Les spécificités des systèmes industriels
Fortement informatisés et de plus en plus interconnectés avec les systèmes d’information classiques voire avec internet, les systèmes industriels sont eux aussi exposés aux cyberattaques, alors qu’ils n’ont pas été conçus pour y faire face. La cybersécurité de ces équipements est un enjeu majeur pour le monde industriel, d’autant plus dans le contexte de l’usine du futur ou « industrie 4.0 ».
Un système d’information industriel, ou ICS (Industrial Control System), désigne un système d’information auquel s’ajoutent des moyens informatisés et automatisés assurant le contrôle et le pilotage de procédés industriels.
Les éléments des systèmes d’information
Dans son guide Maîtriser la SSI pour les systèmes industriels, l’Agence nationale de la sécurité des systèmes d’information (Anssi) explique que, bien que spécifiques à chaque installation, les systèmes d’information industriels se composent le plus souvent des éléments suivants :
- automates programmables industriels (API ou PLC), qui permettent de déclencher ou moduler des actions physiques en fonction de grandeurs mesurées ;
- systèmes numériques de contrôle-commande (SNCC) ;
- systèmes instrumentés de sécurité (SIS) destinés à maintenir l’installation dans des conditions sûres de fonctionnement ;
- capteurs et actionneurs (intelligents ou non) ;
- bus de terrain (système de réseau industriel qui permet de connecter les instruments dans une usine) ;
- logiciels de supervision et de contrôle (Scada) : ils permettent de centraliser le pilotage d’une installation et de présenter une interface homme-machine ergonomique ;
- logiciels de gestion de production assistée par ordinateur (GPAO, MES) ;
- logiciels d’ingénierie et de maintenance ;
- systèmes embarqués.
Concrètement, les systèmes industriels sont composés d’équipements physiques au sein de l’usine (moteurs, pompes, vannes… et capteurs), pilotés par des systèmes de contrôle, à distance ou non, (automates et applications Scada) et de systèmes d’information pour l’analyse des données. Les équipements échangent des informations en utilisant de nombreux protocoles, certains conçus pour des domaines d’application spécifiques.
IT et OT
Ces systèmes industriels se distinguent des systèmes d’information classiques par le fait qu’ils pilotent des installations physiques (unités et chaînes de production, unités de distribution d’eau, d’énergie, infrastructures de transport…). Pour les différencier, on parle souvent de « technologies de l’information » ou IT (Information Technology) et de « technologies d’exploitation » ou OT (Operational Technology). Un système IT est destiné au traitement et au stockage de l’information. Un système OT interagit avec un système physique, via des capteurs et des actionneurs.
« Le système d’information industriel est composé d’éléments similaires à un système d’information classique – postes de travail, serveurs, équipements réseau, système de stockage et de sauvegarde – mais aussi d’éléments spécifiques destinés à gérer l’interaction avec le système physique et fournir une interface homme/machine (HMI) adéquate », explique Jean-Marie Flaus, enseignant-chercheur à l’université Grenoble Alpes, dans les domaines de la sécurité au travail et de la cybersécurité des systèmes industriels.
Il a notamment écrit un livre sur le sujet et a cofondé la start-up Aphelio (incubée par l’UGA), qui a pour objectif de proposer des systèmes de sécurisation pour les systèmes industriels accessibles aux non-spécialistes.
Vulnérabilités des systèmes industriels
Pendant longtemps, le risque de cyberattaque n’était pas un sujet car les installations industrielles étaient peu connectées aux réseaux de l’entreprise ou à internet. Les systèmes de contrôle industriels semblaient donc protégés.
« L’évolution de la technologie, des usages et des besoins a conduit à relier ces systèmes aux autres réseaux, pour le transfert de données de production vers les systèmes informatiques par exemple, ou encore la maintenance à distance ou les mises à jour depuis le site d’un constructeur, remarque Jean-Marie Flaus. Penser qu’il est possible d’isoler les systèmes industriels n’est pas réaliste. »
Problème, la plupart des technologies et protocoles ont été conçus à une époque où les cyberattaques n’existaient pas (ou peu). Et comme la durée de vie des installations est beaucoup plus importante pour les ICS que les systèmes informatiques classiques, les matériels sont peu renouvelés et donc peu sécurisés et très vulnérables. Par ailleurs, la priorité du monde industriel étant la disponibilité des équipements pour produire, les mises à jour des logiciels, systèmes d’exploitation, etc. ne sont pas réalisées régulièrement, par peur des dysfonctionnements.
