Cybersécurité : un enjeu élevé, des difficultés réelles mais des opérateurs qui ont décidé d'investir
28 février 2021Paru dans le N°439
à la page 77 ( mots)
Rédigé par : Pascale MEESCHAERT de EDITIONS JOHANET
Depuis la loi de programmation militaire 2014-2019, les infrastructures de traitement et de distribution d’eau potable, tout comme les stations d’épuration, font partie des opérateurs d’importance vitale (OIV). Du fait de la généralisation des situations de coactivité et de l’augmentation des solutions technologiques associant IoT et systèmes connectés, l’intégration des cybermenaces par les opérateurs de l’eau a franchi un cap ces dernières années… Nécessitant plus que jamais le tryptique expertise, technologies et processus. Explications
Pour la 3ème édition du rapport franco-allemand “Common Situational Picture”, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et son homologue, le Bundesamt für Sicherheit in der Informationstechnik (BSI), font le constat d’un accroissement très rapide du niveau de la menace cyber en France et en Allemagne. Dans la continuité d’une trajectoire initiée en 2019, le nombre de cyberattaques a explosé : le nombre de victimes a ainsi été multiplié par 4 en un an.
Si les cybercriminels ont tendance à privilégier les grands groupes, dans le conteste de Covid-19, les hôpitaux, les fabricants de vaccins et leurs chaînes d’approvisionnement sont de plus en plus ciblés par les attaquants obligeant RSSI et professionnels de la cybersécurité à redoubler d’efforts pour protéger leurs clients. Avec l’adoption d’Ethernet, le développement des technologies M2M et dans une certaine mesure l’amplification du télétravail, l’augmentation de la surface d’attaque constitue autant de faiblesse exploitée par les cybercriminels. La recrudescence d’attaques de type “rançongiciel” (ransomware) et d’hameçonnage (phishing) combiné à un espionnage numérique débridé n’épargne pas le secteur de l’eau. Elle alimente une grande partie des contre-mesures à mettre en œuvre pour améliorer le niveau de sécurité du secteur. « Les notions de cybersécurité ont mis longtemps à s’imposer concrètement sur le secteur d’activité de l’eau. En effet, les technologies de communication auparavant classiquement utilisées ne permettaient pas facilement à des systèmes automatisés d’attaquer à moindre frais les installations techniques, d’autant plus que les matériels étaient très spécifiques et donc peu connus des personnes potentiellement malveillantes », explique Alain Cruzalebes, directeur chez Perax. Les actions mises en place visaient principalement à se prémunir d’éventuelles malveillances plus directes, comme celles potentiellement liées au départ d’un collaborateur par exemple. Mais avec l’arrêt progressif des technologies RTC et du GSM Data, les technologies de la télégestion se rapprochent de plus en plus des technologies informatiques et réseau grand public et donc du domaine de compétence des cyberpirates. « Aussi, il est maintenant clairement compris et accepté depuis quelques années dans le domaine de l'eau que tout équipement installé sur le réseau Ethernet, quelle que soit la réglementation nécessite d'être cybersécurisé ».
