Cybersecurity For Industry : l’industrie face à l’accroissement du nombre d’incidents Cyber

Le rapport annuel TXOne Networks et Frost & Sullivan publié il y a quelques jours montre que le risque d’attaque Cyber sur les systèmes industriels est aujourd’hui bien compris de tous. 94 % des CISO et DSI interrogés ont déclaré que leurs systèmes ont été exposés à un incident cyber sur l’OT (Operational Technology / système industriel) lors de l’année 2024. 98 % ont connu des incidents informatiques affectant leurs environnements OT. Ces chiffres alimenteront les débats de l’événement CFI (Cybersecurity For Industry) qui se tiendra du 1er au 3 avril à Lille, en parallèle au InCyber Forum.

Si la menace liée aux ransomwares est en repli, les menaces étatiques, les APT et la vulnérabilité de la chaîne d’approvisionnement inquiètent les industriels. De même, des logiciels malveillants avancés tels que Fuxnet et FrostyGoop sont cités parmi les nouvelles menaces apparues en 2024 contre les systèmes OT. Loïs Samain, administrateur du Cesin et responsable de la sécurité des SI (RSSI) chez EDF Hydro, n’a pas constaté de recrudescence d’attaques chez les membres du Cesin et du laboratoire OT de l’association. Il souligne néanmoins une augmentation des incidents de sécurité directement liée à la numérisation des installations industrielles, notamment le fameux mouvement Industrie 4.0. « Jusqu’alors connecté de l’extérieur, les systèmes industriels communiquent avec l’extérieur, les échanges entre le SI industriel et le SI de gestion sont plus fréquents. Plus que des attaques sur le système industriel, ce sont souvent des attaques qui, par rebond, touchent le système industriel. Or, ces interactions entre IT et OT sont de plus en plus nécessaires pour échanger des données de production avec l’ERP, mettre en place la maintenance prédictive ou même envoyer des données dans le Cloud. » Le responsable ajoute que la crise du Covid a beaucoup accélérer ce mouvement d’ouverture des SI industriels car beaucoup ont mis en place des accès pour gérer à distance leurs installations, faute de pouvoir envoyer les techniciens sur place.

Une surface d’attaque qui s’est beaucoup élargie

Samuel Braure, Regional Cybersecurity Manager chez Schneider Electric et administrateur du Clusif explique que cette accélération de la transformation numérique par l’adoption du cloud, de l’architecture IoT, de l’IA et de l’automatisation a eu des conséquences : « Cette transformation a élargi la surface d’attaque et créé de plus grandes interdépendances entre les parties prenantes ayant un intérêt et une responsabilité dans la sécurisation des infrastructures critiques. Cela a donc un impact sur l’harmonisation de l’implémentation des contrôles de sécurité tout au long de la chaîne de valeur. » Le responsable pointe le rôle des intégrateurs de systèmes dans la sécurité des infrastructures critiques, car ceux-ci assemblent divers matériels, logiciels et protocoles de communication dans un environnement opérationnel unifié. « Ils doivent configurer les produits de manière sécurisée, en suivant les directives de déploiement sécurisé des fabricants (y compris les directives de durcissement, les configurations sécurisées, la documentation, etc.), tout en priorisant la protection immédiate des utilisateurs. » La surface d’exposition s’est considérablement élargie, mais surtout, les systèmes industriels sont souvent anciens. Les automates et systèmes de contrôles SCADA ont été installés il y a parfois plus de 10 ans, 20 ans, parfois 40 ans, et s’ils sont aujourd’hui considérés comme obsolètes du point de vue cybersécurité, il est impensable pour les industriels de tous les remplacer d’un coup. « Les systèmes industriels ont souvent été conçus avant que le risque Cyber ne soit réellement pris en compte. L’attaque de Stuxnet en 2010 a fait exploser cette vision » ajoute Loïs Samain. Les équipementiers et les fournisseurs de systèmes industriels ont réagi et proposent aujourd’hui des solutions « Secure by design », mais beaucoup reste à faire pour, d’une part, déployer ces solutions, mais aussi réduire le niveau de risque des architectures en place. 

