SÉCURITÉ
Maintenance Magazine 161 – septembre 2023
Protégez vos installations contre le piratage
Tijl Deneut: « Si vous ne pouvez consacrer qu’un euro, investissez-le dans la connaissance de vos collaborateurs. » (©IC4)
Vincent Haerinck: « Avec l’avène-ment de l’IoT, le pendule est passé de zéro à trop d’ouverture. Une courbe d’apprentissage. » (©Savaco)
La séparation stricte d’antan entre l’IT et l’OT n’existe plus. Cela représente un grand potentiel pour l’optimisation de la production mais ouvre en même temps la porte à de nouveaux risques. En effet, les cybercriminels ont de plus en plus l’industrie dans le viseur. Une production est piratée et débloquée qu’après le paiement d’une rançon. Une nouvelle réalité dont aucune entreprise n’est malheureusement à l’abri. Flanders Make a réuni des experts et des perspectives lors d’une après-midi d’étude.
Jadis, seuls les documents papier franchissaient la frontière entre la production et le bureau. Aujourd’hui, les câbles de données ont pris la relève. Il s’agit de capturer les données de production et de les transmettre aux systèmes supérieurs pour mieux commander la production mais aussi pour mettre à jour les logiciels qui pilotent les actifs de la production. Selon l’endroit où les cybercriminels arrivent à mettre un pied, les dommages peuvent aller de la perte de données industrielles à l’ajustement de paramètres dans la ligne de production avec tous les risques de sécurité associés, jusqu’au détournement complet d’installations de production. Une production sûre et fiable doit donc également s’intéresser à son architecture IT et aux procédures du secteur (cryptage, connexions VPN …) afin de garantir la continuité.
Contrôler la communication dans le réseau
Luc Deleu, CEO d’Ometa, aborde la cybersécurité sous l’angle de la connectivité augmentée et propose un baguage centrique fondé sur les données d’un projet. « Tout commence par une communication intelligente. En liant les données aux processus, celles-ci restent au même endroit. La copie et la synchronisation appartiennent au passé. Vous disposez toujours des bonnes données en temps réel. C’est le point de départ. Ensuite, il faut construire une technologie de sécurité tout autour. » L’une des options consiste à travailler avec OData, un protocole de données ouvert pour la demande de données. L’OData API fournit les données dans le format de fichier JSON lisible par la machine. Une seule API suffit à transmettre de l’information en temps réel de la production aux systèmes ERP, par exemple. La sécurité repose alors sur deux piliers : l’authentification et l’autorisation. « Vous pouvez voir qui demande et contrôle l’information ou qui a les droits d’accès adéquats. La cybersécurité nécessite une approche similaire à celle du Moyen-Âge. Vous ne pouvez pas sécuriser chaque maison mais vous pouvez construire un mur tout autour de la ville et créer un atelier numérique sécurisé. »
Des passerelles essentielles pour la sécurité
L’un des marchés où la cybersécurité est une question urgente est celui de l’approvisionnement en énergie. Un secteur où Savaco et le team manager Vincent Haerinck ont acquis de l’expérience. Ce dernier cite la norme ISO27000 comme principe fondamental pour concevoir une cybersécurité. « Commencez dès aujourd’hui. Il y aura de plus en plus de réglementations, de la part des fournisseurs, des clients, des pouvoirs publics. L’étendue de la solution de sécurité à déployer dépend de vos exigences. Où voulez-vous vous situer en termes de sécurité ? N’est-ce qu’une question de remplir ses obligations ? Ou y-a-t-il des risques majeurs qui nécessitent une protection supplémentaire ? » Son conseil : soyez attentif au contenu cybersécurité de vos passerelles qui traitent et transmettent les données. Elles sont cruciales. « Les machines sont souvent déjà intelligentes, mais des investissements supplémentaires sont nécessaires pour qu’elles fonctionnent en toute sécurité. »
