Industrie 4.0 et sécurité de l’IIoT : stratégies pour un avenir résilient

En effet, une cyberattaque réussie peut affecter la production d’une entreprise industrielle, avec des perturbations qui peuvent aller jusqu’à l’arrêt de la production, entraînant naturellement de graves conséquences financières. D’après une étude de la société d’assurance Hiscox, une entreprise sur cinq ayant été victime d’une cyberattaque se trouve au bord de la cessation de paiement.
Toute entreprise a donc intérêt à se préparer le mieux possible aux cyberattaques, à renforcer la cyber résilience de son organisation. Pourtant, comme l’analyse Steffen Zimmermann, directeur du Competence Center Industrial Security (centre de compétences pour la sécurité industrielle) au sein de la Verband Deutscher Maschinen – und Anlagenbau (VMDA – Association allemande des constructeurs de machines et installations), « bien des entreprises continuent de reporter indéfiniment le chantier de la sécurité. »

Quant à Eric Herzog, Chief Marketing Officer (CMO) chez Infinidat, il estime que « les équipes de sécurité informatique doivent comprendre que l’IoT ne fait pas que générer un grand volume de données à protéger, mais que la connectivité des composants peut créer des portes d’entrée pour quiconque souhaite exploiter ces données à des fins malveillantes ». Infinidat est une entreprise israélienne qui propose des solutions pour les données massives, fortement orientées cybersécurité. On retrouve notamment parmi ses clients British Telecom, Barclays, le CERN, Vodafone et T-Mobile.

Le règlement sur la cyber-résilience fixe des normes de sécurité pour les entreprises

En septembre 2022, l’Union européenne a publié le Cyber Resilience Act (CRA), définissant des exigences contraignantes en matière de cybersécurité pour les entreprises. Ce règlement vise à protéger les consommateurs et les entreprises en imposant une obligation de vigilance continue, tout au long du cycle de vie des produits. De nombreux produits, y compris dans le domaine de l’Internet industriel des objets (IIoT, Industrial Internet of Things) ne sont couverts par aucune norme de sécurité et ne bénéficient d’aucune mise à jour de sécurité régulière. Une telle lacune crée un risque majeur pour l’utilisateur et bien souvent pour le fabricant également.

Le CRA s’attaque au problème en fixant des règles uniformes applicables aux exigences de cybersécurité des produits ; un marquage CE doit attester du respect de ces exigences par le fabricant. Le règlement vise en particulier les appareils IIoT qui n’étaient encore couverts par aucune norme de sécurité en particulier. En fixant des exigences de sécurité contraignantes, le législateur a souhaité gérer le risque de failles et minimiser les risques liés à l’interconnexion croissante des équipements IoT.

Le CRA et la directive NIS2 créent ainsi un cadre juridique complet devant renforcer la cyber résilience au sein des entreprises et organisations européennes. Par ces mesures, l’UE démontre son intention de réagir face aux cybermenaces en adoptant une approche robuste et cohérente afin de protéger tant l’économie que les citoyens.

Cyber résilience et IIoT

On entend par cyber résilience la capacité d’une organisation à préserver ses fonctions centrales pendant et après une cyberattaque dont elle est la cible. Cette capacité prend tout son sens en environnement industriel et plus particulièrement dans le contexte de l’IIoT. Le développement de la connectivité des équipements augmente en effet le risque de cyberattaque. Les auteurs de ces attaques procèdent par étapes : dans un premier temps, ils introduisent un logiciel malveillant, par exemple pour voler ou compromettre des données.
Bien souvent, ils déploient ensuite un rançongiciel qui chiffre les données. Un rapport de situation publié par le Bundesamtes für Sicherheit in der Informationstechnik (Office fédéral allemand de sécurité des systèmes d’information) indique que « les cybercriminels font désormais plus que simplement chiffrer les données. Souvent, dans un deuxième temps, ils menacent l’entreprise concernée de publier des données et, dans un troisième temps, prolongent même leurs menaces aux clients de l’entreprise ».

Des experts du cabinet Deloitte soulignent combien il est important de mettre en place des mesures et stratégies de sécurité globales dans la lutte contre les cybermenaces. Ils rappellent que l’évolution rapide du matériel et des logiciels, la connectivité accrue des systèmes de contrôle industriels et des technologies opérationnelles (OT), si elles apportent des gains de productivité insoupçonnés, génèrent de nouveaux risques de sécurité liés à l’IIoT.
Maintenir une surveillance continue du trafic réseau et des activités système favorise la détection précoce des évènements inhabituels pouvant signaler un cas de malveillance. Les outils d’analyse perfectionnés et l’apprentissage automatique permettent ici d’identifier les anomalies et de déclencher des alertes. La réponse à un incident de sécurité exige rapidité et coordination, aussi les techniciens appliquent-ils des protocoles de réaction soigneusement planifiés pour empêcher la propagation du logiciel malveillant, isoler les systèmes et combler les failles de sécurité.

