Cybersécurité industrielle pour réduire les risques

La cybersécurité industrielle est polyvalente et intervient à plusieurs niveaux. Dans la technologie d’exploitation (OT) et la production, le principe de cybersécurité industrielle sert en premier lieu à protéger les machines contre les dangers déclenchés par l’action humaine. Ce principe protège les machines contre des dangers tels que les cyberattaques ou la fraude.

Mais comment procéder pour détecter les risques potentiels ou les possibilités d’intrusion ?

Le premier moyen d’examiner la production en matière de cybersécurité industrielle est de procéder à une appréciation du risque. Elle révèle à quels dangers et risques du « cyberespace » une machine est exposée et quelles mesures doivent être prises pour les réduire autant que possible.

L’appréciation du risque de cybersécurité devrait toujours être effectuée en suivant les étapes suivantes :

1. Identification des ressources : Qu’est-ce que je veux protéger ?
2. Analyse des menaces : Quels sont les risques liés au bien à protéger ?
3. Définition des objectifs pertinents de protection : Quels sont les objectifs que je souhaite atteindre ?
4. Analyse et évaluation des risques : Quelle est la probabilité qu’un risque se concrétise ?
5. Analyse des vecteurs d’attaque
6. Création et mise en œuvre du concept de cybersécurité
7. Contrôle de la mise en œuvre
8. Réévaluations périodiques
9. Sélection et mise en œuvre des mesures de protection : Comment puis-je me protéger d’un risque éventuel ?
10. Gestion de la résilience : Que faire suite à une attaque ? Comment puis-je renforcer la cybersécurité dans l’entreprise ?

Les niveaux de cybersécurité définissent le niveau de sécurité que les exploitants d’installations ou fabricants veulent atteindre à l’aide des mesures de réduction des risques. Une appréciation du risque est également réalisée au préalable. Elle permet de définir ce qui doit être protégé et précise la probabilité d’attaque de ce bien. Le niveau de cybersécurité (Security Level ou SL) est sélectionné en conséquence. Le niveau SL 2, autrement dit une protection contre la dégradation / fraude intentionnelle avec des moyens simples, des ressources limitées, des capacités normales et sans motivation spéciale doit aujourd’hui être considéré comme la norme minimale. Pour maintenir cette norme minimale, l’entreprise doit disposer d’un certain degré de maturité en termes de cybersécurité. Le meilleur pare-feu n’est d’aucune utilité si les collaborateurs d’une entreprise continuent de coller des post-it avec leurs mots de passe sur l’écran de leur ordinateur ou n’effectuent pas les mises à jour requises. Par conséquent, plus l’entreprise prend le thème de la cybersécurité au sérieux, plus le niveau de protection global assuré est élevé. Pour cette raison, il est important d’opter pour un concept de cybersécurité global.

Vue d’ensemble des niveaux de cybersécurité :

• Niveau de cybersécurité 1 : protection contre les mauvaises utilisations simples ou accidentelles
• Niveau de cybersécurité 2 : protection contre les mauvaises utilisations intentionnelles via des moyens simples
• Niveau de cybersécurité 3 : protection contre les mauvaises utilisations intentionnelles via des moyens perfectionnés
• Niveau de cybersécurité 4 : protection contre les mauvaises utilisations intentionnelles via des moyens perfectionnés et de nombreuses ressources

Pour pouvoir protéger une machine de manière ciblée et spécifique, il est indispensable de procéder à une évaluation détaillée des risques de cybersécurité. Mais des mesures génériques peuvent également améliorer la cybersécurité. Toute mesure vaut mieux que pas de mesure du tout. Les stratégies suivantes vous aideront à mettre la cybersécurité en œuvre au sein de votre entreprise :

1. Défense en profondeur : Ce principe implique de placer en permanence des obstacles nouveaux et différents sur le chemin des intrus. Ainsi, ils ont plus de mal à parvenir à leur but. La clé consiste à créer autant d’obstacles que possible à différents niveaux, car chaque mesure isolée peut bien entendu être surmontée. Un élément important de ce concept est la prise en compte systématique du facteur humain.

2. Mesures organisationnelles : Il est donc important que tous les collaborateurs d’une entreprise intègrent la cybersécurité. Il est recommandé d’établir des directives qui s’appliquent à la fois aux collaborateurs de l’entreprise et aux partenaires tels que les fournisseurs et les prestataires de services. Dans la mesure où il est préférable de faire confiance mais aussi de contrôler, une personne chargée de la cybersécurité devrait vérifier le respect de ces directives et, le cas échéant, apporter son aide.

3. Formations : Comme tout le monde n'est pas expert en cybersécurité à la base, il est nécessaire de former régulièrement les collaborateurs à la cybersécurité. Les formations de Pilz, dispensées aussi bien à notre siège d’Ostfildern, près de Stuttgart, que chez nos clients ou sous forme de webinaires, s’adressent aux constructeurs de machines et aux concepteurs d’installations, mais aussi aux exploitants.

