Formation et gouvernance, au chevet des systèmes industriels toujours plus vulnérables aux cyberattaques
Doug Wylie
Doug Wylie
___
INTRODUCTION
Ce sont avec ces mots que Doug Wylie, directeur du secteur de l'industrie et de l'infrastructure au SANS Institute a fait état des résultats de l'enquête du SANS Institute sur la sécurité des systèmes industriels intitulée « Securing ICS-2017 ». Pour cette nouvelle édition, les résultats montrent que les risques touchant les systèmes industriels continuent de se développer et d'évoluer. Paradoxalement, l'étude note une nette amélioration de la protection des infrastructures. Si le niveau de risque s'explique par une forte mutation des systèmes industriels créatrice de nouvelles vulnérabilités, la formation des personnels et la gouvernance de la sécurité n'y sont pas étrangères.
Les systèmes industriels ne font malheureusement pas exception dans le tableau de chasse des menaces cyber. Ils sont eux aussi frappés par la sophistication des attaques, au premier rang desquels se trouvent les ransomwares. Contrairement à la plupart des systèmes d'information, une attaque sur un système industriel peut causer des dommages tangibles et immédiats tels que des dommages matériels, des pertes de matières premières (eau, gaz, pétrole,..), des pannes ou des comportements de machines anormaux. Dans les cas les plus graves, cela peut aller jusqu'à de la destruction d'équipements, pire encore causer la mort des opérationnels.
L'automatisation par ailleurs est un facteur qui tend à accroître l'ampleur des dommages. Les dégâts s'accumulent avant que la vigilance humaine n'intervienne. L'intelligence artificielle aura d'ailleurs à l'avenir peut-être cette fonction de détecter les comportements anormaux d'ICS...
Le dernier enseignement à ce sujet tient à ce que la hausse des risques n'est pas tant liée au fait que les industries soient plus ciblées que les autres, mais qu'elles sont surtout plus perméables aux attaques que les autres.
A l'époque où la plupart des grands systèmes industriels de transport, du nucléaire, de la production d'eau potable ou encore du pétrole et de l'électricité ont été conçus, l'Internet n'existait tout simplement pas. Ces systèmes tournaient parfaitement isolés. C'était sans compter la frénésie de la vie moderne. Les ICS qui relient des ordinateurs à des composants matériels pour surveiller et contrôler les opérations industrielles (par exemple : l'ouverture et la fermeture de vannes) sont désormais de plus en plus connectés.
La surveillance et la commande à distance des processus industriels offre sans aucun doute une nouvelle surface d'attaque.
Cette transition de convergence entre les technologies opérationnelles et les technologies de l'information (OT et IT) gomme les distances géographiques, permet un travail en temps réel et donc de la réactivité, des télémesures pour ajuster et permettre une efficience du système, en somme une agilité inégalée. Cependant, les ingénieurs, les techniciens, les administrateurs et les opérateurs des systèmes de commande n'ont, la plupart du temps, pas été accompagnés pour acquérir les nouvelles connaissances nécessaires à cette intégration des technologies de l'information, a fortiori celles de leur gestion et de leur sécurité.
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
Pourtant l'Internet des objets industriels, en plein essor dans les industries 4.0, consiste à mettre en réseau des équipements non informatiques et à les faire communiquer pour qu'ils échangent des données via Internet. Cela en fait donc des objets piratables, cassant des cloisonnements jusqu'alors étanches entre les différents sous-systèmes et donc de grandes portes ouvertes sur l'ensemble du système. Cette nouvelle distribution entre l'opérationnel et l'information devrait être synonyme d'implémentation de règles de base de sécurité, de tests et d'audits. Cela nécessite donc d'abord des connaissances et une formation à la sécurité physique et logique des personnels internes.
Malgré la large couverture médiatique des derniers ransomwares, les résultats du SANS nous apprennent que seulement 46% des répondants appliquent régulièrement des correctifs de sécurité. C'est assez révélateur pour des industries où - comme vu plus haut - la culture de la sécurité numérique est quelque peu défaillante. Les personnels en charge des technologies opérationnelles sont néanmoins particulièrement sensibles à l'impératif de haute disponibilité des opérations industrielles, ce qui en fait ainsi des profils ouverts à la gestion du risque. Pourquoi ne maîtrisent-ils donc pas encore les risques d'ordre numérique ?
S'il est incontestable que les industries ont accru leur niveau, elles se sont souvent cantonnées à un angle essentiellement technologique. Si les activités d'ordre bureautiques ont acquis quelques bonnes pratiques en matière de sécurité de l'information, il faut bien reconnaître aussi que, a contrario, dans les activités industrielles, les profils dédiés se font plutôt rares. Un large panel d'industries n'a pas non plus nommé de RSSI industriel (RSSI, pour "responsable de la sécurité des systèmes d'information", Ndlr).
La convergence entre technologies opérationnelles (OT) et de l'information (IT), passage quasi obligé pour une industrie 4.0 qui doit - elle aussi - prendre son virage numérique, est en cours. Elle est en train d'éclore à travers de grands projets stratégiques d'ampleur et c'est une nouvelle dimension que l'industrie doit intégrer dans toutes ses constituantes, tant techniques qu'organisationnelles. Or, il faut bien reconnaître que le technique a pris le pas sur l'organisationnel et l'humain. Cela ne va pas encore forcément de soi malgré la rapidité et l'amoncellement des risques chaque fois qu'une idée est testée.
Un autre problème vient de la perception des projets de sécurité, vu comme des projets d'ampleur concurrents plus que complémentaires, comme ils devraient l'être. Ne pas paralléliser de grandes innovations avec une préoccupation sécuritaire dès leur conception et leur développement et ce, pendant tout le cycle de vie du projet, c'est assurément prendre le risque de lourds chantiers de mise à niveau ultérieurs particulièrement coûteux voire pire d'un incident majeur.
Investir au plus tôt dans la formation des personnels, c'est donc prendre le parti d'analyser et de gérer les risques au plus tôt, d'arrêter les procédures en cas d'attaques, de roder les équipes à travailler de concert.
Encore faut-il que les dirigeants prennent conscience des retours sur investissement que ces formations peuvent apporter. Il y a déjà fort à parier que la pression réglementaire va se poursuivre pour pousser tout le tissu économique à veiller à sa sécurité numérique. Mieux vaut donc être prêt, et en faire un avantage concurrentiel.
___
LIRE AUSSI : le rapport complet intitulé Securing Industrial Control Systems-2017 du SANS Institute
ou en suivant ce lien :
https://www.sans.org/reading-room/whitepapers/analyst/securing-industrial-control-systems-2017-37860
Doug Wylie