MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Alors que les fabricants cherchent toujours de nouvelles solutions pour exploiter les données dans les usines afin d’augmenter la valeur ajoutée des produits, cela oblige à connecter les réseaux internes de la production à internet, augmentant ainsi les failles de sécurité. Il est donc nécessaire de sécuriser les données au sein des usines, en commençant au niveau des machines. CONTEC propose des initiatives en ce sens pour fournir des mesures pertinentes et sécurisées.
Avec l’explosion du télétravail et de la transformation numérique, l’environnement numérique mondial a radicalement changé ces dernières années. Alors que de plus en plus de personnes travaillent à domicile ou dans d’autres endroits éloignés et que les appareils mobiles se généralisent, les entreprises ont commencé à utiliser une plus grande variété de points de terminaison pour se connecter à l’environnement réseau de l’entreprise.
Cette connectivité réseau accrue s’est également propagée aux usines, entraînant des risques de sécurité non seulement pour les technologies de l’information (TI), mais aussi pour les technologies opérationnelles (TI) et les produits. Cette tendance n’a montré aucun signe de ralentissement et des cyberattaques causant des dommages importants ont également été signalées. Les dommages dus aux rançongiciels sont particulièrement devenus un problème ces dernières années.
En 2021, le Japon a enregistré au moins 146 cas signalés de ransomware, dont 55 cas dans l’industrie manufacturière. Toyota Motor Corporation, l’un des plus grands constructeurs automobiles au monde, a temporairement arrêté ses opérations dans toutes ses usines au Japon en février 2022 à la suite d’une attaque par ransomware contre un fabricant de pièces avec lequel l’entreprise fait affaire.
Des hôpitaux ont également été signalés comme ayant été touchés par des attaques de ransomwares. Par exemple, l’hôpital municipal Tsurugi Handa de Tokushima a été touché par une attaque de ransomware en octobre 2021 et l’hôpital Naruto Yamakami a également été touché en juin 2022. Les activités de ces deux hôpitaux ont été gravement entravées, car ils n’ont pas pu utiliser leurs systèmes de dossiers médicaux électroniques.
Aujourd’hui, la cybersécurité est un risque qui peut affecter l’ensemble de l’entreprise, il est donc essentiel de promouvoir des contre-mesures appropriées. Cependant, la diversité des cibles et des voies d’intrusion pour les attaques a rendu difficile la défense contre les cybermenaces avec une approche traditionnelle de défense périmétrique. Il est donc devenu nécessaire d’intégrer une nouvelle approche.
À mesure que l’importance des mesures de sécurité augmente, les défenses périmétriques traditionnelles ne suffisent plus à se protéger contre les cybermenaces. Actuellement, des contre-mesures sont développées sur la base de l’idée qu’Internet n’est plus un endroit généralement sûr, mais intrinsèquement mauvais. Les concepts de résistance, mais aussi de résilience, de confiance zéro et de cyber-résilience deviennent de plus en plus répandus.
Le concept de confiance zéro est celui qui adopte des mesures de sécurité tout en se méfiant de tout accès. Avec les méthodes de contrôle de périmètre conventionnelles, les connexions sont divisées entre un réseau interne et un réseau externe. Les mesures de sécurité sont appliquées sur la base de l’idée de faire confiance à une connexion externe une fois qu’elle a passé l’authentification et est entrée dans le réseau interne. D’autre part, la confiance zéro intègre une authentification améliorée telle que l’authentification multi-facteur, la surveillance du journal des appareils et le contrôle d’accès basé sur l’état des appareils.
La cyber-résilience fait référence à la capacité d’une organisation à résister aux cyberattaques et à s’en remettre, en partant du principe que ces attaques ne peuvent être évitées. Il s’agit notamment de prévoir les menaces de cyberattaques, d’appliquer des contre-mesures constantes (résistance), d’être prêt à répondre rapidement et de manière fiable aux cyberattaques lorsqu’elles se produisent et de maintenir un niveau élevé de résistance organisationnelle pour maintenir ces mesures.
Les principales cyberattaques contre lesquelles les mesures de sécurité conventionnelles ne peuvent pas protéger sont :
Les attaques zero-day : des cyberattaques qui exploitent des vulnérabilités logicielles qui n’ont pas encore été atténuées. Il n’y a généralement aucun moyen de se défendre contre les attaques zero-day avant qu’elles ne surviennent si la vulnérabilité n’a pas été corrigée. Les seules contre-mesures consistent à corriger les vulnérabilités dès qu’une solution devient disponible.
Les attaques de logiciels malveillants : malware est un terme général désignant tout programme malveillant conçu pour gêner les utilisateurs de l’ordinateur attaqué. Ces programmes malveillants comprennent des virus informatiques, des vers, des chevaux de Troie, des logiciels espions et divers autres types de programmes.
Les infections par des logiciels malveillants se produisent principalement par le biais de pièces jointes à des e-mails, via des connexions réseau ou en tirant parti des vulnérabilités logicielles pour extraire ou altérer des données. Ransomware (mentionné ci-dessus) est un type de malware qui crypte ou rend un ordinateur inutilisable, permettant aux attaquants de prendre l’ordinateur en otage et d’exiger de l’argent pour le libérer.
