Enquête cybersécurité : Une bonne protection pour assurer la production

Le 01 août 2017 par Par Dinhill On
* Mots clés : 

©CIS Valley

Ces dernières années, la sécurité numérique est devenue une problématique émergente sous l'impulsion de l'industrie du futur. Une tendance également observée dans l'industrie chimique qui cherche de plus en plus à sécuriser ses installations de production.

Si peu de personnes savaient ce qu'était un rançongiciel (« ransomware ») il y a quelque temps, les cyberattaques mondiales WannaCry et NotPetya du 12 mai et du 27 juin 2017 ont permis de se familiariser avec ces logiciels malveillants. Avec l'influence croissante de l'usine du futur, il est légitime de s'interroger des éventuelles conséquences d'attaques numériques sur des industries « sensibles » comme la chimie.

« L'avènement du numérique dans l'industrie a pour conséquence d'accroître le nombre de vulnérabilités et de failles, et il est indispensable de s'en préoccuper », indique Jean-Christophe Mathieu, Products et Solutions Security Officer chez Siemens, fournisseur notamment d'automates et d'instrumentation pour l'industrie. Dans ce sens, en juin dernier, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a fait part de son intention d'allouer des moyens supplémentaires notamment pour répondre aux besoins de cybersécurité des industries. « Quand on parle de cybersécurité, il y a deux axes à considérer : d'une part, la protection contre l'espionnage de données confidentielles, et d'autre part, la disponibilité et l'intégrité des données. Dans le domaine industriel, le deuxième volet est prédominant car il permet de garantir la continuité de production », explique Jérôme Poncharal, architecte Logiciel et Automates chez Rockwell Automation. La protection de la disponibilité de l'installation est d'autant plus primordiale dans une industrie de procédés comme la chimie qu'elle peut avoir un impact bien au-delà du périmètre de l'usine. « Depuis quelques années, la cybercriminalité a évolué et les « hackers » ne se contentent plus de collecter des données et de les publier, ou de ralentir ou bloquer la production pour faire perdre du chiffre d'affaires. Ils essayent de rançonner voire de déclencher des conséquences beaucoup plus malveillantes, jusqu'à éventuellement créer des incidents industriels », explique Hervé Bodinier, directeur général d'Hima France, spécialisé dans les automates de sécurité.

 

Une approche globale à adopter

 

Pour se prémunir des cyberattaques, les fournisseurs de solutions recommandent d'adopter une démarche d'ensemble, alliant technologie et gestion de l'organisation humaine. Du côté de la technique, quelques règles de base. Tout d'abord, bien évaluer le niveau de sécurité nécessaire au système. « Cela doit se faire avant même de concevoir les systèmes de contrôle commande d'une ligne de production. Cette évaluation va identifier les sources potentielles de risques pour mettre en place les contre-mesures nécessaires ou la protection technologique », développe Jérôme Poncharal (Rockwell Automation). Avant d'ajouter : « Si l'analyse de risques se fait sur une usine en cours de construction, cela est relativement aisé. Par contre, cela devient beaucoup plus complexe, s'il s'agit de mettre aux normes la protection numérique d'une base installée ». La sécurité des installations passe également par une ségrégation de réseaux, comme l'explique Hervé Bodinier (Hima France) : « Pour une meilleure sécurité fonctionnelle, il est essentiel de séparer le réseau de contrôle-commande d'un procédé de celui de la sécurité. Le risque de diffusion d'une menace cyber est plus important sur des réseaux intégrés ». Une séparation des réseaux que certains industriels de la chimie ont déjà mise en place, comme l'évoque Jérôme Poncharal (Rockwell Automation) : « Sans citer de nom, certains de nos clients dans le secteur de la chimie fine ont déconnecté les systèmes de contrôle et de sécurité en production (OT) de l'infrastructure informatique d'entreprise (IT) ».

Outre la ségrégation des réseaux, la cybersécurité industrielle passe par la mise en place d'une défense profonde. « La défense en profondeur (ou multicouche), au coeur de la stratégie de cyber sécurité de Rockwell Automation, permet de mitiger l'impact des attaques en opposant des contre-mesures multiples aux différents niveaux de l'architecture des systèmes de contrôle (via le durcissement des dispositifs, la segmentation des réseaux, l'administration des utilisateurs, les systèmes de détection et d'alerte, etc.) », développe Jérôme Poncharal (Rockwell Automation). Le groupe américain intègre sur l'ensemble de ses automates une architecture multicouche, des dispositifs de gestion de l'utilisateur (authentification, autorisation, etc.), des systèmes de cryptage ou encore des signatures électroniques de « firmware ». « Nous proposons également à nos clients des prestations de surveillance à distance du trafic sur le réseau », complète Jérôme Poncharal (Rockwell Automation). Du côté de chez Siemens, la stratégie de défense en profondeur est axée selon trois principaux volets, comme le détaille Jean-Christophe Mathieu : « Siemens offre des mécanismes de sécurité complets englobant sécurité physique (contrôle d'accès aux équipements, vidéosurveillance), sécurité des réseaux (notamment au niveau des interconnexions) et intégrité des logiciels et des systèmes ». Quant à la société Hima France, la sécurité fonctionnelle intègre la cybersécurité et passe également par une démarche de diversification et de ségrégation. « Plus le réseau comprend d'intermédiaires de technologies différentes, incluant « switch » et « firewall », plus la tâche est difficile pour le cybercriminel. L'un de nos conseils est d'opter pour des solutions de sécurité de marques et technologies diversifiées par rapport aux systèmes de contrôle. De plus, nous recommandons de ségréger et d'isoler les outils de développement et de maintenance, ainsi que d'effectuer une mise à jour régulière des formations et des procédures opérationnelles et de maintenance », explique Bruno Carpentier, responsable technique d'Hima France.

