Vulnérabilités de l’OT sur 41 sites industriels audités
Rien ne vaut le retour du terrain pour l’analyse des vulnérabilités les plus courantes affectant les systèmes d’information industriels. Le cabinet Wavestone a présenté sur le FIC 2021 les résultats provenant de 41 audits portant sur le niveau de cybersécurité de différents sites industriels, durant la période 2019-2020. Synthèse et décryptage des principaux enseignements en compagnie d’Arnaud Soullié, co-auteur du rapport.
Fondé par deux Français en 1990, Wavestone est un cabinet de conseil accompagnant les grandes entreprises et organisations dans leur transformation numérique. Ayant acquis une dimension internationale, l’entreprise est cotée en bourse et emploie plus de 3 000 collaborateurs.
Le cabinet s’est penché sur la cybersécurité des systèmes d’information (SI) industriels dès 2010, une tendance qui ne fait que s’accélérer depuis la convergence OT/IT (Operationnal Technology/Informational Technology). Les 41 sites industriels audités durant la période 2019-2020 regroupent 10 clients opérant dans des secteurs d’activité variés : pharmacie, énergie, cycle de l’eau, spiritueux, agroalimentaire…
Au sein de ce panel, seulement quelques sites sont considérés comme des opérateurs critiques et font partie du secteur réglementé, au titre de la loi de programmation militaire ou de la directive NIS.
Méthodologie
Les audits de Wavestone se déroulent selon une méthodologie propre, comme le décrit Arnaud Soullié, manager spécialiste des SI industriels au sein du cabinet : « Il existe un certain nombre de guides méthodologiques pour la sécurité des SI industriels, ainsi qu’une norme de référence : l’IEC 62443. Nous avons développé notre propre méthode, basée sur sept piliers, car nous n’avons pas trouvé de standard international fonctionnant à l’échelle d’un site industriel. Ce dernier est un savant mélange composé d’éléments organisationnels, techniques et physiques. »
Les sept piliers sont : la gouvernance et l’organisation de la cybersécurité ; la cybersécurité au sein des projets informatiques ; la cybersécurité des équipements de sécurité physique ; la sécurité de l’architecture réseau ; la sécurité opérationnelle du système ; la gestion des incidents et des crises ; la conformité.
L’OT, une réalité plurielle
On l’a vu, l’OT désigne tout système d’information qui permet de superviser et de piloter un procédé industriel automatisé. Arnaud Soullié précise : « Il y a plusieurs couches dans un SI industriel. À la base, il y a la couche des automatismes. Au-dessus, il y a les systèmes Scada (Supervisory Control and Data Acquisition) ou apparentés, qui pilotent les automates. Ensuite, il y a encore un certain nombre d’autres couches, variables selon les entreprises, qui permettent de faire l’interface avec la bureautique. De plus en plus, pour des raisons de performance et de cadence de production, un grand nombre d’informations est échangé avec les SI tiers, que ce soit pour commander des matières premières ou pour envoyer la production vers des entrepôts automatisés par exemple. »
« Lorsqu’il existe des exigences de qualité liées au métier, avec une organisation et des procédures bien définies, alors le cadre général d’organisation est profitable au déploiement des mesures de cybersécurité. »
Arnaud Soullié, manager spécialiste des SI industriels chez Wavestone.
D’une manière générale, le constat est qu’il existe des disparités importantes du niveau de cybersécurité observées au sein des sites industriels audités, quels que soient les secteurs d’activité considérés. Certains présentent un niveau satisfaisant, mais beaucoup sont encore à la traîne.
Notre auditeur observe néanmoins que « lorsqu’il existe des exigences de qualité liées au métier, avec une organisation et des procédures bien définies comme dans le secteur pharmaceutique, alors le cadre général d’organisation est profitable au déploiement des mesures de cybersécurité ».
Architecture réseau : des fondations encore trop communes
L’une des premières vulnérabilités identifiées réside dans l’architecture réseau. C’est à présent une réalité : aucun SI industriel n’est isolé à 100 % et il est illusoire de vouloir le couper du reste des flux d’information.
C’est ce que souligne Arnaud Soullié : « Une position trop rigide, empêchant tout échange, se solderait par des actions humaines mettant en oeuvre des périphériques amovibles, des disques durs externes ou des clés USB. Au final, le cloisonnement dur et la séparation stricte du SI industriel risquent d’engendrer des actions humaines légitimes, mais beaucoup moins sécurisées ».
