Dans les années 80-90 avant la démocratisation du TCP/IP, il existait des réseaux indépendants hermétiques notamment dans le secteur industriel. Un automate programmable, de type Siemens ou Télémécanique (racheté par Schneider Electric en 1988), fonctionnait comme une boîte noire et exploitait effectivement son propre réseau et ses protocoles. Pour Florent Lefèvre, responsable du développement OT/IoT chez Fortinet France, ce temps est révolu à l’heure où l’industrie 4.0 prône un modèle ultra connecté afin de répondre aux nouveaux usages (enjeux de big data, d’interconnexion avec le cloud, de jumeau numérique, d’IA, etc.). Que cette ultra connectivité passe obligatoirement par une ouverture au réseau de l’entreprise, de ce fait, l’étanchéité entre les réseaux n‘existe plus. « Dans l’industrie 4.0, tous les systèmes (de commande, commercial ou encore des clients) sont interconnectés, si nous prenons l’exemple de l’industrie automobile, il faut 3000 fournisseurs pour produire un véhicule, tout doit donc être synchronisé pour disposer d’une chaîne de production efficace. Très peu d’entreprises peuvent se permettre d’avoir des réseaux séparés, cela pose de toute façon un problème de scalabilité physique », admet Grégory Gatineau, Category Manager chez HPE Aruba Networking. De ce constat, peut-on néanmoins déployer des typologies de réseaux à la fois ouverts et plus adaptés à l’IoT/OT ? A cette question, Yavor Gueorguiev, Application Delivery Manager chez Genetec France, répond qu’il n’existe pas un seul réseau modèle exclusivement adapté à l’IoT. « Nous rencontrons tous types de réseaux chez nos clients, des réseaux privés LTE/4G/5G, des réseaux Wifi dans des bâtiments ; peu importe le réseau, il peut être corrompu. Pour les protéger, nous identifions déjà les menaces qui existent sur le réseau et nous apportons des solutions comme le chiffrement des données par exemple. » Le chiffrement fait bien sûr partie d’une approche globale de sécurisation qu’il faut mettre en œuvre selon Bernardo Cabrera, Global IoT Bu Manager chez Bouygues Telecom. Précisons que Bouygues Telecom se place comme un facilitateur sur les réseaux cellulaires (y compris les réseaux cellulaires basse consommation) via sa marque Objenious. « Nous nous positionnons sur l’accompagnement du client et l’accès à des informations sur les objets connectés. Certes, en tant qu’opérateur, nous sommes axés sur le transport des flux, mais nous privilégions aussi en parallèle cette approche de bout en bout et pour cela, nous collaborons avec un écosystème », précise Bernardo Cabrera. Pour Grégory Gatineau, avec tous ces réseaux et autant de protocoles différents, c’est compliqué d’avoir une homogénéisation en termes de sécurité. Cela dit, le porte-parole de HPE Aruba Networking souligne qu’il existe des moyens de rapatrier tous ces réseaux vers le réseau IP via des ponts multiservices. Ensuite, il faut savoir qui se connecte sur le réseau et pour ce faire, une gestion automatisée des identités et des accès est indispensable.
De la segmentation à l’analyse comportementale
Enfin, Grégory Gatineau préconise de créer un environnement autour de l’IoT via de la micro segmentation opérée de manière automatisée en mettant en avant la solution ClearPass de HPE Aruba Networking. En clair, une étanchéification des flux est réalisée entre le point d’émission jusqu’au point de réception. En parallèle, il existe également des mécanismes d’UEBA (User and Entity Behavior Analytics) qui vont détecter les comportements inhabituels à partir des modèles de trafic sur le réseau. De son côté, Eric Antibi, directeur technique de Palo Alto Networks, est sur la même ligne, à savoir de sécuriser l’IoT via le réseau représente une base essentielle pour disposer d’une visibilité, et ce, grâce aux firewalls. « Nous allons même profiter du pare-feu qui va agir comme une sonde pour analyser les flux et récupérer les informations, lesquelles seront par la suite envoyées vers un SIEM dédié. » Les firewalls sont aussi un rempart contre les menaces chez Fortinet. « Nous disposons d’outils qui apportent un très haut niveau de granularité dans le contrôle du réseau comme FortiNAC qui permet d’identifier tous les actifs numériques ou encore FortiDeceptor qui simule des faux objets connectés, ce leurre nous permet de découvrir qui est à l’origine de l’’attaque et de déclencher des opérations de mise en quarantaine. Mais au-delà des outils, il est important de suivre les guides de bonnes pratiques pour sécuriser l’IoT comme ceux publiés par l’ANSSI », relève Florent Lefèvre, responsable du développement OT/IoT chez Fortinet France.
