Adaptation automatique aux besoins de la cybersécurité industrielle 4.0
La cybersécurité touche tous les aspects de nos vies, de notre travail et même de nos villes. La portée et l’ampleur des cyberattaques augmentent en taille et en complexité. En termes de taille, un rapport a récemment démontré que les attaques par déni de service distribué (DDoS) augmentaient en moyenne de 500 %. En termes de coûts, les dommages causés par la cybercriminalité devraient atteindre 6 000 milliards de dollars d’ici 2021.
Alors que nos infrastructures critiques et industrielles entrent dans une nouvelle ère fondée sur l’innovation technologique, les cybercriminels s’intéressent davantage à l’industrie. L’énergie, les transports, les télécommunications et la défense sont des domaines qui assurent les fonctions vitales d’un pays. À ce titre, ils devraient bénéficier de la meilleure protection possible.
A lire également : Quelle différence entre WhatsApp et les SMS ?
Toutefois, la cybersécurité industrielle ne bénéficie pas du même niveau de maturité que les autres domaines de la cybersécurité informatique. Dans cet article, nous examinerons cette question plus en profondeur et nous étudierons les moyens pour assurer à nos systèmes industriels une sécurité améliorée et répondant aux exigences de conformité.
Plan de l'article
Pourquoi la cybersécurité industrielle est-elle en retard ?
L’Industrie 4.0 fait partie de l’évolution à long terme de nos systèmes et processus industriels. Comme ses prédécesseurs, y compris la révolution industrielle du 18 e siècle, les changements sont intervenus rapidement. L’Industrie 4.0 s’appuie sur les nouvelles technologies, notamment l’Internet des objets (IoT), le Big Data, l’analyse intelligente des données, la robotique et d’autres solutions basées sur l’intelligence artificielle. Ces technologies transforment nos systèmes industriels et nous amènent rapidement dans une nouvelle ère d’industries dirigées par la technologie.
A lire aussi : Qui est le créateur de WhatsApp ?
La technologie opérationnelle (TO), qui couvre les systèmes de contrôle industriels (SCI) et le cadre de gestion de celui-ci, ainsi que les systèmes de contrôle de surveillance et d’acquisition de données (SCADA), a été, jusqu’à récemment, désengagée du monde. En d’autres termes, les versions précédentes de TO étaient cloisonnées ; les unités individuelles étaient isolées et peu connectées aux autres réseaux. Avec l’avènement des technologies à l’origine de l’industrie 4.0 et la convergence de la TO avec l’informatique, ce n’est plus le cas : nos industries et les infrastructures critiques qu’elles desservent sont désormais hyper connectées.
Toutefois, le délai nécessaire pour englober les technologies connectées a également entraîné un retard dans l’adoption des solutions de cybersécurité pour s’adapter à ce nouveau cahier des charges.
Nos systèmes industriels ont non seulement connecté l’industrie et leurs partenaires tout au long de la chaîne d’approvisionnement, mais ils ont également connecté l’industrie aux cybercriminels. L’industrie 4.0 et les technologies qui lui permettent de s’épanouir exposent l’industrie à une avalanche de cybermenaces.
« The Road to Resilience », un rapport du Conseil mondial de l’énergie, a examiné l’impact des cyberattaques sur les infrastructures critiques des services publics. Le rapport a révélé que les cyber-menaces constituaient l’une des principales préoccupations des leaders de l’énergie, en particulier en Europe.
Récemment, le niveau d’impact d’une cyber-attaque sur une infrastructure critique a été démontré lorsque le réseau électrique ukrainien a été infectée par un programme malveillant, appelé CrashOverride. L’attaque a provoqué des pannes massives. De telles attaques ont amené US-Cert à publier un avis informant les fournisseurs de services publics américains des attaques potentielles de cybercriminels parrainés par l’État russe.
Les grandes cyberattaques d’infrastructures essentielles, comme celles mentionnées ci-dessus, conjuguées à des incidents mondiaux comme l’infection par le logiciel de rançon WannaCry en 2017, incitent l’industrie à prendre note du niveau de menace des cyber-attaques.