« Si les acteurs des ICS ont une bonne culture du risque industriel […], leur perception de ces risques pour la partie OT est limitée, même si elle est en voie d’amélioration. »
Autre spécificité, les équipes tournent et se partagent donc souvent les postes. En outre, la gestion de l’authentification et des droits d’accès est souvent difficile et les mots de passe par défaut ne sont pas toujours changés. « Bien souvent, même si les acteurs des ICS ont une bonne culture du risque industriel et sont sensibilisés aux risques informatiques pour la partie IT, leur perception de ces risques pour la partie OT est limitée, même si elle est en voie d’amélioration », souligne Jean-Marie Flaus.
Des menaces réelles
Si les attaques contre les systèmes industriels sont pour le moment limitées, le risque est bien réel. Pour preuve, en janvier 2020, l’organisme à but non lucratif Mitre, auteur de l’encyclopédie mondiale de la cybermalveillance, a publié une base de données sur les cyberattaques visant les systèmes de contrôle industriels, baptisée ATT&CK for ICS. Au sein de cette matrice publiée dans un wiki, on trouve une liste des groupes cybermalveillants qui ont tenté au moins une fois d’infiltrer des réseaux de communication d’une usine (OT) ainsi que leur modus operandi. ATT&CK for ICS répertorie 79 techniques, 19 logiciels malveillants, 9 groupes de hackeurs et 7 familles d’équipements industriels vulnérables.
Les menaces sont multiples. Du hackeur opportuniste aux organisations idéologiques, étatiques ou terroristes, en passant par l’employé malveillant, les attaquants sont d’origines très diverses.
Ils peuvent utiliser différents vecteurs d’attaque comme le réseau, un accès physique (par exemple une clé USB), un équipement ICS, des applications, les salariés ou des fournisseurs.
Une attaque pourra impacter la production, en qualité ou en quantité, mais aussi les équipements, les personnes ou l’environnement. L’objectif peut aussi être le vol de données. Ces différents impacts génèrent des pertes financières liées à la perte d’activité
ou au versement de compensations aux victimes potentielles, ainsi qu’une atteinte à l’image de l’entreprise.
« Il est important de noter que dans le cas des ICS, il existe encore de nombreux dispositifs pour lesquels l’identification n’est pas nécessaire, et une part importante des protocoles utilisés, de conception ancienne, n’est pas sécurisée. Si un attaquant réussi à accéder au réseau industriel, il peut relativement facilement écouter et modifier les échanges », prévient Jean-Marie Flaus.
Convergence IT/OT
À l’heure où les frontières s’estompent entre l’IT et l’OT, une tendance qui s’est accélérée avec la généralisation du télétravail due au Covid-19, de nouveaux défis stratégiques, technologiques et organisationnels apparaissent pour les groupes industriels. Les opportunités en termes de réduction de coûts et d’optimisation des sites ne doivent pas faire oublier les vulnérabilités qu’apporte cette convergence.
L’ouverture des systèmes industriels augmente la surface d’exposition des systèmes à des menaces plus diversifiées. En témoigne le nombre important d’industries victimes de ransomwares ces dernières années.
La collaboration entre les équipes IT et OT est essentielle. Elles doivent apprendre à se parler et trouver un équilibre entre la protection du système et l’impératif de production. Le principal défi est certainement d’ordre humain : les équipes informatiques et opérationnelles doivent apprendre à se comprendre et s’adapter à leurs contraintes respectives.
Article extrait du n° 577 de Face au Risque : « Cybersécurité des systèmes industriels » (novembre 2021).
Gaëlle Carcaly – Journaliste
Les plus lus…
Un décret portant application de l'article 40 de la loi n° 2023-175 du 10 mars 2023 relative à l'accélération…
Au cours de la vie professionnelle, les travailleurs peuvent être victimes d’un accident. Dans ce cas, des démarches doivent être…
Cette fiche réflexe a été créée dans un contexte où la menace drone est trop souvent ignorée, et où…
La société Rolland, spécialisée dans la conception et la fabrication de sprinkleurs pour les réseaux de protection incendie, obtient…
Le développement des mobilités électriques, notamment les vélos, trottinettes et voitures, fait peser un risque nouveau tant chez les…
La directive (UE) 2024/2831 du Parlement européen et du Conseil du 23 octobre 2024, relative à l’amélioration des conditions…