Après plusieurs reports pour cause de crise sanitaire, le FIC (forum international de la cybersécurité) a enfin ouvert ses portes au Grand Palais à Lille. Pas moins de 15 000 personnes se sont inscrites pour cet évènement incontournable. La première journée a été l’occasion de faire un focus sur la sécurité des systèmes industriels. Une menace à ne pas prendre à la légère, comme le montre l’exemple récent du cyber-sabotage évité de justesse sur le traitement des eaux en Floride. Plusieurs ateliers et conférences se sont concentrés sur l’état des lieux de la sécurité des systèmes industriels, mais aussi sur les mesures à mettre en place pour se protéger ou, au moins, se préparer à une attaque.
Une prise de conscience en cours
Premier élément, « il y a une prise de conscience de la part des entreprises sur les fragilités du monde de l’OT », rapporte Fabien Perreira Vaz, technical sales manager chez Paessler, spécialiste de la supervision réseau. Mais il précise que celle-ci est « plus ou moins rapide selon les secteurs ». Une analyse corroborée par le cabinet Wavestone qui a réalisé environ 40 audits de sécurité sur les systèmes industriels de différents secteurs d’activité (pharmacie, énergie, cycle de l’eau, agroalimentaire). Il constate que 66% des entreprises auditées disposent d’une PSSI pour les systèmes industriels. En revanche, en matière de cloisonnement des réseaux, 31% des sites donnent un accès aux automates depuis la bureautique et 48% ont installé une DMZ de manière correcte. « Ce cloisonnement est la première étape pour réduire les risques », précise Arnaud Soullié, spécialiste de la cybersécurité des systèmes industriels chez Wavestone.
Les faiblesses proviennent aussi de l’accès distant. Une très grande majorité des sites (86%) en disposent pour permettre la maintenance opérationnelle des systèmes. Le problème est que les entreprises (42%) utilisent des solutions « non officielles » comme Teamviewer ou LogmeIn. Le rapport évoque aussi le problème des correctifs de sécurité, 36% des sites n’ont pas reçu de patch depuis plusieurs années. Arnaud Soulié observe que « les administrateurs systèmes ne sont pas formés sur ces sujets. En matière de patch management, il ne faut pas être trop ambitieux ».
Un inexorable rapprochement IT/OT
Pour faire évoluer la sécurité des systèmes industriels, la convergence de vue entre l’IT et l’OT semble nécessaire. « La security by design pour l’OT, c’est la même chose que pour l’IT », explique Lois Salamin, RSSI d’EDF Hydro (gérant les barrages hydroélectriques en France). Il est quand même nécessaire de mener des actions de sensibilisation et de démonstration, glisse Hervé Constant, DSI de GRTgaz. Voire même d’avoir « des postures plus fermes et de ne pas laisser des stocks de dette technique s’accumuler. Il faut être intégré dès la conception de nouveaux systèmes industriels ». Et de citer un exemple de piratage du SI de sécurité d’accès (transformé en zombie pour botnet) d’un bâtiment, car le fournisseur n’avait pas respecté la brique sécurité. « Nous avons été obligés de tout refaire et de remplacer le SI par une société de gardiennage ».
Certains sont plus optimistes sur le rapprochement entre le monde de l’OT et de l’IT. Ainsi Yann Bourjault, directeur de la transformation digitale et cybersécurité chez Schneider France et membre du Gimelec (groupement des entreprises de la filière électronumérique française), « les gens de l’OT doivent progresser dans les technologies, notamment dans le cloud, c’est le sens de l’histoire. Dans le même temps, la nouvelle génération de RSSI est plus ouverte aux systèmes industriels. Les deux vont se rapprocher ». Pour accélérer cette réunion, la formation est un élément essentiel, mais « il manque cruellement d’experts » sur les systèmes industriels, reconnait le dirigeant.
Se préparer à une cyberattaque sur les systèmes industriels
L’apprentissage et la sensibilisation doivent se faire aussi au plus haut niveau. Le cas de Sandrine Delory, directrice générale d’Ingredia est révélateur. Ingredia est une PME qui transforme le lait en produit laitier (crème fraîche, poudre de lait, …) à destination de clients dans l’agroalimentaire. Elle gère 500 millions de litres de lait par an et dispose de plusieurs sites industriels. La dirigeante s’est interrogée pour savoir si l’entreprise était prête à faire face à une cyberattaque sur l’OT. Dans ce cadre, en collaboration avec Advens, elle a mené un exercice de crise sur différents scénariis et les réponses apportées. Le premier cas était la compromission des automates de production avec la déconnexion du système indsutriel du SI bureautique et une attention particulière sur la qualité des produits. Autre cas, le détournement de l’usage des étiqueteuses implique le passage en mode manuel et nécessite l’intervention des RH pour recruter rapidement des intérimaires. Enfin, le sabotage du pesage des camions a montré la nécessaire confiance dans les mesures des producteurs.
Les enseignements d’un tel exercice sont nombreux. « L’IT et l’OT sont intimement liés, mais si l’outil de production s’arrête, cela a un impact sur la pérennité de l’entreprise », souligne Sandrine Delory. Par ailleurs, la communication est très importante dans ces situations « une cyberattaque n’est pas que le rôle du DSI, la présence des métiers est essentielle ». Elle précise aussi que « la cartographie des systèmes IT et OT sont très importants, notamment pour des entreprises qui existent depuis longtemps et comprennent des systèmes datant de 25 ou 30 ans ». Un constat partagé par Wavestone qui pointe dans son étude la question de la résilience matérielle « 31 % de sites audités disposent d’un inventaire à jour ». Des progrès restent encore à faire, mais la voie est tracée…