Le monde de l’embarqué se différencie en bien des points de l’IT traditionnelle. Pourtant, les deux domaines se rejoignent sur un point : la cybersécurité n’est plus une option, que ce soit sur la voiture de Mr tout le monde ou le système d’arme le plus évolué.
Pendant longtemps, l’informatique embarquée est restée quelque peu isolée des thématiques cyber : capacités de calcul extrêmement limitées, peu ou pas de connectivité, ces systèmes semblaient peu exposés aux attaques informatiques.
Quelques décennies plus tard, la situation a bien changé : que ce soit les automobiles, les trains, les avions et même les systèmes d’armes sont connectés et embarquent de multiples équipements IT. De facto, tous les systèmes embarqués sont devenus des cibles potentielles.
Sur la scène du FIC 2023, Dimitri Van Zantvliet, Directeur de la cybersécurité/CISO de Dutch Railways résumait ainsi cette problématique : « tout est aujourd’hui question de connectivité. Que ce soit dans les ateliers où nous entretenons nos trains, ainsi que les trains eux-mêmes qui sont de plus en plus connectés. Dans certains, on compte jusqu’à 400 systèmes embarqués, notamment des systèmes d’information à destination des passagers. Il y a aujourd’hui beaucoup d’informatique embarquée et d’IT dans nos trains, et tous sont connectés ».
Les grandes réalisations industrielles sont aujourd’hui un assemblage de technologies temps réel et d’IT à très grande échelle comme l’a rappelé Philippe Coste, responsable de la gouvernance Cybersécurité de Naval Group : « Naval Group conçoit, fabrique et entretient des navires pour les marines militaires françaises et étrangères, et qui embarquent plusieurs milliers d’équipements, du domaine IT, puisque nos navires sont de plus en plus numérisés, et du domaine OT. Tous ces équipements communiquent puisqu’un bâtiment est un tout et qu’il évolue dans un environnement cyber aux contraintes assez fortes. L’arme cyber est la première à être utilisée avant d’utiliser les armes plus conventionnelles ».
« Plus de 85% des véhicules vendus dans le monde d’ici 2025 seront connectés. »
Patrick LoustaletChef de projet Cybersécurité Software République, Renault
Face à cela, les industriels ont fait évoluer leurs processus internes et remonter cette problématique cyber en amont de leurs processus de développement produits. C’est tout particulièrement le cas des constructeurs automobile, comme l’explique Patrick Loustalet, chef de projet Cybersécurité Software République chez Renault : « la cybersécurité est aujourd’hui une priorité et doit être pensée dès la conception initiale du véhicule. Le temps de développement d’un véhicule est de l’ordre de 2 à 5 ans, avec un cycle de vie de l’ordre de 10 à 15 ans sur le marché neuf, puis l’occasion. Il faut assurer la cybersécurité du véhicule tout au long de ce cycle de vie. Or l’architecture des véhicules est de plus en plus complexe. Cela permet une meilleure connectivité onboard et outboard pour délivrer de nouveaux services, et gérer plus d’interactions du véhicule avec son environnement ».
Qui dit embarqué, dit contraintes multiples
Le secteur automobile se distingue par des contraintes liées à la gestion de la confiance dans le réseau embarqué et des contraintes liées aux communications entre le onboard et le outboard, mais aussi par les capacités des calculateurs embarqués. Une grande partie de la puissance de calcul est déjà dédiée aux fonctions de base du véhicule (comme le freinage, la direction), ou des fonctions de confort, ou au multimédia (comme la radio et la navigation).
« Cette connexion permet plus de services, mais augmente aussi la surface d’attaque, raison pour laquelle la cybersécurité doit être pensée dès la conception initiale du véhicule ».
Patrick LoustaletChef de projet Cybersécurité Software République, Renault
« Les exigences cyber arrivent très tôt dans le processus de design d’un véhicule », explique Patrick Loustalet. « Ces exigences sont communiquées aux équipes d’ingénieurs et aux équipes composants. Elles sont basées sur des analyses de risque, et à partir de ces cahiers des charges on déploie de la cybersécurité dans les systèmes, les logiciels, puis dans la partie intégration avec des tests de code, des PenTest. Pour les sous-traitants, les achats adressent à nos fournisseurs un cahier des charges de cybersécurité qu’ils doivent respecter. Cela fait partie de nos processus de certification cyber ».
L’analyse du risque reste bien évidemment la base de toute démarche de sécurisation d’un système IT comme d’un système embarqué, mais dans ce dernier cas, la cyber doit parfois céder le pas sur d’autres priorités. C’est notamment le cas dans des domaines comme le ferroviaire, l’aviation ou la sûreté de fonctionnement passe avant tout pour des raisons évidentes.
« La cyber est l’une de nos priorités, mais la sûreté reste la première », souligne Dimitri Van Zantvliet. « Dans notre domaine, l’analyse de risque est difficile et pour comprendre le risque, nous devons considérer IT et OT. Les deux doivent collaborer. Parmi les nombreux challenges, c’est que le SOC puisse comprendre et traiter les événements issus de l’OT ».
