Par Thomas Guilloux, fondateur et directeur associé au sein de la CSB.School.
Un mois après la tenue des « Rencontres de la Cybersécurité » à Lyon le 24 octobre 2023, retour sur une problématique de plus en plus récurrente : suite à la recrudescence des cyberattaques, la cybersécurité est-elle devenue une réalité pour chaque secteur industriel, quel qu’il soit, et ce, malgré les exigences réglementaires mises en place ?
La cybersécurité industrielle (ou OT) a pour objectif de protéger les équipements qui peuvent impacter directement ou indirectement les procédés industriels. La définition du périmètre à protéger devient cruciale et se doit d’être complète. Ainsi, que se passerait-il si la climatisation ou un PC critique à protéger tombait en panne ? Ne pas intégrer la protection de la climatisation dans ledit périmètre impliquerait un risque cyber pouvant avoir un impact indirect sur le procédé. La science de la cybersécurité industrielle est donc de protéger de façon exhaustive les éléments critiques afin de limiter les impacts potentiels.
La mise en place d’une stratégie de cybersécurité rencontre toutefois des challenges clefs tels que :
- L’hétérogénéité des systèmes : Une usine possède une multitude de fournisseurs spécialisés avec des systèmes installés pour une, voire plusieurs décennies. L’environnement est souvent très hétérogène et comporte des systèmes (logiciels et matériels) anciens,
- La vulnérabilité et l'obsolescence intrinsèque à chaque système : Les systèmes d’exploitation sont souvent obsolètes [e.g. Windows NT, Windows XP…]; Ils ne sont plus supportés par les éditeurs depuis de nombreuses années et possèdent des vulnérabilités connues sans patch de sécurité existant. Si un hacker avait accès à l’un de ces systèmes, il serait aisé pour lui de prendre le contrôle de ce dernier.
- La protection exclusive exigée par les fournisseurs de solutions : chaque fournisseur garantit le bon fonctionnement de ses applications uniquement avec une liste limitée de solutions de sécurité partenaires. Certains PCs industriels ont donc la contrainte d’utiliser des solutions de sécurisation spécifiques afin de conserver une garantie en cas de dysfonctionnement.
Maintenant, comment sécuriser ces environnements ?
Être avant tout pragmatique et adopter une approche par les risques spécifiques liés au contexte. On ne sécurisera pas de la même manière une usine de fabrication de gobelets et une centrale nucléaire.
La 1ère étape sera ainsi l’identification des éléments critiques que nous souhaitons protéger (aussi appelés « crown jewels ») : par exemple nos données ? la disponibilité du procédé ? Notre propriété intellectuelle ou notre savoir-faire ?
La 2ème étape consistera à identifier le niveau de menaces de notre périmètre : Qui voudrait attaquer l’usine locale de fabrication de gobelets en papier ? une centrale nucléaire ? un laboratoire de recherche qui vient de trouver la formule d’un nouveau vaccin révolutionnaire ? Auront-ils de gros moyens ? ….
L'objectif ici est de mettre en place des mesures de sécurité adaptées et proportionnelles aux moyens potentiellement mis en œuvre par les attaquants.
Enfin, à partir de tous ces éléments, des mesures de sécurité, aussi appelée politique de cybersécurité, vont être définies pour tenter de faire face aux potentiels attaquants.
La mise en œuvre de cette politique se fera en fonction des moyens techniques, financiers, humains et organisationnels de l’entreprise.
Pour conclure : chaque projet de sécurisation d’un environnement industriel sera donc unique, c’est ce qui fait à la fois le charme et la difficulté de cette activité.
Même si tous ces contextes sont différents, un élément reste commun et indispensable en cybersécurité industrielle : la ressource compétente et donc l’expertise humaine.
Les ressources compétentes dans les deux domaines de la cybersécurité et des environnements industriels sont encore trop rares aujourd'hui, c’est là le plus gros challenge auquel nous devons faire face aujourd’hui.