Retour aux actualités
Article suivant Article précédent

Revue 174 - Cybersécurité et Industrie : deux mondes à rapprocher

Articles Revue TELECOM

-

15/10/2014



Cybersécurité et Industrie : 

deux mondes à rapprocher





Par Laurent HAUSSEMANN dans la revue TELECOM n° 174
 

Le passage à un monde hyper-connecté, 100% numérique et l’arrivée de nouvelles générations nées avec de nouveaux objets connectés entre les mains, renforcent notre besoin de cybersécurité.
Si les conséquences des vulnérabilités numériques en matière de vol d’information, d’espionnage ou de détournements financiers commencent à être bien connues, la prise de conscience des risques qui pèsent sur les systèmes industriels et plus généralement sur tous les automatismes qui régissent notre monde physique, est plus récente.

 

« 41% des cyberattaques en 2012 ciblent les entreprises de l’énergie, 
particulièrement le pétrole et le gaz. »

General Keith Alexander, NSA1


L’avènement annoncé de l’Internet des Objets, et la connexion massive des centaines de milliers d’objets connectés posent le problème de manière encore plus aigu. Ces objets seront dotés d’une capacité de collecte et de traitement des informations issues du monde physique et pourront agir sur celui-ci. Dans cette perspective, la notion de périmètre n’a plus de sens, l’ouverture est l’ADN du système, le nombre d’intervenants est très difficile à contrôler et les contraintes technologiques sont spécifiques.

Ce monde n’est pas encore notre quotidien : notre réfrigérateur n’est pas connecté à Internet, nos lunettes ou notre montre ne sont pas intelligentes et beaucoup de ces objets connectés sont encore à un stade expérimental. En revanche, il est déjà là dans les domaines industriels qui, sans forcément en avoir pris conscience, possèdent les mêmes caractéristiques : absence de périmètre, ouverture difficile à contrôler, multiplicité des intervenants et contraintes technologiques qui empêchent l’application des méthodes et outils issus de la cybersécurité des systèmes d’information. Les systèmes industriels sont confrontés à des risques nouveaux, allant jusqu’à la destruction de l’appareil de production, la pollution de l’environnement ou la perte de vies humaines.

Ces risques qui pèsent, en particulier, sur les infrastructures critiques sont considérables du fait de leur impact systémique sur nos sociétés. Ils ne sont plus cantonnés aux films hollywoodiens à gros budget mais sont pris très au sérieux par les pouvoirs publics quise sont engagés dans des campagnes de sensibilisation très importantes et dans la mise en place de réglementations contraignantes.

 


110 millions de cartes bancaires volées via un réseau industriel
 

Une affaire récente illustre bien l’ouverture des systèmes. Le 19 décembre 2013, les magasins Target (2ème discounter des USA, derrière Wal-Mart Stores Inc., plus de 70 Milliards de $ de chiffre d’affaires) ont annoncé avoir été victimes du vol des données de 110 millions de cartes bancaires. Les criminels disposent désormais de toutes les informations, dont la piste magnétique, pour reproduire à l’identique des cartes bancaires parfaitement valables.

Les dirigeants de Target ont confirmé que l’origine de la faille se trouvait être liée à un de leur sous-traitant. Aujourd’hui tout porte à croire qu’il s’agit de Fazio Mechanical Service, une entreprise spécialisée dans les systèmes de chauffage et de climatisation.

Il aurait disposé d’une connexion à distance sur les installations de Target, dans chaque magasin, afin de superviser le bon fonctionnement des installations de climatisation. Il s’agit pour les commerçants de réduire les coûts en limitant la dépense d’énergie durant la nuit, et donc en laissant la température augmenter, et, à l’inverse, en conservant une température idéale pour ses clients durant le jour. Il s’agit aussi de supprimer le personnel résidant dans les magasins en mutualisant les coûts de supervision, surtout en horaires décalés.`

Bien que Fazio ait nié avoir un tel contrat avec Target, l’entreprise a reconnu posséder une connexion de données avec Target et être elle aussi une victime d’une attaque informatique.

Cet exemple montre comment les multiples relations clients / fournisseurs, et la logique de services aux entreprises, entraînent une complexité architecturale des réseaux. Cette complexité augmente indubitablement l’exposition au risque cyber.
 

