La cybersécurité est l’affaire de tous par Jean-Christophe Mathieu, product and solution security officer, Siemens France

Nul n’est à l’abri d’une attaque informatique. Les installations industrielles de plus en plus connectées doivent prendre en compte ce risque. Non seulement en intégrant des produits robustes mais en formant les bureaux d’études, les intégrateurs, les installateurs, les exploitants et les opérateurs de maintenance aux règles de bonne pratique renforçant la cybersécurité.

Un vent révolutionnaire souffle sur l’industrie. Il prône la fusion des mondes virtuel et réel pour donner naissance à une nouvelle génération d’usine. L’industrie du futur est en marche. Ce concept vise à intégrer les technologies de l’internet dans le processus de fabrication de l’usine. Cela se caractérise par l’interconnexion des machines, des sites et des processus de production. Chaque maillon des chaînes de production et d’approvisionnement, les outils et les postes de travail échangent de l’information. Les systèmes de conception et de fabrication assistés par ordinateur (CFAO) et les outils de simulation en seront des briques essentielles tout comme ceux dédiés à la maintenance (GMAO), à la gestion de production, à l’ordonnancement (MES), à la supervision, à la gestion du cycle de vie des produits (PLM), à la gestion intégrée (ERP)… Bref, tous les logiciels et matériels qui en communiquant procurent une plus grande flexibilité de fabrication et rendent possible la modulation des quantités produites en temps réel tout en optimisant les consommations énergétiques.

Il s’agit donc d’allier l’intelligence embarquée des équipements (capteurs, actionneurs, automates, commandes numériques, robots, etc.) aux applications logicielles, depuis la conception des produits, la simulation de leur processus de fabrication jusqu’à leur production voire leur commercialisation, en s’appuyant sur les moyens de communication modernes que sont Ethernet et Internet.

Cette communication de plus en plus importante entre les plates-formes matérielles et les logiciels expose les systèmes industriels à un risque grandissant : la cyber menace qui en fonction des attaques peut même aboutir à la destruction physique de l’installation visée. Les architectures ou l’isolement complet des systèmes de production semblait possible il y a encore peu de temps est aujourd’hui totalement révolu. Les besoins exprimés par les utilisateurs finaux leur permettant de gagner en flexibilité et en productivité ne doivent surtout pas être bloqué sous prétexte de faire de la sécurité mais au contraire accompagné pour que l’ensemble de ces échanges se fassent de façon sécurisée et encadré.

L’organisation du groupe Siemens s’est donc adaptée pour prendre en compte la thématique cybersécurité et ce tout au long du cycle de vie de ses produits et solutions. Ainsi à ce jour chaque division du groupe possède des experts permettant de diffuser les règles et bonnes pratiques à adopter pour augmenter significativement le niveau de sécurité des équipements commercialisés. Point intéressant la formation à la cybersécurité est devenue un point essentiel pour les équipes en charge du développement des produits. Afin de vérifier la pertinence des efforts déployés Siemens a d’ores et déjà certifié via la plateforme Achilles environ 140 produits de sa gamme de composants industriels dont les automates Simatic-S7 1500, des pare-feu industriels, des coupleurs de communication, etc. Siemens s’attache également à suivre les règles établies par le standard IEC-62443 et participe activement au groupe de travail chargé de son élaboration. Cette norme internationale s’attache à proposer une approche englobant l’intégralité de la sécurité pour les systèmes industriels.

Par ailleurs et de façon complémentaire l’ANSSI (Agence nationale de la sécurité des systèmes d’information) promeut une certification de sécurité de premier niveau (CSPN). Alors que cette certification n’évaluait jusqu’à maintenant que des produits de sécurité destinés à des systèmes informatiques traditionnels, l’ANSSI a publié cette année des profils de protection pour des équipements industriels : automates, commutateurs, points d’accès sans fil, logiciels de supervision, solutions MES, plates-formes de programmation d’automatisme, etc. offrant ainsi de nouvelles garanties aux utilisateurs. Ces profils de protection recensent les fonctions de sécurité minimales qui doivent être intégrées aux produits et qui seront testés en vue de leur certification. Siemens participe activement et ce depuis leur origine aux différents groupe de travail sur la cyber sécurité des systèmes industriels animés par l’ANSSI mais aussi désormais par le Gimélec d’où sont issus ces profils de protection. Une grande partie de ces fonctions sont d’ores et déjà disponibles sur les dernières générations de produits commercialisés par Siemens.

Si Siemens porte une très grande attention à la cybersécurité, le groupe reste tout à fait conscient que la protection optimale des équipements face aux risques cybernétiques passe par une collaboration étroite avec tous les organismes opérant dans le domaine de la cybersécurité. Il faut donc avancer ensemble tout en ayant conscience que le risque zéro n’existe pas. Il faut surtout noter que la cyber sécurité repose à plus de 70 % sur des aspects organisationnels et des processus opératoires. Ainsi la moindre défaillance d’un des maillons constituant une longue chaîne, (conception des produits, leur fabrication, leur intégration, leur installation, leur exploitation et leur maintenance), affaiblit le niveau de sécurité de l’ensemble. Par exemple, un automate potentiellement certifiable n’apportera aucune garantie s’il est mal paramétré ou utilisé. Pour s’assurer que les mesures mises en place qu’elles soient organisationnelles ou techniques répondent à l’analyse des risques, il faut homologuer l’installation.

La formation revêt donc une importance capitale. L’ANSSI a d’ailleurs édité plusieurs guides sur la cybersécurité des systèmes industriels, qui présente l’organisation à mettre en œuvre ainsi que les formations appropriées. Une session de formation d’une journée permettra de sensibiliser chargés d’affaires et responsables de projets à la cyber sécurité. Une session plus poussée de trois jours expliquera aux techniciens et ingénieurs comment appréhender la cyber sécurité et intégrer celle-ci à leurs projets. Sauvegarde, échange de documents numériques, conception, programmation, configuration, etc. sont autant de points qui doivent être abordés. Les exploitants ainsi que les personnels chargés de la maintenance de ces systèmes sont tout aussi concernés. Ils doivent être sensibilisés et formés sur ces sujets et suivre strictement toutes les consignes relatives à la gestion des mots de passe, aux sauvegardes ou encore à l’utilisation de clés USB, etc.

Contrairement à la sécurité fonctionnelle, qui n’évolue pas tant que l’installation initiale n’est pas modifiée, la cybersécurité doit sans cesse s’adapter à de nouveaux risques et mettre en place des parades inédites. Ces deux domaines qui peuvent paraitre antinomiques sont certainement les disciplines à rapprocher pour une gouvernance globale de la sécurité. Quoi qu’il en soit des audits réguliers doivent être mis en œuvre, réunissant des experts de la sécurité des systèmes informatiques et des spécialistes des équipements industriels, pour évaluer si les défenses des installations sont suffisantes faces aux menaces émergentes. Les opérateurs d’importance vitale (OIV) doivent notamment mettre à niveau la sécurité de leur système informatique conformément aux nouvelles exigences de l’ANSSI. Les décrets du volet cybersécurité de la loi de programmation militaire ont été publiés le 27 mars 2015. Les arrêtés sectoriels associés sont attendus dans les mois à venir. Ils préciseront les règles à suivre en fonction des 12 secteurs d’activité définis.