Patrick Loustalet ajoute : « comme en cyber IT, il faut réaliser une bonne analyse de risque du système à protéger, mais à la différence de l’IT qui est très orientée data, il faut se concentrer sur la data, mais aussi sur le maintien en conditions opérationnelles et en conditions de sécurité du système ».
Pour l’expert, la plus grande différence d’une analyse de risque sur un système embarqué porte sur l’estimation de l’impact de la cyber sur le système en opération et sur son maintien en conditions opérationnelles : « On met en place des actions pour diminuer le niveau de risque et une fois que le design est figé, il faut mettre à jour ces analyses de risque et auditer les systèmes embarqués ».
Les contraintes physiques sont aussi importantes dans certains secteurs. Ivan Fontarensky, directeur technique cyberdéfense chez Thales explique ainsi : « nos systèmes d’armes sont constitués de multiples composants dont il faut être capables de superviser toutes les couches en passant du système d’exploitation jusqu’aux endroits très sécurisés où on doit gérer des secrets. Or, embarqué rime souvent avec miniaturisation et la miniaturisation induit plus de complexité. Ce besoin de connectivité augmente énormément la surface d’attaque. Or ceux qui utilisent un équipement embarqué se moquent se savoir qu’ils reçoivent des tentatives d’attaque par injection SQL. Ils veulent savoir l’impact que cela va avoir, être sûrs que le système d’armes va continuer à fonctionner. Il faut passer d’un monde technique à un monde métier, pouvoir expliquer l’impact opérationnel d’une attaque. C’est un vrai enjeu de traduction ».
Même constat chez Naval Group. Qu’il s’agisse d’une frégate FREMM ou d’un sous-marin Sorpène, l’espace est compté. « Les systèmes embarqués ont des contraintes fortes en termes de poids, de consommation électrique, de volume dans un sous-marin », explique Philippe Coste, responsable Gouvernance Cybersécurité Groupe de Naval Group. « Les métiers doivent prendre en main la cyber : l’automaticien qui conçoit ses systèmes doit avoir une approche cyber, même si ce n’est pas son métier. Les grands choix sont bien évidemment réalisés par les experts, mais il faut acculturer les métiers et avoir la cyber dans l’ADN du groupe ».
D’une gestion de risque à une cyber orientée performances
Bien souvent, les industriels ont abordé la sécurisation de leurs produits par le biais des standards et normes en vigueur dans chaque secteur. Frédéric Libin, FCM Cybersecurity Manager Forvia (marque commune de Hella et Faurecia) souligne ainsi le rôle du standard IEC 62443 que l’on trouve dans les secteurs ferroviaire et naval. « Dans les systèmes embarqués automobiles, le standard 21434 pousse à prendre en compte tous les aspects de la cybersécurité. Il va de la structure managériale de l’organisation jusqu’à la gestion de l’obsolescence du produit, en passant par la maintenance, le maintien en conditions opérationnelles, etc. ».
Cette approche permet à des secteurs d’assurer un niveau de sécurité uniforme à leurs produits, mais elle ne gomme pas les difficultés très spécifiques auxquelles doivent faire face les industriels : « il y a une vraie problématique de mise à jour de firmware : un industriel peut avoir une grande variété des systèmes dans ses ateliers et une grande variété dans la criticité des systèmes. Corriger une vulnérabilité sur un PNC [programmateur numérique contrôlable, N.D.L.R.] industriel ne peut être immédiat : à l’instant t, certains sont en production, d’autres sont en maintenance, cette hétérogénéité des systèmes est complexe à gérer ».
« Le Cyber by Design veut que plus on prend la thématique cyber tôt dans le cycle de conception/design, plus des compromis sont possibles. »
Philippe CosteResponsable Gouvernance Cybersécurité Groupe de Naval Group
Pour l’expert, les pratiques du secteur automobile vis-à-vis des systèmes embarqués dans les véhicules doivent se rapprocher de plus en plus des pratiques du secteur grand public, notamment le monde des smartphones et autres tablettes numériques où les mises à jour peuvent être réalisées de manière plus systématique.
Pour Philippe Coste, la cybersécurité fait désormais partie des besoins exprimés par les clients du groupe industriel et l’approche vis-à-vis des solutions embarquées dans les produits doit changer : « nous étions essentiellement dans une logique de gestion du risque. Nous appliquions un certain nombre d’exigences afin de mettre en conformité nos produits. Or, nous allons aujourd’hui de plus en plus vers une logique de performance. C’est une nouvelle approche que nous réclament nos clients ».
L’industriel doit être sûr qu’il a bien appliqué les mesures édictées par l’analyse de risque, mais il doit être capable de prouver à son client que le produit qu’il lui livre résiste bien à des scénarios d’attaque dépendant de chaque produit. « Nous devons aujourd’hui démontrer la performance de notre côté », résume le responsable.
