Informatisés et interconnectés avec les systèmes d’information des entreprises et le web, les automates et les machines sont aujourd’hui exposés au piratage informatique. Certes, le risque d’un piratage industriel est (pour l’instant) trop faible par rapport à une panne d’un automate ou d’une chaine de production. Mais la mise en place de différentes mesures est indispensable pour réduire les risques.
Le 18 décembre 2014, un rapport gouvernemental allemand a révélé une attaque informatique contre une usine métallurgique. Le piratage a provoqué d’importants dégâts matériels sur un haut fourneau. Une preuve supplémentaire que les réseaux industriels sont vulnérables aux codes malveillants.
Plusieurs facteurs expliquent cette faiblesse. Premièrement, l’interconnexion est de plus en plus fréquente, voire généralisée dans certains cas, entre des réseaux industriels et SI de l’entreprise et même de l’internet. Autre constat, les corrections des failles de sécurité des logiciels SCADA étaient rarement intégrées en temps et en heure. Des vulnérabilités n’étaient pas corrigées avant plusieurs années. Enfin, les protocoles qui gèrent les automates n’ont pas été conçus de façon extrêmement sécurisés. Des intrusions via ces équipements étaient donc facilitées.
Ces situations délétères sont parfois difficiles à gérer, car la gestion d’automates ou de chaines de production n’est pas aussi aisée que celle d’un système d’information. « Certains vieux automates nécessitent de déverrouiller certains paramètres de sécurité d’automates plus récents sinon ils ne peuvent pas dialoguer entre eux. Par ailleurs, si des automates ne sont pas connectés, l’entreprise est confrontée à des soucis de programmation (par exemple, un décalage dans les soudures) qu’il faut régler immédiatement. Si la machine est connectée, son fabricant peut fournir rapidement un correctif par internet. Par contre, si cette machine n’est pas connectée, l’entreprise devra attendre une intervention sur place. Enfin, pour augmenter leur productivité, des entreprises enlèvent progressivement et plus facilement des mécanismes de sécurité informatique, mais elles ne touchent pas à la sûreté à cause entre autres de la réglementation très précise sur les accidents du travail », explique Jérôme Hennecart, enseignant à l’université de Valenciennes, commandant de gendarmerie réserviste et spécialiste de la lutte anti-cybercriminalité, coauteur du livre « Cyberdéfense : la sécurité de l’informatique industrielle » (Ed.ENI).
Mot de passe par défaut
C’est ainsi que de nombreuses informations sensibles (comme de la télémesure) peuvent être stockées sur un disque dur et accessible à tous sans mot de passe. Même si l’entreprise a des automates de dernière génération, les informations permettant de surveiller la productivité mesurée par des capteurs étaient accessibles à n’importe qui ! « Il y a encore beaucoup de mots de passe par défaut, comme j’ai pu le constater par exemple sur une plate-forme pétrolière il y a deux ans. Depuis la terre, il était possible de se connecter via un faisceau hertzien et modifier ainsi des paramètres. Le personnel n’était pas conscient qu’on pouvait se connecter depuis la terre et il y avait très peu de sécurité », se rappelle Patrick Chambet, membre du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique).
Face à de telles situations qui peuvent apparaître comme aberrantes aux yeux d’experts en sécurité, il est indispensable que les industriels instaurent une culture de la sécurité à tous les niveaux, y compris au niveau de la maintenance et de l’installation des automates. La sécurité, c’est un ensemble. Et le personnel est un élément très important. Encore une fois, l’installation d’un antivirus et d’un pare-feu n’est pas suffisante, surtout s’ils sont mal configurés.
Les conseils de l’ANSSI
« Jusqu’à présent, les automaticiens ne se préoccupaient pas trop de la sécurité. Avec l’interconnexion de plus en plus forte entre différents réseaux, ils doivent apprendre des informaticiens et, inversement, les informaticiens doivent apprendre des personnes qui viennent du Scada. D’ailleurs, le RSSI doit prendre en charge de temps en temps la sécurité des réseaux. Sauf dans les grandes entreprises où peuvent cohabiter un responsable de la sécurité des réseaux industriels et un RSSI traditionnel », explique Patrick Chambet.
L’État prenant au sérieux cette problématique, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a fait un gros effort d’évangélisation auprès des entreprises et des industriels en particulier. Elle préconise à juste titre d’avoir un regard extérieur qui viendra établir un état des lieux.
L’agence a publié un guide très complet sur la cybersécurité des systèmes industriels.L’ANSSI rappelle qu’un inventaire des installations matérielles, des systèmes et des applications critiques est un pré-requis incontournable à la mise en place de la sécurité des SI dans les installations industrielles. Cet inventaire est la première étape de l’analyse des risques, qui permettra de définir les différents niveaux de criticité, de sûreté, de disponibilité ou d’intégrité attendues pour les éléments cartographiés.
« Qui ne réfléchit pas et méprise l’ennemi sera vaincu » écrivait Sun Tzu dans L’art de la guerre…
A lire :
« Cyberdéfense :La sécurité de l’informatique industrielle (domotique, industrie, transports) »
Editions ENI. 54 €
Coauteurs : Joffrey CLARHAUT – Nicolas DUPOTY – Franck EBEL – Jérôme HENNECART – Frédéric VICOGNE
Les chapitres du livre :
Introduction – Les systèmes industriels – Les techniques de prise d’empreinte – Les différentes menaces possibles – Les protocoles utilisés et leurs faiblesses – Création d’outils avec Python – Prise en main de Scapy – D’autres outils utiles – Les systèmes domotiques – Les réseaux et protocoles ferroviaires