Mis à part les OIV, bon nombre d’installations industrielles françaises sont vulnérables aux cyberattaques. Système non mis à jour, absence de briques de sécurité de base et défense périmétrique obsolète… Tout reste à faire, particulièrement dans les PME.
Arrêt de production d’un site pétrochimique en Arabie saoudite à cause du malware Triton ; arrêt de toutes les chaînes d’assemblage européennes de Renault lors de l’attaque du malware WannaCry et, plus récemment, LockerGoga qui a paralysé le système informatique de Norsk Hydro… Les sites industriels semblent notoirement démunis face aux attaques informatiques.
Longtemps, les industriels ont privilégié l’isolation totale de leur informatique industrielle, l’OT dans le jargon métier pour Operational Technologies, par opposition à l’IT, c’est-à-dire l’informatique de gestion. Une approche d’isolation qui, avec les concepts d’Industrie 4.0 qui misent sur l’exploitation des données récoltées sur les équipements de production, ne tient plus aujourd’hui. Dépourvus de toutes défenses intrinsèques, ces réseaux industriels sont vulnérables au moindre courriel de phishing ouvert sur une machine connectée derrière le firewall, ou même à un malware infectant la clé USB de l’employé de maintenance qui va accéder à une machine.
Le monde industriel, un environnement difficile à défendre
Du fait de la loi de programmation militaire, les OIV (Opérateurs d’importance vitale) et les OSE (Opérateurs de services essentiels) issus de la directive européenne NIS, les entreprises concernées ont dû muscler la protection de leurs installations critiques. C’est bien évidemment le cas des centrales nucléaires, les grandes infrastructures de transport, etc. L’informatique industrielle des installations sensibles est notamment protégée par des firewalls spécialisés et des systèmes de communication à diode qui empêchent physiquement les pirates de remonter un lien de communication utilisé pour collecter les données de fonctionnement des équipements. Ces solutions sont à la fois très coûteuses mais aussi très contraignantes d’un point de vue technique. Parmi les spécificités du secteur industriel, les protocoles réseau propriétaires mis en œuvre par les équipements. Alors que toutes les applications du monde IT s’appuient sur un nombre de protocoles relativement limité et basés sur TCP/IP, le secteur industriel est beaucoup plus hétérogène. Chaque fournisseur de machines a créé son propre protocole d’échange, chaque secteur d’activité, qu’il s’agisse de l’énergie, du ferroviaire a créé ses protocoles réseau si bien que la technologie de Deep Packet Inspection d’un firewall classique est totalement inopérante. De fait, des firewalls spécialement adaptés au milieu industriel sont apparus ces dernières années, notamment commercialisés par Fortinet, Cisco, ou encore le Français Stormshield, filiale d’Airbus CyberSecurity. « Nous avions participé au développement du premier pare-feu industriel avec Stormshield en 2014 », explique Yann Bourjault, directeur du département Transformation Digitale de Schneider Electric. « Il s’agissait alors d’un PIA – un Projet d’investissement d’avenir – et cela a donné naissance au Sni40. Il fut le premier pare-feu industriel de Stormshield à bénéficier de la connaissance métier des protocoles industriels apportée par Schneider Electric. »
Concurrent direct du Français sur la fabrication d’équipements industriels et d’automates de production, l’Allemand Siemens a réalisé d’énormes investissements depuis l’attaque Stuxnet sur le complexe d’enrichissement nucléaire iranien en 2010. En effet, c’est en visant les équipements Siemens que le ver Stuxnet a pu détruire les centrifugeuses de la centrale de Natanz. L’annonce de cette attaque a eu l’effet d’un électrochoc chez l’Allemand qui a lancé un vaste plan de sécurisation de ses produits et de ses processus internes afin d’aller vers une approche de type Secure by Design. « Sur le volet cybersécurité, nous nous appuyons aujourd’hui sur une force de 1 500 personnes au niveau mondial, avec une organisation dédiée sous la responsabilité directe de Joe Kaeser le CEO du groupe », explique Fabien Miquet, Product & Solution Security Officer (PSSO) chez Siemens France. « La cybersécurité est devenue un différenciateur pour nous et nous sommes maintenant les seuls à disposer d’une gamme complète certifiée par l’Anssi. »
Windows XP toujours en production dans les ateliers !
Parmi les autres spécificités des ateliers de production figure la présence des versions de Windows pour le moins hétérogènes. De nombreuses machines-outils restent contrôlées par des PC embarqués qui fonctionnent sous Windows XP, quand ce n’est pas Windows 95, sur les machines les plus anciennes ! Même les PC industriels plus récents ne sont pas patchés régulièrement comme c’est le cas des parcs de PC bureautiques. Outre ceux qui ne sont pas connectés à Internet, les fournisseurs de machines interdisent à leurs clients d’intervenir sur la configuration logicielle du PC industriel tel qu’il leur a été livré. Impossible de passer les patchs de sécurité de l’OS ou même d’installer le moindre antivirus sur certaines machines. En effet, un antivirus qui lance un scan de disque en plein usinage d’une pièce et celle-ci peut finir au rebus si la latence induite par l’antivirus a retardé une instruction.
On comprend donc l’extrême vulnérabilité des systèmes industriels : le moindre malware qui se lance sur un tel réseau et c’est un effet domino garanti, ce qui explique l’extrême prudence de Renault qui a préféré arrêter tous ses sites de production lorsque celui de Sandouville a été attaqué par WannaCry.
Des solutions anti-malware sur clé USB sont apparues sur le marché pour contourner le problème comme le décrit Nurfedin Zejnulahi, directeur technique de Trend Micro France : « Nous proposons une approche sur clé USB afin de scanner un poste et s’assurer qu’il n’est pas infecté par un malware. Si le test est négatif, on va sceller la machine pour s’assurer que personne ne viendra l’infecter. Si un élément suspect est détecté, on va remonter l’information via la clé ellemême afin de faire une analyse par la suite sur un poste bureautique. »