Industrialiser la sécurité des environnements industriels

Loïc-Guezo-article

Loïc Guézo, Evangéliste Sécurité de l’information pour l’Europe du Sud chez Trend Micro et Administrateur du Clusif

C’est un exercice de prédilection pour nombre d’acteurs de la sécurité informatique : les prévisions pour l’année à venir. Parmi les thématiques abordées, celle de l’Internet des Objets mérite de s’y attarder : si les objets connectés ne seront pas, per se, des cibles d’attaques, les données traitées et produites seront, en revanche, visées. Faut-il s’en inquiéter ?

À vrai dire, tout dépend de l’objet connecté. Un bracelet de fitness présente peu d’intérêt. Il en est autrement pour un compteur électrique intelligent, passerelle potentielle vers l’infrastructure de distribution d’un fournisseur d’énergie. L’Internet des Objets est ainsi lié aux infrastructures industrielles, et ces dernières sont convoitées par les hackers, cybercriminels, voire des gouvernements.

L’affaire Stuxnet, qui a mis à mal les centrifugeuses iraniennes d’enrichissement d’uranium en 2010, reste encore aujourd’hui emblématique de ces infrastructures industrielles vulnérables. D’autres exemples ont depuis émergé, à l’instar de ces panneaux d’informations autoroutiers en Turquie affichant des messages d’erreurs de Windows suite à une intrusion. D’autres exemples sont cités par le chercheur en sécurité Kyle Wilhoit dans un rapport de 2013. Une liste qui n’est néanmoins pas exhaustive, de nombreux cas n’ayant pas été rendus publics ou ayant tout simplement été classés « secret défense ». En 2014, le SANS Institute pointait, suite à une enquête menée auprès de professionnels de la sécurité, que 40% des répondants avaient identifié ou suspecté une intrusion de sécurité au sein de leur environnement industriel, contre 28% en 2013. Ce bond traduit la difficulté à sécuriser les systèmes de contrôle industriels, d’autant que les répondants déclarent majoritairement que les moyens de protection des ces systèmes n’ont pas été récemment renforcés.

Vers des exactions aussi nombreuses que pour l’informatique de gestion ?

Comme le souligne le SANS Institute, les attaques en environnement industriel progressent, tirant parti de mutations qui s’opèrent au sein de ces environnements. Ces derniers, autrefois cloisonnés (et donc protégés), commencent à s’ouvrir, tandis que les systèmes de contrôle, dont la durée de vie peut s’étaler sur des décennies, n’ont pas intégré la sécurité en natif et sont dépourvus des processus de mise à jour de sécurité. D’autres spécificités à l’origine de vulnérabilités sont identifiées par l’ENISA, l’agence de cyber-sécurité de l’UE, qui en identifie 8 dans un rapport de 2011, avant d’appeler, dans un communiqué en 2014, à des tests de capacité portant sur les environnements industriels de certains OIV (Opérateurs d’Importance Vitale) européens.

La mobilisation est donc d’actualité face à la menace, et l’on constate une réelle prise de conscience, d’ailleurs stimulée par le législateur. C’est ainsi que l’entrée en vigueur de la Loi de Programmation Militaire au début de 2014 en France, a permis, via son volet dédié à la cyber-défense, d’imposer la cyber-sécurité au sein des OIV publics et privés. Bien sûr, ces différents acteurs stratégiques ne sont pas au même niveau de maturité, mais les risques de sécurité sont désormais étudiés : l’acte cybercriminel n’est plus une possibilité, mais une réalité. Les priorités portent ainsi sur l’industrialisation des processus d’alertes sur les menaces et sur la formation des utilisateurs au traitement de ces alertes et au pilotage des risques. A noter également une évolution organisationnelle incitée par le régulateur, avec la nomination de RSSI dédiés aux environnements industriels et l’implication des équipes de sécurité dans les projets industriels.

Quels outils technologiques pour la sécurité industrielle ?

Toujours dans le rapport du SANS Institute, 58% des personnes interrogées se contentent de faire confiance à leurs équipes de sécurité pour identifier les menaces, ce qui implique un suivi permanent des événements de sécurité, mais aussi leur corrélation. Une tâche titanesque pour les équipes de sécurité, souvent dépourvues d’outils adéquats. Pourtant, ces derniers existent, à l’instar des informations de veille fournies par des CERT ou par les fournisseurs de solutions de sécurité au travers de leur infrastructure de recherche sur les menaces. Aux industriels donc de former leurs équipes de sécurité à capitaliser sur ces informations de veille.

Pour aller plus loin, une des particularités des environnements industriels est qu’ils restent majoritairement cloisonnés, ce qui freine la mise à jour les signatures anti-malware. Pour pallier cette contrainte, il est pertinent d’opter pour une solution autonome, qui détecte les intrusions et maîtrise l’exécution de certaines applications à partir de listes blanches applicatives. Cet outil, qui devient une plateforme de pilotage de la sécurité de l’environnement industriel, doit être mis à jour. En l’absence de connexion à Internet, les mises à jour doivent être réalisées physiquement, et le plus simplement qui soit. La bonne méthode est celle d’un support amovible de type clé USB hébergeant les anti-malware et les signatures. Cette clé, mise à jour à partir d’un système connecté à Internet, est ensuite introduite au sein d’un environnement industriel pour assurer les analyses anti-malware, notamment à l’échelle des interfaces hommes-machines. Notons par ailleurs que les environnements industriels s’ouvrent vers l’extérieur, via des interfaces Web qui permettent le contrôle à distance ou le stockage de données dans le Cloud. Ces interfaces doivent être sécurisées, via des outils de monitoring et d’alertes qui identifient les intrusions liées aux menaces évoluées.

Au final, pour contrer la recrudescence annoncée des exactions en environnement industriel, c’est précisément une industrialisation de la sécurité qui s’impose. L’idée puise dans des concepts et processus familiers pour les industriels : l’automatisation (de la détection des menaces), la définition des processus (de prise en charge des menaces), la répétabilité et la pérennité (des processus), ou encore le contrôle (de l’environnement de sécurité). Autant de pistes pour répondre à des cybercriminels qui seront appelés à évoluer vers une industrialisation de leurs attaques dans le futur. Si, aujourd’hui, leurs attaques encore « artisanales » sont déjà dangereuses, qu’en sera-t-il lorsque l’assaillant disposera de kits d’exploitation performants, de bases de données sur les vulnérabilités des systèmes de contrôle et de la capacité d’automatiser les attaques selon les systèmes ciblés ?