open_resource : idées, points de vue
et solutions des acteurs de la révolution de la ressource



← Retour Focus révolution numérique  

#cybersécurité industrielle : sécuriser l’IoR (Internet of Resources)

09.07.2018

Usbek&Rica logo
Usbek & Rica est un média français aux déclinaisons digitales, print et événementielles. Il s’est donné pour mission d’« explorer le futur : le futur proche, le futur lointain, voire le très long terme », avec enthousiasme et optimisme. open_resource magazine a souhaité lui donner la parole pour cet exercice de prospective.


Le rapport 2016 de la Verizon Risk Team1 relatait l’attaque qui a touché une usine de traitement des eaux usées avec comme conséquences, le vol de données et la modification des volumes d’adjuvants chimiques dans l’eau. Par chance, les dégâts étaient minimes et ont pu être rapidement contrôlés. Cet événement démontre l’ampleur des risques encourus. D’autant que le secteur de l’eau n’est pas le seul concerné. Ce sont toutes les infrastructures critiques, c’est-à-dire indispensables à la vie et à l’économie d’un pays, comme les transports et l’énergie, qui sont menacées par des cyberattaques. Sans évoquer les objets connectés. Avec un constat admis et partagé : ils sont massivement exposés au piratage.

Panorama des risques aujourd’hui encourus.
Illustration de Camille Jacquelot

Illustration de Camille Jacquelot


Les prévisions du nombre d’objets connectés dans le monde pour les prochaines années varient selon les études : 12 milliards en 2018 pour le cabinet Gartner, expert dans le domaine des technologies de l’information, et 28 milliards en 2020 pour le cabinet d’études International Data Corporation, pour plus de 7,5 milliards d’habitants. Au-delà de nos ordinateurs, téléphones ou tablettes, ce sont nos poubelles, nos véhicules, nos maisons qui s’équipent de capteurs connectés au réseau et communiquent entre eux… L’édition 2017 du Forum International sur la Cybersécurité consacrait une grande place à l’Internet des Objets (IoT en anglais pour Internet of Things), victime de plus en plus de failles : piratage de voitures électriques, de serveurs centraux ou encore d’ampoules connectées… Des problèmes tout autant relatifs à la protection des données personnelles (privacy) qu’à la sûreté des systèmes qui nous entourent – industriels ou non (safety & availability).

Pour Adrien Facon, responsable des projets spéciaux chez Secure-IC, entreprise spécialisée dans la sécurisation des systèmes embarqués : « L’IoT découvre en effet une surface d’attaque sans précédent avec un nombre toujours croissant de cibles et d’interconnexions, d’où le développement de l’expression Internet of Targets/Threats [« Internet des cibles/menaces », ndlr]. Nous devons donc adapter nos stratégies de protection, ce qui représente des enjeux avant tout scientifiques et technologiques, mais aussi un véritable challenge en termes de conduite du changement, dans les processus de production en particulier. »


Prise de conscience des risques

L’attention se porte alors de plus en plus en amont sur la sécurisation des composants et non plus seulement sur la mise en place de pare-feu et autres antivirus. La « security by design » permet de prendre en compte les événements nuisibles dès les premières étapes du cycle de conception et de poser, en cas de vulnérabilités trouvées, les questions de l’impact, de la probabilité que cela arrive et des mesures à prendre.

« Il ne faut pas seulement sécuriser l’objet quand il fonctionne, insiste Cédric Lévy- Bencheton, expert en sécurité indépendant (Cetome), mais aussi prendre les mesures à chaque étape de fabrication. » Ces impératifs de sécurité sont encore trop largement ignorés à cause du « time to market », un facteur stratégique décisif qui implique la mise sur le marché et la commercialisation des produits dans un délai de plus en plus court. C’est pourquoi l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) travaille actuellement à la mise en place de règles de bases adaptées en fonction des secteurs.

