Si les conséquences des vulnérabilités numériques en matière de vol d’information, d’espionnage ou de détournements financiers commencent à être bien connues, la prise de conscience des risques qui pèsent sur les systèmes industriels et plus généralement sur tous les automatismes qui régissent notre monde physique est plus récente.
L’avènement annoncé de l’Internet des Objets, et la connexion massive des centaines de milliers d’objets connectés posent le problème de manière encore plus aiguë. Ces objets seront dotés d’une capacité de collecte et de traitement des informations issues du monde physique et pourront agir sur celui-ci. Dans cette perspective, la notion de périmètre n’a plus de sens, l’ouverture est l’ADN du système, le nombre d’intervenants est très difficile à contrôler et les contraintes technologiques sont spécifiques.
Ce monde n’est pas encore notre quotidien : tous les réfrigérateurs ne sontpas connectés à Internet, nos lunettes ou notre montre ne sont pas intelligentes et beaucoup de ces objets connectés sont encore à un stade expérimental. En revanche, il est déjà là dans les domaines industriels qui, sans forcément en avoir pris conscience, possèdent les mêmes caractéristiques : absence de périmètre, ouverture difficile à contrôler, multiplicité des intervenants et contraintes technologiques qui empêchent l’application des méthodes et outils issus de la cybersécurité des systèmes d’information.
Ces systèmes industriels – ICS ou Industrial Control System – pilotent le monde physique : production et distribution d’énergie, systèmes urbains (traitement des eaux, ports ou aéroports) ou encore transports publics (train, métro).
Ils sont confrontés à des risques nouveaux, allant jusqu’à la destruction de l’appareil de production, la pollution de l’environnement ou la perte de vies humaines.
Ces risques qui pèsent, en particulier, sur les infrastructures critiques sont considérables du fait de leur impact systémique sur nos sociétés. Ils ne sont plus cantonnés aux films hollywoodiens à gros budget, mais sont pris très au sérieux par les pouvoirs publics qui se sont engagés dans des campagnes de sensibilisation très importantes et dans la mise en place de réglementations contraignantes.
Le réseau industriel, cet orphelin
Contrairement aux domaines du commerce, de la gestion et de la bureautique où les systèmes d’information font l’objet d’une direction intégrée, les réseaux industriels ne possèdent pas de logique d’urbanisme. Ceux-ci sont, en général, conçus autour des processus qu’ils pilotent. Ils sont pensés de façon indépendante des autres systèmes qui les entourent et sont sous la responsabilité d’une direction « industrielle ».
Il n’y a pas de couple « métier/IT » comme dans une Direction informatique où un informaticien métier représente le client alors que d’autres informaticiens fournissent les éléments d’infrastructure, réseau notamment, en s’assurant de sa cohérence et de sa sécurité. Dans le monde industriel, ces deux rôles sont confondus avec un tropisme fort sur le « métier ». Ainsi, l’informaticien industriel est-il d’abord un automaticien qui connaît très bien le processus industriel à piloter et qui sait comment programmer, maintenir et gérer les automatismes pour le faire. Par nécessité, il s’intéresse au réseau industriel, mais sans en avoir la responsabilité en tant que telle. Cette situation génère du risque dans la mesure où le réseau industriel peut être partagé par plusieurs sous-systèmes dépendant de responsables différents sans que personne ne soit capable d’assurer que celui-ci est maîtrisé et ne fasse pas l’objet de compromission.
Cette absence de responsabilité crée une difficulté en matière de cybersécurité. Elle complique l’interaction entre les hommes de la sécurité informatique et ceux des technologies opérationnelles. Trop souvent, les automaticiens n’ont pas d’expertise informatique. Plus encore, pour les managers de production ou de maintenance, le risque cyber arrive très loin dans la liste des risques qui pèsent sur l’outil industriel.
Par où commencer ?
Les gestionnaires de systèmes industriels, d’installations de transports ou encore les responsables d’infrastructures publiques, pour ne citer que quelques exemples, doivent se poser une question simple : « Par où commencer ma démarche cybersécurité ? Comment obtenir des résultats rapides et atténuer les risques auxquels je fais face... »
Il faut se garder d’adopter une posture, naïve, de recherche d’un absolu visant à sécuriser le système de manière parfaite. Cette posture théorique donnerait le sentiment aux responsables industriels qu’ils doivent s’engager dans un effort considérable pour voir apparaître les premiers bénéfices, ce qui aurait pour conséquence à les inciter à ne rien faire. Les règles qui en découlent sont souvent issues des pratiques de la sécurité des systèmes d’information, par exemple :
l’obligation d’appliquer des correctifs de sécurité,
la création de politiques de sécurité détaillées, issues d’une analyse de risque,
une logique de « tout interdire et verrouiller » au risque d’empêcher les uns et les autres de travailler et les machines de fonctionner.
Ces approches ne sont, en général, pas économiquement viables, à court terme. Elles demandent un investissement initial important. Elles sont complexes, car se voulant exhaustives (tous les serveurs, tous les points d’accès, etc.), et manquent de pragmatisme.
Plus encore, les solutions de cybersécurité IT existantes nécessitent de disposer d’une expertise technique pointue pour les mettre en œuvre et les exploiter efficacement. Elles sont intrusives et pourraient conduire à des pertubations fortes de la production via, par exemple, des faux-positifs. Elles s’adressent à des informaticiens, bien formés, maîtrisant les problématiques de cybersécurité. Et même si la plupart des solutions bénéficient maintenant d’interfaces graphiques ergonomiques, il faut, la plupart du temps, plusieurs jours à un technicien bien formé pour les déployer.
Trois points clefs pour réussir
Il est important de mettre rapidement en place une première initiative. La question posée (« par quoi commencer ? ») appelle une réponse pragmatique. Trois points sont essentiels pour démarrer.
Le premier est d’identifier des responsabilités claires sur le réseau industriel. La démarche doit être menée par des hommes de terrain, qui connaissent la réalité des opérations de leur entreprise. Un rôle doit être clairement identifié, celui de : Responsable de la Sécurité, des Systèmes et Réseaux industriels.
Le second est de connaître précisément sa situation actuelle (« où en est-on ? »). Cela passe par la connaissance détaillée du parc d’équipements connectés à son réseau et de sa cartographie complète. Cette connaissance permettra de mettre en place très vite des règles simples qui permettront d’augmenter rapidement le niveau de protection.
Le troisième est de se préparer à répondre à une intrusion ou une activité malveillante (« être prêt à se défendre »). Il passe par la centralisation des événements de sécurité et des journaux d’événements.
La cybersécurité des systèmes industriels est un sujet à prendre rapidement en considération. La protection numérique des infrastructures critiques, de l’appareil de production n’est plus une option. C’est un impératif.
Laurent Hausermann, co-fondateur de Sentryo