La cybersécurité, au cœur des enjeux de l’Industrie

La cybersécurité rendue nécessaire par l’industrie 4.0

L'industrie du futur, la quatrième révolution industrielle, ou industrie 4.0 sont des dénominations différentes pour un concept identique : organiser le modèle de production autour de la donnée, de l'information, pour s’adapter au besoin client.

Ce modèle fait passer l'industrie d'un fonctionnement "a posteriori", vers un fonctionnement "a priori", en anticipation.
Par exemple, la remontée de données sur les pannes, le temps d'utilisation machine, les cadences permettent de mettre en œuvre une maintenance prédictive basée sur un modèle d'Intelligence Artificielle, et donc d’anticiper les pannes machines. 

Cette anticipation permet de renforcer la flexibilité des organisations et des outils de production.
Ce changement de paradigme fait entrer l'industrie dans l'ère de l’agilité. 

L’industrie 4.0 rendue possible par les nouvelles technologies 

Cette transformation est soutenue par de nouvelles technologies : 

•    L’intelligence artificielle qui permet de mettre en œuvre des modèles d’analyse des données évolutifs et de faciliter les décisions complexes. 
•    L’Internet Of Things : l’ensemble des capteurs connectés à internet permettant l’acquisition de données toujours plus variées.
•    La réalité virtuelle, qui permet de visualiser virtuellement un produit, une machine, avant sa mise en œuvre. 
•    Le cloud computing permet de disposer d’une puissance de calcul plus importante et de décharger les industriels du maintien d’une infrastructure IT. 
•    La robotisation, qui facilite les processus métier. 
•    Le Big Data, qui correspond à une collecte et une analyse d’un grand nombre de données. 
•    La blockchain, technologie permettant de remplacer les tiers de confiance et de « notariser » des transactions entre différents acteurs de la Supply Chain. 
•    Les SCADA, systèmes de contrôle et d’acquisition de données en temps réel, permettant de superviser et contrôler les automates industriels. 

Comment ces technologies s’intègrent-elles au sein du SI industriel ?

Ces technologies sont intégrées au sein d’un SI Industriel qui se complexifie, et qui s'ouvre vers l'extérieur (fournisseurs, clients, prestataires). Un modèle de référence pour l’architecture des SI Industriels est le modèle Purdue (aussi appelé PERA). Celui-ci permet de comprendre les interactions entre le monde « bureautique » ou IT, et le monde « industriel » ou OT (Operationnal Technology).

Source : enisa.europa.eu.

Le modèle Purdue représente le SII comme un ensemble de couches : 

• Niveau 5 : Services prestataires et externes, internet. 
• Niveau 4 : Zone entreprise avec les systèmes de gestion : ERP (Enterprise Ressource Planning), SCM (Supply Chain Management), S&OP (Sales & Operations Planning), CRM (Customer Relationship Management) MRP (Manufacturing and Ressources Planning), etc. 
• Niveau 3 : Serveurs d’applications industriels, MES (Manufacturing Execution System), WMS (Warehouse Management System), etc. 
• Niveaux 1 et 2 : Automates, capteurs et systèmes d’acquisition de données. 
• Niveau 0 : Processus physiques. 

L’intégration de ces nouvelles technologies induit une ouverture du SI Industriel vers l’extérieur et une augmentation exponentielle du nombre de machines, capteurs et systèmes.  

Ces deux facteurs – ouverture et complexité - augmentent fortement l’exposition des systèmes industriels au risque cyber, dans un contexte de recrudescence des cyberattaques. 

La cyberattaque, un risque de plus en plus prégnant pour l’industrie 

L'Agence Nationale de la Sécurité des Systèmes d'Informations (ANSSI) a constaté une augmentation de 37% des attaques signalées entre 2020 et 2021. (source : https://www.cert.ssi.gouv.fr/uploads/20220309_NP_WHITE_ANSSI_panorama-menace-ANSSI.pdf)

Cette hausse peut être expliquée par une évolution des acteurs malveillants, de leurs motivations et de leurs organisations. 

On peut catégoriser plusieurs types d’attaquants : 

• La menace interne : employés négligents ou malveillants. 
• Les hacktivistes.
• Les groupes criminels ou organisation mafieuses.
• La menace étatique.
• Les concurrents.

Ces attaquants peuvent avoir des motivations variées : 

• Gain financier : 
  • Rançons.
  • Vol et revente de données personnelles.
  • Vol et revente de secrets industriels.
  • Fraudes monétaires. 

• Des motivations idéologiques : 
  • Le déni de service.
  • Le message idéologique.
  • La divulgation d’informations. 
  • L’usurpation d’identité.

