Tout au long du mois d’octobre, c’est l’édition 2019 du Mois européen de la cybersécurité en France autour de la campagne « J’agis pour mon cybermoi/s ». Chacun est invité à mieux protéger sa vie numérique. La sécurité numérique ne se résume pas à des algorithmes de cryptologie complexes, c’est surtout des pratiques et des comportements simples à adopter au quotidien, chez soi ou au travail. Récemment, un séminaire à Poitiers mené par l’Agence nationale de la sécurité de systèmes d’information et Kalis Consulting abordait la thématique plus spécifique de la cybersécurité des bâtiments et des process. Retour sur cette problématique avec Jean-François Kleinfinger, associé de Kalis Consulting.
Aujourd’hui, quelle problématique soulevez-vous ?
Dans nos bâtiments, nous avons des ascenseurs, des caméras, des tapis roulants, des valves, des robots … avec internet et son développement, il y a un vrai bénéfice à connecter ces objets pour les piloter à distance. Pour toute cette gestion, des ERP agrègent l’ensemble des processus opérationnels d’une entreprise. Si les chefs d’entreprise ont mis en place des protocoles pour la protection de l’informatique et des logiciels, peu de choses ont été faites pour celle des lignes et des process. Quand ces machines ou ces objets ont été connectés, leur sécurité n’a pas forcément été pensée. Cela ouvre de nouveaux champs aux hackers. Certains systèmes pilotent des opérations critiques, si une machine ne s’arrête pas, si une température change, cela peut avoir un impact au final sur les biens et les personnes.
Quels sont les « failles » les plus importantes ?
Souvent la directeur informatique s’occupe des postes, la directeur des bâtiments a en charge les aspects matériels et le directeur industriel souhaite que son unité tourne. Du coup, les mises à jour qui devraient être faites sur les lignes de production ne sont pas forcément réalisées. Quand on sait qu’une machine a une durée de vie de 10 à 30 ans … Autre problème, ces différentes machines ou automates programmables ne parlent pas forcément le même langage informatique. Le pilote général va « communiquer » avec eux, mais ne va pas forcément détecter une anomalie, les « langages » étant trop complexes. Une part significative des installations industrielles se retrouve donc sans protection. Autre souci, les domaines sont perméables. Ainsi, en infectant un document sur une clé usb ou en passant par un site usurpé, il est possible d’atteindre l’ERP, ainsi que le système de contrôle et d’acquisition des données (Scada). C’est là aussi la porte ouverte à des malveillances. Ça a été le cas pour une aciérie allemande, qui a cause d’un hackage a subi de lourds dégâts matériels. L’attaque contre les centrifugeuses iraniennes d’enrichissement d’uranium a également marqué les esprits. Là, c’est par le biais des fournisseurs que l’installation a été mise à mal. Il faut avoir conscience des multiples canaux d’infection, ainsi toute la chaîne de maintenance doit être prise en compte. Autre cas d’école, le botnet IoT Mirai. Le logiciel malveillant Mirai infectait tous les objets connectés si leur adresse IP était ouverte et leur mot de passe inchangé. L’attaque sur des géants des services en ligne a eu lieu après plusieurs mois d’infection, à partir de ce réseau de robots. Ces dernières années, le nombre de failles dans l’industrie n’a cessé d’augmenter. A chaque apparition d’une nouvelle technologie, de nouvelles vulnérabilités sont exploitées. L’industrie finit par reprendre sa sécurité en main, mais au passage de nombreuses entreprises ont été touchées a plus ou moins grande échelle. La cybersécurité reste une attention de chaque instant.
Quelles sont les « bonnes pratiques » à mettre en place ?
Il faut commencer par cartographier les risques, le réseau de l’entreprise. Il faut chercher qui a accès à internet, comment, quels fournisseurs peuvent se connecter, quels systèmes d’exploitation sont en fonction … A Kalis Consulting, nous utilisons des outils Radiflow pour cartographier rapidement et de manière non intrusive les réseaux OT (operational technologies), recenser les failles de sécurité, les accès externes et les vecteurs d’attaque. C’est la première étape à toute bonne prophylaxie : connaître son système. Cela permet ensuite de mettre en place un plan d’actions. Pour diminuer les risques, il est important de segmenter son réseau, de mettre des barrières entre les services, entre les logiciels et les serveurs, mais aussi de mettre en place des outils pour protéger et surveiller. Des règles de surveillance sont à établir : qui fait la mise à jour, comment, dire que tel robot ne peut être connecté à tel autre … Et si une anomalie apparaît, par quel biais l’entreprise est alertée et peut la bloquer. Cette cartographie permet aussi d’établir une plan de continuité. Il s’agit de définir quelles sont les informations sensibles, en cas d’attaque qu’est-ce qui se passe, les réactions à avoir et quelles solutions de substitution ont été pensées. Il est nécessaire de mettre en place des back-up, de prioriser, de penser à la reprise, à l’après. Il peut également être instructif de surveiller quelles informations de votre entreprise se vendent sur le darkweb.
Quel est le principal frein aujourd’hui à cette surveillance ?
Au niveau législatif, la France et l’Europe ne sont pas en retard. Les opérateurs d’importance vitale sont dans l’obligation de mettre en place des plans de continuité, d’avoir une vraie politique de cybersécurité et de déclarer tout incident à l’ANSSI. Les opérateurs de services essentiels ont aussi des obligations. C’est plutôt du côté des entreprises qu’il y a un vrai manque d’acculturation. J’entend beaucoup de « De toute façon, je ne me ferais jamais attaqué » ou « C’est pour les grands groupes. » Il faut commencer par en prendre conscience. Cela débute souvent par la sensibilisation des collaborateurs, par la séparation des outils personnels et professionnels. Nous continuerons à diffuser les bonnes pratiques.
Propos recueillis par Mathilde Wojylac
Plus sur : www.ssi.gouv.fr et sur : www.kalis-consulting.fr.