Les systèmes affectés par une attaque doivent être restaurés le plus rapidement possible et retrouver un fonctionnement opérationnel normal : restauration des données à partir des sauvegardes, analyse de l’incident pour identifier et traiter les failles de sécurité, déploiement de mesures pour éviter qu’un tel incident se reproduise. Les experts établissent une distinction entre mesures de prévention d’une part, et mesures de réaction/détection d’autre part. Les mesures de prévention :

• Visibilité et surveillance du réseau
• Tests d’intrusion et contrôle régulier des vulnérabilités potentielles
• Évaluation et gestion du risque
• Segmentation du réseau
• Mises à jour de sécurité régulières
• Contrôle d’accès au réseau avec droits d’accès restreints
• Systèmes redondants pour les infrastructures et processus critiques pour l’activité
• Formation de sensibilisation à la sécurité
• Sécurité et sauvegarde des données
• Plan d’urgence précisant les responsabilités et la séquence des mesures à prendre
• Sécurité des points de terminaison

La cyber résilience englobe également la gestion des cyberattaques sur le réseau et leur détection rapide, puis la réaction adaptée aux attaques. Cet aspect couvre notamment les points suivants :

• Systèmes de détection des intrusions
• Détection des anomalies
• Assurance cyber
• SIEM (outil de gestion des informations et des évènements de sécurité) et SOAR (plateforme d’orchestration, automatisation et réponse aux incidents de sécurité)
• Détection des points de terminaison et traitement
• Détection réseau et traitement
• Investigation numérique
• Plateforme de renseignements sur les menaces
• Une architecture de sécurité évolutive

Parmi les tendances actuelles, le recours à l’Edge Computing permet de rapprocher le traitement des données des appareils sources et donc de réduire la latence pour gagner en efficacité, avec pour conséquence également d’améliorer la sécurité en réduisant la quantité de données transmises. Les plateformes de sécurité spécialisées pour l’IIoT commencent à s’imposer, ce qui facilite une surveillance et une gestion centralisées de la sécurité des appareils IIoT.

Pour Josh Eastburn, d’Opto 22, l’utilisation d’appareils industriels en périphérie de réseau peut non seulement améliorer l’efficacité, mais aussi contribuer à rapprocher les technologies de l’information (IT) et les technologies opérationnelles (OT). Ces appareils sont en effet conçus spécialement pour intégrer les technologies nécessaires à un fonctionnement sécurisé en périphérie du réseau. Dans un tel environnement, les départements IT et OT peuvent communiquer et collaborer, leur confiance mutuelle étant renforcée par des processus de vérification réguliers.

À la lecture de l’étude « Industrial Cybersecurity Industry Analysis 2023 » publiée par EY, on comprend que le niveau de cybersécurité reste globalement faible en ce qui concerne les technologies opérationnelles appliquées aux infrastructures critiques et à l’industrie manufacturière, même si l’on constate des écarts importants entre secteurs et au sein même des différents secteurs. Il n’est pas moins vrai que la prise de conscience des risques de cybersécurité a progressivement favorisé une augmentation des investissements dans la sécurité OT en milieu industriel, qui permettront de déployer des programmes de sécurité plus matures d’ici 2030.

Westlands Advisory estime ainsi à 8,4 milliards USD le montant des dépenses en cybersécurité OT en 2023. En considérant un taux de croissance annuel moyen de 18 %, ce marché triplera donc d’ici 2030 pour atteindre 26,9 milliards USD. Selon l’étude, la survenance de scénarios inconnus nécessiterait de mettre en place un suivi continu, reposant sur un balayage passif ou actif et sur l’apprentissage automatique pour détecter les écarts par rapport à un état de référence. Les propriétaires d’actifs devraient mettre en œuvre un modèle de sécurité basé sur des processus résilients et se concentrer sur les aspects humains, technologiques et opérationnels.

EY s’attend à ce que la maturité de la cybersécurité OT progresse de manière significative dans les grandes entreprises industrielles internationales d’ici 2030. Beaucoup d’organisations auront alors fusionné leurs services de sécurité pour garantir une visibilité sur l’ensemble de l’entreprise, en les dotant de personnels OT formés aux processus et procédures. La sécurité sera de plus en plus gérée depuis le Cloud, soit directement par les propriétaires d’actifs, soit par un prestataire de services managés. La gestion et la protection des réseaux 5G sans fil seront au cœur des enjeux.

Toujours selon EY, la cybersécurité devrait gagner en maturité sur la chaîne d’approvisionnement, et l’on devrait assister à l’extension de la base installée de processus industriels intégrant la sécurité dès la conception. Pour bien utiliser l’IoT, il faut accepter que la sécurité absolue n’existe pas et miser sur le renforcement de la cyber résilience pour faire face aux incidents de sécurité. Faire de la cyber résilience une priorité de développement prépare les entreprises aux attaques ciblant l’IoT et leur assure la meilleure protection possible contre tous les types de cybermenaces en créant une ligne de défense solide autour de la plus précieuse de leurs ressources : les données.