La sécurité des infrastructures critiques utilisant des systèmes de contrôle industriels (industrie nucléaire, industrie pétrolière, chimique et pharmaceutique, réseaux de transport et de distribution d’énergie, traitement et distribution d’eau, centrales électriques, infrastructures de transport, etc.), et plus particulièrement pour les opérateurs d’importance vitale, s’impose désormais comme une priorité essentielle. Et ce, dans un contexte de montée généralisée des risques de sécurité informatique depuis 2010.
D’une part, l’évolution des technologies amène les systèmes de pilotage informatisé des installations à s’ouvrir aux réseaux extérieurs, ce qui génère une augmentation des risques. Conçus à l’origine pour fonctionner de manière isolée, ces systèmes sont intégrés de manière de plus en plus systématique avec le système d’information de l’entreprise – gestion des actifs, GMAO, gestion de la chaîne logistique…-, afin de répondre à des exigences de productivité.
D’autre part, les composants techniques utilisés dans les systèmes de contrôle industriel sont en général peu préparés aux défis de la sécurité informatique : ils utilisent des technologies hétérogènes (matériel et logiciel), souvent vieillissantes et mal protégées. Au-delà de cette vulnérabilité intrinsèque, ils sont aussi soumis à des contraintes de disponibilité et d’exploitation qui rendent les mises à jour difficiles.
Enfin, certains incidents, rendus publics ces dernières années, de logiciels malveillants ayant endommagé des installations industrielles – tels que StuxNet en 2010 ou Shamoon en 2012 – ont contribué à la prise de conscience de ces risques.
La sécurisation des installations industrielles diffère de celle des systèmes d’information d’entreprise :
– Tout d’abord, parce que la nature des risques est différente : les dysfonctionnements des systèmes de contrôle industriels ont des conséquences dans le monde physique ; alors que le risque d’espionnage représente la menace la plus élevée pour le SI, le sabotage est souvent la préoccupation principale dans les systèmes de contrôle industriels, celui-ci pouvant entraîner une interruption de la continuité de service (distribution d’eau, d’électricité), ou des dommages aux personnes ou sur l’environnement (nucléaire, SEVESO), ou à l’outil de production (StuxNet).
– Ensuite, parce que les systèmes de contrôle industriel contiennent des composants très vulnérables (automates et contrôleurs, terminaux de télégestion, logiciels métier développés en mode spécifique, etc), en partie anciens (cycles de vie très longs dans l’industrie – 10, 15 voire même 30 ans dans le nucléaire) et souvent sensibles aux perturbations. De plus, les protocoles et standards de communication utilisés sont peu sécurisés (Modbus/TCP, OPC, DNP3, ICCP).
– Egalement, ils font l’objet de contraintes d’exploitation spécifiques : bonnes pratiques issues des SI pas toujours transposables (par exemple, la mise en place de comptes nominatifs n’est pas toujours compatible avec l’organisation de l’exploitation) ; difficultés à systématiser le déploiement d’antivirus sur les PC (contraintes temps réel, matériels PC non standard ou anciens) ; ou encore difficulté à effectuer les mises à jour de sécurité de manière régulière car les fournisseurs de composants industriels n’ont généralement pas de politique de mises à jour de sécurité.
– Finalement, l’environnement réglementaire et normatif est complexe et demeure en pleine évolution. À côté des standards généralistes déjà connus comme l’ISO 27001 émergent des standards spécifiques aux réseaux industriels CEI 62443), voire même à des métiers spécifiques comme ceux de l’industrie nucléaire (CEI 62645).
Compte tenu de ces spécificités, les stratégies de mise en place de la sécurité diffèrent de celles utilisées pour les réseaux informatiques d’entreprise. L’accent est mis tout particulièrement sur la méthode de segmentation des réseaux industriels, avec un découpage en zones, de degrés de sécurité différents. C’est véritablement une nouvelle discipline de l’ingénierie qui est en train d’émerger, nécessitant de mettre en place des équipes pluridisciplinaires et multiculturelles : des spécialistes de la sécurisation des réseaux et des systèmes informatiques, des consultants en organisation et des hackers éthiques, qui ont déjà l’habitude de travailler ensemble, mais aussi des architectes de systèmes industriels et des spécialistes de la production industrielle, qui connaissent bien les spécificités de ces systèmes critiques.
Comme pour les autres domaines de la sécurité informatique, les premières réponses sont d’abord organisationnelles avant d’être technologiques. Il est important de définir en premier lieu l’organisation et les processus à mettre en œuvre : définition de la chaîne de responsabilité de la cybersécurité au sein de l’entreprise, définition des processus pour la gestion des risques, la remontée et le traitement des alertes de sécurité, définition des processus de vérification et d’audit, définition de la relation avec les autres processus de l’entreprise tels que la gestion ressources humaines (recrutement, formation et sensibilisation des personnels), ou encore la sécurisation physique des sites.
Ensuite, pour les réseaux industriels, il faudra élaborer une architecture de sécurité en définissant le nombre de degrés de sécurité que l’on veut mettre en place, la stratégie de découpage du système en zones de sécurité et les mesures de contrôle des flux qui circulent entre les zones. Des standards comme CEI 62443 fournissent des méthodes pour effectuer ces diverses opérations.
C’est sur cette architecture de sécurité que s’appuient ensuite les mesures techniques de protection : pare-feu, équipements de sécurité, durcissement de la configuration des systèmes et des ordinateurs. Puis viennent les mesures techniques de mitigation, dont le but est de limiter les impacts d’un incident de sécurité éventuel : dispositifs de sauvegardes et de reprises sur incident d’une part, mais aussi auditabilité du système et préservation de l’historique des évènements et des changements de configuration, permettant de déterminer la cause et la portée d’un incident.
Pour certains systèmes particulièrement critiques et qui le justifient, on met finalement en place une surveillance du système à partir d’un centre opérationnel de sécurité. Ce dispositif peut éventuellement être mutualisé avec la surveillance du réseau d’informatique d’entreprise, qui quant à lui est souvent déjà en place dans les grands groupes industriels.
La mise en place de l’ensemble de ces mesures représente à l’évidence un effort important. Bien souvent, elle devra donc être traitée par étape, dans le cadre de plans pluriannuels d’amélioration continue. Face à un effort qui promet de s’inscrire dans la durée, le maître mot pour le responsable en charge de la sécurité des systèmes industriels est donc l’anticipation :
– Anticiper la montée des obligations réglementaires, tout particulièrement pour les industriels ayant en France le statut d’Opérateur d’Importance Vitale
– Planifier et réussir à défendre les budgets nécessaires, dans un domaine qui relève avant tout de la gestion du risque et donc sans retour sur investissement direct
– S’entourer du bon mix de compétences – intégrant à la fois des compétences traditionnelles en sécurité informatique et des compétences en architectures et en exploitation industrielle.