact de la solution que l’on veut installer chez l’industriel avant de la déployer réellement. »
Airbus CyberSecurity propose aux industriels de valider sur un Cyber Range les solutions de sécurité qui vont être déployées sur le réseau industriel en validant son impact sur une réplique virtualisée de ce dernier.
Des sondes spécialisées apportent un peu de visibilité
Face à la vulnérabilité des équipements industriels, une nouvelle classe d’équipements de sécurité adaptés à cet environnement est apparue, celle des sondes industrielles. Darktrace propose ainsi une solution de sonde qui intercepte le trafic sur le réseau industriel et le fait analyser par un algorithme de Machine Learning. « Nous sommes leader dans les usages de l’IA dans la cyber défense, qu’il s’agisse de la bureautique, du Cloud et de l’industriel, mais à l’origine nous venons du monde de l’industrie », explique Hippolyte Fouque, directeur commercial de Darktrace en France. « Notre premier client fut la centrale de Drax, une grosse centrale thermique au Royaume-Uni. L’IA est mise en œuvre afin de suivre le comportement de chacun des équipements de l’usine et signaler lorsque certains devient de leur comportement habituel et légitime. Ce n’est que dans un deuxième temps que nous avons décliné cette approche au monde de l’IT, avec notamment la capacité de lancer une réponse à incident de manière autonome, une approche moins fréquemment mise en place en environnement industriel ou l’interruption de la production est plus difficile mais l’alerting temps réel est une fonction majeure. »
En s’attaquant au système de sécurité des processus Triconex de Schneider Electric en 2017, les attaquants ont réussi à stopper à plusieurs reprises la production d’un site pétrochimique en Arabie saoudite.
L’un des plus sérieux concurrents de Darktrace sur ce marché de l’industrie est la start-up Sentryo. Le Français a été racheté par Cisco le 8 août dernier afin de rejoindre la business unit IoT du Californien. Tout comme son concurrent anglo-saxon, Sentryo génère des alertes en fonction du trafic collecté sur le réseau industriel. Outre le CEA, il compte parmi ses clients l’opérateur d’infrastructure de transport et de stockage de gaz Teréga, ainsi que divers opérateurs d’infrastructures portuaires, ferroviaires et aéroportuaires. « Notre solution supporte une cinquantaine de protocoles industriels, dont les protocoles des automates Siemens et Schneider, Modbus, mais aussi énormément de protocoles plus propriétaires dans le secteur ferroviaire, pétrolier dans le monde de la production électrique », argumente Laurent Hausermann, co-fondateur de Sentryo.
L’interface de la solution Darktrace permet de rejouer à tout moment le trafic réseau de l’installation industrielle et comprendre ce qui a poussé l’algorithme d’IA de la solution à générer une alerte de sécurité.
À l’inverse de son rival à l’interface 3D ultra sophistiquée, Sentryo privilégie une interface utilisateur simplifiée. Selon son concepteur, cette interface est mieux reçue par les utilisateurs métier, essentiellement des techniciens en usine et non pas des analystes en cybersécurité. Outre la surveillance du trafic, de tels outils ont une fonction de découverte des équipements sur le réseau particulièrement intéressante pour les industriels. Le suivi des assets installées sur le réseau sur plusieurs dizaines d’années parfois est souvent très approximatif et ces sondes permettent de repérer tous les équipements connectés au réseau. Les sondes permettent ainsi de reconstituer un existant dont bien souvent l’industriel a perdu la trace au fil des ans. « Après avoir déployé notre solution, les industriels font le ménage sur leur réseau et vont gagner de 20 % à 30 % de la bande passante sur leurs réseaux industriels, en décommissionnant des équipements découverts par la solution mais devenus inutiles, c’est aussi une solution qui constitue une aide dans le patching des équipements détectés et qui permet ainsi mettre en place un plan de remédiation des vulnérabilités. »
La marche difficile des PMI vers la cybersécurité
Si toutes ces solutions sont aujourd’hui matures et sont mises en œuvre par les grands industriels, pour beaucoup de PME industrielles, faire ce pas vers la cybersécurité reste difficile. Bien souvent tous les investissements sont orientés vers l’outil de production luimême. Les prestations de sécurité sont toujours perçues comme extrêmement coûteuses et peu génératrices de retour sur investissement. « Les PMI ont souvent d’autres priorités à faire passer devant la cybersécurité en termes de gestion de risque. En outre, bien souvent, elles ne peuvent s’appuyer sur un RSSI ou même parfois sur un DSI pour mener à bien des projets de sécurisation », déplore Laurent Hausermann. Pourtant, le blocage d’un outil de production par un ransomware peut être fatal à une PME dont la trésorerie est déjà très tendue, comme l’a montré la malheureuse faillite de Clermont Pièces en septembre 2018. Pour l’heure, les premiers industriels à avoir véritablement engagé une stratégie de sécurisation de leurs installations sont ceux que la loi contraint de le faire et, contrairement à ce qu’on pourrait penser, il y a parmi eux des PME/ PMI. En effet, tous les OIV et OSE ne sont pas des géants industriels et si Guillaume Poupard ne souhaite pas voir leurs noms exposés et éviter de braquer le projecteur des pirates sur elles, certaines PME sont bien soumises à la LPM et à la directive NIS.
Les postes de contrôle des processus industriels, les SCADA, sont souvent dépourvus de toute cyber-protection. Une cible de choix pour les pirates.
Ainsi, Fabien Miquet, de Siemens souligne : « Sur le marché français, si on ne considère que les 250/260 OIV, il y a les grands groupes de production d’électricité, les réseaux de transport, il y a aussi des entreprises de tailles plus modestes, notamment des petites entreprises qui ont une activité stratégique pour la nation. Bien souvent ces PME n’ont pas l’hygiène de base en termes de sécurité, ne serait-ce que fermer les locaux, Nous proposons avec le Siemens Training des formations labellisées SecNumEdu pour former intégrateurs, clients et partenaires au B.A. BA de la cybersécurité industrielle, ce qui est vrai en IoT et dans l’OT et au contraire ce qui ne peut être transposé dans l’OT. L’antivirus n’est notamment pas une solution forcement indiquée sur des postes industriels, cette évangélisation est un travail de tous les jours. »
Autre puissant levier auprès des PME, leurs donneurs d’ordres qui vont devoir resserrer la vis sur la cybersécurité de leurs sous-traitants. Ainsi, Airbus a été la cible de plusieurs cyberattaques via ses sous-traitants. Les pirates exploitent désormais la faiblesse des PME et des sous-traitants pour s’installer dans leur système informatique et rebondir vers leur cible réelle. Pour atteindre Airbus, les attaquants ont piraté quatre de ses sous-traitants, dont Rolls-Royce qui fournit des moteurs à l’avionneur, ainsi que Expleo (nouveau nom d’Assystem Technologies). Selon les révélations de l’AFP, le piratage de cette société d’ingénierie a permis aux pirates d’accéder aux ressources d’internes d’Airbus en passant par le VPN mis en place entre les deux sociétés. Si la pression réglementaire a poussé les PME concernées à sécuriser leurs installations, c’est sans doute la pression de leurs grands donneurs d’ordre qui pousseront beaucoup à investir enfin en cybersécurité.