« Il faut toujours faire des compromis entre la Cyber et le métier, ainsi que la sûreté de fonctionnement. »
Philippe CosteResponsable Gouvernance Cybersécurité Groupe de Naval Group
Ivan Fontarensky pointe lui aussi le besoin d’impliquer plus fortement les métiers dans la protection des solutions proposées aux clients : « on peut penser la sécurité dans une approche IT classique, mais rapidement on va devoir entrer dans le métier pour pouvoir être plus efficace. Il faut par exemple être capable de réagir en temps réel, en véritable temps réel à la nanoseconde. C’est une vraie complexité. En outre, il faut adapter l’analyse de risque aux contraintes de l’embarqué, et pour moi, il est vital de penser cyber dès le démarrage pour être plus sereins par la suite ».
Une autre difficulté, c’est que les grands systèmes d’armes tels que les conçoit Thales – mais aussi tous les grands systèmes industriels – panachent les systèmes embarqués et l’IT. De facto, les PC et équipements réseau viennent additionner leurs propres vulnérabilités à l’ensemble. Or une caractéristique assez commune dans le domaine de l’embarqué, notamment militaire, c’est la durée de vie des systèmes déployés : « la mise à jour des composants embarqués pose problème », explique Ivan Fontarensky.
« La gestion du maintien en condition de sécurité (MCS) est particulièrement complexe, car la durée de vie des composants peut être relativement longue, parfois plus de 30 ans dans certains programmes. De plus, une fois sur le terrain, nos clients ne sont pas forcément ravis que nous rappelions le matériel pour une mise à jour de firmware… », rajoute t-il.
Le monde de l’embarqué doit s’aligner sur le rythme de la Cyber IT
Pour pouvoir assurer la sécurité cyber de ses produits, le monde de l’embarqué va devoir aligner ses pratiques et ses technologies de protection sur les pratiques du monde IT. Philippe Coste explique notamment que l’écosystème des fournisseurs du groupe, parfois de très petites PME, va impérativement devoir rehausser son niveau de sécurité, car il est bien évidemment plus simple pour un attaquant de placer un malware chez un fournisseur de rang 2 que de s’attaquer directement à Naval Group.
«Ce que nous redoutons notamment, c’est l’APT [Advanced Persistent Threat], un code malveillant posé sur un équipement à un certain moment de son cycle de vie et qui est destiné à se déclencher à un moment donné du cycle opérationnel, que ce soit dans 3 mois, 5 ans, 10 ans ou si le porteur arrive dans telle zone géographique. Lutter contre ce type d’attaque change complètement le périmètre : on ne s’intéresse pas seulement à l’objet que l’on fabrique, mais à tout l’écosystème qui est autour, notamment les fournisseurs ».
Naval Group dispose d’un CERT qui veille aux menaces, mais pour de nombreux industriels l’information sur les menaces OT manque encore. Ainsi, si Dutch Railways partage de l’information de sécurité avec les autres opérateurs ferroviaires européens, Dimitri Van Zantvliet souligne que l’environnement cyber dans lequel il évolue change très rapidement : « nous devons agir beaucoup plus rapidement que nous ne le faisons. Nous manquons de CVE concernant les systèmes OT. Or les prochains malwares seront aussi sur l’OT. De notre côté, nous devons chiffrer davantage et automatiser. Si on prend l’exemple de la vulnérabilité Log4J, chez nous, tout est écrit en Java et la vulnérabilité pouvait être partout. Cela nous a pris des semaines pour avoir une idée des endroits où se trouvait le problème. Or aujourd’hui, nous ne disposons plus de semaines pour réagir, c’est un véritable changement de paradigme ».
Du point de vue technologique, le monde de l’embarqué va devoir de plus en plus s’aligner sur les solutions les plus en pointe pour rehausser son niveau de sécurité, ce qui n’est pas toujours simple comme le raconte Philippe Coste : « en 2017, nous avons déployé une sonde réseau sur une FREMM et nous avons analysé le trafic avec de l’intelligence artificielle. Nous avons été un peu déçus, car le retour de la détection n’était pas bon. L’intelligence artificielle peut être extrêmement performante pour détecter les anomalies, faire de la maintenance préventive, mais nous avons dû développer des algorithmes pour détecter les attaques, travailler sur les anomalies de détection, etc. »
Le responsable souligne néanmoins que l’embarqué présente l’avantage d’une certaine maîtrise des infrastructures : le parc de systèmes sur un navire peut être classé par topologies de composants, ce qui permet de bâtir des modèles d’IA spécifiques et atteindre de bonnes performances de détection.
« Dans ce cadre, nous adressons des sujets Cybersécurité », détaille Patrick Loustalet. « Un premier projet, baptisé Detect&Respond va adresser cette problématique sur les véhicules tout au long de leur cycle de vie. Avec l’intelligence artificielle, nous allons proposer un système qui va améliorer la détection dans un rapport de 1 à 8 par rapport à ce que l’on observe aujourd’hui, tout en tenant compte des contraintes de l’embarqué ».
Renault devrait naturellement être client de cette solution pour ses nouvelles architectures de véhicules de type Software Defined. Cette solution sera proposée à d’autres clients automobiles, puis à d’autres marchés.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
