Cybersécurité des environnements industriels : une zone grise privilégiée pour les attaques

L'intensification de la numérisation des environnements industriels oblige à revoir les stratégies de cybersécurité, notamment en ce qui concerne les interfaces des systèmes industriels avec l'IT conventionnel. Des zones particulièrement vulnérables aux cyberattaques, qui exigent donc des modes de protection adaptés.

Dans la segmentation de haut niveau entre les technologies opérationnelles (OT) et les systèmes d'information (IT), il est courant de distinguer deux dimensions :

- La partie IT décorrélée des systèmes industriels : bureautique, ERP, applications financières, administratives, etc.
- Les technologies IT à l’intérieur du système industriel, faites de réseaux, de machines aux OS standard (Windows ou Linux), de virtualisation, souvent d’un Active Directory, de logiciels de sauvegarde et autres qui sont propres au système industriel, bien qu’étant de technologie dite « IT ». Ainsi l’usage – industriel, ICS – se décorrèle-t-il de la technologie.

La part métier des ICS ne se trouve plus que dans les automates, réseaux de terrain, les protocoles du monde industriel (Modbus, Enthernet/IP, S7…) et les applications de supervision, d’historisation, les ateliers logiciel d’ingénierie et parfois quelques applications techniques spécifiques.

Pourtant, ce qui ressort des attaques ayant un impact sur les systèmes industriels, c’est que ce ne sont pas eux qui sont touchés. Waterfall, dans son dernier Cyber Threat Report 2024, indique que près de 90% des impacts industriels viennent d’attaques sur des systèmes IT dont ils dépendent, et que les attaques directes OT ne sont que de 13%. Un rapport Rockwell / Cyentia confirme que 84% des points initiaux sont côté IT.

L’institut TakePoint Research, commentant une décision de l’OT-ISAC sur les systèmes d’énergie distribués, indique également le besoin impérieux de reconsidérer les périmètres OT et de ne plus les réserver au système strictement fonctionnel.

Il est en effet assez clair que si la production d’une usine dépend d’un ERP, une attaque sur l’ERP ou – plus finement – sur les données transmises de l’ERP à l’usine vont l’arrêter sans qu’il y ait la moindre attaque à l’intérieur. Le MES (Manufacturing Entreprise System) pour les process manufacturier est souvent en dehors de l’ICS, et montre une dépendance identique. Et la fameuse exposition des technologies IT de l’OT, pour la virtualisation, les accès, la gestion des comptes et des droits, les mises à jour, augmentent inévitablement cette dépendance.

Or, cet ensemble d’IT dont l’OT dépend touche à la périphérie des systèmes industriels mais n’est pas pris en compte dans les référentiels. Elle est au-dessus du modèle Purdue, généralement. Elle est un point externe, vu de l’intérieur du système industriel. En analyse de risque, on ne quantifie pas son risque : on la place dans une zone de moindre confiance et on tente de sécuriser les flux. C’est inopérant, si la seule compromission dans cette couche arrête le process. C’est ce qui s’est passé chez Renault pour Wannacry, par exemple.

Dans ces conditions, le regard OT-centré pour sa sécurisation est-il pertinent ? A l’évidence, il faut élargir la focale et oser faire l’inventaire des assets IT dont l’OT est dépendant. Autrement dit, avoir une vision fonctionnelle large et ne pas tracer une frontière trop rigide entre IT et OT. Ce n’est toutefois pas naturel, et cela d’autant moins que ce n’est pas conseillé dans les méthodes d’analyse de risque cyber OT, parce qu’elles sont cyber (et non fonctionnelles) et parce qu’elles sont OT (et non élargie à la couronne de ses dépendances). Pas plus qu’on ne trouve cela dans les normes, y compris la fameuse et très utile IEC 62443, sans mentionner NIS2 qui reste trop approximative.

Quelles sont les solutions ?

1) Traiter la difficulté à la racine : réduire les dépendances. Les opérationnels le savent bien : dès que vous installez un logiciel ou une machine qui doit aller chercher, régulièrement ou occasionnellement, une information à l’extérieur, ils sont au recul. Mais ce n’est pas toujours possible, car il s’agit d’une révolution. Culturellement cela demanderait à avoir non pas un RSSI OT, mais un DSI OT élargi, dont il n’est pas sûr que le DSI IT apprécie la présence.

2) L’autre solution consiste à identifier cette couche, à la rendre explicite, et à la surveiller non plus en tant qu’un asset IT comme un autre, mais en tant qu’un asset IT potentiellement tueur d’OT. Et donc, il n’y a pas le choix : il faut des produits de sécurité OT et IT pour protéger l’OT. Il ne s’agit pas d’avoir des EDR, NDR, SIEM universels : il s’agit de pouvoir surveiller, protéger, réagir à des attaques sur cette couche externe.

C’est une nouvelle déclinaison de la défense en profondeur qui oblige, entre autres, à repenser l’organisation IT pour les parties adhérentes à l’OT, à inclure cette couche dans les analyses de risque OT, et à configurer les logiciels et appliances de sécurité dans cette perspective. Le défi est bien de trouver les produits adéquats, il y en a fort heureusement maintenant. Il est surtout culturel, car depuis que la cybersécurité des systèmes industriels existe, la barrière entre OT et IT n’a jamais disparu. La collaboration est aujourd’hui plus que jamais nécessaire.