Il y a quelques semaines, le groupe de rançongiciel, LockBit, a affirmé avoir volé plus de 3.000 plans à SpaceX après avoir piraté l'un de ses fournisseurs, menaçant de les vendre à un concurrent si Elon Musk refusait de payer rapidement une rançon. Un exemple montrant que la hausse des cyberattaques n'épargne pas le secteur industriel, et ce d'autant plus que celui-ci s'est largement connecté à la toile au fil des dernières années, sans toujours accroître suffisamment sa cyberprotection.

Connectivité = vulnérabilité

Longtemps, la problématique de la cybersécurité ne s'est pas vraiment posée dans ce secteur. « Historiquement, l'industrie fonctionnait sur des systèmes informatiques entièrement isolés : ceux-ci n'étaient pas sécurisés, mais ça ne posait aucun problème, puisqu'ils n'étaient pas connectés au monde extérieur et que personne ne pouvait y toucher, à part les individus autorisés à se rendre à l'endroit où l'équipement se trouvait physiquement, raconte Laurent Mahieux, responsable de la ligne de service cybersécurité industrielle chez Capgemini, lors d'un débat consacré à la cybersécurité dans l'industrie organisé par le Club de la Presse Informatique B2B, un club professionnel de journalistes suivant l'actualité informatique d'entreprise.

Mais cette époque est, aujourd'hui, bel et bien révolue. « Les usines se sont ensuite équipées en capteurs et objets connectés, ont commencé à collecter et traiter les données pour piloter la production, mais la cybersécurité a été quelque peu oubliée en cours de route. Le résultat est que, selon les industries, on a entre dix et quinze ans de retard par rapport aux bonnes pratiques appliquées actuellement dans le monde de l'informatique traditionnelle. »

C'est d'autant plus alarmant que la tendance vers une plus grande connectivité de la sphère industrielle n'est pas près de s'enrailler, bien au contraire. Avec l'avènement de la 5G et de l'industrie 4.0, qui va ouvrir l'ère du réseau en tant que service et permettre de gérer l'ingénierie industrielle via l'informatique en nuage, les points de connectivité, et donc de vulnérabilité, vont encore s'accroître.

Lire aussiRéinventer l'industrie de demain en misant massivement sur les innovations digitales

« De l'internet des objets à l'intelligence artificielle, en passant par les réseaux mobiles et le jumeau numérique, les entreprises se numérisent jusqu'au niveau de la chaîne de production. Avec, en outre, une dispersion géographique de toutes ces entités à gérer, à contrôler et à sécuriser qui rend les choses encore plus complexes », affirme Dimitri Catanese, Practice Lead Manufacturing chez Dell Technologies, lors du même événement. « Prenons l'exemple de GRDF, qui veut passer à 100% de gaz vert d'ici 2050. Aujourd'hui, ils ont déjà 500 sites de mécanisation connectés au réseau et veulent passer à 7.500 d'ici 2050, ce qui va se traduire par une prolifération des cibles potentielles et donc par une nécessité de gérer ce risque de sécurité accru. »

Les contraintes liées à la cybersécurité dans l'industrie

Cependant, les spécificités de l'industrie font qu'on ne peut se contenter de répliquer les méthodes de cybersécurité qui ont déjà été testées et approuvées dans d'autres sphères de l'économie. D'abord, les cycles de vie des machines connectées industrielles sont beaucoup plus longs : là où un ordinateur professionnel se change tous les trois à cinq ans, les équipements industriels ont une durée de vie qui s'étend sur entre quinze et trente ans, ce qui impose souvent de travailler sur des systèmes d'information très anciens, selon Laurent Mahieux.

« On ne peut pas débarquer dans une industrie, quelle qu'elle soit, et dire qu'on va tout changer et mettre à jour, tout simplement parce que les systèmes qui pilotent les machines ne peuvent pas être changés, qu'il s'agisse de machines-outils, d'un système de signalisation pour une ligne de métro ou d'un dispositif embarqué dans un avion. »

Lire aussiIndustrie 4.0 : la guerre en Ukraine crée un nouveau paradigme pour les chaînes de valeur

En outre, dans l'industrie, la priorité absolue consiste à s'assurer que la production ne soit pas interrompue, et, dans l'éventualité où elle le soit, qu'elle puisse repartir aussi rapidement que possible. « En informatique, il arrive régulièrement qu'une mise à jour logiciel vienne causer un problème qui sera corrigé quelques jours plus tard. Imaginez qu'on vous annonce que votre ligne de métro ne pourra pas rouler pendant quatre ou cinq jours à cause d'un problème causé par le dernier patch... »

Pour cette raison, il faut également se garder de mettre en place des mesures qui, en voulant renforcer la sécurité de l'environnement, risquent d'empêcher les ouvriers de travailler, sans quoi celles-ci ne seront tout simplement pas appliquées par le personnel. Ainsi, la majorité des cyberattaques ayant pour origine une usurpation d'identité, chercher à authentifier davantage qui a accès à quoi dans une usine semble une bonne idée. Mais celle-ci peut rapidement tourner au calvaire pour les techniciens présents sur site.

