Vos solutions globales en automatisme et gestion d'énergie

02
novembre
2016

Les usines sont vulnérables aux cyberattaques

"Yves-Gaël Billet, expert systèmes connectés chez Automatique & Industrie, estime qu’un système industriel est un système d'information qui a la particularité d'engendrer des actions physiques. Vu sous cet angle, cela semble évident qu’un système industriel soit vulnérable aux mêmes attaques et nécessite la même attention en termes de sécurité informatique !
 
Revenons d’abord sur la signification du terme "cybersécurité" dont le sens peut paraître inapproprié dans le cadre d’un système industriel… D’une part, le terme "sécurité" fait référence à une protection contre des risques induits par des actes involontaires, d’autre part, la notion de sureté implique des actes malveillants. Pourtant, appliquer la cybersécurité à un système industriel n'est pas dénué de sens puisqu'il s’agit finalement de traiter le risque de défaillance du processus suite à un incident dont l'origine provient des technologies de l'information.
 
Les systèmes industriels aussi vulnérables que les systèmes d'information
 
L’Agence Nationale de la Sécurité des Systèmes d’Informations (ANSSI) rappelle dans une de ses publications qu’un système industriel est une forme de système d'information avec la particularité de pouvoir engendrer des actions physiques. Les systèmes industriels utilisent les mêmes technologies que les systèmes d'information classiques : services web, systèmes d'exploitation sous Windows... Et ils rencontrent aussi les mêmes besoins : échange d'information avec des systèmes d'information tiers et accès distant au système.
Vu sous cet angle, cela semble finalement évident qu’un système industriel soit vulnérable aux mêmes attaques et nécessite la même attention en termes de sécurité informatique !
 
Tous les opérateurs de systèmes industriels sont-ils concernés ?
 
D'un point de vue réglementaire, cela ne concerne que les opérateurs d'importance vitale1 (OIV). En effet, la loi de programmation militaire du 18 décembre 2013 a introduit des dispositions relatives à la sécurité des systèmes industriels de ces derniers. Ils ont pour obligation de sécuriser leurs systèmes.
 
Cependant, cela ne signifie pas pour autant que les autres opérateurs ne doivent pas se sentir concernés. Même si le niveau de risque et les menaces sont différents, amorcer une démarche de cybersécurité s’avère fondamental dans la nouvelle ère de l'usine connectée, où les voies de communication évoluent au sein des systèmes industriels : solutions sur Ethernet, télémaintenance, Manufacturing Execution Systems (MES).
 
Comment initier la démarche de sécurisation du système industriel ?
 
La première étape pour fiabiliser l’exploitation et la maintenance du système industriel consiste davantage en un "simple entretien" qu'à la cybersécurité en tant que tel. L’objectif est de comprendre le fonctionnement du système industriel aussi bien d’un point de vue de l'infrastructure que de l'organisationnel, à travers la création ou la mise à jour de cartographies et inventaires qui présenteraient le système industriel sous différents points de vue : physique, logique et applicatif.
 
La mise en place de commutateurs administrables sur le réseau Ethernet peut être un excellent point de départ. Ce type d'équipement apporte des outils indispensables pour le diagnostic et le suivi du réseau, ainsi que les fonctions de sécurité.
 
Sensibiliser les automaticiens à l'informatique et à la cybersécurité
 
Pour être optimisée, la démarche de sécurisation du système industriel doit s’accompagner d’une formation en informatique et réseau ainsi qu’une sensibilisation à la cybersécurité, adaptée à l’environnement industriel, afin que les équipes informatique et automatisme parlent le même langage. En effet, les automaticiens ont une culture très éloignée des informaticiens et bien qu’ils partagent certains objectifs communs, leurs contraintes sont très différentes. Par exemple, les priorités du système d'information sont différentes : confidentialité pour les informaticiens et disponibilité pour les automaticiens.
 
Dès lors, une démarche de sécurisation globale peut être envisagée. Une analyse de risque permet de fournir les mesures techniques et organisationnelles à mettre en place et de définir les objectifs, le planning et l'organisation, ainsi que la gestion des intervenants. Tout cela permettra la mise en sécurisation du système. Bref, la cybersécurité des systèmes industriels n’est pas un mythe, mais bien une réalité à prendre en compte à l’heure de l’usine connectée !
 
1 OIV : organisation identifiée par l'État comme ayant des activités indispensables ou dangereuses pour la population"

Tribune L'Usine Nouvelle, le 22 octobre 2016
 

 Source: http://www.usinenouvelle.com/article/tribune-les-usines-sont-vulnerables-aux-cyberattaques.N453387