Un périmètre difficile à défendre
Depuis l’arrêt du 1er juillet 2016 qui concerne le secteur de l’eau, les contraintes règlementaires de sécurité applicables au secteur sont croissantes. Les gestionnaires des unités de traitements sont responsables de l’ensemble des mesures de sécurité à mettre en œuvre, tant pour l’accès aux sites, que pour la formation du personnel, le choix des matériels et logiciels utilisés, ou encore le choix de leurs sous-traitants. « Dans le cas du secteur de l’eau, tous les opérateurs, d’un point de vue physique et géographique, doivent faire face aux mêmes contraintes inhérentes à leur métier, explique Florent Lefèvre, Cybersecurity & Industrial Networks Business Développement Lead chez Rockwell Automation. Différentes générations de systèmes informatiques, souvent fermés, des systèmes propriétaires qui s’accompagnent de réseaux informatiques décentralisés, installés pour certains depuis une trentaine d’années qui n’ont aucune notion de sécurité, de contrôle d’accès, et qui sont donc difficiles à protéger et à mettre aux normes ». Les cyberattaques peuvent intervenir, tant au niveau du poste central de supervision que sur les automates de télégestion, poursuit Alain Cruzalebes. « Nous avons déjà constaté une attaque par un ransonware dans une infrastructure mal sécurisée. Ceci a nécessité la réinstallation totale du poste central de supervision, mais n’a heureusement pas eu d’impact sur la production d’eau. Nous avons aussi constaté chez un autre client un malware tendant à saturer le réseau internet et à faire ralentir de façon très significative le fonctionnement de son automate de télégestion qui avait été installé sur un réseau internet non sécurisé ». Cela peut être grave car le gestionnaire de l’infrastructure peut être mis en cause pour contribution à l’attaque du réseau internet. « Nous réalisons des tests de robustesse de la sécurisation de nos systèmes et nos outils permettent de surveiller les tentatives d’intrusion sur le VPN de nos clients. Nous avons constaté que la durée de vie moyenne avant attaque d’un système non protégé est de moins de 30 mn ! ».
Identifier les vulnérabilités critiques
Des guides de bonnes pratiques, permettant l’auto-évaluation et l’auto-sécurisation, ont été mis en ligne par l’ANSSI en janvier 2014 pour aider les exploitants dans leur démarche. Ces guides ont été établis au sein de groupes de travail auxquels contribuent des acteurs du domaine, comme Codra, Lacroix Sofrel, Rockwell Automation, Schneider Electric ou Siemens, et des intégrateurs comme Aréal ou Actemium. Une vingtaine d’entre eux à l’instar d’Actemium, SN Apilog Automation, Codra, Schneider Electric, Siemens ou encore Rockwell Automation proposent de réaliser des audits et de suivre le niveau de maturité qui permet aux OIV d’être correctement outillés. Précisons qu’à ce jour, la plateforme logicielle de Codra, Panorama Suite pour la partie SCADA, est le seul logiciel de supervision à avoir reçu la certification & la qualification de l’ANSSI.
Dans le cas d'OIV, Siemens, fait couramment appel à des partenaires labellisés par l'ANSSI.
Compte tenu de la multiplicité des risques, il est indispensable d’identifier les failles, contrôler les accès, détecter les attaques pour organiser la défense du périmètre. La première démarche que Rockwell adopte est de réaliser un inventaire sur la sécurité des réseaux et des systèmes d’information afin d’être en mesure d’élaborer une analyse des risques. Le périmètre de l’analyse doit être global, inclure les actifs fixes (postes, serveurs…), les postes nomades, les environnement cloud et les automates utilisés… « On applique à ce stade une stratégie de défense en profondeur qui est basée sur les principes de la forteresse de Vauban. Elle consiste à évaluer la criticité opérationnelle de chaque actif et à mettre en place plusieurs niveaux de sécurité pour que chaque couche de sécurité soit capable de se défendre seule », résume Florent Lefèvre. Précurseur en la matière, le constructeur allemand Siemens a déposé ce principe de défense en profondeur sous la dénomination de "Holistic Security Concept" il y a plusieurs années déjà. En croisant, le score technique dynamique de chaque actif et la criticité métier, on obtient la criticité globale de l’infrastructure.