Insuffler une culture Cyber aux équipes industrielles

La convergence entre la sécurité des systèmes de gestion et la sécurité OT est très souvent évoquée par les professionnels du secteur, mais elle reste encore rarement mise en œuvre. Bien peu d’industriels ont un SOC (Security Operations Center) commun pour surveiller leurs installations IT et OT et cette convergence reste encore à construire. « Des composants « typés » IT comme les postes de travail, les serveurs, le stockage, la virtualisation et maintenant le Cloud sont en place dans les systèmes industriels depuis plus de 20 ans » explique Sabri Khemissa, qui nuance son propos : « Technologiquement parlant, la convergence est une réalité depuis longtemps… Par contre, d’un point de vue organisationnel, la convergence et les synergies n’existent pas. Les équipes sur site et les intégrateurs voient cet « IT for OT » comme un consommable, sans réflexion sur les bonnes pratiques d’architecture et de gestion des risques cyber. Ce fossé entre l’IT et l’OT doit disparaître. » 

Pierre-EmmanuelVincent, directeur d’IndustriOT, ajoute : « de manière contre-intuitive, le talon d’Achille mais aussi la force de ces infrastructures résident dans les hommes qui les opèrent. En effet, tous ces systèmes embarquant moult protections, sont clairement inefficaces, voire même potentiellement nuisibles à la sécurité s’ils ne sont pas correctement opérés et configurés. » L’expert pointe le manque d’études d’ingénierie OT et beaucoup de systèmes OT dont la sécurité n’est pas réellement maîtrisée. « Aujourd’hui, le personnel OT qui est capable d’opérer des systèmes informatiques extrêmement complexes, tout en gardant une approche métier méthodique et industrielle est rare. Il n’y a pas de « plug and play » ou de solution miracle sur les couches réseau industrielles. »

Si le constat est sévère, le niveau de maturité Cyber des grands donneurs d’ordre à beaucoup progressé ces dernières années. Beaucoup se sont dotés d’équipes Cyber dédiée à l’OT et ont mis en place des SOC internes ou externalisés. Samuel Braure décrit l’organisation qui a été mise en place chez Schneider Electric : « Les profils Cyber qui évoluent dans l’IT et ceux qui évoluent en OT n’ont pas les mêmes enjeux. L’enjeu majeur pour l’IT est de protéger la confidentialité des données. Dans l’industrie, la priorité, c’est la disponibilité des moyens de production. Souvent, les profils IT ne maîtrisent pas les enjeux métiers. Cela implique de bien connaître le contexte des usines et leurs process. Nous avons mis en place des Cyber Site Leader, des profils qui souvent sont des responsables méthodes, des automaticiens. Ce sont des gens qui connaissent très bien l’outil industriel, qui montent en compétence sur les sujets Cyber et peuvent mettre en place les politiques Cyber pour l’OT et les programmes de sécurisation directement sur le site industriel. » Ces CSL doivent s’assurer que l’approche « Secure by operation » est bien appliquée et que, sur le déploiement d’une nouvelle ligne de production, par exemple, la sécurité sera bien appliquée par chaque intégrateur sur son bout de ligne, et que celle-ci est saine et sécurisée au moment de son installation.

Un impératif : impliquer toute la chaîne des sous-traitants

Loïs Samain estime que le rôle des industriels est maintenant de pousser leurs fournisseurs en ce sens, de même qu’inciter leurs sous-traitants à consacrer des moyens à des projets Cyber. « Il y a une vraie prise de conscience du risque, mais mettre à jour des automates ou des systèmes industriels représente un coût et un impact très important sur la production. Il est plus simple d’aller vers de la sécurité périmétrique, de mieux cloisonner les réseaux, durcir les systèmes, mais rattraper ce retard présente énormément de travail et des coûts importants. » Les attaquants visent désormais la chaîne de sous-traitance bien souvent constituée de nombreuses PME/PMI afin de trouver un point d’entrée vers une cible plus grosse.