La sécurisation par le réseau des systèmes industriels et techniques
Que ce soit la mise en place de capteurs sur des machines vieillissantes pour faire de la maintenance préventive ou d’équipements nativement plus ouverts, l’industrie est de plus en plus confrontée aux vulnérabilités tout comme le sont également les secteurs du transport (suivi de flottes par exemple) et des villes intelligentes (éclairage intelligent, capteurs de présence dans les parkings, etc.). Tous ces équipements connectés exploitent des protocoles divers et variés qu’il faut supporter et segmenter. C’est ce que font plusieurs éditeurs dont HPE Aruba Networking ou encore Palo Alto Networks. « Nous segmentons et protégeons par exemple les protocoles liés aux systèmes ICS/SCADA », indique Eric Antibi. C’est d’autant plus important qu’à l’origine, les divers protocoles dans ces systèmes sont dépourvus de fonctions de sécurité. De son côté, Fortinet est capable, selon Florent Lefèvre, de supporter plus d’une centaine de protocoles. « Le plus important est de réduire la surface d’attaque, car l’un des problèmes dans la sécurité industrielle et technique est le manque de compétences, nous avons donc travaillé sur une plateforme dotée de multiples composants qui interagissent entre eux afin de fournir des informations de qualité pour les équipes de maintenance. » Aux fonctions de segmentation des firewalls, Nozomi Networks ajoute une couche de monitoring du réseau et de la sécurité grâce à ses sondes passives. « Notre métier est d’écouter dans toutes les situations même en cas de changement de configuration que les firewalls ne peuvent parfois pas gérer en permanence, et pour cela, nous établissons déjà un inventaire des équipements pour aider les services de sécurité, puis une cartographie et une matrice des flux pour savoir qui communique avec qui. Nous allons aussi contrôler les comportements et s’ils sont déviants, des alertes seront remontées. Notre objectif est bien de combler tous les trous de sécurité », détaille Marc Coutelan, directeur des ventes chez Nozomi Networks France. En soi, Nozomi Networks n’apporte pas de remédiation, mais s’intègre avec les plateformes dédiées du marché. De son côté, Cisco apporte cette visibilité via son offre Cyber Vision directement intégrée à ses équipements (commutateurs, routeurs…) et met en avant un déploiement à l‘échelle facilité. Cisco va même plus loin avec son architecture Hypershield qui permet en quelque sorte de distribuer la sécurité dans tous les équipements réseau afin que ces derniers puissent réagir immédiatement et en autonomie aux menaces. Au-delà des solutions et des outils, Fabien Maisl, global marketing Industrial IoT chez Cisco, souligne l’importance de prendre en compte le cycle de vie de l’équipement dans le domaine industriel. « Comment s’assure-t-on que le code source n’a pas de failles ? Comment effectuer les mises à jour ? C’est tout un processus qui doit débuter dès la conception des équipements et logiciels. Chez Cisco, nous nous engageons dans cette approche, nous répondons d’ailleurs aux exigences de la certification ISA/IEC 62443, notamment d’avoir ce processus de développement sécurisé tout au long du cycle de vie de l’équipement. Il faut savoir que la norme NIS 2 va obliger les entreprises industrielles à s’assurer que les appareils OT qu’elles déploient n'introduisent pas de cyberrisques pour les opérations. Et s’ils répondent à la norme ISA/IEC 62443, ils deviennent normalement conformes à NIS 2. »
Commentaire