Basée sur des standards de sécurité tels que IEC 62443 et NIST, l’analyse définit en termes techniques précis les mesures de sécurité à mettre en œuvre pour permettre aux installations qui en seront équipées d’atteindre un niveau de sécurité donné. « Compte tenu de la multiplicité des risques, cette batterie de points de contrôle va aider les clients à savoir où ils en sont dans leur démarche de sécurité et leur maturité. Dans l’industrie, et c’est particulièrement vrai dans les domaines de l’énergie et de l’eau, la plupart des clients n’ont qu’une vague idée des systèmes installés, et ce pour de multiples raisons. Généralement, ils sont passés par des prestataires, des opérateurs, ou des intégrateurs. Les systèmes sont donc assez peu documentés et fragilisent l’exploitation. Aussi, la première étape consiste à identifier les équipements et les vulnérabilités », résume Florent Lefèvre. Le concept généralement admis étant que 90 % du risque vient de 10 % du périmètre, il est donc très important de connaître les 10 % les plus critiques pour les sécuriser. Dans le domaine de l'eau entre autres (water et wastewater), Siemens met à disposition des exploitants, des blueprints et architectures-types "clé en mains" avec une macroanalyse des risques, que le client peut adapter à sa propre usine.
Des contre-mesures précises et segmentées
Une fois les vulnérabilités identifiées, il s’agit d’y pallier par des contre-mesures choisies en fonction de l’impact d’une attaque et de sa probabilité d’occurrence : ici des firewalls, là de la segmentation des réseaux, c’est-à-dire des architectures pour isoler et séparer les réseaux critiques des systèmes non critiques, les réseaux d’exploitation des réseaux d’informatique et bureautique…
Il n’est cependant pas toujours possible d’adopter directement les dispositifs utilisés dans le domaine de l’informatique classique. Le développement actuel des objets connectés, des radiofréquences et du M2M industriel crée d’autres vulnérabilités. Utiliser un anti-virus sur certaines stations par exemple dégraderait leur performance ou ferait redémarrer une machine. Ainsi les solutions proposées par des automaticiens comme Phoenix Contact, Rockwell Automation, Siemens ou Wago sont nombreuses tout comme les offres des fournisseurs de solutions réseaux comme eWon, ATIM, Adeunis RF, IP Systemes, Ql3D.
Pour réduire les accès aux différents services de l’automate au plus juste, à des adresses ou plages d’adresses IP, la technique VPN est très aboutie. Simple et peu coûteuse, elle assure l’authentification de la communication et le cryptage des données entre un superviseur et les produits, ou bien entre les produits eux-mêmes. Le dispositif peut également servir à l’intérieur de l’usine, pour protéger des machines d’interférences de communication avec d’autres machines. Afin de garantir une protection complète contre les cyberattaques au niveau des machines/sites mais aussi des connexions à distance, les routeurs de sécurité mGuard de Phoenix Contact sont modulaires. Ils permettent de bloquer les connexions non autorisées en intégrant à la fois du pare-feu et des tunnels VPN.
Dans l'optique de faire gagner du temps et de simplifier la mise en service et l'utilisation des produits, les mGuards peuvent disposer de carte SD de paramétrage, la création et la gestion des VPN se fait depuis un portail web et la gestion de l'ensemble du parc peut être centralisé.
Le serveur VPN, c’est aussi l’option proposée par Perax pour sécuriser les connexions à ses appareils.
« PERAX Technologies a choisi de faire confiance au monde communautaire OpenSource qui est en veille permanente des failles de sécurité et propose des solutions fiables et évolutives. Nous avons choisi OpenVPN, dont une version récente a été qualifiée niveau 1 par l’ANSSI. C’est une solution cryptée et sécurisée par certificats. L’intérêt de cette solution est d’être standard et interopérable : de nombreux fournisseurs de modems routeurs ou de systèmes informatiques implémentent une version de OpenVPN client. C’est d’ailleurs le cas de la plupart de nos smartphones ».
