Sécurité des systèmes industriels : un enjeu qui reste d’actualité à l’heure de l’IoT

 

Avec la transition digitale, les entreprises du secteur industriel utilisent davantage de systèmes d’information (SI) et s’exposent à plus de risques en matière de cybersécurité. L’objet de cette table-ronde est d’exposer la vulnérabilité de l’industrie, les besoins en sensibilisation des effectifs et la manière de réagir en cas de crise.

 

Quelles sont les raisons de l’ouverture des systèmes d’information industriels et quels risques sont encourus ?

 

L’ouverture des systèmes d’information industriels et des échanges de données découle de trois raisons majeures :

  • Le besoin d’accéder à distance aux installations pour les exploitants ou les mainteneurs externes. Ceci afin de réaliser des économies d’échelle en évitant les déplacements.
  • La remontée de données depuis les systèmes industriels. Si on analyse les données des SI, on peut trouver des vecteurs d’amélioration de la performance de l’entreprise. Dans toutes les usines, des systèmes d’information captent ces données et les remontent vers l’informatique de gestion.
  • La circulation de données dans l’autre sens. En d’autres termes, des consignes redescendent dans la chaîne de décision, à destination de l’usine elle-même.

Ces interconnexions sont généralement faites à l’insu du RSSI (Responsable de la sécurité des systèmes d’information) et ne respectent pas les canons de la cybersécurité. Cela se manifeste par des solutions de filtrage inexistantes, mal configurées, ou encore des mots de passe dangereux pour la sécurité de l’entreprise. Les problèmes les plus courants concernent ces basiques et non des soucis de nature industrielle. L’enjeu est donc de sécuriser les interconnexions découlant de l’ouverture des SI.

 

Comment sensibiliser les professionnels ?

 

Dans le secteur industriel, il importe de parler aux professionnels à propos de problématiques qui les concernent directement. Cela signifie qu’il ne faut pas parler des cyberattaques en elles-mêmes, mais de ce qu’elles peuvent provoquer pour l’usine. Le discours sur les systèmes d’information doit être orienté métier, concerner les pannes ou les dysfonctionnements pouvant immobiliser l’activité afin que la cybersécurité soit intégrée dans l’analyse de risques.

Pour cela, il faut parfois faire face à des industries qui datent de plus de 25 ou 50 ans, pour lesquelles le sujet n’a jamais été évoqué depuis leur création. Ces entreprises sont pensées en vase clos et se retrouvent connectées à l’extérieur en vue de réaliser des économies d’échelle, mais négligent bien souvent leur propre sécurité.

Chez Engie, ce qui est construit (tel que des fermes solaires) est voué à fonctionner sur le long terme. Cependant, les systèmes d’information associés aux installations sont vétustes au bout de quelques années et doivent être changés. Il importe donc d’intégrer cette considération dans les contrats et les relations avec les prestataires.

Leur responsabilité ne se limite pas à la mise en place des systèmes d’information, mais va plus loin. Il est possible de s’adresser à eux au bout de quelques années à propos d’éventuelles défaillances non identifiées.

Par ailleurs, de manière générale, les RSSI chez Véolia ont tendance à s’autocensurer. Ils estiment que l’IoT (Internet of Things) est une science obscure dans laquelle il faut une expertise poussée, mais il s’agit d’une erreur. Ce sont principalement les pratiques basiques mentionnées plus haut qui sont à l’origine des problèmes d’interconnexion entre un système IoT et un système IT (Information Technology).

 

Comment faire face aux menaces de cybersécurité ?

 

La cybersécurité est un enjeu de tous les jours pour les professionnels de l’industrie. En cas d’intrusion, d’infection virale et d’attaque, il importe de savoir comment réagir.

