Décryptage

Réseaux industriels : leur transformation numérique complique leur sécurité

Posté le 2 octobre 2020
par Philippe RICHARD
dans Informatique et Numérique

En 2010, des centrales nucléaires iraniennes sont touchées par le virus Stuxnet. Dix ans plus tard, de nombreux systèmes industriels (OT pour "operational technology") sont visés par des cyberattaques. Plus complexes à gérer qu’un parc informatique «classique», les réseaux industriels doivent intégrer de la sécurité à tous les niveaux.

Repéré en 2010 par une petite entreprise de sécurité biélorusse, Stuxnet a marqué les esprits.  En soi, le code de ce ver est relativement classique. Mais il est intéressant d’un point de vue technique. Il consiste en effet en un cheval de Troie doublé de technologies de type rootkit pour le rendre invisible (ce qui n’est pas le cas de simples virus).

Mais surtout, le monde entier découvre que les réseaux industriels ne sont pas à l’abri d’une cyberattaque. Introduit au sein de la centrale nucléaire iranienne de Natanz au moyen d’une clé USB piégée ou d’un ordinateur portable transporté par un employé,  ce virus a été le premier à attaquer des systèmes de contrôle industriels que l’on trouve sur des sites sensibles (usines, centrales nucléaires…).

« C’est Stuxnet qui a introduit la notion de cybersécurité dans l’industrie. Avant son apparition, les RSSI (Responsable de la sécurité des systèmes d’information, en anglais, Chief information security officer ou CISO), étaient cantonnés à la partie IT. Après 2010, les industriels ont compris que les risques étaient transverses. Aujourd’hui, les RSSI ont autorité sur la cybersécurité des réseaux industriels et des systèmes de vidéosurveillance », explique Faiz Djellouli, CEO Co-Founder d’Holiseum, une société de conseil et services en cybersécurité.

Selon Edward Snowden, ce code malveillant a été coécrit par la NSA et les services secrets israéliens pour ralentir le programme nucléaire iranien. Depuis la découverte de Stuxnet, il y a eu de nombreux cas de cyberattaques visant des systèmes d’OT (« operational technology »).

Dans la cyberguerre que se livrent de nombreux États, les industriels sont devenus des cibles déterminantes pour déstabiliser un pays ou un concurrent. « Après Stuxnet et Industroyer, voici venu le temps du ransomware Ekans. Conçu pour s’attaquer aux installations industrielles, et plus spécifiquement aux logiciels permettant le contrôle des automates et fonctionnant sous Windows, ce programme malveillant prend en otage ses victimes et exige en retour une rançon. Compte tenu du contexte, la moindre paralysie peut coûter très cher, conduisant les victimes à payer », affirme Fabien Lavabre, expert Cybersécurité chez Seclab, une entreprise de Montpellier spécialisée dans la cyber protection des systèmes industriels.

Ces réseaux industriels sont d’autant plus vulnérables que leurs organisations ont entamé leur transformation numérique.  Auparavant, les réseaux informatiques (IT – Information Technology) et industriels OT étaient gérés séparément. Mais depuis quelques années, la convergence entre ces deux sphères est de plus en plus forte.

Or, l’intégration progressive dans les systèmes OT de fonctionnalités informatiques innovantes est à double tranchant : elle permet de gagner en efficacité, mais elle augmente aussi la surface d’attaque.

« La digitalisation les a obligés à emprunter des solutions du monde de l’IT, mais le cycle n’est pas comparable puisqu’au bout de 5 ans environ, un OS n’est plus supporté alors que dans le monde industriel, le cycle de vie est plus important (entre 15 et 20 ans) », précise Faiz Djellouli.

À l’instar du grand public, les industriels exploitent de plus en plus l’Internet des Objets (IoT) pour optimiser l’automatisation et accroître leur productivité. Les constructeurs automobiles, les compagnies ferroviaires, voire l’industrie agroalimentaire, exploitent des réseaux de capteurs et de senseurs ainsi qu’une multitude d’autres appareils connectés permettant de collecter des données de production et d’alimenter le cloud, afin d’affiner l’analyse de l’efficacité de leurs systèmes.

IoT : maillon faible des industriels

Selon une étude de marché réalisée en 2019 par IoT Analytics, le total des investissements consacrés aux plateformes IT dans le secteur industriel devrait passer de 1,67 milliard de dollars en 2018 à 12,44 milliards de dollars en 2024. La majorité (43 %) des industriels destinent ces investissements à l’optimisation générale des processus.

Or, une étude de Forescout Technologies, spécialisé dans la visibilité et le contrôle des périphériques connectés au réseau, constate que les systèmes de contrôle d’accès physique et équipements médicaux sont très vulnérables.

Reposant sur l’analyse de 8 millions de dispositifs connectés (dans cinq principaux secteurs : finance, institutions publiques, santé, industrie et commerce), cette étude indique que le trio le plus sensible regroupe, dans un ordre décroissant en termes de risques, les systèmes de contrôles d’accès physique, les CVC (chauffage, ventilation, climatisation) et les caméras de surveillance.

Plus inquiétant, un peu plus de 30 % des équipements gérés sous Windows dans le secteur industriel utilisent des versions logicielles dont Microsoft n’assure plus le support !

Comme pour les entreprises, les industriels doivent renforcer leur niveau de sécurité afin d’assurer leur pérennité. « Des mesures simples (humaine, organisationnelle, technologique et physique) – comme des mots de passe durcis, la segmentation des réseaux, le contrôle des accès – ainsi qu’une approche par les risques permettent de couvrir la plupart des menaces. Il n’est pas nécessaire d’avoir un budget prohibitif », déclare Faiz Djellouli.


Pour aller plus loin