La protection d'un système doit passer par plusieurs niveaux, estime Ludovic Pertuisel, responsable produit chez Lacroix Sofrel, qui avec le lancement de son poste Local S4W en 2017 fait figure de pionnier en matière de Cybersécurité des réseaux d'eau. « En effet, il faut tout d'abord s'assurer que chaque intervenant possède son propre compte utilisateur et ne plus avoir de compte générique. Chaque utilisateur se voit attribuer un niveau de droits limité avec son périmètre d'intervention. Ensuite, il faut que les postes locaux ne puissent communiquer qu'avec des équipements tiers authentifiés via une gestion de certificats dédiée. Il est évident que les échanges doivent se faire via un serveur VPN afin de protéger les communications. Finalement, il faut que le système soit conçu nativement avec la cybersécurité en trame de fond. En combinant tous ces éléments, le réseau de télégestion reste simple d'utilisation et permet à nos clients de se concentrer tout simplement sur leur métier d'industriel de l'eau potable et de l'assainissement ».
La simplicité, c'est aussi ce que propose le système SINEMA RC de Siemens en prenant la main à distance sur les équipements des clients grâce a un tunnel VPN de bout en bout. Lorsque des alertes de vulnérabilités sont détectées, le système CERT complète la solution et remédie aux failles grâce à des patches de mise à jour.
Le dispositif Stratix 5700 de Rockwell Automation vise, de son côté, à vérifier la légitimité du trafic au niveau des contrôleurs, et le routeur de service Stratix 5900, la protection des infrastructures en site distant. Ce routeur s’assure que la personne cherchant à se connecter est habilitée à le faire (authentification) et génère un tunnel VPN pour transférer des informations cryptées.
Complémentaire au SNi40, le nouveau pare-feu SNi20, lancé en début d’année par Schneider Electric et Stormshield s’adresse plus particulièrement aux secteurs des réseaux électriques et des réseaux d’eau. Doté d’un boîtier matériel dont le support à la norme IEC 61850-3, le SNi20 propose des fonctions de sécurité et de filtrage dédiées à ces environnements à l'aide de sa fonction bypass, de son mode sûreté (fail safe) et de son alimentation redondante et la mise en place d’une télémaintenance sécurisée des machines et automates distants via VPN SSL ou IPsec.
Du côté de Siemens, les gammes Scalance et les équipements de Rugged Com adressent aussi bien les problématiques de filtrage réseau que les environnements les plus contraints (poussière, humidité, température extrême).
Chez Westermo, la série Lynx et Redfox, sont des boîtiers durcis qui intègrent les fonctions switch/routeur et firewall à inspection de paquets et routeurs sans-fil sécurisés intégrant un mécanisme de déploiement automatique sans intervention humaine (Zero Touch Deployment).
L’éditeur Aréal préconise de son côté des solutions logicielles destinées à protéger les communications avec l’extérieur. La zone DMZ (demilitarized zone) créée constitue un sous-réseau isolé du reste de l’installation, auquel on accède par un serveur web avec un pare-feu et des filtres sur les flux de données entrant. Aréal propose également des utilitaires pour verrouiller l’environnement Windows en fonction des droits d’accès pour différentes opérations (supervision, installation de nouveaux logiciels) et protéger les disques durs en écriture.
Durcissement des mots de passe, filtrage des adresses IP… Lacroix Sofrel poursuit ses efforts sur l’ensemble de ses équipements pour promouvoir les bonnes pratiques et assurer une meilleure sécurisation des accès aux postes de télégestion incluant un écosystème complet et simple d'utilisation. Il permet l'authentification des utilisateurs et systèmes connectés, chiffrement des communications, certificats électroniques, traçabilité des accès…
Actemium propose de surcroît de mettre en place des analyseurs de réseau (sniffer) qui permettent de vérifier que les commandes transitant sur les réseaux entre supervision et automates sont bien autorisées par rapport aux droits d’accès utilisateurs. Ses dispositifs sont conçus pour protéger les procédés essentiels de la station, par exemple pour détecter une modification anormale de la concentration de chlore en comparant des unités redondantes, en faisant remonter des alarmes en cas de modification inopinée de programme des automates, etc. Ils permettent aussi de détecter une intrusion sur le réseau industriel à l'image de ce que propose Siemens avec ses partenaires Claroty et Nozomi.
