La robotisation de l'industrie nécessite un renforcement de la sécurité
Si l'IoT et les robots vont occuper une place de plus en plus prépondérante dans l'industrie, il est nécessaire de préparer la question de la sécurité de ces machines. Celle-ci pourrait en effet se révéler vitale alors que les attaques se complexifient et que leur nombre est en constante augmentation.
Selon Eurostat, 8% des entreprises sont désormais équipées de robots industriels ou de service. En France, ils sont surtout présents, pour le moment, dans le secteur de l’industrie automobile. On compte à ce jour 148 robots pour 1 000 employés contre 136 pour 1 000 aux Etats-Unis et un peu plus de 120 pour 1 000 en Italie et en Allemagne. Si les exosquelettes ont fait leur apparition dans les chaines de montage, leurs tâches sont encore subalternes et ils servent avant tout à soulager l’être humain et à lui permettre d’évoluer vers des tâches plus qualitatives.
Aujourd’hui il ne se s’agit pas de remplacer l’être humain mais de l’assister d’un robot pour alléger sa tâche. Tous ces "cobots" ou robots collaboratifs sont équipés d’intelligence embarquée ce qui pose la question de la sécurité et du besoin de les protéger. Car si pour le moment personne ne dispose d’agent de sécurité installé sur des robots, comment s’y préparer ? Quels sont les risques encourus que ce soit sur un poste de travail ou dans l’IoT ?
L’importance du rôle de l’IoT dans l’industrie est de plus en plus prégnante. Ainsi IOT Analytics prévoit 21,5 milliards d’objets connectés en 2025, ce qui représentera un marché potentiel de 1 567 milliards de dollars. En 2018, les chiffres étaient de 7 milliards d’objets connectés pour un chiffre d’affaires de 151 milliards. Il y a fort à parier que cette estimation est très en deçà de la réalité car, entre 2018 et 2025, ce serait seulement 4 fois plus de volumes et 10 fois plus de chiffres d’affaires. Or, à titre d’exemple, ce seront plus de 10 000 capteurs qui seront installés par rame de TGV. De plus, les objets connectés seront dotés de plus en plus de fonctionnalités et seront donc plus en plus coûteux. Ils apporteront une grande valeur ajoutée à l’entreprise où ils ne seront plus cantonnés à des rôles mineurs tels que l’authentification au niveau de l’ouverture de portes par exemple.
Face à cette révolution, il est primordial d’être alerté concernant d’éventuels systèmes connectés présents dans l’environnement industriel. Pour cela, il est possible de mettre en place des outils de discovering et d’identifier tous les "entrants" dans l’entreprise. En effet, quel que soit l’intervenant externe, il sera équipé d’objets connectés pour l’assister. L’entreprise de nettoyage, par exemple, peut faire appel à des cobots pour faciliter ses tâches. Tous ces robots étant sans fil, deux technologies principales sont sollicitées pour la connexion : le Wi-Fi qui est connecté au réseau de l’entreprise et la 5G, ce qui, dans les deux cas soulèvent des interrogations quant à la sécurité.
Il faut donc dès à présent se pencher sur la gestion du contrôle des flux. Même si pour des hackers détourner des robots de leur fonction initiale va au-delà de la motivation traditionnelle, cela peut venir alimenter un certain fantasme "futuriste". Si les moteurs de reconnaissance applicative sont déjà là, il va également falloir reconnaître les applications impliquées dans la communication vers les robots ou vers les consoles de management.
Une autre problématique de taille à envisager : les attaques DDos, c’est-à-dire des attaques par déni de services qui ont pour but de rendre indisponible un service, ou d'empêcher les utilisateurs légitimes d'un service de l'utiliser. Si un robot est bloqué, c’est toute la chaîne de production qui est grippée. Cette faille est d’autant plus facile à exploiter ces dernières années, du fait de l’uniformisation des protocoles. Si, vraisemblablement, les robots de demain fonctionneront sous protocole TCP/IP, la question d’un système d’exploitation ouvert reste en suspens.
Au-delà de ces attaques, c’est toute la question de la prise de main à distance qui est à considérer car elle est déjà présente dans le domaine industriel et son impact peut être considérable voire extrêmement grave en cas de modification des fonctions des robots. Il est très facile d’imaginer les dégâts catastrophiques que pourraient engendrer la prise de main à distance sur des aiguillages SNCF, des panneaux lumineux sur une autoroute, …. Ces attaques s’avéreraient bien plus grave qu’une tentative de ransomware et d’exfiltration d’informations. Il s’agit donc d’embarquer des éléments de sécurité sur ces robots pour renforcer le contrôle de tous ces équipements hautement critiques.
Avec la présence des robots dans l’entreprise, il faut également craindre une amplification du social engineering, cette pratique de manipulation psychologique à des fins d'escroquerie. Car si un employé a une connaissance de l’entreprise grâce à son expérience dans ladite entreprise, qu’en est-il des robots ? Bien que leur durée de vie soit relativement courte (3 à 5 ans), leur capacité à stocker des données est de loin supérieure à celle des humains. Si une personne mal intentionnée venait à récupérer ces informations, cela constituerait un vrai danger pour la survie de l’entreprise.
Affronter l’explosion de l’IoT et gérer des millions d’équipements passent par la scalabilité pour un avenir serein. Cette scalabilité permettra de s'adapter à ces changements d'ordre de grandeur tout en maintenant les fonctionnalités et les performances des équipements. Mais très souvent, les processus ne s’effectuent pas dans le bon ordre. Les technologies sont d’abord implémentées et les questions en termes de sécurité ne se posent qu’à posteriori. La prise de conscience est progressive mais elle s’intensifiera avec l’explosion de la 5G et l’ouverture sur des usages beaucoup plus importants. Le meilleur moyen de garder le contrôle sera d’équiper tous les robots d’un agent de sécurité. Mais des questions restent en suspens à ce stade : quel agent ? quel système d’exploitation ? comment manager ? qui accède aux informations ? qui utilise les informations ? comment ? … Autant d’interrogations sur lesquelles il est urgent de se pencher pour envisager un avenir serein.