Ces start-ups qui veulent sécuriser les systèmes industriels

La sécurité des systèmes informatiques de contrôle industriel est une importante préoccupation, notamment des autorités comme l’Agence française pour la sécurité des systèmes d’information (Anssi) depuis plusieurs années. Et il y a de quoi : l’an passé, Kaspersky dressait un état des lieux peu rassurant, avec des vulnérabilités identifiées de plus en plus fréquemment. Récemment encore, un expert allemand a découvert des équipements Schneider Electric au mot de passe codé en dur et impossible à changer. 

Face à cela, de nombreux spécialistes de la sécurité des systèmes d’information étendent leurs offres aux systèmes industriels, à l’instar de CyberArk ou de Check Point, entre autres. Kaspersky lui-même a travaillé au développement d’un système d’exploitation spécifique, pour commutateurs durcis destinés aux environnements ICS/Scada. Des industriels tels que Thales en France ou Rohde & Schwartz outre-Rhin, voire Airbus Defense & Space, avec Stormshield, ne manquant pas non plus de s’intéresser au domaine.

Mais de nombreuses jeunes pousses, pour beaucoup nées en 2013, développent des solutions dédiée en cherchant à proposer des approches innovantes. C’est le cas, en France, de Sentryo dont les sondes ont été conçues en partenariat étroit avec les équipes informatiques du site de Cadarache du CEA. Et il faut également compter avec Waterfall Security qui s’est fait une spécialité des systèmes de communication unidirectionnels, ou encore NexDefense, sont la solution, née initialement au ministère américain de l’énergie, vise à détecter passivement les anomalies sur les réseaux de contrôle industriel.  

Le module Insight de Senrio adopte une approche comparable, visant à découvrir les appareils connectés au réseau et à surveiller leur comportement. Il s’appuie pour cela sur les couches 3 à 5 du modèle ISO, en étudiant les entêtes des paquets IP et le trafic DNS. Son module Trace s’adresse moins aux exploitants qu’aux constructeurs et aux développeurs : il vise à être embarqué dans les objets connectés pour pouvoir superviser en temps réel le fonctionnement de leur logiciel embarqué. L’approche consiste donc là plus en de l’assurance qualité.

CyberX, avec Xsense, mise lui aussi sur la supervision du trafic réseau de l’environnement ICS/Scada à la recherche d’activités anormales, en s’appuyant sur des capacités d’apprentissage automatique et de modélisation. La plateforme supervise également en continu l’environnement à la recherche de menaces - connexions distantes, appareils inconnus, etc. - comme de vulnérabilités - logiciels embarqués obsolètes. 

De manière comparable, Indegy propose une plateforme assurant la cartographie de l’environnement ICS, mais également la documentation de leurs configurations et l’enregistrement des changements. De quoi assurer une visibilité en profondeur et à jour de l’infrastructure de contrôle industriel. La plateforme supporte les systèmes Schneider Electric, Siemens, General Electric, Rockwell Automation, ABB, Honeywell, Yokogawa, et Mitsubishi. Via une API RESTFul, elle peut s’intégrer avec un système de gestion des informations et des événements de sécurité (SIEM) ou une base de données de gestion des configurations (CMDB), par exemple. 

La plateforme d’Indegy embarque un moteur d’inspection du trafic réseau en profondeur, taillé pour surveiller les protocoles classiques des environnements industriels, comme Modbus et DNP3. On retrouve cette approche chez Aperio dont la solution doit permettre de détecter les données de capteurs modifiées ou falsifiées. Elle s’appuie sur l’apprentissage automatique pour reconstruire l’état des systèmes connectés en temps réel et identifier les éventuelles déviations entre données transmises et état attendu. 

Claroty s’intéresse également au trafic en profondeur, pour y collecter les informations et les commandes véhiculées. Sa solution supporte ainsi les protocoles ouverts et propriétaires des principaux équipementiers ICS/Scada, sur les réseaux Ethernet et sériels. Là encore, la solution surveille l’environnement de manière passive pour construire des modèles comportementaux et détecter les déviations, mais également signaler les changements majeurs. Son interface d’administration permet d’accéder à un historique complet et contextualisé de chaque alerte générée. Nozomi, dont la solution, ScadaGuardian, peut notamment s’intégrer avec les équipements Check Point et Fortinet, propose une approche comparable. L’italien Enel compte parmi ses clients.

Et il en va de même pour la solution On-Guard d’ICS2 qui s’appuie sur plusieurs mois d’opération normale pour apprendre à connaître l’environnement supervisé. L’historique peut être fourni avant le déploiement. L’éditeur profite de cela pour proposer son moteur de manière dissociée, dans une perspective d’analyse à posteriori, avec son produit Analyzer. Mais ICS2 propose deux offres originales. Active Guard, tout d’abord, qui vise à détecter des intrus susceptibles de s’immiscer entre les équipes de contrôle de l’environnement industriel et ce dernier. De son côté, Protector surveille le comportement des opérateurs, apprenant ainsi procédures et comportements habituels de chacun pour alerter sur d’éventuelles déviations. 

Enfin, là où la plupart des éditeurs de solutions de surveillances des environnements Scada promettent des déploiements rapide et sans friction, Siga adopte une approche radicalement opposées. Sa solution combine logiciel - là encore, avec algorithmes d’apprentissage automatique - et matériels à déployer après le contrôleur programmable (PLC) et l’équipement qu’il sert à contrôler. Ceux-ci communiquent avec un serveur de surveillance distant, isolé des réseaux d’administration et de contrôle de l’environnement ICS/Scada. Ainsi, Siga estime que sa solution est transparente pour d’éventuels attaquants, pouvant les détecter sans l’être elle-même, et pouvoir empêcher leurs interventions en fonctionnant via un second canal de contrôle.