Traçabilité renforcée pour sites décentralisés
A l’échelle de la France, on recense quelques 30.000 réservoirs sur le territoire métropolitain. Pièce maîtresse de l’approvisionnement en eau potable, leurs dispositifs anti-intrusion et de contrôle d’accès restent des points très sensibles à l’instar de tous les sites décentralisés du secteur de l’eau. Et, ils sont nombreux !
« Nous avons une expérience de 18 ans avec les grands opérateurs d’infrastructures sensibles et donc une connaissance approfondie des enjeux de sécurité dans le secteur de l’eau. Cette expérience nous a amené à faire l’objet de nombreux audits externes pour répondre à la demande des Responsables de la Sécurité des Systèmes d’Information (RSSI) de nos clients qui doivent valider l’adéquation des solutions qu’ils installent avec leurs normes de cybersécurité » explique Fabien Frau responsable des opérations France chez Locken. « De ce fait, toute la chaîne d’interaction de notre solution, depuis la clé électronique jusqu’au logiciel de gestion en passant par nos process de service réponde aux préconisations de l’ANSSI. Pour la mise en sécurité de ces sites d’importance vitale, nous recommandons l’installation de notre solution autonome basée sur la clé électronique ISEO basée sur la technologie à induction, pilotée par notre logiciel qui intègre une technologie de traçabilité des données ». Le système est orienté sur la personnalisation des configurations pour que les droits attribués aux différents intervenants se fassent en fonction de leurs usages. « En ce sens, pour aller encore plus loin dans l’automatisation, le système peut potentiellement être ouvert à d’autres applications. Par exemple, si une régie des eaux devait connecter sa GMAO et planifier ses interventions sur différents sites, on pourrait très bien la relier à notre logiciel pour attribuer les droits automatiquement. Évidemment, toutes ces adaptations sont possibles seulement dans un environnement hautement sécurisé : celui de notre solution est crypté sur l’ensemble du système conformément aux standards actuels de sécurisation ». Adaptée aux environnements les plus hostiles et aux sites dépourvus de réseau de communication et même d’électricité, la solution est parfaitement autonome : elle ne nécessite aucun câblage, ni batterie dans la serrure puisque le cylindre est passif et que la technologie de dialogue se trouve dans la clé.
Développé par l’entreprise finlandaise iLOQ, iLOQ S50 est le tout premier cylindre de serrure à profil européen capable de récupérer depuis un smartphone l’énergie dont il a besoin pour fonctionner.
Concrètement, le smartphone de l’exploitant devient une clé qui lui permet de gérer simultanément plusieurs sites qui sont regroupés sur une seule plateforme logicielle sécurisée basée sur le Cloud. Des restrictions temporelles et les rapports d’audit sans fil permettent de sécuriser les failles de sécurité et de remplacer les systèmes de verrouillage mécaniques et électromécaniques classiques par une solution qui simplifie la maintenance.
Même exigence de sécurité et de traçabilité chez Abloy qui propose la clé électronique CLIQ Connect dont les droits d’accès sont programmables et mis à jour sur l'application mobile CLIQ Connect. « L’avantage de la clé électronique CLIQ Connect est qu’elle s’associe à tous les types de cylindres et qu’elle a été spécialement conçue pour administrer les systèmes décentralisés. L’administrateur centralise et paramètre les droits de chaque personnel sur le logiciel CLIQ™ Web Manager et remet sa clé à chaque utilisateur », précise Aude Rouyer, chef de Produit Clés électroniques et digitales. L’insertion de la clé dans un cylindre pour lequel l’utilisateur ne dispose pas de droit, déclenchera l’écriture, au sein de la clé, de la tentative d’ouverture. A l’inverse, si l’utilisateur dispose des droits, la clé manœuvrera le cylindre et tracera l’accès. « Ainsi toutes les entrées et sorties sont tracées et visibles par l’administrateur depuis n'importe quel ordinateur connecté à internet via le logiciel CLIQ® Web Manager. Cette fonction est particulièrement dissuasive et bienvenue pour des sites qui sont souvent exposés à des failles de sécurité ». Abloy offre deux modes d’hébergement : un hébergement sur le Cloud et un hébergement sur les propres serveurs du client. « Dans le secteur de l’eau, 80 % de nos clients choisissent de se faire héberger par Abloy car la solution offre beaucoup de confort aux exploitants : des services de mise à jour des logiciels, la surveillance des infrastructures sur site 24h sur 24, et aucun besoin d’investir dans des ressources et infrastructures informatiques ».