 

Les données au cœur des stratégies de protection

 

Avec la hausse du nombre d’objets connectés, on parle désormais d’ « industrie 4.0 ». Dans le cas d’Engie et de l’énergie solaire, l’IoT fait partie intégrante des processus depuis déjà 6 à 7 ans sur les sites de l’entreprise. Grâce à la maintenance prévisionnelle et à l’intelligence artificielle, il est possible d’améliorer les systèmes d’information industriels, mais il importe pour cela de disposer de données.

Il faut donc choisir l’IoT avec soin pour éviter de prendre quelque chose de trop accessible sur le marché, ainsi que les failles de sécurité. Il importe également de limiter les accès à ces IoT, en sélectionnant en amont l’information pertinente et en se demandant comment elle peut permettre d’améliorer l’industrie en général.

 

Traiter les incidents dans des systèmes d’information industriels

 

En 2017, Renault a essuyé l’attaque du ransomware WannaCry. Ce dernier a provoqué l’arrêt des usines le temps d’un week-end avant d’être neutralisé, permettant aux équipes de redémarrer dès le lundi matin. Mais un week-end entier représente un impact non négligeable. Sur environ 130 000 postes et serveurs, 5% ont été infectés par WannaCry.

Les postes infectés étaient insuffisamment patchés, obsolètes, permettant la corruption de 30 à 50% des actifs du groupe Renault. L’arrêt des usines en lui-même n’est pas dû uniquement au ransomware, mais à l’action des responsables de la sécurité qui l’ont demandé.

Par ailleurs, si le redémarrage fut si rapide, c’est parce que l’organisation de crise avait déjà été définie et testée en amont. Elle se compose d’un comité de crise stratégique, d’un comité de crise opérationnel et d’un comité pour chaque corps de métier. Les outils de communication alternatifs entre les différents groupes avaient également été définis au préalable, et la partie cyber intégrée puis testée fin 2016.

Les acteurs de la résolution ont donc pu se concentrer directement sur l’analyse de la crise des systèmes d’information, au lieu de perdre du temps à se demander comment fonctionner entre services.

Du côté d’Engie, l’accent est mis sur la prévention et l’interaction de proximité avec les fournisseurs. Une bonne collaboration avec les éditeurs de logiciels leur permet d’être force de proposition afin d’améliorer la gestion de l’outil. En cas de crise, cela permet également d’adopter de bons réflexes et de bénéficier de retours rapides.

Chez Véolia, l’IoT est également présent et géré par des équipes qui parlent peu aux équipes informatiques et de cybersécurité. Les pistes d’amélioration concernent l’établissement de passerelles entre les différents services.

 

Comment les législations aident-elles à promouvoir des mesures de sécurité ?

 

Les législations constituent un levier puissant car elles représentent une menace de sanction en cas de non-respect. Les directions générales ne peuvent donc pas l’ignorer, et il importe de viser un haut niveau de conformité aux réglementations. Cependant, deux aspects négatifs doivent être soulignés, à savoir le coût et le risque d’omissions.

Par exemple, la loi de programmation militaire représente un coût très élevé, supérieur même à la pénalité prévue par la loi. Il est donc difficile de convaincre les directions générales de dépenser davantage qu’elles ne risquent en cas de non-respect des réglementations.

D’autre part, si l’on ne protège que les systèmes dont on a estimé qu’ils étaient d’une importance vitale, le risque de passer à côté de risques importants est élevé. Par exemple, Veolia dispose de 15 000 châteaux d’eau en France, une grande majorité n’étant pas considérée d’importance vitale. Il demeure néanmoins préférable d’avoir à gérer l’interruption de trois usines que l’arrêt de 14 000 châteaux d’eau.

Il y a donc aujourd’hui un véritable chantier à explorer en ce qui concerne les systèmes d’information industriels et la cybersécurité.

Intervenants : Charles BRUNETEAU, RENAULT ; Nicolas DE PESLOUAN, VEOLIA et Gaël SITZIA, ENGIE SOLAR

VOIR LES AUTRES CONFERENCES