Pendant 4 ans, le cabinet Lexsi s’est penché sur les infrastructures de 50 de ses 500 clients sur la base d’un référentiel maison représentatif (celui de l’Anssi étendu). Un audit de longue haleine mené à travers des études annuellement mises à jour qui a permis au spécialiste de la cybersécurité de dresser un panorama des principales failles de sécurités qui touchent les systèmes industriels. Pour la plupart issues du CAC40, les sociétés auditées en question évoluent dans les secteurs de l’énergie, de l’aéronautique, industrie automobile, transport, environnement et administration. Autant de secteurs représentatifs de la réalité du terrain.
Lexsi s’est penché tant sur les réseaux ICS (Industrial Control System) de gestion des capteurs et actionneurs du monde physique des chaînes de production, que sur le Scada (Supervisory Control and Data Acquisition), l’ensemble des serveurs, poste de travail et applications de l’ICS pour superviser le procédé industriel. Plusieurs problématiques touchent les infrastructures industrielles. En premier lieu, « l’idée d’un réseau Scada isolé est de moins en moins vrai, avance le consultant expert sur la partie industrielle David Bigot chez Lexsi. On voit sur certains terrains des réseaux connectés en cellulaires désormais. ». D’autre part, les outils du Scada sont soumis aux problématiques de sécurité propre à l’informatique de gestion classique avec la nécessité de répondre à des cycles de vie courts (3-5 ans). En face, la plupart des réseaux industriels connaissent des cycles de vie longs de 15-20 ans dans des solutions logicielles et matérielles figées difficiles à faire évoluer. Enfin, la différence de culture informatique fait que les gens de l’IT ne se parlent pas nécessairement avec ceux des réseaux de contrôle des chaines de production, ce qui ne va pas dans le sens d’une approche préventive de la sécurité.
Pourtant, les risques sont réels. Démontrés par le projet universitaire Aurora dès 2007, l’attaque de sites industriels s’est matérialisée en 2010 avec Stuxnet, un APT visant à dégrader la production nucléaire iranienne. En 2014, plusieurs failles de système Linux/Unix (Heartbleed, Shellshock) et l’apparition de malwares à portée industrielle (DragonFly, Sandworm…) ont probablement permis l’attaque de sites. Ce fut notamment le cas pour une aciérie allemande dont peu de détails ont filtré. Il a par ailleurs été démontré que le protocole industriel Modbus conçu en 1979 par Modicon (racheté par Schneider Electric) ne dispose d’aucun système de sécurité et donne accès aux mots de passe en clair, ainsi qu’à la reprogrammation des PLC (contrôleurs logiques des capteurs, actionneurs…).
Si des actions sont entreprises, notamment avec les publications de référentiels Anssi (Agence nationale de la sécurité des systèmes d’information), la constitution de groupes de travail ou un nouveau correctif de la faille exploitée par Stuxnet en 2014, Lexsi entend prendre également part à l’émergence des prises de conscience des industriels en publiant les 10 écueils les plus fréquemment rencontrés au cours de ces audits de terrain.
Face à ces défaillances d’approche, Lexsi propose ses recommandations. Lesquelles s’en tiennent aux lignes habituelles de conduite de projets sécurisés. A savoir la mise à jour des OS et applications, l’installation d’antivirus, l’usage de protocoles sécurisés et de solutions de détection d’intrusion (IPS/IDS), la déconnexion des IHM (consoles de contrôle) en cas d’inactivité, cloisonner les réseaux IT et industriels, utiliser des mots de passe complexes, retirer les privilèges administrateurs aux postes qui n’en n’ont pas besoin, instaurer une veille de sécurité et effectuer des audits, ou encore inclure des clauses de cybersécurité dans les contrats des éditeurs.
David Bigot reconnaît néanmoins qu’il « est difficile d’appliquer ces recommandation dans le monde industriel car cela oblige à changer un certain nombre de choses qui entraînent inévitablement un impact sur la production et donc un coût ». Sans parler des applications incompatibles avec les nouvelles générations d’OS (de Windows XP à Windows 7 notamment) et oblige à des re-développements. Il faut donc « faire évoluer les mentalités en évangélisant, obtenir le soutien de la direction et créer des groupes de travail multi-compétence », soutient l’expert. Il n’en reste pas moins que le problème est aujourd’hui pris en compte par le législateur (notamment à travers la Programmation de loi militaire) et des éditeurs industriels. S’il y a encore beaucoup de travail, « la dynamique est bonne », assure David Bigot.
Lire également
Thomas Houdy, Lexsi : « Après Dragonfly, réagir sur la sécurité des Scada »
Sécurité des Scada : pourquoi la côte d’alerte est atteinte
Scada : un virus infecte le nucléaire sud coréen
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…