Surveillance des infrastructures industrielles : comment se protéger contre les menaces qui pèsent sur la cybersécurité ?

Face aux risques qui pèsent sur la cybersécurité des entreprises et des institutions, il est nécessaire de mettre en place les réponses adaptées.

Chaque jour, des systèmes d’information compromis et piratés font les gros titres des médias, mettant en lumière les faiblesses quant à la cybersécurité des entreprises. Les conséquences financières pour ces dernières sont colossales : leurs pertes sont en hausse de 50% sur un an et s’élèvent à 2,25 millions d’euros en moyenne sur douze mois, selon une étude réalisée par PwC et publiée en 2017.

Alors que les infrastructures industrielles sont ciblées à un rythme alarmant, être proactif face aux cyber-intrusions devient essentiel. Planifier et mettre en œuvre une gestion de la cybersécurité des SCADA (Systèmes d’acquisition et de contrôle des données) réduit considérablement la probabilité de vulnérabilités du système et s’avère donc indispensable aujourd’hui.

Réseau wifi et clé USB : deux portes d’entrée trop souvent ouvertes…

Quand le système ne dispose pas de connexion Internet, le pirate tente d’obtenir un accès local - en visitant personnellement un site industriel ou en tentant de se connecter sur un accès réseau directement depuis une salle de réunion par exemple. Les systèmes critiques intègrent de plus en plus souvent le Wi-Fi dans leur infrastructure, créant ainsi, à leur tour, une nouvelle surface d'attaque. Lorsqu'il est correctement sécurisé, le Wi-Fi est raisonnablement à l'abri des attaques. La mauvaise configuration de ces réseaux demeure cependant un problème courant. Les politiques inhérentes à l'accès Wi-Fi devraient inclure un réseau d'invités, isolé du réseau du système de contrôle industriel (ICS). Ce réseau isolé protègerait ainsi le réseau ICS contre d'éventuelles infections à distance.

Une technique moins invasive consiste à charger une clé USB avec un virus malveillant. En la déposant simplement sur le parking de l’entreprise ciblée, l’attaquant est quasiment assuré qu’un salarié, non formé et sans méfiance, finira par la connecter à son ordinateur : il s’agit d’une tactique de pénétration très populaire qui aboutit très souvent. Pour se protéger contre ce type d’attaque, il existe aujourd’hui des solutions innovantes permettant d’analyser en quelques minutes un périphérique externe : déclaré sain, le matériel (clé USB, disque dur externe, …) peut ainsi être connecté au réseau en toute confiance. Les postes informatiques équipés de la solution reconnaîtront le périphérique USB sain par le biais d’un échange de certificat. Si le périphérique USB est infecté, il ne sera pas reconnu par les postes informatiques, ce qui empêche une contamination de masse en cas de média amovible infecté.

Console de maintenance dédiée et pare-feu industriel : deux réflexes à avoir

Si une personne extérieure doit utiliser un ordinateur pour travailler dans les locaux d’une entreprise hôte, il est fortement recommandé de lui fournir un PC dédié ou bien de lui demander de vérifier la conformité de son équipement aux directives de sécurité de l’entreprise hôte (antivirus, politiques de groupe). Des consoles durcies et sécurisées existent notamment pour assurer la cybersécurité dans des environnement soumis à des contraintes industrielles et fonctionner avec des logiciels déjà identifiés et autorisés.

Par ailleurs, la mauvaise configuration des règles des pare-feux, compte pour une part importante des attaques. Ces derniers sont des dispositifs complexes et doivent être configurés par des personnes formées et connaissant parfaitement le contexte d’utilisation qu’en fait le client : sommes-nous sur des flux IT ou OT ? Dispose-t-on d’une redondance de l’équipement ? d’une instance de management centralisé ? les logs des pare-feux sont-ils analysés régulièrement et par qui ? De fait, la sélection d’un pare-feu représente une étape critique et la qualité de la protection apportée varie considérablement selon les modèles et fabricants. Un pare-feu efficace dans l’environnement OT doit être en mesure de filtrer les protocoles industriels afin de protéger pleinement le réseau au plus proche des machines et des outils de production. Des solutions de pointe ont été développées par de grands groupes industriels très sensibles à la question de la protection de leur réseau, tels Airbus. Ainsi, sa filiale Airbus Defence & Space Cybersecurity, a mis au point un pare-feu industriel en capacité d’analyser en profondeur les protocoles industriels en partenariat avec un géant français de la gestion d'électricité, des automatismes et des solutions adaptées à ces métiers.

Comptes utilisateurs : gare aux « privilégiés » !

Une bonne pratique en matière de sécurité informatique est d'auditer régulièrement les comptes utilisateurs ainsi que leurs droits d’accès. Il peut s'agir d'éditer un rapport qui énumère chaque compte utilisateur et le rôle du compte (administrateur, opérateur, etc.). Il est également recommandé d’appliquer systématiquement le "moindre privilège" lors de l'attribution des rôles et droits d’accès. Des plateformes de gestion des accès à privilèges ont été créées dans ce but : auditer les requêtes d’accès et délivrer les autorisations au cas par cas. Les contenus des sessions, les mots de passe et les accès peuvent ainsi être suivis et modifiés en fonction des risques.

Des solutions innovantes ont été développées afin de proposer aux opérateurs industriels une gestion de comptes utilisateurs en environnement OT, tout en assurant traçabilité des actions opérateurs via l’enregistrement de vidéos chapitrées et le log des évènements.

Enfin, la sécurité du réseau doit être complétée par un système de détection des intrusions (IDS) qui surveille le trafic réseau de façon passive et émet une alarme s'il détecte des clients non reconnus ou un trafic anormal. Ce système, composé de sondes et d’un logiciel central de visualisation et d’analyse de données, analyse les communications réseau, fournit des informations significatives sur les composants et détecte les anomalies afin d’émettre des alertes en temps réel concernant l’ensemble des menaces à la disponibilité et à l’intégrité du système.