L’utilisation de plus en plus courante de l’Internet des objets dans les processus de production industriels augmente le risque de vulnérablilité des systèmes connectés face aux cybercriminels. Toujours plus nombreux, les capteurs installés dans les environnements de production augmentent le spectre des menaces. Une approche proactive afin d’accompagner cette transformation digitale tout en limitant les risques et nécessaire, d’autant que les équipements IIoT (Internet des objets industriels) n’ont pas toujours été conçus avec une réelle prise en compte des risques cybersécurité dans leur contexte d’utilisation réelle. « Malgré son importance, le sujet de la sécurisation de l’IIOT n’est arrivé que tardivement sur le bureau des RSSI » remarque Manuel Bissey, responsable de l’activité Cybersécurité chez DXC Technology pour l’Europe du Sud.

Des points de déficience parfois basiques

« L’IAM (ou gestion des identités et des accès) est souvent déficiente alors qu’il s’agit d’un aspect structurant basique », poursuit Manuel Bissey. Prenons l’exemple d’un équipement IIoT qui commande l’ouverture d’une vanne à un autre équipement dans un secteur tel que le traitement des eaux. Si la question de la légitimité de l’accès de ces équipements les uns avec les autres n’a pas été réglée, un pan essentiel de la sécurité est alors défaillant, avec des conséquences qui peuvent être dramatiques sur la santé de millions de consommateurs.

« Pourtant, les failles potentielles sont parfois simples à identifier et corriger » note Manuel Bissey. Les systèmes IIoT communiquent souvent entre eux via des protocoles tels que le Wi-Fi. Il n’est pas rare que ces clés Wi-Fi soient stockées en clair sur les équipements IIoT tels que des caméras de surveillance, accessibles et échangeables par n’importe qui, ce qui représente une situation assez préoccupante dans un secteur sensible tel qu’une chaîne de production de médicaments. D’où l’intérêt d’adopter une démarche de « security by design ».

Comme pour l’aspect opérationnel de leur activité, les industriels doivent appliquer des mesures rigoureuses de contrôle de leurs systèmes IIoT, ce qui implique de recueillir les données des logs, d’étudier les processus puis d’évaluer les dangers potentiels. « Il faut impérativement qu’un responsable cybersécurité évalue le niveau de risque induit par les appareils IIoT et se prononce sur le choix d’un équipement plutôt qu’un autre », précise Manuel Bissey. Dans le cas contraire, on expose l’entreprise à des risques importants. Les caméras de surveillance sont un bon exemple. Si un hacker parvient à modifier leur configuration, il n’est pas très compliqué de s’en servir pour envoyer des gigabits de données vers un serveur critique de l’entreprise afin de le faire céder sous la charge : c’est le cas typique de l’attaque par déni de service.

Les cinq actions prioritaires à mener

DXC relève cinq principaux enjeux auxquels les RSSI doivent faire face, et en déduit une première série de mesures simples :

  1. Evaluer les risques. Alors que les processus industriels sont la plupart du temps très robustes, le niveau de maturité sur les technologies IoT et leur sécurisation est faible. L’urgence est d’identifier les risques liés à ces systèmes souvent peu ou pas sécurisés.
  2. Faire un inventaire des actifs. Trop souvent, les responsables sécurité ont peu de visibilité sur des systèmes qui ont été déployés par les responsables de site. Il faut être en mesure d’identifier tous les actifs pour pouvoir les gérer au quotidien.
  3. Mettre en place une politique de gestion des accès et des identités. Les équipements doivent être reconnus et tracés. Il est essentiel de pouvoir identifier le rôle joué par chaque équipement en cas d’événement majeur mettant en cause la sécurité des systèmes industriels.
  4. Prendre en compte le cycle de vie de l’équipement. Le déploiement et l’installation des appareils IoT est notamment critique. Très souvent, l’installation d’un robot nécessite une connexion Internet, afin que le tiers mainteneur réalise la configuration à distance. Le risque est déjà présent à ce stade puisque l’accès via Internet ouvre une porte de l’entreprise.
  5. Identifier des comportements anormaux d’équipements IoT. La gestion des incidents est un autre aspect peu mature. C’est pourtant un point essentiel pour circonscrire la surface d’attaque. Les technologies de corrélation avancée et de big data permettent de détecter des événements potentiellement dangereux et de prendre des mesures avant qu’ils ne se produisent.

« La sécurité informatique traditionnelle doit être adaptée aux enjeux spécifiques du monde industriel », conclue Manuel Bissey. Reste à initier le changement, en commençant par sensibiliser le management aux risques encourus.