4. Segmentation des « zones et conduits » : Les zones contenant des appareils ayant des exigences similaires en matière de cybersécurité doivent être isolées les unes des autres par des pare-feu ou des routeurs sécurisés. Ainsi, seuls les appareils qui y sont effectivement autorisés à le faire peuvent émettre et recevoir via les passages (conduits) entre les zones. Il est par exemple possible de protéger de manière particulièrement élaborée les appareils liés à la sécurité dans une zone spécifique, sans que cela ne menace le fonctionnement standard.  

5. Pare-feu : Bien que les routeurs et les switchs puissent également prendre en charge des mécanismes de sécurité, vous devriez aussi mettre en place des pare-feu au sein de votre réseau de commande. L’application pare-feu SecurityBridge protège notamment les systèmes de contrôle-commande de sécurité des machines et des installations, par exemple contre la falsification des données de processus.

6. Gestion des correctifs : Des correctifs sont tout particulièrement nécessaires lorsque des vulnérabilités liées à la sécurité sont découvertes dans le logiciel utilisé. Il s’agit ici de logiciels d’application et de logiciels intégrés. Il faudrait prendre en compte non seulement les correctifs et mises à jour validés par le fabricant, mais aussi les logiciels tiers (exemple : applications bureautiques, lecteurs PDF). Un processus de gestion des correctifs permet de définir les responsabilités et la procédure à suivre.

Si l’on s’oriente vers la norme CEI 62443 en matière de cybersécurité industrielle, on y trouve une série d’exigences fondamentales, appelées « Foundational requirements », qui décrivent de manière abstraite des méthodes techniques pour augmenter la sécurité au sens de la cybersécurité :

Contrôles des identification et des accès (IAC)

Cela permet de garantir que les appareils ainsi que les informations qui y sont détenues ne peuvent être consultés ou modifiés que par des entités légitimes disposant des autorisations nécessaires. Ces autorisations sont nécessaires pour assurer le fonctionnement en toute sécurité d’une installation ou d’un dispositif et pour garantir le bon fonctionnement de l’IACS (Industrial Automation and Control System).

Contrôle de l’utilisation (UC)

Le contrôle de l’utilisation (UC) fait en sorte que seules les entités autorisées puissent utiliser les appareils et/ou les informations pour effectuer des tâches valides et nécessaires qui sont essentielles à la sécurité et à la productivité d’une installation ou d’un dispositif. Il s’agit donc des autorisations. Le principe du « moindre privilège » doit être respecté.

Intégrité des systèmes (SI)

Cette exigence fondamentale garantit qu’aucune modification non autorisée ne peut être apportée aux données dans les canaux de communication et que des données correctes sont donc toujours disponibles. Par exemple, les valeurs émises par une publication doivent correspondre aux valeurs réelles et ne doivent pas avoir été falsifiées. 

Confidentialité des données (DC)

Toutes les données contenues dans une machine doivent rester confidentielles et ne doivent pas pouvoir être consultées par des personnes extérieures ou des initiés non autorisés.

Limitation des flux de données

Cette exigence fondamentale garantit que les flux de données ne sont transmis que dans les domaines où ils sont vraiment nécessaires. Cela permet de réduire les possibilités de consultation ou de falsification des données sans autorisation. Cela signifie que l’architecture du système doit être conçue de manière à ce que le système puisse être divisé en zones et passages avec des niveaux de sécurité adéquats. L’utilisation d’appareils tels qu’une passerelle unidirectionnelle ou une diode de données peut y contribuer.

Réaction en temps réel aux événements

Il faut s’assurer que l’IACS dispose des capacités nécessaires pour réagir aux violations de la sécurité. Il s’agit notamment de notifier l’autorité publique compétente, de documenter les preuves de la violation et de prendre des mesures correctives en temps utile lorsqu’un tel incident est détecté.

Disponibilité des ressources

Il convient de veiller à ce que la conception et le fonctionnement de l’IACS soient tels qu’il ne se produise pas de situation dans laquelle une installation ne peut plus être contrôlée ou, dans le pire des cas, ne peut simplement pas être remise dans un état de sécurité. En d’autres termes, même en cas d’attaque par déni de service, il ne doit pas être possible d’empêcher la sécurité de placer l’installation dans un état de sécurité ou de remplir sa fonction de protection.

Pour chacune de ces exigences fondamentales, d’autres exigences sont définies pour le système, sur la base desquelles il est possible de mettre en œuvre des mesures de cybersécurité, qui deviennent plus importantes en fonction du niveau de cybersécurité technologique que l’on souhaite atteindre.