 

Le réseau industriel, cet orphelin

Contrairement aux domaines du commerce, de la gestion et de la bureautique, où les systèmes d’information font l’objet d’une direction intégrée, les réseaux industriels ne possèdent pas de logique d’urbanisme. Ceux-ci sont, en général, conçus autour des processusqu’ils pilotent. Ils sont pensés de façon indépendante des autres systèmes qui les entourent et sont sous la responsabilité d’une direction « industrielle ».

Il n’y a pas de couple « métier/IT » comme dans une Direction Informatique où un informaticien métier représente le client alors que d’autres informaticiens fournissent les éléments d’infrastructure, réseau notamment, en s’assurant de sa cohérence et de sa sécurité. Dans le monde industriel, ces deux rôles sont confondus avec un tropisme fort sur le « métier ». Ainsi, l’informaticien industriel est-il d’abord un automaticien qui connaît très bien le processus industriel à piloter et qui sait comment programmer, maintenir et gérer les automatismes pour le faire. Par nécessité, il s’intéresse au réseau industriel mais sans en avoir la responsabilité en tant que tel. Cette situation génère du risque dans la mesure où le réseau industriel peut être partagé par plusieurs sous-systèmes dépendant de responsables différents sans que personne ne soit capable d’assurer que celui-ci est maîtrisé et ne fait pas l’objet de compromission.

Cette absence de responsabilité crée une difficulté en matière de cybersécurité. Elle complique l’interaction entre les hommes de la sécurité informatique et ceux des technologies opérationnelles, dans lequel les interlocuteurs sont des automaticiens qui n’ont pas deculture informatique et des managers de production ou de maintenance pour qui le risque cyber arrive très loin dans la liste des risques qui pèsent sur l’outil industriel.

 

Hack my car
 

Une étude récente, publiée lors de la conférence BlackHat 2013 à Las Vegas, illustre ces différences d’approche technologique.

Elle a été écrite par Charlie Miller, connu pour avoir été l’un des premiers à casser les protections des smartphones Apple. Au gré des 100 pages de ce document, Miller détaille comment il a pu, avec des moyens extrêmement limités, prendre le contrôle de deux voitures différentes. En effet, les voitures modernes sont des systèmes communicants. Elles possèdent un canal de communication standard, appelé bus CAN. Il permet aux éléments actifs (direction assistée, freins, phares, etc.) de communiquer avec les éléments decontrôle et de supervision (volant, tableau de bord).

Avec quelques lignes de code, envoyant plus d’informations que d’usage ou simulant des appareils de diagnostic, il a pu :

• rendre rigide le volant, au point qu’il était impossible de le tourner à plus de 45° ;

• mettre les freins en mode diagnostic, les empêchant de fonctionner ;

• prendre le contrôle du tableau de bord, notamment du compteur de vitesse ;

• ou, plus amusant, faire clignoter toutes les lumières de la voiture !

Ces attaques sont très simples à réaliser, il lui a suffit, au choix, de :

• envoyer de façon massive des paquets CAN invalides ;

• rejouer des paquets qu’il avait capturés sur le fil, en modifiant quelques octets.

Charlie Miller est un whitehat. Il réalise ces études pour comprendre au mieux les risques. Il publie ses résultats pour alerter les constructeurs et les consommateurs. Mais nul doute qu’une personne, ou une organisation mal intentionnée, y trouvera une méthode efficace pour causer des accidents ou exercer un chantage.

Un autre whitehat, Nitesh Dhanjani, a montré que les différents systèmes numériques inclus dans les modèles Tesla étaient ouverts et perméables à une rétro conception poussée, ainsi qu’à des attaques.
 



Par où commencer ?

Les gestionnaires de systèmes industriels, d’installations de transports, ou encore les responsables d’infrastructures publiques, pour ne citer que quelques exemples, doivent se poser une question simple : « Par où commencer ma démarche cybersécurité ? Commentobtenir des résultats rapides et atténuer les risques auxquels je fais face... »

Il faut se garder d’adopter une posture, naïve, de recherche d’un absolu visant à sécuriser le système de manière parfaite. Cette posture théorique donnerait le sentiment aux responsables qu’ils doivent s’engager dans un effort considérable pour voir apparaître les premiers bénéfices, ce qui aurait pour conséquence de les inciter à ne rien faire. Les règles qui en découlent sont souvent issues des pratiques de la sécurité des systèmes d’information, par exemple :

• l’obligation d’appliquer des correctifs de sécurité ;

• la création de politiques de sécurité détaillées, issues d’une analyse de risque ;

• une logique de «tout interdire et verrouiller» au risque d’empêcher les uns et les autres de travailler et les machines de fonctionner.