Des initiatives sectorielles comme BoostAeroSpace dans le secteur de l’aéronautique, TISAX (Trusted Information Security Assessment Exchange) dans l’automobile, France Cyber Maritime ou encore le dispositif DIAG-CYBER de la DGA vont dans le sens d’une meilleure prise en compte de la sécurité sur toute la Supply Chain, mais Pierre-Emmanuel Vincent estime que ces dispositifs ne sont efficaces que s’ils sont accompagnés d’un volet d’accompagnement financier. « Ils ne doivent pas s’arrêter au stade du diagnostic, mais permettre des gestes techniques concrets et impactants. » Sabri Khemissa ajoute : « La verticalisation des compétences est sûrement la meilleure chose à faire pour répondre efficacement aux enjeux des différentes activités du secteur industriel. France Cyber Maritime est un autre exemple de cette verticalisation. D’autres initiatives démarrent : attendons qu’elles mûrissent leur positionnement et leurs approches. »

Le rôle de la réglementation va être décisif

Autre levier fort, celui de la réglementation. Les experts s’attendent à ce que la mise en application de NIS 2 ait un impact fort sur le tissu industriel, avec un effet d’entraînement entre les grands donneurs d’ordre soumis au règlement européen et leurs sous-traitants. Sabri Khemissa précise : « Les grands industriels français ont augmenté leur niveau de protection ces dernières années grâce à la réglementation (LPM et NIS1). Ils sont une cinquantaine. Se pose maintenant la question des plus de 200 000 autres entreprises du secteur industriel qui sont principalement des PME et ETI. NIS 2 imposera aux entreprises réglementées de s’assurer d’une garantie suffisante du niveau de protection de leurs sous-traitants : cette spirale positive poussera l’ensemble des acteurs de la chaîne de valeur industrielle vers le haut. »

Loïs Samain prévient: « Attention toutefois à ne pas être trop générique. Il ne s’agit pas simplement de demander à nos fournisseurs d’être à l’état de l’art. Notre rôle est de les accompagner et leur expliquer clairement ce qu’on leur demande. Si on est trop générique, les sous-traitants qui n’ont pas de compétences Cyber en interne ne sauront pas par quoi commencer. Il faut être très directs et les accompagner dans leurs projets et nous assurer que les produits et services qu’ils nous délivrent sont à l’état de l’art. » 

Le calendrier législatif met l’accent sur NIS 2, mais un autre règlement européen va avoir un impact extrêmement important sur l’industrie, le CRA (Cyber Resilience Act). Ce texte exige que tous les systèmes et composants numériques qui seront vendus dans l’Union européenne devront être au juste niveau en ce qui concerne la sécurité. Le texte est entré en vigueur le 10 décembre 2024 et ses obligations seront effectives à partir du 11 décembre 2027. Son impact va être important, car chaque industriel va devoir assurer la sécurité de son produit et des services numériques qui y sont rattachés, ce qui va avoir des effets de bord importants dans l’industrie. « Nous avons de gros fournisseurs d’automates qui réfléchissent à cesser l’approvisionnement de systèmes qui sont obsolètes » explique Loïs Samain, « or, les industriels ont encore besoin de ces équipements sur leurs chaînes de production. Quel sera pour nous, industriels, la conséquence de ne plus avoir accès à ces équipements ? La démarche du CRA est compréhensible, car il est nécessaire de sécuriser ces systèmes et de stopper la vente de systèmes obsolètes, mais de l’autre côté, il y a une réalité opérationnelle et industrielle qui fait qu’on ne peut remplacer de tels systèmes en 3, 6 ans. » Le CRA est une très bonne nouvelle pour le marché en ce sens qu’elle va obliger l’écosystème à élever son niveau de sécurité. Encore faudra-t-il pouvoir s’adapter à ces exigences.