NUMÉRISATION
Maintenance Magazine 153 – septembre 2021
Les hackers veulent intentionnellement avoir de l’impact sur la société dans son ensemble. Le piratage d’une entreprise d’oléoducs a ainsi vidé des dépôts de carburant. (Photo EPA/Shawn Thew)
La défaillance humaine est souvent la cause de vulnérabilités. (Photo GF)
Les mises à jour régulières et la protection des accès aux appareils critiques sont deux piliers importants du service de maintenance. (Photo Aveva)
Dans le domaine de la cybersécurité, le maillon le plus faible n’est pas une technologie inadéquate mais la défaillance humaine. Nous avons répertorié les malentendus et les erreurs les plus fréquentes avant de faire un point sur l’activité de maintenance. Il y a encore une marge d’amélioration.
La cybercriminalité fait la une des médias avec des actions marquantes comme la prise d’otage chez Picanol ou l’attaque de ransomware qui a paralysé un réseau d’oléoducs aux Etats-Unis. Mis à part ces faits médiatisés, des milliers d’autres attaques ont lieu, moins connues mais non moins intrusives. Outre le type de cybercriminalité, il est bon de définir les motifs des criminels.
• Obtenir de l’argent est assurément le premier motif. Le mode opératoire : la paralysie d’une entreprise en prenant des données en otage, une demande de rançon dont la somme est juste inférieure à la perte de production estimée. La fraude au CEO est en hausse. Ici, un échange de mails est simulé entre le CEO et la comptabilité afin de transférer des fonds suite à de fausses instructions du CEO.
• Le vol d’informations sensibles est un sujet tabou, certainement dans les secteurs industriels. Le détournement de données financières, la capture de plans techniques d’innovations … cela arrive plus souvent qu’on ne le pense. La raison de cette omerta est simple : ce type d’informations critiques peut jouer un rôle important à long terme et même mettre en péril la survie d’une entreprise. C’est aussi la principale raison pour laquelle pratiquement chaque cyberattaque est affectée par une demande de rançon alors qu’en réalité les secrets de l’entreprise sont le véritable objet de l’attaque.
• Les objectifs géopolitiques sont un autre motif. On peut citer comme exemple le ver informatique Stuxnet, une des premières attaques à se répandre à grande échelle. Ce ver influençait les PLC des centrifugeuses des réacteurs iraniens dans les installations nucléaires. Si l’origine du virus n’a jamais été trouvée, des soupçons pèsent cependant sur les Etats-Unis et Israël.
Malgré ces motifs, les entreprises s’accrochent souvent à une vision dépassée de la cybersécurité. Voilà pourquoi nous vous répertorions les erreurs les plus courantes.
C’est le premier grand argument vide de sens. Les entreprises pensent à tort qu’elles sont inintéressantes ou trop petites pour les cybercriminels alors que rien n’est moins vrai. Les hackers font peu de distinction entre le type d’activité ou la taille des entreprises. Toutes sont sur le radar. Le travail à domicile pendant la pandémie corona a facilité un peu plus le piratage. Les travailleurs étaient actifs sur le réseau avec des appareils moins bien protégés, il y avait moins de vérification physique entre les parties sur le lieu de travail et le support n’était pas toujours disponible pendant les heures de travail.
Une plainte fréquente. A l’issue de la tâche difficile visant à mettre enfin les besoins en cybersécurité à l’agenda vient la question du budget. Et le verdict qui tombe parfois est que la cybersécurité doit être traitée dans le cadre du budget (déjà limité) alloué à l’IT. La cybersécurité dépasse pourtant largement le cadre du service informatique et doit être traitée en tant que telle. Anno 2021, la cybersécurité consiste à protéger des machines et des bâtiments, sans négliger les aspects liés à la formation et à la sensibilisation.
Non. Dans le meilleur des cas, ils sont cybersécurisés pour les problèmes connus à un moment donné. Même les développeurs de systèmes comme Android et Windows proposent régulièrement des correctifs pour colmater les faiblesses et les brèches. Il en va de même avec les composants industriels comme les PLC et les entraînements de moteurs. Veillez à faire des mises à jour régulières et faites confiance aux fabricants qui suivent leurs appareils pendant une longue période.
Un pare-feu est parfois considéré comme le mur d’enceinte d’un château qui empêche l’ennemi d’entrer. Mais comme dans la vraie vie, il y a des points faibles ou des gardes qui ne sont pas toujours très sûrs. Un pare-feu constitue la base d’une bonne sécurité, sans plus. Une sécurité efficiente doit inclure plusieurs couches de protection, défensives et agressives.
Trois fois hélas. A l’instar du secteur technologique, la cybercriminalité évolue à une vitesse fulgurante et applique les dernières technologies. Voyez les vidéos ‘deep-fake’ qui émergent ici et là et offrent aux criminels de nouvelles opportunités. L’approche de la cybersécurité devrait suivre le même schéma qu’une analyse de risque : évaluer les risques potentiels en permanence, améliorer les vulnérabilités et entreprendre des actions.
Les données sont sacrées et ne peuvent en aucun cas quitter votre immeuble, dit le mantra. Le stockage dans le cloud est perçu comme un danger mais il est bon de nuancer cela. Plusieurs facteurs plaident en faveur du cloud. Pensez aux mises à jour permanentes de la sécurité du réseau ou à la structure redondante, ce qui représente un coût supplémentaire pour l’entreprise. De plus, les fournisseurs de cloud font régulièrement appel à des entreprises externes pour tester leurs centres et neutraliser les faiblesses. Dans le cadre d’un entreprise, c’est moins évident.
Les personnes actives en maintenance sont traditionnellement sensibles à la sécurité. Que peut-on faire aujourd’hui pour inclure la cybersécurité dans les processus ? Voici quelques conseils simples:
•Limitez l’accès aux machines. L’opérateur doit-il tout le temps avoir accès à l’armoire de commande d’une machine ?
•Ayez une bonne gestion des mots de passe donnant accès aux machines et aux bâtiments;
•Idem pour les droits d’accès des collaborateurs externes. Tenez compte du roulement du personnel lors de la mise en place des formations;
•Elaborez une procédure équilibrée pour la connexion d’appareils de mesure en ligne, la lecture de données, l’accès au réseau. Inventoriez ces informations;
•Veillez à ce que tous les appareils reçoivent les dernières mises à jour;
•Prévoyez un back-up des journaux et des actions;
•Etablissez un scénario en cas de problème : qui contacter, quelles instances prévenir, comment poursuivre le travail. Gardez à l’esprit que de nombreux éléments seront inaccessibles lors d’une attaque, comme les téléphones IP;
•Lors d’actions de maintenance, soyez attentifs aux événements suspects (résultats de mesure, messages d’erreur, arrêts brusques des logiciels, entités inconnues sur les réseaux, …);
•Limitez l’accès à tous les ports possibles (entrées USB aux machines et aux PLC par exemple);