Si les échanges IT/OT sont donc inévitables, un certain nombre de sites présentent encore des SI industriels et bureautiques trop imbriqués. Les audits remontent que :
- 17 % des SI industriels partagent le même réseau que le SI bureautique, soit près d’un cas sur cinq ;
- 31 % des automates industriels sont accessibles directement depuis le réseau bureautique.
Or la multiplication et la sophistication des attaques dirigées vers l’IT renforcent cette vulnérabilité liée à la perméabilité entre les SI industriels et bureautiques. D’autant plus que les SI industriels ne peuvent pas être sécurisés aussi facilement que les SI bureautiques. Ne serait-ce que parce que les mises à jour de l’OT sont plus délicates pour des raisons de disponibilité de l’outil de production, voire tout simplement inexistantes.
Il n’en reste pas moins que dans 47 % des cas, une zone tampon a été implémentée entre l’OT et l’IT, ce qui est plutôt une bonne nouvelle.
Un autre impératif est de sécuriser en premier les équipements les plus critiques : les automates et les SIS (systèmes instrumentés de sûreté), ces derniers permettant d’assurer une fonction essentielle, la sûreté de fonctionnement du procédé de production.
Administration système : accentuer le filtrage
S’agissant de la sécurité des process – et donc des postes de travail – des serveurs et des différents comptes qui vont être utilisés, le constat est plus alarmant : 45 % des terminaux ne comportent pas de solution de protection de type antivirus ou EDR (Endpoint Detection and Response – un antivirus plus performant), et 36 % des équipements ne bénéficient pas de correctifs de sécurité.
Enfin, 25 % des machines de l’OT tournant sous Windows font encore partie de l’Active Directory (qui renferme les autorisations d’accès) de l’IT. Autrement dit, les portes du SI industriel restent encore grandes ouvertes à l’infection par un malware.
Il est vrai que la hantise des équipes de l’OT est de voir le processus de production bloqué par un antivirus ayant détecté un faux positif. Un cas qui reste rare et qui peut être contourné en imposant des règles de fonctionnement à l’antivirus.
C’est parfois l’intégrateur de la solution logicielle d’un équipement qui refuse la mise en place d’un antivirus pour des raisons de maintenance. Là aussi, c’est un cas de moins en moins fréquent.
Les caractéristiques propres de l’OT expliquent la difficulté d’application des correctifs de sécurité. « Pour en bénéficier, il faut pouvoir les installer, explique Arnaud Soullié. Cela signifie redémarrer la machine, ce qui est parfois incompatible avec les procédés industriels qui tournent en continu. Il faut aussi pouvoir tester le correctif avant de l’installer, ce qui n’est pas toujours possible. Contrairement au SI bureautique, on ne peut pas mettre en place un environnement virtuel de test car l’OT est rattaché à des éléments physiques. Cependant, on a des solutions : d’une part, la plupart des éditeurs de logiciels Scada publient à présent des correctifs Windows qui ont été testés compatibles. Et d’un point de vue architecture d’autre part, lorsqu’on a des systèmes redondants, on peut basculer sur un serveur, installer les patchs et les tester isolément. »
Accès distants : attention au bricolage !
Dans la lignée de la convergence IT/OT et l’interconnectivité croissante du SI industriel, les audits ont permis de constater que 86 % des SI industriels observés nécessitaient une connexion à distance. L’accès distant est donc un besoin métier avéré, et dans 44 % des cas, il existe une connexion site-à-site entre le SI industriel et un tiers.
L’exemple qui revient le plus souvent est celui de la maintenance connectée, qu’elle soit prédictive ou corrective. La supervision et le contrôle du système d’information industriel passent donc sur la majorité des sites par la délégation d’un accès aux prestataires externes. Le problème c’est que pour 42 % des sites industriels examinés, ces accès sont aménagés aux moyens de solutions non-officielles et non-sécurisées.
Pour parer ces vulnérabilités, Arnaud Soullié recommande de faire « l’inventaire des accès distants pour étudier comment les sécuriser au mieux. À partir de là, il faut adopter une solution standard sécurisée qui répond aux attentes des opérateurs. Cela pour éviter les initiatives locales qui peuvent ne pas être sécurisées, comme le téléchargement gratuit d’un logiciel comme TeamViewer sans autres précautions complémentaires, ou les connexions sauvages au sein de la ligne de production ».
La mixité des équipes IT/OT est fondamentale : tandis que les équipes de l’OT partagent leur culture de la sûreté de fonctionnement, les équipes de l’IT font passer leur culture de la cybersécurité.
