Pour ne rien manquer de la transformation digitale

Abonnez-vous au Digest
Recherche
Chaîne logistique automatisée, impression 3D, robotique… Avec des usines toujours plus connectées, de nouveaux défis voient le jour. Quelles sont les spécificités inhérentes à la sécurité de l’usine 4.0 ? Comment sensibiliser les différents acteurs ? A l’occasion de la 9e édition du Forum international de la cybersécurité (FIC), le 25 janvier 2017, trois experts ont parlé sécurité.

 

Industrie et tertiaire, des enjeux différents

Dans le secteur tertiaire, lorsqu’une vulnérabilité ou faille de sécurité est détectée, on a tendance à arrêter le process. Mais l’industrie est le monde du tangible et, dans le cas d’une interruption sur la chaîne de production, au-delà du manque à gagner, il existe un véritable risque. « Une attaque sur système industriel a des conséquences dans le monde réel », explique Laurent Raillier, chef de projet cybersécurité de Schneider Electric. Les résultats peuvent être dramatiques : si des substances dangereuses sont produites ou manipulées, cela peut provoquer une pollution massive.

L’autre différence concerne la durée des cycles de production. Du côté des nouvelles technologies, qu’il s’agisse des méthodes de surveillance ou d’inventaire, tout va très vite. Or, les cycles inductriels sont beaucoup plus longs : fabriquer un avion, par exemple, peut demander 60 ans. En pratique, des équipements sont connectés alors que les composants ne sont pas sécurisés by design, c’est-à-dire dès leur conception … Voire pas sécurisés du tout, puisque qu’il ne s’agissait pas d’une priorité au moment où ils ont été intégrés, indique Laurent Raillier.

Au-delà des « bonnes pratiques », bousculer des habitudes bien ancrées…

« Souvent, quand on parle de transformation digitale, on se concentre surtout sur l’usager, note Stéphane Descous, Cybersecurity development manager de Sogeti High Tech. Or, dans l’industrie, ce sont les outils qu’il faut sécuriser, les anciens autant que les nouveaux. » Comment ? En janvier 2017, l’ANSSI a publié un guide d’hygiène informatique, qui comprend 42 mesures à adopter pour renforcer la sécurité de son SI… Mais les experts préviennent : « Bonnes pratiques ne veut pas dire sécurité », comme le souligne Stéphane Descous.

L’ANSSI a également certifié un équipement de protection des systèmes industriels en août 2016. « Il a la spécificité d’être en fail/open, explique Charlotte Graire, Head of business development and strategy d’Airbus Defence and Space Security. C’est-à-dire qu’en cas d’interruption inopinée, le firewall laisse tout passer. C’est un mode contraire à l’IT, mais adapté à l’industrie. »

La règle ? Sensibiliser. Cartographier. Analyser les risques. Défendre en profondeur. Détecter les attaques. Analyser une nouvelle fois, dans l’optique de mettre en place un cycle d’amélioration continu et un système de veille, pour mieux connaître ses vulnérabilités. C’est ce que Stéphane Descous appelle la méthode SCADDA, un sigle qui fait écho à SCADA (Supervisory Control and Data Acquisition), un terme utilisé notamment par l’ANSSI.

« Au quotidien, nous voyons beaucoup de responsables qui sont dans le déni, remarque Laurent Raillier. Nous essayons de leur faire comprendre que leurs équipements ne sont pas sécurisés. Certans estiment que ce n’est pas important car ils ne sont pas connectés à l’extérieur. Or, la faille peut venir de l’intérieur ! Autre idée fausse : juger que l’on n’est pas une cible intéressante … Il faut batailler, essayer de bousculer les habitudes. »

« J’ai rencontré des industriels qui ont positionné des boîtiers firewall achetés sur le marché, poursuit Stéphane Descous. Ils ne savent pas qu’ils risquent un déni de service et qu’il existe des équipements industriels type switch ou boîtiers durcis pour survivre en milieu usinier, et donc à la poussière, la peinture, d’encre, l’humidité, la chaleur… »

Comment sécuriser l’usine 4.0 ? - Retours d’expérience de Charlotte Graire (Airbus DS), Laurent Raillier (Schneider Electric) et Stéphane Descous (Sogeti High Tech)

« Souvent, quand on parle de transformation digitale, on se concentre surtout sur l’usager. Or, dans l’industrie, ce sont les outils qu’il faut sécuriser, les anciens autant que les nouveaux. »


Crédit photo : Samuel Zeller / Unsplash.com / Licence CC0 1.0

Qui mettre aux manettes ?

Alors que, dans l’informatique de gestion, la gouvernance est attribuée à la DSI, dans l’industrie, ce n’est pas aussi bien défini. Entre le responsable de l’usine et l’IT, les répartitions des responsabilités varient, note Charlotte Graire. Par ailleurs, les cols bleus ne bénéficient pas de campagne de sensibilisation comme c’est le cas pour d’autres populations… Ils sont donc potentiellement plus susceptibles de se faire prendre dans une opération de phishing, par exemple.

La solution proposée par Stéphane Descous ? « Le dirigeant ne va pas aimer car cela va coûter de l’argent, mais cela peut être de nommer un responsable de la sécurité des systèmes d’information (RSSI), pour faire le lien entre le monde de l’IT et celui de l’usine. » Pour que ça fonctionne, il faut s’assurer de créer une légitimité auprès des opérationnels. « Le directeur de la sûreté peut influer sur les dirigeants du COMEX, ajoute ainsi Charlotte Graire. C’est un bon interlocuteur pour sensibiliser et débloquer les fonds. »

Le mot de la fin, c’est peut-être la cyber-résilience… Maintenir un système industriel, c’est une question de stratégie, explique l’experte d’Airbus Defence and Space. Et le remaniement total n’est pas forcément nécessaire pour défendre en profondeur : « Quand on sécurise une base installée, c’est rarissime que l’on change les automates par une nouvelle gamme car cela coûte extrêmement cher. Par contre, entre les mesures organisationnelles et les OS patchés, on peut gagner jusqu’à 60% de sécurité, sans changer les équipements. »