Selon le rapport Cyber Threat de SonicWall, il y a eu 13,5 millions d’attaques IoT au premier semestre 2019, soit une augmentation de 55% par rapport au premier semestre de l’année précédente. Pour les entreprises manufacturières, cela signifie qu’elles doivent introduire de nouvelles stratégies de sécurité pour leurs machines en réseau. À défaut de quoi elles s’exposeraient au risque que les pirates informatiques interfèrent avec les processus de production ou dérobent des données sensibles pour l’entreprise.
Les entreprises optimisent leurs processus de développement, de production et de logistique en fonction des données opérationnelles et d’état. Cela signifie que les systèmes de contrôle industriels perdent leur ancienne situation isolée, les machines de production étant en réseau. Les installations envoient des données machine aux systèmes de contrôle et, dans certains cas, communiquent même avec des appareils sur d’autres sites via Internet. Pour les travaux de maintenance, les collaborateurs des services spécialisés accèdent à distance aux machines car le personnel spécialisé n’est pas sur place, les entreprises peuvent ainsi réduire les coûts. Les entreprises peuvent donc augmenter leur productivité – mais : là où auparavant par exemple, les univers de production et de bureau d’une entreprise étaient séparés, on trouve aujourd’hui des connexions « informatiques ». Cela peut constituer une porte d’entrée pour les pirates informatiques.
Par exemple, une attaque commence par un e-mail préparé. Si un collaborateur est négligent ou que l’e-mail est bien conçu, un code malveillant pénètre dans l’informatique de l’entreprise via une pièce jointe ou un lien contenu dans l’e-mail. Le programme du pirate trouve ensuite son chemin du bureau vers les systèmes de contrôle et de surveillance dans l’atelier de fabrication. Dans le pire des cas, les criminels y prennent le contrôle, sabotent l’installation ou se livrent à de l’espionnage.
Les assaillants peuvent dérober le savoir-faire confidentiel d’une entreprise, couper l’alimentation d’un système ou bloquer des fonctions dont l’entreprise ne pourra récupérer le contrôle qu’après versement d’une rançon. Le ver informatique NotPetya, par exemple, avait entraîné l’interruption de lignes de production chez Renault en France, ou encore, empêché la compagnie maritime Maersk de charger les conteneurs, mais aussi détérioré des capteurs des ruines du réacteur de Tchernobyl.
L’ouverture des réseaux de production vers le monde extérieur comporte donc des risques qui n’existaient pas dans les réseaux fermés du passé. Ainsi, la menace d’intrusion dans les réseaux industriels via l’accès à distance figure actuellement sur la liste des 10 principales menaces de l’Office fédéral de la sécurité des technologies de l’information (BSI), en quatrième position. La mise en œuvre sécurisée de l’accès à distance et du contrôle d’accès ont donc une priorité élevée lorsque les entreprises souhaitent sécuriser leurs réseaux internes et leurs systèmes de contrôle.
Les machines et usines en réseau constituent une cible intéressante pour les cybercriminels. Le syndicat allemand des professionnels de l’informatique (Bitkom) évalue les dommages économiques subis par le secteur industriel allemand suites à des piratages informatiques à 43,4 milliards d’euros sur la période 2016-2018, et attribue notamment ces dommages au nombre croissant de systèmes informatiques dans l’environnement productif, les technologies opérationnelles (OT). En environnement industriel, une attaque informatique ou une infection involontaire de l’informatique de contrôle d’une installation, d’une voiture connectée ou d’un système de contrôle du trafic peut affecter les données, voire dans des cas extrêmes mettre la vie en danger. Le problème de nombreuses entreprises au cours de cette évolution : la vision incomplète des systèmes informatiques, applications et données qui y sont traitées dans leur environnement de production.
Cependant, les entreprises manufacturières sont confrontées au problème du bon fonctionnement de leurs machines. Les processus de production sont étroitement coordonnés et cadencés. Tout retard de processus affecte directement l’efficacité. Les industriels craignent donc que les solutions de sécurité informatique dans le domaine de la supervision (ICS) ne perturbent les processus de production, par exemple en raison des pare-feux bloquants ou de mises à jour logicielles inopinées. Cette préoccupation est justifiée car les fournisseurs de sécurité doivent adapter leurs concepts de protection conventionnels en sécurité informatique, pour une utilisation dans le domaine OT (Operations Technology). Ils peuvent ainsi développer des pare-feux spéciaux qui sont adaptés aux protocoles industriels. ICS Security se concentre également sur la détection rapide et continue des vulnérabilités, des infections ou des attaques. Ainsi, les entreprises peuvent prendre des contre-mesures ciblées en temps opportun, ou réagir rapidement et efficacement en cas d’urgence afin de rétablir la production.