 

De nouvelles problématiques avec l'Internet des objets

 

Avec l'émergence de la tendance de l'usine du futur, les équipements et instruments industriels possèdent de plus en plus de fonctionnalités sans fil. Mais ces technologies sans fil peuvent être source de forte vulnérabilité en matière de cybersécurité. « Pour sécuriser un réseau sans fil, il est important de dimensionner sa fréquence afin de définir le périmètre à sécuriser. De plus, l'utilisateur peut adopter une clé d'accès privé ou un système de cryptage des échanges », explique Mathieu le Treut, directeur commercial de CIS Valley, spécialiste de services numériques comme la gestion de données « Cloud », l'intégration d'infrastructures ou l'édition de progiciels. La vulnérabilité potentielle des technologies sans fil doit faire partie intégrante de la réflexion de l'industriel, lorsqu'il équipe son usine. « Le client doit définir le besoin réel - par exemple - d'un capteur sans fil, lors de son analyse de risque. Si son choix est arrêté sur une solution de la sorte, il doit prévoir d'ajouter un protocole ou une solution de sécurité supplémentaire », comme le détaille Jean-Christophe Mathieu (Siemens). Autre volet comportant des risques de sécurité numérique : les accès à distance. À ce propos, les fournisseurs sont très actifs pour développer des outils d'authentification « forte », comme le précise Kévin Sahki, responsable Business Development Cloud et infogérance chez CIS Valley : « De nombreux projets émergent pour développer de nouveaux outils d'authentification. Ils ne permettent l'accès à un système qu'à condition d'avoir une personne physique, à l'instar de la technologie de « token » ou de confirmation d'opération par envoi de SMS ».

Si la technologie est importante dans la sécurité numérique, le facteur humain reste prépondérant. « La cybersécurité, c'est 70 % d'organisation (procédures et bonne pratiques) et 30 % de produits technologiques », estime Jean-Christophe Mathieu (Siemens). Un constat partagé par Jérôme Poncharal (Rockwell Automation) : « Dans la plupart des cas de cyberattaques, ce n'est pas la technologie qui fait défaut, mais l'utilisateur, cible privilégiée des logiciels malveillants pour pénétrer sur les réseaux d'entreprise ». Les industriels doivent donc mener régulièrement des opérations de sensibilisation aux risques et aux bonnes pratiques.

 

La chimie en pleine mutation numérique

 

Bien que l'industrie soit actuellement en pleine transformation sous l'impulsion de l'usine du futur, tous les secteurs n'en sont pas au même point d'avancement, ou n'ont pas les mêmes besoins. « La chimie est plus vigilante que d'autres secteurs comme l'industrie manufacturière, et elle n'en est qu'au début de sa mutation numérique. Elle montre un réel intérêt pour la cybersécurité, en ce qui concerne la protection numérique de ses installations », détaille Hervé Bodinier (Hima France). Un avis partagé par Jérôme Poncharal (Rockwell Automation) : « Les industriels de la chimie se sentent de plus en plus concernés par la thématique de la cybersécurité. La plupart des entreprises ont actuellement des difficultés à définir des mesures concrètes car les exigences sont très différentes entre la production et la bureautique. Cela nécessite des investissements plus conséquents ».

2016 Premiers arrêtés de protection informatique des systèmes d'information des organismes d'importance vitale (OIV) dont l'industrie 3 235 nombre d'événements de sécurité numérique signalés en 2016 à l'Agence nationale de la sécurité des systèmes d'information (Anssi) 2013 Adoption de la nouvelle loi de programmation militaire intégrant les risques de cybersécurité

SYSTÈMES D'INFORMATION« La sécurité des données sera un avantage concurrentiel »

Le chimiste belge Solvay s'intéresse de près à la sécurité des données depuis quelques années sous l'influence de l'usine du futur. Pour lui, il est important d'adopter une approche pragmatique et prudente pour garder de l'avance sur ses concurrents.

Devant l'intérêt croissant de l'industrie 4.0, le groupe Solvay travaille sur les problématiques de gestion des cyber-risques. Depuis quelques années, il a engagé un programme de cybersécurité et de prévention de pertes d'informations confidentielles, qu'il a renforcé en 2016. La nouvelle mouture de ce projet a notamment sollicité des experts indépendants pour la conduite de tests d'intrusion, et a permis la mise en oeuvre de nouveaux outils pour identifier et anticiper les tentatives de fraude. En outre, le groupe belge insiste sur la sensibilisation des collaborateurs en proposant des formations et des conseils en matière de sécurité des systèmes informatiques et de meilleures pratiques. « 90 % de la cybersécurité est liée au personnel, qui doit adopter les bons comportements en ce qui concerne le partage de données et les échanges de mails », soutient Patrice Chelim, directeur de la conformité et de la gestion du risque chez Solvay. S'assurer de la qualité et de la fiabilité des systèmes Pour l'année 2017, Solvay continuera de mener son programme de sécurité des informations d'entreprise et d'explorer d'autres moyens afin de renforcer sa posture et sa capacité à réagir en cas de menace de cyberattaque. « Dans ce cadre, nous travaillons déjà avec les fournisseurs de systèmes pour élaborer de nouveaux équipements et dispositifs. Une attention particulière est portée sur les informations échangées, car nous pensons que la sécurité des données sera un avantage concurrentiel dans les années à venir », explique Patrice Chelim. En ce qui concerne les nouvelles technologies disponibles, Solvay a une approche pragmatique. C'est le cas, par exemple, en matière de stockage de données, comme le détaille Patrice Chelim : « Aujourd'hui, nous avons d'ores et déjà de nombreuses données hébergées sur des solutions « Cloud » qui doivent faire l'objet de réponses de sécurité adaptées. Selon la nature des données concernées, il peut être préférable de privilégier des serveurs physiques. Solvay n'est pas complètement fermé aux nouvelles solutions, il faut juste y aller de façon ordonnée ».

D.O.

TRANSITION NUMÉRIQUEL'ANSSI ACCOMPAGNE LA CROISSANCE NUMÉRIQUE PAR LA SÉCURITÉ

Le 6 juin dernier, l'Agence nationale de la sécurité des systèmes d'informations (ANSSI) a rappelé sa stratégie d'accompagnement des entreprises dans leur développement numérique. Elle souhaite articuler ses actions en trois axes prioritaires. Tout d'abord, développer un environnement de confiance numérique, par le biais notamment de « la définition d'un cadre réglementaire évolutif », d'actions de sensibilisation et la mise en place d'un écosystème coopératif de confiance pour cultiver l'excellence numérique. Deuxième volet sur lequel l'ANSSI souhaite se focaliser : la garantie d'une souveraineté nationale dans le domaine du digital. Pour cela, l'agence veut mettre en place des réponses efficaces, évolutives et collaboratives pour accroître le niveau de sécurité des systèmes d'information, notamment des opérateurs d'importance vitale (OIV) comme l'industrie. Enfin, elle veut asseoir le rayonnement de la France, en promouvant le modèle français (statut interministériel et approche réglementaire de l'agence) à l'international, et favoriser la garantie d'un niveau élevé et commun de sécurité des réseaux et des systèmes d'information au sein de l'Union européenne. « Avec la directive Network and Information Security (NIS) adoptée en juillet dernier, cette voie que nous avons suivie en pionniers est d'ailleurs amenée à devenir la règle en Europe à l'horizon 2018. C'est un signal positif pour la France et pour l'ANSSI, qui confirme une nouvelle fois sa capacité à coopérer à toutes les échelles et à fédérer un écosystème en faveur du développement de la confiance dans le cyberespace », déclare Guillaume Poupard, directeur général de l'ANSSI.

D.O.


Réagir à cet article
imprimer Ajouter à vos favoris envoyer à un ami Ajouter à mes favoris Delicious Partager cet article avec mon réseau profesionnel sur Viadeo linkedin Partager cette page sous Twitter S'abonner au flux RSS de France Chimie

Effectuer une recherche

Article extrait d'Info Chimie Magazine

La seule publication professionnelle exclusivement consacrée à l'industrie chimique et à ses fournisseurs

 Contactez la rédaction
 Abonnez-vous


A suivre dans l'actualité

Stratégie
Social
Pétrochimie
Gaz industriels

Sites du groupe

Usine Nouvelle Portail de l'industrie L'Echo Touristique Argus de l'Assurance

Les cookies assurent le bon fonctionnnement de nos sites et services. En utilisant ces derniers, vous acceptez l’utilisation des cookies.

OK

En savoir plus
 Publicité  Pour nous contacter  Mentions légales  RSS