« Ce sont aussi aux clients et consommateurs d’exiger de la sécurité : les fabricants devront s’adapter à cette demande. »


Une collaboration entre le public et le privé

La cybersécurité ne concerne donc plus seulement les technologies de l’information (IT) mais aussi toutes les fonctions informatiques qui peuvent avoir un impact dans le monde physique. C’est là que la réglementation entre en jeu. Face à cet enjeu crucial, la France fait figure de modèle avec la création de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en 2009 pour lutter contre les cyber-risques, suivie de près par la mise en place d’une stratégie nationale en 2011. La Loi de Programmation Militaire (2013) a quant à elle établi les règles de base à suivre pour 200 opérateurs d’importance vitale (OIV) définis sous l’angle de la défense et de la sécurité, pour leur impact économique ou sociétal.

En février 2017, le Conseil de sécurité de l’ONU adopte sa première résolution sur la protection des infrastructures critiques contre les attaques terroristes. Ce texte inédit, voté à l’unanimité des membres de l’organisation, liste ainsi la banque, les télécommunications, les services d’urgence, les transports et l’approvisionnement en énergie et en eau comme
« composantes essentielles de la vie moderne ». Les États doivent donc prendre « des mesures de préparation » pour intervenir en cas d’attaques, en créant ou renforçant les partenariats entre le privé et le public pour « mettre en commun leurs informations et leurs données d’expérience » par des « formations communes » et « des réseaux de communication et d’alerte d’urgence ».


La cybersécurité doit s’accompagner d’une cyber-résilience

Que ce soit le piratage du système central d’un centre de pilotage des ressources, le détournement de véhicules autonomes ou le piratage de données informatiques d’une usine, les points d’entrée à sécuriser sont démultipliés. La mise en place d’un Security Operations Center (SOC) et de mesures adéquates doit être une priorité pour les entreprises. « Le premier geste opérationnel de la cybersécurité est la détection d’événements et leur interprétation, précise Adrien Facon. Cette gestion des événements perturbateurs doit permettre pour certains systèmes d’assurer la continuité de service et d’exploitation, ceci pour des questions vitales ou simplement financières. »

L’ANSSI recommande depuis 2012 une « défense en profondeur », autrement dit, assurer au mieux la protection des parties critiques d’un système en superposant des défenses variées ; l’attaquant se heurte à une nouvelle strate de sécurité après chaque obstacle surmonté. Selon le manifeste de Symantec, entreprise américaine leader dans le domaine des logiciels informatiques, cela signifie « créer un environnement inhospitalier où il est plus difficile et moins rentable d’accéder ». Le but est non plus de réagir à un incendie et d’évaluer les dommages après la tempête, mais d’être proactif.

Le « paysage des menaces » ne cesse en effet de se diversifier et cette première architecture de sécurité ne suffit pas toujours. Dans le cadre d’opérateurs vitaux, la remise en marche des systèmes est fondamentale. C’est ce qu’on appelle la cyber-résilience. Comme le précise Adrien Facon, celle-ci « permet d’assurer, même en cas d’attaques en cours, une continuité des services et peut être réalisée du point de vue technique par diverses stratégies comme des méthodes d’isolations de la menace ou des méthodes adaptatives afin de détecter en temps réel et corriger à la volée la tâche infectée ».

Dans le domaine de l’énergie, le secteur nucléaire fait figure d’exception, avec des équipements et des processus de communication dupliqués, un réseau indépendant de câbles et des générateurs de secours. Faudrait-il alors prendre exemple pour les infrastructures
« sensibles » ? « Pour des lignes de train, par exemple, le doublement des équipements coûterait trop cher en investissement et maintenance. Il vaut mieux identifier les mesures prioritaires et se concentrer dessus », assure Cédric Lévy-Bencheton. Freiner le tout numérique et conserver une part d’analogique ne semble pas non plus réaliste pour l’expert en cybersécurité.

Comme l’affirme Adrien Facon, « la technologie elle-même doit devenir un acteur de confiance. Nos systèmes électroniques, conclut-il, ne doivent pas demeurer les complices de l’attaque mais devenir les alliés de l’opérateur ».

1 – Équipe d’analyse des risques de l’entreprise de télécom américaine Verizon







Cet article a été publié dans le cinquième numéro d’open_resource magazine : « La gestion des ressources à l’ère du digital »





Vous aimerez aussi