Du tactique au stratégique
La mise en sécurité doit être méthodique et va bien au-delà des solutions techniques. Elle implique la réalisation de l’exercice de cybersécurité qui est obligatoire dans le cadre des OIV. « A l’instar de l’exercice incendie en entreprise, nous simulons l’installation des opérateurs sous différents scénarios d’attaque pour mieux identifier les risques et définir les réactions appropriées, explique Florent Lefèvre. Cela permet d’identifier comment mettre l’installation en repli puis la remettre en fonctionnement rapidement pour assurer une continuité d’exploitation dans les meilleures conditions possibles. Nous devons donc disposer des outils de supervision des réseaux, de remontée d’alerte incluant la supply-chain qui représente une partie importante de l’usine à sécuriser ». Car même si elle est généralement portée par une personne, la mise en sécurité est avant tout une approche collaborative, où chaque service de la Supply Chain doit participer.
En tant qu’opérateur d’importance vitale, le fonctionnement même des systèmes critiques nécessite donc plus que jamais le triptyque expertise, technologies et processus. Sans processus, le maintien du niveau de sécurité a peu de chance d’obtenir de bons résultats…
Les acteurs comme Rockwell Automation, Aréal, Actemium ou Lexsi ont développé un processus de certification cybersécurité, basé sur le standard IEC 62 443, qui inclut les prestataires, l’équipement, le processus, les services pour accompagner les industriels et exploitants. « En France, nous sommes très bien équipés d’un point de vue institutionnel avec l’ANSSI notamment, et nous avons des prestataires de très haut niveau qui sont capables d’aider les clients avec la nomenclature de réponses à incident adaptée » affirme Florent Lefèvre.
Quant à Siemens, la société a fait, d'une part, le choix d'un axe souverain basé sur la qualification ANSSI de ses produits (les automates S7-1500 sont les seuls à être qualifiés par l'ANSSI depuis 2017, ce qui vaut recommandation à l'achat par l'État français) et d'autre part, d'un axe européen et international en certifiant IEC 62 443 ses produits, usines et outils de production via le tiers de confiance que représente le TÜV Sud.
Grâce à l’alliance des technologies et des expertises métiers, le partage entre les différents contextes client et la compréhension des groupes d’attaquants, le processus offert aux exploitants dépasse largement les modèles traditionnels pour finalement mieux maîtriser les risques. « Nos techniciens sont régulièrement sensibilisés aux risques informatiques et contribuent notamment à donner aux gestionnaires un avis extérieur sur la sécurité de leur infrastructure technique lorsqu’ils constatent une faille évidente. Ils forment les gestionnaires à l’installation et à l’utilisation du serveur et des clients VPN, ainsi qu’à la génération de certificats de sécurité. Mais nos interventions doivent impérativement venir en supplément d’une formation de cybersécurité dispensée par des organismes ayant une vision globale des installations du clients et de leurs ressources matérielles et humaines », rappelle Alain Cruzalebes.
Au travers de son centre de formation SITRAIN, Siemens dispense une formation "DI Cyber" (Cybersécurité de systèmes industriels), dans laquelle le stagiaire apprend entre-autres à implémenter des fonctionnalités de sécurité sur les automates Simatic S7-1500. Cette formation est labellisée SecNumEdu par l'ANSSI.
Cet article est réservé aux abonnés, pour lire l'article en entier abonnez vous ou achetez le