La segmentation pour une meilleure visibilité
Au parc éolien Norther à Zeebrugge, on compte sur e-BO Enterprises pour protéger la production d’énergie des pirates informatiques. « Les machines sont souvent une boîte noire. Si vous voulez les surveiller, il faut les connecter à votre propre réseau et vous ouvrez alors la porte aux cyberattaques », explique Tijl Deneut. Selon lui, une bonne protection commence par une bonne visibilité et une segmentation du réseau, comme l’indique le modèle Purdue. Pour ce faire, le réseau est divisé en plusieurs niveaux. Chaque niveau regroupe des dispositifs similaires. « Ne sautez pas les étapes dans l’élaboration d’une architecture de référence. Il s’agit ensuite de trouver un équilibre entre la maniabilité pour les opérateurs et la sécurité. Pour ce faire, nous cartographions le trafic du réseau et nous essayons de limiter le nombre de passerelles afin de détecter les intrusions plus rapidement. Si une seule interface peut envoyer des informations, il n’y a aucun risque ni latence supplémentaire. Une couche de sécurité supplémentaire donc, sans trop d’impact sur le fonctionnement opérationnel. »
Une structure de sécurité en couches
Alors que l’OT était autrefois sous clé, les machines et les actifs de production possèdent souvent aujourd’hui une adresse IP. Dirk Van Hecke, lead expert Networking de delaware: « Il faut prendre conscience que la conformité ne signifie pas une sécurité à 100%. Avec le passage au cloud, les données sont devenues accessibles de n’importe où et à tout moment. Il faut se poser la question de savoir où stocker les données, localement ou au cloud, et dans quelle mesure tout reste sécurisé et accessible. » Pensez à la redondance des systèmes. Veillez à ce qu’il ne reste aucun point de défaillance unique et prévoyez plusieurs pare-feux. « Une bonne sécurité se compose de plusieurs couches, chacune ayant ses vulnérabilités, mais ensemble, elles forment un tout sécurisé. »
Facteur humain
Quelle que soit la technologie dans laquelle vous investissez, la cybersécurité reste une histoire humaine. Deneut : « Lors du projet Norther, nous avons reçu une notification qu’une sous-station essayait d’établir une connexion vers l’extérieur. À cet égard, une adresse IP figurant sur la liste noire a été utilisée. Tous les signaux d’alarme se sont déclenchés, mais il s’est finalement avéré qu’il s’agissait d’un technicien qui avait emporté son laptop en mer et qui voulait passer du bon temps via Popcorn. »
Il plaide donc pour davantage de formation. « Si vous ne pouvez consacrer qu’un euro à la cybersécurité, investissez-le dans la connaissance afin que vos collaborateurs sachent comment utiliser les outils. Il y a énormément de choses que vous pouvez configurer et contrôler en tant qu’entreprise. Veillez également à avoir un plan d’urgence afin que chacun sache quoi faire en cas d’incident. Votre euro sera alors rapidement amorti. »
Un retour à Industrie 2.0?
Ne vaudrait-il pas mieux inverser la tendance d’Industrie 4.0 en production ? Tout fonctionnait bien, jadis. « Non », répond clairement Haerinck. « Avec l’avènement de l’IoT, le pendule est passé de zéro à trop d’ouverture. Une courbe d’apprentissage. On remarque que les entreprises en prennent conscience et appliquent de plus en plus une approche basée sur le risque : quels sont les avantages et quel niveau de sécurité suis-je prêt à abandonner pour cela ? Tout est une question d’équilibre entre 100% de sécurité et 100% de convivialité. Le juste milieu existe. Il faut explorer les possibilités, pas trop vite et pas trop à la fois, mais tout introduire progressivement pour obtenir l’adhésion de tous. L’IT en est conscient, l’OT pas encore. Mais cela vient. L’arrivée da la directive NIS 2 en 2024 plane sur les entreprises de production comme un gigantesque compte à rebours. C’est maintenant qu’il faut agir. »
Par Valérie Couplez