Il est essentiel de garantir la continuité des activités et la sécurité informatique, à l’échelle de la nanoseconde. Un arrêt des lignes de production dans les secteurs de l’automobile, de l’ingénierie mécanique, de la logistique et surtout des infrastructures critiques, coûte des milliards par minute, entraînant également un impact client considérable sur la réputation.
Les experts de Telekom Security garantissent la sécurité des environnements de production, c’est-à-dire pour une Operational Technology (OT) sécurisée. Ils renforcent les systèmes et les protègent contre les ransomwares, les sabotages industriels et autres cyberattaques. Ils assistent les responsables de production et les responsables OT dans leur recherche d’appareils dynamiques et mobiles jusque-là inconnus et assurent la haute disponibilité des applications et des appareils. Telekom Security propose aux entreprises deux services de conseil différents, l’OT Security Check selon ISO 27001 et l’OT Security Check selon ISA/IEC 62443, ainsi que des analyses de vulnérabilité et des tests d’intrusion.
Les experts en sécurité de Telekom ont développé des solutions de sécurité pour ICS en collaboration avec des partenaires spécialisés. Ils sont constitués de modules qui scindent intelligemment le réseau de l’entreprise en différentes zones afin d’éviter tout flux de données inutiles et incontrôlés, par exemple entre le bureau et l’atelier. Pour vérifier en permanence l’éventuelle présence de failles dans l’installation et identifier des modèles d’attaque inconnus, on utilise des solutions reposant sur l’intelligence artificielle, le machine learning, pour détecter des anomalies dans le comportement des composants du système. Cela se fait avec un logiciel apprenant qui ne nécessite ni règle, ni signatures. Il enregistre et modélise tout d’abord tous les processus normaux afin de signaler ensuite de manière fiable toute variation dans ces processus. Si de tels écarts par rapport à la norme ou une vulnérabilité du système sont enregistrés, le système fournit des informations en temps réel et affiche des informations détaillées dans une console de contrôle synoptique. Les experts peuvent ensuite évaluer le processus et prendre les contre-mesures qui s’imposent.
ITTP détecte les anomalies de comportement d’une installation industrielle en apprenant des commandes standard et le comportement conforme et régulier au sein de cette installation. L’ITPP détecte ensuite les écarts par rapport à ce standard. Si la solution enregistre un point faible du système, elle génère une information en temps réel et affiche des informations détaillées sur un pupitre de commande clair. Les experts peuvent ensuite évaluer le processus et prendre les contre-mesures qui s’imposent.
INPP est un pare-feu pour réseaux industriels. Il est principalement destiné à empêcher tout accès non autorisé au réseau et tout flux de données non contrôlé. Un réseau peut être divisé en zones sécurisées afin que l’INPP puisse surveiller et contrôler les flux de données entre les différentes zones. Cela empêche tout accès non autorisé aux systèmes de contrôle. INPP peut également mettre en œuvre des directives de sécurité gérées de manière centralisée, tous sites et fabricants confondus. Des passerelles de sécurité peuvent également être utilisées comme capteurs pour la détection des attaques et la protection d’accès pour la maintenance à distance.
IAAP sécurise l’accès distant aux machines, par exemple pour la maintenance à distance. Le technicien de la société de services se connecte à un « serveur Rendez-vous » via une connexion cryptée. À cela s’ajoute une procédure d’authentification à 2 facteurs en guise de sécurité supplémentaire. Un collaborateur du client établit également une connexion avec le serveur Rendez-vous. Il valide la connexion du technicien pour une durée définie via un boîtier de service ou le portail de management. Les travaux sur les systèmes peuvent être surveillés et enregistrés en direct.
Pour être parés pour l’avenir, les entreprises doivent s’appuyer sur les quatre piliers suivants : Connectivité, Cloud & Infrastructure IT, Sécurité et Transformation Digitale. L’industrie 4.0 et les usines intelligentes requièrent une protection particulière contre les attaques de pirates.