Gouvernance : ne pas oublier l’humain
« La cybersécurité n’est pas qu’une question technique, ça s’organise, ça évolue, ça vit au cours du temps. »
C’est un leitmotiv avancé par Wavestone : la clé de la cybersécurité ne réside pas dans les technologies, mais bien plutôt dans l’humain. « La cybersécurité n’est pas qu’une question technique, ça s’organise, renchérit Arnaud Soullié. Et ce n’est pas quelque chose de figé, ça évolue, ça vit au cours du temps. Cela suppose une politique, qui définit dans les grandes lignes ce que l’on veut faire, qui se décline dans des guides pratiques et qui enfin débouche sur des mesures opérationnelles. »
Sur ce plan, deux bonnes nouvelles : 66 % des sites audités ont adopté une politique spécifique au SI industriel, et 47 % disposent d’un responsable identifié sur site. Un interlocuteur cyber sur le terrain reste un point important, c’est l’organe de transmission des mesures tout comme le point d’entrée des remontées d’informations.
La mixité des équipes IT/OT est fondamentale : tandis que les équipes de l’OT partagent leur culture de la sûreté de fonctionnement, les équipes de l’IT font passer leur culture de la cybersécurité.
En revanche, seulement 28 % des sites ont défini des exigences de cybersécurité pour les tiers. C’est une lacune importante, car les systèmes industriels sont conçus pour durer dans le temps, parfois plusieurs décennies. Si les besoins en cybersécurité ne sont pas exprimés et formalisés dans les appels d’offres, alors il y a de fortes chances pour que le SI industriel reste durablement vulnérable.
Résilience : penser global
Un cinquième et dernier faisceau de vulnérabilités émerge du rapport : l’estimation de la résistance à une cyberattaque. Les chiffres font état de 12 % de sites ayant subi une attaque du SI avec un impact significatif sur la production durant l’année écoulée. On constate également que 28 % des sites utilisent des composants obsolètes sans stock suffisant ou maîtrisé, tandis que seulement 31 % disposent d’un inventaire des machines à jour.
L’état de préparation à une cyberattaque est donc perfectible, d’autant que si des sauvegardes sont généralement présentes, il est rare qu’elles couvrent l’ensemble des machines nécessaires à la production. L’avantage d’un SI industriel par rapport à un environnement bureautique, c’est qu’il n’y a pas des centaines de serveurs et de postes de travail. Réinstaller le SI industriel peut donc faire partie des procédures à envisager, si un incident persiste dans la durée. Arnaud Soullié ajoute que « la plupart des sites industriels ont des plans de continuité d’activité plutôt orientés sur le métier. Ce que l’on essaie de faire, c’est que soient intégrés des scénarios de cybersécurité dans l’exercice, afin d’être prêts le jour J ».
La convergence IT/OT et l’interdépendance croissante des univers ne doivent pas cependant conduire à « surprotéger » les SI industriels. Si le fonctionnement en mode dégradé est possible pour un certain nombre de secteurs industriels comme l’énergie ou l’eau, qui peuvent repasser en mode « manuel », c’est malheureusement illusoire pour d’autres. « Dans le secteur du manufacturing, explique ainsi Arnaud Soullié, à quoi bon surprotéger le SI industriel si le logiciel ERP ou le système automatisé d’entrepôt, qui sont indispensables au fonctionnement du SI industriel, sont devenus inopérants ? La production devra de toute façon être arrêtée à un moment ou à un autre. Le cas de Colonial Pipeline, où c’est l’attaque de l’IT qui a impacté l’OT, est emblématique : aujourd’hui, il n’y a pas que le SI industriel qui est critique, mais l’ensemble des SI impliqués dans la chaîne de valeur. »
Article extrait du n° 577 de Face au Risque : « Cybersécurité des systèmes industriels » (novembre 2021).
Bernard Jaguenaud – Rédacteur en chef
Les plus lus…
Cette fiche réflexe a été créée dans un contexte où la menace drone est trop souvent ignorée, et où…
La société Rolland, spécialisée dans la conception et la fabrication de sprinkleurs pour les réseaux de protection incendie, obtient…
Le développement des mobilités électriques, notamment les vélos, trottinettes et voitures, fait peser un risque nouveau tant chez les…
La directive (UE) 2024/2831 du Parlement européen et du Conseil du 23 octobre 2024, relative à l’amélioration des conditions…
D’avis unanime, les JOP 2024 ont été une réussite sur le plan sécuritaire. Durant cet événement inédit, trois projets…
L'arrêté du 31 octobre 2024 relatif à l'analyse des substances per- et polyfluoroalkylées dans les émissions atmosphériques des installations…