[COMPTE RENDU FIC] ORANGE CYBERDEFENSE – Sécurité industrielle : quand la production 4.0 se protège contre la cybermenace

Intervenants : Nicolas Arpagian, Directeur de la Stratégie et des Affaires publiques et Olivier LIGNEUL, Directeur Cybersécurité du Groupe EDF. 

Synopsis du FIC:  « L’atteinte aux systèmes industriels est particulièrement stratégique car ses effets ont des conséquences économiques mais aussi potentiellement sur l’environnement et la vie humaine. Ces actifs exigent des approches spécifiques qui doivent s’appuyer sur une connaissance fine des environnements technologiques complexes. Avec Olivier Ligneul, Directeur de la Cybersécurité du Groupe EDF, retours d’expériences sur la mise en place de mesures de cybersécurité réellement opérationnelles dans le monde industriel, afin de garantir la continuité de fonctionnement de l’activité en toute sûreté et sécurité ».

***

Les systèmes industriels font face à un manque de gouvernance et d’hygiène informatique. Suite aux audits qu’elle a pu mener, Orange Cyberdefense a exposé un Top 10 des vulnérabilités en industrie, parmi elles :

– L’absence de capacités de détection ou prévention d’intrusion
– L’absence de supervision des journaux système
– Le non durcissement des OS
– Des OS et logiciels obsolètes
– Mauvaise ou absence de gestion des comptes & des droits
– Absence de gestion de patchs logiciel et système

     L’intensification des cyberattaques et l’augmentation des volumes de données mettent en cause la responsabilité des entreprises. La sécurité industrielle qui inclut un système industriel doit produire et amener des résultats. Orange Cyberdéfense a mis en exergue une sécurité des systèmes qui repose sur un système d’interconnexion et de systèmes séparés, privilégiant une approche d’oignon et centrale. Cette approche est isolée et non accessible. Plus on s’écarte, plus les systèmes sont interconnectés. Les capteurs IoT sont directement positionnés au plus proches des machines et permettent notamment d’effectuer des calculs dans les data centers.

Base de la sureté : déployer des moyens de cyber au poste de travail et non l’inverse.

Les interconnexions sont donc multiples et croissantes. L’IT industrielle est caractéristique. Elle comprend le mythe de l’air gap, elle a une durée de vie plus longue, elle inclut une IT intégrée et propriétaire. Il n’y a pas toujours de compétence IT sur site et historiquement et on note une absence de sécurité par conception. L’usine 3.0 se déploie par une descente des ordres de production et une remontée d’informations et des tableaux de bord et assure une télémaintenance et une certaine mobilité. L’Usine 4.0 qui est en marche s’assure par l’Internet des objets, les communications Machine to Machine, le pilotage à distance, les productions personnalisées (petites, séries, impression 3D), la réalité augmentée (usine virtuelle), le Cloud computing et le Big Data.

La sécurité des systèmes industriels repose sur la capacité de gérer ses propres savoir-faire, sa digitalisation, sa capacité d’avoir un certain nombre d’acteurs qui vont travailler ensemble sur le procédé industriel.
L’absence de détection est un problème majeur et revient à ignorer les menaces dont l’usine fait l’objet. Il faut être capable de détecter les éléments malveillants qui pourraient porter atteinte au système et outil industriel.
Exemple : Le renforcement du CERT EDF > parcourt les ensembles d’alertes de l’ANSSI et les expositions aux vulnérabilités potentielles. Il se charge ensuite de trouver des patchs, des systèmes de correction. Il faut trouver des mécanismes suffisamment intègres, capable de réparer pour ne pas compromettre la mise à jour by design. De plus, il mise sur des capacités de détection, de machine learning autour d’éléments qui permettraient de repérer une attaque.

Les étapes primordiales : identification > protection > détection > réaction > anticiper

Dans un ensemble industriel, il y a un ensemble opérationnel et chaque acteur doit garantir du bon fonctionnement de la chaine. Avec les machines, la difficulté première est de faire remonter les informations qui sont en masse. Il faut les collecter puis les analyser.

Exemple d’outils de supervision :
– Machine learning > capacité de transporter des matériaux fournit à l’analyste. Permet aussi de cartographier et normer les données et pas uniquement collecter.
– Le multi-niveau (système militaire) > remonter des informations de niveaux en niveaux pour ne pas exposer des informations dans le système central.
– Mécanisme qui vérifie un fonctionnement nominal

Ces outils sont capables de pouvoir réagir dans la maitrise des systèmes. Donc en amont : il faut prédéfinir des systèmes d’actions (gestion de crise), et définir de cercles, exemple : cercle O, cercle minimal (on réagit de manière rapide et automatique). Puis cercle plus large, plus la crise dure et des réponses sont à prévoir. Dans un deuxième temps, on s’occupe des cercles plus larges.
Il y a également des règlementations mises en place comme la direction NIS, la LPM, la Protection du Patrimoine scientifique et technique. Ces systèmes se confrontent au cyberact et aux réglementations qui sont là pour protéger les informations liées au capital industriel.

Des solutions ?

• La problématique concerne la somme importante de données à traiter >> Faire du « bydesign » très en amont ?
• Selon Guillaume Poupard, directeur de l’ANSSI, faire de la prévention au maximum en amont et « garder une maitrise » pour que chacun soit sur son périmètre de responsabilité.
• Dans un SI industriel = Plus on cloisonne, plus on perd le contrôle et vice versa. Dans le design, déployer des équipements qui n’existent pas. Avoir un système global efficace. Il faut superviser d’une manière fiable.
• Cloisonner l’information pour que les attaquants n’y aient pas accès.
• Trouver des solutions inexistantes ou pas encore développées comme des « best practices ».
• Si on fait confiance à un SI totalement automatisé, alors viens le questionnement sur le début de chaine et la capacité à donner les bons ordres.

Exemples d’attaque sur une chaine industrielle
>> Sur des kits de démarrage PLC Siemens S7-300 et PLC Schneider M221

Les vecteurs d’attaque sont multiples
– Connexion d’un boitier d’attaque sur le STI et accédé en Wi-Fi ou 3G
– Propagation à travers une clé USB
– Intrusion depuis le LAN Bureautique

Failles utilisées
– Accès physique au réseau industriel
– Protocole non sécurisé / non authentifié
– Cloisonnement SIG/SII
– Port USB accessible