• La déstabilisation des entreprises ou structures étatiques : 
  • Destruction.
  • Vol de données stratégiques. 
  • Divulgation d’informations confidentielles. 

Quels sont les risques d’une cyberattaque sur le système industriel ?

Cette augmentation de la menace fait peser plusieurs risques sur les systèmes industriels : 

• Arrêts des systèmes : Arrêt de la production ou de la distribution en raison d’une incapacité d’accéder aux systèmes (ERP, WMS, MES, etc.)
• Corruption de données : Ex : falsification de données produits (BOM, recettes, etc.) ou manipulation des prévisions de vente. 
• Vol de données : Ex : vol de secrets industriels ou divulgation de données personnelles de clients.

Quelques cas concrets de cyberattaques ces dernières années 

• Ouest France : Arrêt de sites de production à la suite d’un ransomware en Novembre 2020. 
• Manutan : 10 jours d’arrêt complet suite à un ransomware en Février 2021
• Emma : Vol de données personnelles et de paiement de 97000 clients en Mars 2022
• Toyota : Arrêt de 14 usines suite à une compromission d’un fournisseur en Mars 2022. 
• Transavia : Copie de données de collaborateurs internes (passeport, certificats d’aptitude au travail en Février 2022. 
• Euréden : 3 semaines de perturbation de production en raison d’un ransomware en Mars 2022. 

 
Comment se préparer, et sécuriser l’Informatique Industrielle ? 

La transformation de l'Informatique Industrielle, dans un contexte de risque cyber accru, doit s'accompagner d'une démarche de sécurisation du SI Industriel, qui implique tous les acteurs de l'entreprise, tant IT que métier.

Etape 1 : Cartographier les processus métier, et le SI supportant ces processus

Il est commun de considérer que l'on ne peut sécuriser que ce que l'on connait. L'accumulation de projets, de mise en œuvre de nouvelles lignes, et un historique industriel qui ne nécessitait pas forcément une intervention de l'Informatique, a conduit à l'existence de zones grises (shadow IT) qui ne sont pas connues des personnes devant les gérer ou les sécuriser. 
Il est donc nécessaire de cartographier les processus métier et d'inventorier l'ensemble des briques techniques sur lesquelles reposent ces processus. 

Etape 2 : Définir une cible pour l'Informatique Industrielle

Pour sécuriser un SI Industriel, il faut identifier ce qui est nécessaire à sa sécurité. Par exemple : comment est gérée l'authentification des opérateurs sur les postes industriels, comment segmente t'on les réseaux industriels et de gestion, etc. 
Cette phase peut s’appuyer sur des cadres et des normes en vigueur : NIST, NIS, ISO 27001, etc.  

Etape 3 : Définir des rôles et responsabilités clairs et partagés

Mettre en œuvre une organisation clairement définie pour gérer la sécurité IT au sein du SI Industriel. Il est nécessaire de définir des responsabilités clairement partagées entre les DSI et les Directions Industrielles sur la gestion des systèmes d’information industriels, et leur maintien en condition de sécurité (MCS).
 

Etape 4 : Mettre en œuvre la remédiation, et intégrer la sécurité au cœur des projets industriels

Remédier aux faiblesses existantes par la mise en œuvre les projets de remédiation sur le périmètre existant, et mettre en place les briques techniques nécessaires à la sécurisation de l’Informatique Industrielle (Active Directory, Mobile Device Management, Multi-Factor Authentification, Gestion des mises à jour et de l’obsolescence, etc)

Il est aussi nécessaire de changer les cultures industrielles et IT, de renforcer la coopération entre ces entités, afin d'intégrer la sécurité dès le lancement des projets industriels. 

Etape 5 : Ancrer la sécurité dans la culture industrielle, et mettre en œuvre une démarche d’amélioration continue  

La sécurisation d’un système industriel n’est jamais réellement terminée. En effet, l’évolution des menaces, et la transformation des systèmes peuvent exposer l’organisation à de nouveaux risques.

Il est donc nécessaire d’ancrer une « culture de la sécurité » dans l’organisation, et de mettre en œuvre une démarche d’amélioration continue dédiée.

Conclusion : 

L’industrie 4.0 change le paradigme de l’industrie, en renforçant l’agilité et la flexibilité des systèmes industriels. Ces transformations s’appuient sur l’intégration de nouvelles technologies dans le SI industriel, en le complexifiant et l’exposant vers l’extérieur. 

Ces deux facteurs augmentent mécaniquement le risque cyber qui pèse sur les industriels, dans un contexte de menaces accrues. Il est donc nécessaire que les acteurs du marché se préparent à ces risques, et mettent en œuvre des démarches de sécurisation de l’Informatique Industrielle.