C’est là que la réglementation entre en jeu. Des cadres réglementaires solides sont effectivement essentiels pour soutenir et accélérer les changements nécessaires pour sécuriser l’industrie. Cependant, ces réglementations doivent être adaptées à l’environnement particulier de la technologie opérationnelle.
Les réglementations relatives aux activités critiques sont-elles pertinentes pour l’industrie?
Il existe vingt règles communes applicables aux activités critiques de l’industrie. Ces vingt règles peuvent ensuite être subdivisées en trois types de règles :
- Les exigences simples : ces règles sont basées sur le bon sens et doivent être appliquées à tous les niveaux.
- Les défis de taille : respecter ces règles devrait être un objectif. Cependant, ils peuvent s’avérer difficiles à respecter en raison de problèmes structurels.
- Les exigences douteuses : ces règles ne sont pas toujours applicables aux besoins spécifiques du monde industriel.
Les exigences simples (No-brainers)
Les exigences simples sont les règles de base, qui doivent impérativement être respectées.
Par exemple, définir les méthodes de sécurité organisationnelles et techniques nécessaires pour protéger les actifs industriels dans une stratégie de sécurité des systèmes d’information.
Les autres règles doivent comporter des exigences, telles que la certification du système d’information industrielle critique à l’aide d’un audit, basé sur une évaluation des risques.
Nos deux types de règles suivants, cependant, sont plus difficiles à mettre en œuvre pour l’industrie.
Les défis de taille (Worthy Challenges)
Les règles juridiques sont importantes. Cependant, ces règles représentent souvent de sérieux défis de conformité pour l’industrie.
Un exemple est la cartographie complète des actifs industriels, y compris le matériel, les logiciels et toutes les informations connexes. Cette règle est indispensable pour les opérateurs industriels critiques. Cependant, notre expérience montre que la règle n’est pas toujours réalisable, notamment pour les raisons suivantes.
- Les actifs de TO sont souvent livrés sous forme de «boîtes noires» et exploités par des fournisseurs tiers ;
- Les équipes de maintenance de la TO n’ont souvent pas les compétences techniques pour exploiter ces actifs ; et / ou
- Des protocoles de communication et des configurations réseau spécifiques compliquent la mise en œuvre de la détection automatique des actifs.
Heureusement, certaines solutions spécialisées peuvent désormais prendre en charge la détection des actifs industriels et, par conséquent, consolider et maintenir une cartographie à jour du système d’information industrielle, y compris des dispositifs spécifiques.
Les exigences douteuses (Questionable Requirements)
Certaines règles sont spécifiques à un secteur particulier et ne sont pas facilement adaptables au paysage industriel au sens large.
Par exemple, l’application systématique de mises à jour de sécurité n’est tout simplement pas réaliste dans un contexte industriel ; le cycle de vie de la TO diffère considérablement de celle de l’informatique. L’application de mises à jour compromet la stabilité des machines industrielles et devrait être systématiquement déterminée à l’aide d’une analyse d’impact technique. En plus d’être complexe et fastidieuse, une telle analyse exige des compétences qui ne sont souvent pas disponibles dans l’atelier. Il en résulte que les industries critiques doivent gérer un patrimoine où 30% à 50% des actifs industriels sont obsolètes d’un point de vue technologique.
Les options de sécurité essentielles pour les systèmes d’information industriels
La meilleure façon d’aborder la cybersécurité industrielle est d’adopter une approche en trois points.
- Mettre en œuvre une formation de sensibilisation à la cybersécurité dans l’ensemble de l’organisation.
- Utiliser des solutions de portefeuille utilisant des technologies innovantes applicables à l’environnement industriel.
- Appliquer des stratégies d’intégration adaptées à un environnement industriel.
Formation de sensibilisation à la cybersécurité
L’une des mesures les plus importantes à utiliser dans l’industrie est la formation à la sensibilisation à la cybersécurité. Cela devrait être utilisé dans l’ensemble de l’organisation, en intégrant les cols blancs et les cols bleus.
Les cols blancs : ils concentrent souvent leurs efforts sur la sécurité et la productivité du personnel. Avec l’augmentation des cyber-menaces, il est maintenant important de fusionner les menaces numériques et non numériques. Les cybermenaces sont entrées dans l’arène SQCDP (Sécurité, Qualité, Coût, Diffusion, Personnes), affectant les tableaux de bord de performance.
