IoT en milieu industriel : prenez la sécurité au sérieux !
L'IoT s'accompagne de nouveaux cyber-risques. Voici comment protéger les systèmes industriels contre les pirates informatiques.
Les fabricants ont de plus en plus recours à l'Internet des objets (IoT) dans leurs processus de production. Or, cela accroît d'autant le risque de vulnérabilité de leurs systèmes connectés face aux cybercriminels et aux pirates, dont le but est d'arrêter la chaîne de production ou de voler de la propriété intellectuelle.
La sécurisation des appareils connectés est cependant possible. La philosophie, le protocole et les procédures à appliquer sont essentiellement les mêmes que ceux qu'utilisent déjà les entreprises pour sécuriser leurs systèmes informatiques d'exploitation.
« La configuration de la sécurité est possible, même si elle n'est pas simple », confie Albert Biketi, vice-président et directeur général de la sécurité des données et du chiffrage chez HPE. « Comme pour le sport, cela demande une certaine dose de routine et d'efforts, ainsi qu'un engagement vis-à-vis de l'investissement requis. »
Reposant sur l'Internet des objets appliqué à l'industrie (IIoT ou Industrial Internet of Things), la fabrication « intelligente » promet d'améliorer considérablement la production. Il s'agit de recueillir toutes les informations historiques et celles générées en temps réel -- issues des machines et des programmes de la chaîne de production, et de la chaîne logistique -- et de les convertir en données exploitables.
Les entreprises font fi des risques de l'IIoT pour la sécurité
La connectivité ouvre la porte aux risques de cybersécurité. Pourtant les fabricants ne semblent pas en tenir compte.
Selon une enquête récente réalisée par Deloitte, près d'un tiers des fabricants n'ont jamais entrepris d'évaluer les cyber-risques liés aux systèmes de contrôle industriel de leurs ateliers de fabrication. Et parmi ceux qui ont réalisé ce type d'évaluation, près des deux tiers ont fait appel à des ressources internes. Or, pour Deloitte, un tel parti pris pourrait entraîner des failles dans le processus d'évaluation.
« Nous recommandons aux fabricants de développer une forme de centre opérationnel de sécurité, comme pour l'aspect opérationnel de leur activité », explique Sean Peasley, partenaire de Deloitte Cyber Risk Services et co-auteur de l'étude sur les cyber-risques dans le secteur de la fabrication. « Ils doivent appliquer les mêmes mesures à leurs systèmes de contrôle industriel. Cela suppose de recueillir les données des logs, d'étudier chaque aspect du processus du début à la fin, puis d'établir un lien entre ces informations et les dangers potentiels ; par exemple, une communication dont l'adresse IT appartient à un pays avec lequel l'entreprise n'a pas d'accords commerciaux ou l'introduction de types de données inconnus. »
Phil Neray, vice-président de la cybersécurité industrielle et du marketing pour CyberX, renchérit sur l'importance de contrôler continuellement le trafic IIoT afin de déceler toute anomalie ou vulnérabilité potentielle.
« Malheureusement, il reste beaucoup à faire pour sensibiliser le management aux risques encourus », constate-t-il. « L’IT en est conscient, mais les directeurs sont convaincus que la chaîne de fabrication est segmentée et n'est donc pas vulnérable. »
Il convient de distinguer segmentation et isolement. La segmentation consiste à mettre en place plusieurs zones tampon autour des systèmes de contrôle industriels, explique James Piedra. Ce spécialiste des plateformes réseau chez Lanner Electronics travaille dans l'IoT appliqué au secteur industriel. En recourant à un système de contrôle distribué, c'est-à-dire à des contrôleurs autonomes distribués dans un système doté d'une fonction centralisée de surveillance des opérations, les fabricants peuvent segmenter leur IIoT et supporter plusieurs points de défaillance, par exemple en cas d'attaque par déni de service distribué. Autrement dit, les équipements de fabrication sont connectés mais fonctionnent derrière de nombreuses couches de sécurité.
Pour autant, même la segmentation présente des risques. La moitié des fabricants récemment interrogés par Deloitte ont en effet indiqué avoir détecté des failles malgré la segmentation. Cela explique sans doute pourquoi certains fabricants vont plus loin en optant pour l'isolement. L'étude de Deloitte révèle que 43 % des cadres du secteur industriel, estimant que le simple fait d'être connecté entraîne des risques trop élevés, ont adopté une technique nommée « air gapping », qui consiste à isoler les installations des réseaux.
Mais le « air gapping » présente son lot de failles de sécurité. Deloitte explique que nombre de fabricants ayant recours à l'isolement n'ont pas pris la peine de tester l'efficacité de cette technique, et n'ont pas non plus fait l'inventaire de leurs équipements connectés. Des points d'accès réseau actifs peuvent ainsi passer inaperçus, en particulier des points d'accès sans fil faciles à installer.
Les meilleures pratiques de la sécurité IIoT
Que faire, par conséquent, pour tirer parti de l'IIoT ?
D'après Albert Biketi, les industriels doivent avant tout s'assurer que leurs produits et systèmes connectés bénéficient d'une télémesure efficace, à savoir un système capable de signaler toute anomalie à l’IT et aux employés travaillant à la production.
Ces produits doivent en outre pouvoir installer les correctifs destinés à colmater les failles de sécurité de l'IIoT. Ce point relève de la responsabilité des fournisseurs des équipements IoT, qu'il s'agisse de produits pour l'industrie ou pour le B2C.
« Si vous fabriquez une pièce pour un réacteur nucléaire, les risques ne sont pas les mêmes que pour des composants destinés à un bracelet Fitbit. Mais il est primordial d'appliquer à l'IoT une norme de sécurité unique accessible à tous », ajoute Albert Biketi.
Seul un inventaire complet des équipements et la création d'un réseau adoptant le modèle « aucune confiance, contrôle constant » (« never trust, always verify ») et s'étendant à toutes les couches de l'entreprise permettra d’être vraiment vigilant et de protéger les systèmes de contrôles industriels.
Albert Biketi recommande également la formation d'une équipe de sécurité transverse, dont les membres appartiendront à plusieurs services : sécurité IT, ingénierie, opérations, et jusqu'au fournisseur du système de contrôle.
Il ne faut pas s'attendre à ce que les cybercriminels cessent de frapper à la porte des fabricants. Au contraire, les techniques de piratage sont toujours plus élaborées, regrette Sean Peasley. Ils feront tout pour saboter le processus de fabrication ou dérober des données confidentielles. Et tant que la sécurité des produits IoT ne sera pas renforcée dès leur conception, il sera « extrêmement difficile de se protéger contre ces menaces », conclut-il.