Protéger les systèmes de contrôle de process face aux cyberattaques

La cybersécurité devient un sujet urgent pour les sociétés du secteur manufacturier. Les scanneurs de virus, les pare-feux et les mots de passe n'offrent plus de protection suffisante face aux hackers. Désormais, les solutions de sécurité requises sont spécifiques à chaque situation individuelle.

Dans les usines, les différents niveaux de la production et de l'automatisme sont de plus en plus connectés entre eux et avec Internet. Cette connectivité rend les installations vulnérables face aux tentatives de manipulation et de sabotage via des malwares tels que les virus, les chevaux de Troie, les vers... Les entreprises doivent protéger leurs systèmes contre ces menaces qui ne cessent d'augmenter.

A la Foire de Hanovre 2016, la fédération allemande de l'industrie digitale Bitkom a révélé les résultats d'une étude qu'elle venait de réaliser auprès de 504 entreprises du secteur manufacturier. Selon cette étude, 69% d'entre elles ont été victimes de vols de données, d'espionnage industriel ou de sabotage au cours des deux ans écoulés. Plus d'un incident sur trois a été consécutif à un vol de smartphones, d'ordinateurs ou de tablettes, et 18% des entreprises consultées ont été la cible d'actes de sabotage visant à perturber ou paralyser leurs processus de gestion.

Les scanneurs de virus, les pare-feux et les mots de passe sont déjà des éléments standard des solutions de sécurité IT. "Ces mesures ne suffisent pas pour protéger un système de contrôle de process contre les cyberattaques," observe Martin Reichinger, Business Manager Process Automation chez B&R. Selon lui, une analyse de risques doit être effectuée dès la conception des installations de process pour permettre le développement d'une stratégie couvrant tous les aspects de la sécurité. La nature des process, les infrastructures, et les spécificités locales sont aussi des facteurs à prendre en considération dans ce domaine. "La solution de sécurité pour tous n'existe pas," souligne M. Reichinger.

Une des mesures à prendre dans le cadre d'un plan de sécurité global peut être, par exemple, d'isoler les différentes étapes du process dans des cellules de sécurité. Une telle mesure accroît la disponibilité du système dans son ensemble. "Si une attaque affecte certains éléments de l'infrastructure, la continuité de fonctionnement des autres cellules est assurée. Une menace au sein d'une cellule reste cantonnée à cette cellule et elle seule."

Si un process ne se prête pas à une décomposition en cellules du fait, par exemple, de l'absence de conteneurs tampon, le système peut être néanmoins protégé par la mise en place de droits d'accès et d'utilisation spécifiques en fonction des tâches à effectuer. "Le plus important est de définir ces domaines de responsabilité en prenant en compte tous les niveaux de la production," indique M. Reichinger. En principe, les droits d'accès ne devraient être attribués qu'à l'endroit où ils sont absolument nécessaires.

"Il existe de nombreuses méthodes pour protéger les systèmes de contrôle de process face aux cyberattaques," observe M. Reichinger. Les systèmes permettant d'empêcher les manipulations illicites occupent toujours une place essentielle. L'architecture du système de sécurité doit être conçue de manière à interdire la manipulation de données importantes.

Les systèmes de contrôle de process doivent être isolés des systèmes de niveau supérieur par un réseau tampon connu sous le nom de zone démilitarisée ou DMZ. Les données provenant de ces systèmes sont transférées dans cette zone, la seule où elles sont accessibles depuis l'extérieur. La DMZ est protégée soit par un pare-feu à trois interfaces permettant une connexion séparée, soit par deux pare-feux de deux fabricants différents. "Dans la plupart des cas, cette solution donne suffisamment de temps pour détecter et bloquer une attaque si une brèche a été ouverte dans le premier pare-feu," indique M. Reichinger. Les opérations illicites sont également détectées en temps réel à l'aide de technologies d'inspection de paquets.

Parmi tous les avantages qu'offre le système de contrôle APROL, un des plus significatifs sur le plan de la sécurité est que sa base de données SQL n'octroie que des accès en lecture aux réseaux externes. Manipuler des données sur les serveurs devient ainsi nettement plus compliqué. De plus, tous les serveurs APROL sont dotés d'un pare-feu intégré. "Ces pare-feux sont installés et configurés automatiquement au démarrage," indique M. Reichinger. Pour offrir la meilleure sécurité possible, APROL est basé sur le système d'exploitation SUSE Linux Enterprise Server 12 SP4.

La version 4.0 (ou plus) d'APROL remplit l'exigence de l'Office fédéral allemand de la sécurité des technologies informatiques (BSI) selon laquelle la couche système du logiciel doit être "durcie". Ces versions d'APROL ne contiennent en effet que les composants et fonctions logiciels dont le programme a vraiment besoin pour accomplir sa tâche. Bien souvent, les attaquants parviennent à s'introduire dans un serveur en utilisant un programme qui n'aurait jamais dû s'y trouver. "De même, il est aussi important de fermer les ports et interfaces matérielles non utilisés. Sinon, quelqu'un peut insérer une clé USB et charger des programmes malveillants," note M. Reichinger.

Pour conclure, M. Reichinger fait la réflexion suivante : "Aussi bien conçue soit-elle, une solution de sécurité ne sert à rien si l'on ne s'astreint pas à une certaine discipline dans les pratiques de travail." Les mots de passe faciles à trouver, les droits d'accès mal gérés et les mises à jour non effectuées font aussi peser de sérieux risques. "La sécurité doit être une des priorités des exploitants pendant toute la durée de vie de leurs installations."