Les cols bleus : ils ne peuvent pas être directement associés à la prise de décision en matière de sécurité. Cependant, la formation à la sensibilisation à la cybersécurité doit être étendue à tous les travailleurs. Un rapport de LastPass a révélé qu’en moyenne, un employé partagerait un mot de passe avec 6 autres collègues. De bons programmes de formation couvrent l’ensemble du domaine de la préparation à la sécurité, y compris les problèmes quotidiens de cybersécurité tels que l’hygiène et la sécurité des mots de passe.
La formation de sensibilisation à la sécurité propose également des exercices de simulation permettant de former les utilisateurs à la détection des courriels de phishing, etc.
Outre la mise en œuvre d’un programme de formation à la cybersécurité pour l’ensemble de l’entreprise, certaines règles doivent être appliquées de manière stricte. Par exemple, l’utilisation de périphériques mobiles connectés à une clé USB doit être interdite dans tout environnement industriel critique. Le fait est que certains actifs critiques hérités ne peuvent pas être sécurisés à l’aide d’agents techniques et, d’autre part, il est irréaliste d’utiliser exclusivement des clés USB spécifiques.
Solutions spécifiques, pour les besoins spécifiques de l’industrie
La nature particulière des systèmes industriels exige un portefeuille spécialisé de solutions de cybersécurité industrielle. La certification axée sur la nature spécifique de ces types d’environnements suit ensuite. Cela est particulièrement vrai pour les outils de surveillance du réseau et de découverte automatique des actifs, dans lesquels des protocoles et des périphériques industriels spécifiques doivent être couverts.
Stratégies d’intégration
Le fait que de nombreux actifs existants reposent sur des systèmes d’exploitation obsolètes empêche l’utilisation d’un certain nombre de solutions de protection standard. Par exemple, les solutions anti-malware peuvent ne pas être prises en charge. Étant donné qu’il n’est pas réaliste de bloquer la production dès qu’un comportement suspect est détecté, des solutions de contrôle d’applications non bloquantes intégrées dans un SOC industriel sont nécessaires. Celles-ci peuvent être utilisées avec des stratégies d’intégration de protection spécifiques, basées sur la protection des périphériques.
Vers des modèles de protection plus avancés?
Assurer la résilience dans un environnement non sécurisé et non contrôlé par défaut est un défi. Nos approches autrefois fiables, holistiques et déterministes sont limitées et inadaptées à la protection de l’environnement critique dans un contexte industriel.
Nous devons trouver de nouvelles approches pour sécuriser les systèmes d’information industriels critiques. Ces approches optimisent la sécurité tout en maintenant des opérations robustes. Les systèmes industriels sont nécessaires pour permettre la collaboration, en temps réel, dans un environnement sensible aux performances. Des solutions dynamiques et adaptatives capables de se reconfigurer automatiquement lorsqu’un changement d’environnement est détecté constituent la base des besoins flexibles et dynamiques de la cybersécurité moderne au niveau industriel.
Pour ce faire, nous devons tirer parti des dernières technologies de protection, telles que l’apprentissage automatique, le cryptage homomorphique et les options de la chaîne de blocs.
L’adaptation automatique du niveau de protection au niveau de menace sur la base de mesures de capteurs appropriées est la clé pour combiner les trois piliers de la cybersécurité industrielle :
- le besoin de système industriel robuste et de protection applicable ;
- le respect de la réglementation ;
- le maintien des besoins opérationnels spécifiques dans un environnement industriel.
Ces trois piliers de la cybersécurité industrielle, appliqués lors de la création d’un environnement industriel sécurisé, constituent le modèle auto-adaptatif nécessaire à la cybersécurité industrielle 4.0. Ces modèles auto-adaptatifs ont la capacité de traiter la complexité du paysage industriel dans une perspective fonctionnelle, technique et organisationnelle. Ils vous donnent la possibilité de vous conformer à la réglementation, dans les limites des normes industrielles, tout en protégeant vos actifs industriels les plus critiques.