Ces approches ne sont en général pas économiquement viables à court terme. Elles demandent un investissement initial important et une expertise interne qui n’est pas disponible. Elles sont complexes, car se voulant exhaustives (tous les serveurs, tous les points d’accès, etc.), et manquent de pragmatisme.

Plus encore, les solutions de cybersécurité IT existantes nécessitent de disposer d’une expertise technique pointue pour les mettre en œuvre et les exploiter efficacement. Elles s’adressent à des informaticiens, bien formés, maîtrisant les problématiques de cybersécurité. Et même si la plupart des solutions bénéficient maintenant d’interfaces graphiques ergonomiques, il faut la plupart du temps plusieurs jours à un technicien bien formé pour les déployer.
 

Trois points clefs pour réussir

Il est important de mettre rapidement en place une première initiative. La question posée («par quoi commencer ?») appelle une réponse pragmatique. Trois points sont essentiels pour démarrer2.

Le premier est d’identifier des responsabilités claires sur le réseau industriel. La démarche doit être menée par des hommes de terrain, qui connaissent la réalité des opérations de leur entreprise. Un rôle doit être clairement identifié, celui de : Responsable des Systèmes et Réseaux Industriels.

Le second est de connaître précisément sa situation actuelle (« où on en est ? »). Cela passe par la connaissance détaillée du parc d’équipements connectés à son réseau et de sa cartographie complète. Cette connaissance permettra de mettre en place très vite des règles simples qui permettront d’augmenter rapidement le niveau de protection.

Le troisième est de se préparer à répondre à une intrusion ou une activité malveillante («être prêt à se défendre»). Il passe par la centralisation des événements de sécurité et des journaux d’événements.

La cybersécurité des systèmes industriels est un sujet à prendre rapidement en considération. La protection numérique des infrastructures critiques, de l’appareil de production n’est plus une option. C’est un impératif. 

 


Nul n’est censé ignorer la loi !
 

En France, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) prend très au sérieux le risque d’attaques sur des infrastructures critiques, et sur les systèmes industriels en général. Elle a publié plusieurs guides de sensibilisation ainsi qu’un guide détaillé de recommandations au moment du Forum International de la Cybersécurité 2014 (FIC).

Ses recommandations sont issues des travaux du groupe de travail « Cybersécurité pour les systèmes industriels » qui réunit des industriels du monde de l’automation, de la cybersécurité et des utilisateurs finals. Ces recommandations distinguent les installations en 3 classes correspondant à des niveaux de sensibilité et proposent 283 recommandations.

La loi de programmation militaire (LPM) votée au parlement en décembre 2013 impose dans son article 21 aux opérateurs d’importance vitale (OIV) la mise en place de moyens organisationnels et techniques pour se protéger du risque cyber. Les décrets d’applications sont attendus pour la fin 2014.

Les entreprises soumises à ces réglementations engagent leur responsabilité pénale. Les amendes pour non-conformité peuvent s’élever jusqu’à 750 000 €.
 

 

1/ “Energy Pipeline: Cyber attacks hit oil, gas, just as much as retail” http://www.greeleytribune.com/news/business/10355602-113/cyber-oil-attacks-security

2/ Un e-book détaillant cette approche est disponible sur http://www.sentryo.net.
Il est complémentaire de cet article.

 

L’auteur



Laurent 
Hausermann, est le co-fondateur de Sentryo est un éditeur de logiciels de cybersécurité et de situation awareness dédiés aux réseaux industriels et à l’Internet des objets.

Laurent est passionné de logiciels, de hacking et d’innovation. Il a passé les 15 dernières années à créer des produits de cybersécurité pour défendre les grandes et les petites entreprises. Il était dernièrement le CTO d’Arkoon où, tirant parti de l’agilité, il a dirigé une équipe de plusieurs dizaines d’ingénieurs dans des projets de R&D ambitieux.

Laurent était aussi le Chief Information Security Officer d’Arkoon où il a dirigé plusieurs programmes classifiés. Il enseigne à l’Ecole des Mines. Il est l’auteur du blog “En Route pour l’Innovation” et un inconditionnel de la philosophie Lean Startup.

 

 

332 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Quels rôles jouent les technologies numériques dans l’évolution de la médecine du travail ? Groupe Santé#196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

Le numérique au service de la décarbonisation #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

DC Brain nommé au prix de la croissance #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril