Transformation in die Cloud - welche Cloud darf es sein?
Sécurité Industrielle

Menace virtuelle, un danger bien réel

27 mars 2018

Une productivité accrue, des risques qui le sont aussi. Voyons comment les pirates abordent les sites industriels connectés.
Le danger réel posé par les menaces virtuelles est plus important que jamais.
Un simple courrier électronique suffit. D’apparence innocente, il est bientôt lu par un employé. C’est alors qu’il ouvre le cheval de Troie, infestant le réseau de l’entreprise de nombreux virus grâce à la technique de l’hameçonnage. Les virus se démultiplient alors tant au niveau des bureaux que dans les sites de production, causant des dommages graves tels que des pannes de production et vols de savoir-faire.
Les hackers exploitent délibérément les points faibles de la sécurité informatique. Ce fut le cas du rançongiciel Wannacry début mai 2017 ou du logiciel maître chanteur Petya fin juin. Tous deux savaient accéder à des systèmes tiers via une interface Windows non sécurisée, s’implantaient eux-mêmes sur les lecteurs de disques durs, encodaient les fichiers et réclamaient des rançons, causant grand tort aux services administratifs des entreprises concernées.  C’est ainsi que les lignes de production de Renault à Douai furent immobilisées, que des capteurs de mesure tombèrent en panne à Tchernobyl, que la société de frêt Maersk eut à éteindre des systèmes partout dans le monde et que dans toute l’Europe, des entreprises durent cesser leur production. En effet, là où jadis existait une Air Gap séparant les bureaux des halls de production, nous avons maintenant des réseaux d’entreprises et des structures informatiques qui font la connexion entre les deux domaines. Si une usine connectée produit plus vite, mieux et moins cher, elle est aussi plus vulnérable aux attaques informatiques.
Les réseaux industriels, contrairement aux réseaux informatiques, logent des systèmes obsolètes ne pouvant être facilement remplacés et des logiciels ne pouvant être actualisés.

65 milliards d’euros de dommages causés

Les pirates exploitent de plus en plus ces vulnérabilités, au grand dam des entreprises. Selon une étude publiée en 2016 par le Centre for Economics and Business Research (Cebr) de Londres, les attaques informatiques ont coûté à l’économie allemande quelque 65,2 milliards d’euros en cinq ans. L’industrie manufacturière a été la plus touchée. Mais la production connectée, contrôlée par l’informatique, apporte aussi des avantages économiques ; ce qu’il convient de ne pas oublier. Selon des estimations de l’association BITKOM, qui représente le secteur de l’informatique, l’industrie 4.0 devrait faire croître la productivité allemande d’environ 78 milliards d’euros d’ici 2025.
Mais ce contexte représente aussi un paradis pour les hackers, ces pirates de l’informatique qui repèrent les points faibles pour mieux préparer l’abordage. Qu’il s’agisse d’une adresse IP ou d’un port ouvert, les cybercriminels attaquent leurs cibles à tout endroit pouvant s’avérer approprié. Les lignes de production plus anciennes et les systèmes « non patchables » sont souvent condamnés par de simples « infections en provenance du réseau IP ».

Les menaces virtuelles, un danger bien réel

Ceci a été démontré par une expérience menée par la société Koramis, experte en sécurité industrielle. Le PME, basée à Sarrebruck, a fait exister sur Internet une entreprise de transport locale et parfaitement fictive, ajoutant sites internet, calendriers, transactions en temps réel, pare-feu virtuels, caméras de surveillance, serveurs, ainsi que tout un réseau de voies de chemin de fer avec aiguillages, signaux et carrefours. Cette simulation en cloud était si réaliste que de nombreux pirates mordirent à l’hameçon immédiatement, prenant d’assaut la société et son infrastructure virtuelle. Le système de veille montra à la fin de l’expérience qu’une bonne partie des hackers (39%) avaient  tenté d’accaparer les systèmes de contrôle sensibles.
« Presqu'un tiers des sites de production de la société ont déjà été stoppés du fait d’un défaut de sécurité industrielle. Ils sont 63% à penser que le nombre d’incidents de ce type est appelé à augmenter » - rappelle Steffen Zimmermann (expert en sécurité de la VDMA, association industrielle allemande du génie mécanique), citant une étude de la VDMA menée en 2013 et consacrée aux menaces pesant sur les sites de production. « Eu égard à la dynamique de numérisation des entreprises et des modèles commerciaux, nous considérons que la situation n’a pu que s’aggraver. »

Des systèmes opérationnels obsolètes, des applications individuelles

Steffen Zimmermann
Steffen Zimmermann, Directeur de la sécurité industrielle du centre de compétences chez VDMA (principale organisation représentant le génie mécanique en Europe)
Où les problèmes se situent-ils exactement ? Dans l’infrastructure, entre autres. De nombreuses entreprises utilisent des applications fonctionnant sur des systèmes opérationnels obsolètes. « En installant alors une actualisation, vous risquez de ne plus être en mesure d’exploiter votre logiciel individualisé » - ajoute Zimmermann. Et une fois que les installations industrielles sont prêtes et lancées, elles travaillent souvent cinq ans ou plus sans arrêt. On ne prévoit même pas de pauses visant à actualiser les logiciels, par souci d’économie.
Une erreur de calcul pouvant confiner à la naïveté. Lorsqu’une usine est subitement mise à l’arrêt suite à une attaque de pirates, les dommages causés sont en général de loin supérieurs à ceux entraînés par une brève interruption de la production ou par une actualisation de logiciel. Afin d’évaluer au cas par cas le risque et les exigences en matière de protection, la VDMA a mis en ligne un test ainsi que les guidelines on Industry 4.0 security incluant une checklist, ce qui pourrait constituer un premier pas vers la sécurité industrielle, vers une production plus sûre. Les spécialistes de la sécurité informatique peuvent aussi générer des rapports de vulnérabilité sur la circulation de données concernant les clients et définir des mesures de protection efficaces.
Ce qui est sûr est que les départements de production, en matière d’informatique, n’observent souvent pas les mêmes mesures de protection que les services administratifs ; c’est notamment le cas pour les antivirus. Paradoxalement,  les ordinateurs utilisés dans les bureaux ne servent en général que quelques années alors que ceux des systèmes de production sont censés fonctionner sans coup 20, 25 ans ou même plus. « L’industrie va devoir prendre quelques précautions pour s’assurer que les systèmes fassent de même » - conclut Zimmermann, de  VDMA.