« Si vous dites à un ouvrier qu'il doit se connecter chaque fois qu'il arrive à son poste via un panneau de contrôle, que s'il s'en éloigne pendant plus de deux minutes ça va se reverrouiller, comme un PC, sachant qu'il doit porter des gants de sécurité qu'il sera contraint d'enlever à chaque fois pour s'identifier, vous allez transformer sa vie en cauchemar. Même chose si vous voulez faire de la reconnaissance faciale alors que l'ouvrier doit porter en permanence un masque de protection », illustre Laurent Mahieux.

C'est pourquoi, selon Jean-Baptiste Grandvallet, Ingénieur Système chez Cohesity, entreprise spécialisée dans la sécurité des données cloud, toute la difficulté consiste à trouver un compromis délicat entre sécurité et disponibilité : « Il faut parvenir à quelque chose qui offre une bonne protection des données industrielles tout en apportant de nouveaux mécanismes de valorisation de la donnée au client, et en garantissant la continuité de la production. »

Lire aussiL'industrie 4.0 peut favoriser une relocalisation de la production en France

Tout ceci est encore complexifié par le fait que l'approche universelle fonctionne rarement dans l'industrie, et que chaque action peut avoir des effets disruptifs aux conséquences réelles, interrompant la production, voire provoquant un accident. « À la différence de l'IT, où l'on peut automatiser les différentes tâches de sécurité, de détection et de protection, dans l'industrie, il faut tenir compte des spécificités de chaque ligne d'opération, de l'impact que chaque action va avoir... C'est donc très compliqué, il n'y a pas de solution magique pour tout sécuriser, c'est un travail au long cours », note Dimitri Catanese.

Quelles bonnes pratiques pour l'industrie ?

Cela ne signifie pas pour autant que l'industrie ne puisse pas s'inspirer de l'informatique traditionnelle, bien au contraire. La logique Zero Trust, qui gagne depuis plusieurs années du terrain dans le domaine de la cybersécurité, est ainsi aujourd'hui progressivement adoptée dans l'industrie, en tenant compte des spécificités et des contraintes de ce secteur.

« Un cas typique est celui de la maintenance. Historiquement, le mainteneur arrivait, passait par l'accueil, ensuite on le lâchait dans l'usine où il avait accès à tout, et après son départ personne ne savait ce qu'il avait fait ni ce qu'il avait changé. Désormais, on s'assure qu'il n'ait accès qu'à ce qu'il est censé maintenir, et on enregistre toutes ses actions de sorte que, s'il s'avère ensuite qu'il y a eu une opération malveillante, on puisse remonter à la source », explique Laurent Mahieux.

D'autres bonnes pratiques, comme le chiffrement, sont également progressivement importées depuis l'informatique traditionnelle vers l'informatique industrielle. « Face à la multiplication des capteurs qui échangent en permanence des données, la mise en place de techniques comme le chiffrement, l'immutabilité, la gestion des identités et la sauvegarde des applications deviennent nécessaires. On met ainsi en place, étape par étape, un écosystème qui permet de combiner automatisation et sécurité », résume Jean-Baptiste Grandvallet.

Avec, à la clef, une meilleure visibilité sur la totalité des flux de données au sein d'une usine et les possibilités de les exploiter, selon Yoann Castillo, Technical Sales Manager chez Veeam France, une plateforme de protection des données.

« Ce que peut à mon sens apporter le monde de l'IT à l'industrie c'est toute l'expérience que nous avons non seulement en matière de cybersécurité, mais aussi de visibilité des données. Nous disposons depuis quelque temps déjà de systèmes offrant une visibilité complète pour voir où se trouvent telles données, ce qui se passe si on les déplace ici ou si on les fait dialoguer avec celles-là... Dans le monde industriel, c'est encore compliqué aujourd'hui, mais c'est un savoir que nous pouvons aider à développer. »

Enfin, une responsabilité accrue des éditeurs de logiciel en cas d'attaque, telle que souhaitée dans la feuille de route cybersécurité de l'administration Biden, pourrait également bénéficier aux industriels en poussant leurs prestataires de solutions de logiciels à renforcer la sécurité de celles-ci. Mais les industriels peuvent également pousser le bouchon plus loin en s'éduquant et en exigeant un certain nombre de garde-fous de la part de ces prestataires, selon Laurent Mahieux.

« À partir du moment où un industriel est sensibilisé aux risques cyber, dès lors qu'il fait l'acquisition d'un équipement, que ce soit une caméra de surveillance ou un capteur de température, il va avoir des exigences vis-à-vis des vendeurs, du type "est-ce que votre système a été bien conçu, est-ce que vous allez le vendre avec des mises à jour, et si la réponse est non, je ne vous l'achète pas". La logique de marché fera alors d'elle-même bouger les choses. »