Les cyberattaques se sont répandues au-delà des appareils utilisés dans les bureaux et les maisons, en particulier avec l’introduction d’usines intelligentes, souvent présentées comme des « usines de nouvelle génération ». Dans les usines conventionnelles, les robots industriels et les équipements d’assemblage automatisés sont gérés et mis en réseau à l’aide de systèmes d’exécution de fabrication (MES) et de planification des ressources d’entreprise (ERP).
Cependant, ces réseaux sont conçus pour être utilisés à l’intérieur de l’usine, sans qu’il soit nécessaire de se connecter au-delà de l’usine via Internet. Cependant aujourd’hui, la création d’une usine intelligente nécessite l’utilisation d’appareils IoT qui nécessitent naturellement un accès à Internet.
Toute vulnérabilité découverte dans ces dispositifs IoT pourrait devenir la cible d’attaques zero-day. Par exemple, imaginons un opérateur ayant accès à distance à un appareil IoT sur le réseau local d’une usine et qu’il utilise un périphérique de mémoire USB pour la maintenance. Tout appareil IoT infecté par un logiciel malveillant pourrait utiliser ces voies d’intrusion comme tremplin pour une attaque. Les défenses périmétriques ne peuvent à elles seules protéger contre de telles attaques, des mesures de sécurité au niveau de l’appareil deviennent donc nécessaires.
Comme mentionné ci-dessus, les mesures de sécurité doivent être appliquées non seulement pour le réseau, mais également au niveau de l’appareil. Les logiciels antivirus qui protègent au niveau de l’appareil peuvent être classés selon l’une des deux méthodes suivantes :
Méthode de liste de refus (liste de blocage) : cette mesure de sécurité bloque ou supprime le code ou les données suspectes selon un fichier de définition (liste de refus) régulièrement mis à jour. La plupart des logiciels antivirus conventionnels utilisent une liste de refus comme mesure de sécurité. Cependant, cette méthode n’est pas efficace contre les logiciels malveillants avec un code en constante évolution et les attaques zero-day qui se produisent avant que les nouveaux fichiers de définition ne soient distribués. Elle nécessite également la mise à jour des fichiers de définition et l’exécution d’analyses régulières, ce qui augmente les coûts d’exploitation et le fonctionnement stable de l’équipement.
Autoriser la liste (liste de passage/liste sûre) : cette méthode crée une liste des seuls codes de confiance dont l’exécution a été approuvée. Tout code qui ne figure pas sur cette liste se voit refuser l’accès. La maintenance est également requise avec les listes d’autorisations, y compris l’ajout de nouveaux codes d’autorisation si nécessaire, mais la liste n’a pas besoin d’être mise à jour aussi fréquemment que les fichiers de définition de liste de refus. Cette méthode peut également empêcher les logiciels malveillants et les attaques zero-day. De plus, étant donné qu’un balayage périodique n’est pas nécessaire, les coûts d’exploitation peuvent être réduits et les préoccupations concernant la stabilité de fonctionnement de l’équipement peuvent être minimisées.
TPM est une puce de sécurité qui répond aux spécifications établies par le Trusted Computing Group (TCG). Cette fonction garantit un stockage et une gestion sécurisés des informations telles que les clés de cryptage qui devaient auparavant être stockées sur des périphériques de stockage amovibles.
La fonction TPM fonctionne indépendamment du système d’exploitation et d’autres matériels, ce qui la rend résistante aux attaques externes, et elle peut être utilisée pour diverses mesures de sécurité des appareils.
Les attaques du BIOS exploitent les failles de sécurité du BIOS d’un système ou du système d’entrée/sortie de base. Le BIOS est le premier programme exécuté au démarrage d’un PC. Une attaque du BIOS pourrait empêcher le démarrage du PC, entraînant divers problèmes. Les virus informatiques qui ont infecté le BIOS ne peuvent pas être détectés même avec un logiciel antivirus et, dans les cas extrêmes, la ROM flash et tout autre matériel contenant le BIOS doivent être remplacés.
Des directives telles que Trusted Platform Module (TPM ; du Trusted Computing Group (TCG)) et National Institute of Standards and Technology (NIST) SP800 ont été établies pour améliorer la sécurité au niveau de l’appareil et les produits conformes à ces directives proviennent de divers fabricants. Toute entreprise intéressée à faire des affaires avec le département américain de la Défense doit se conformer aux directives NIST SP800. Les principaux pays du monde commencent à suivre cet exemple en exigeant la conformité même au-delà de la collaboration avec le gouvernement américain.
NIST SP800-147 garantit également la fiabilité de l’appareil en protégeant le BIOS des attaques. CONTEC propose divers produits contenants un BIOS sécurisé conforme NIST SP800-147, avec diverses protections telles que la protection en écriture du BIOS, les signatures numériques, les cryptages et les mots de passe.
Les directives NIST SP800-193, qui adoptent une vision plus globale des risques de sécurité en mettant davantage l’accent sur la cyberrésilience mentionnée précédemment, ont également été publiées. Une norme de sécurité plus complète qui s’étend aux systèmes et initiatives à l’échelle de l’organisation (NIST SP800-171) a également été publiée. CONTEC développe également des ordinateurs industriels conformes à la norme NIST SP800-193 avec une fonctionnalité de détection et de récupération des modifications du BIOS.
