« Il ne faut pas laisser d’angle mort en matière de cybersécurité », a expliqué Guillaume Poupard dans son intervention lors du FIC 2019. Lors de l’évènement Lillois, différents thèmes ont été abordés pour éviter cette cécité et notamment celui de la sécurité des systèmes industriels. Ateliers et fournisseurs sont revenus sur ce sujet où il faut bien le dire, on navigue entre l’âge de pierre et le security by design en passant par la sensibilisation.

Une vision caricaturale ? Lors d’une table-ronde sur les systèmes industriels, Philippe Tourron, RSSI de l’APHM (Assistance Publique des Hôpitaux de Marseille) donne un exemple: « nous avons fait l’acquisition d’un équipement d’imagerie médicale fonctionnant avec deux PC sous Windows XP, nous avons demandé au fournisseur de changer et d’évoluer vers un OS plus récent. La facture s’élève à 100 000 euros pour migrer ». Un constat partagé par Michel Hoffman, manager sur l’offre cybersécurité industrielle de Sopra-Steria : « 30 à 50% des OS sur les PC industriels sont obsolètes, mettre des antivirus est très compliqué, tout comme les mises à jour ».

Dans ce cadre, le principal axe d’attaque est la clé USB, « en matière d’OT, les opérations de maintenance se font très souvent via une clé USB », souligne Michel Hoffman. Plusieurs éditeurs de sécurité se sont donc penchés sur ce problème en proposant des scans de clé USB ou le durcissement de l’OS. Mais la technique ne suffit pas, « la sensibilisation des équipes OT reste un point essentiel », constate Michel Hoffman en ajoutant qu’il n’est « pas rare de voir des personnes télécharger de la musique et des jeux dans leur environnement informatique ».

Du security by sharing à la security by design

Surtout que les menaces ne sont pas loin, les avertissements de NotPetya et de Wannacry, ainsi que le cas BlackEnergy, ont montré que les attaquants ne vont bientôt plus faire la différence entre IT et OT. « Les attaques vont se spécialiser sur la couche IT de l’OT », prédit le responsable de Sopra Steria. Encore faut-il savoir de quoi on parle et comment on sensibilise. Philippe Tourron évoque ainsi le projet européen Safecare, regroupant 21 partenaires sur 10 pays pour réaliser une base de connaissance sur les risques cyber et physiques sur une structure de santé. « Nous sommes en mode security by sharing ». Le groupe travaille aussi avec le Cnam sur de l’IA pour détecter les risques et « lever les doutes ».

Les innovations sont au cœur de l’avènement de l’industrie 4.0 et les systèmes industriels vont être de plus en plus connectés. Le sujet de la « security by design » va alors devenir incontournable. « Nous devons être intransigeant sur l’intégration de la sécurité dans l’OT et l’IoT », scande Philippe Puyou-Lascassies, responsable cybersécurité de Terega (gestionnaire du transport de gaz). L’analytique s’invite dans ces innovations pour détecter les comportements anormaux et des patterns de menaces, même si « il n’est pas évident de trouver des points de collectes », glisse Laurent Heslault, directeur des stratégies de sécurité de Symantec. Au point que les éditeurs nouent des partenariats avec les fournisseurs de systèmes industriels, comme Symantec avec Rockwell. Les entreprises peuvent également compter sur les efforts de l’ANSSI qui depuis quelques années s’est emparée du cas de la sécurité des systèmes industriels. Des cas d’usages, des bonnes pratiques, des méthodologies sont proposés.