Une introduction aux menaces pesant sur les systèmes industriels

Définitions rapides – IT, OT, ICS

Pour comprendre le contexte de la menace affectant les ICS, il est utile de comprendre la différence entre les technologies de l’information (IT) et les technologies opérationnelles (OT), ainsi que ce que sont les systèmes de contrôle industriels (ICS).

Du point de vue de l’IT, le moyen le plus simple d'appréhender cet ensemble de systèmes et de processus est de penser traitement des données. L’IT recouvre des systèmes et des technologies, dont les logiciels, les systèmes de communications, le matériel et les services afférents, pour traiter et gérer les données.

Les technologies opérationnelles (OT) recouvrent quant à elles l'ensemble des systèmes et processus utilisés pour détecter ou provoquer un changement par la surveillance et le contrôle directs de dispositifs, processus et événements physiques dans une usine.

L'IT est destinée au traitement des données et l'OT à la gestion et au contrôle de processus physique.

Un ICS est un élément clé du monde de l’OT. Le terme englobe différents types de systèmes de contrôle, dont les systèmes de supervision et d'acquisition de données (SCADA), les systèmes de contrôle distribués (DCS) ou encore les automates programmables (PLC) utilisés pour les systèmes industriels et les infrastructure critiques.

Un ICS comprend tout un ensemble de composants de commande – électriques, mécaniques, hydrauliques ou pneumatiques – qui agissent ensemble pour servir un objectif industriel, comme la fabrication, le transport ou la distribution de matériaux ou d'énergie.

Considérations d’architecture

L'exposition acceptable des systèmes IT sur Internet diffère considérablement de celle des systèmes OT. Dans une configuration normale, l’IT est connectée à Internet via des connexions contrôlées par pare-feu, notamment. Mais, un ICS n’a pas à être connecté aux systèmes IT de l'entreprise, du moins de manière bidirectionnelle transparente, et encore moins à des systèmes externes via Internet. Malheureusement, tout cela n’est trop souvent que théorique.

Dans l’idéal, un ICS ne devrait jamais être exposé à des réseaux extérieurs, mais dans la pratique, de telles connexions peuvent être jugées nécessaires. Lorsque cela se produit, ces systèmes ne devraient être connectés à Internet ou aux systèmes d'entreprise qu'avec des contrôles importants pour s'assurer que les logiciels malveillants provenant du réseau de l'entreprise et d’Internet – entre autres menaces – ne puissent interférer avec l’ICS.

Des philosophies de sécurité différentes

Les systèmes IT sont régis par le modèle de sécurité traditionnel CIA : C pour confidentialité des données, I pour leur intégrité, et A pour leur disponibilité – ainsi que celle des systèmes.

Dans le domaine des systèmes industriels, les priorités sont différentes. La première est la sûreté. Vient ensuite la résilience, avec la fiabilité, suivie de la disponibilité des données et des systèmes, l’intégrité des données, et enfin leur confidentialité.

Non seulement le domaine industriel a des priorités que le monde de l’IT ne connaît pas, mais en plus celles de ce dernier apparaissent dans un ordre inversé.

Le paysage de la menace

Tout cela contribue à donner une idée des différences profondes qui existent entre les mondes de l’IT et de l’OT. Surtout, les priorités de ce second univers soulignent toute l’importance qu’il convient d’accorder à n’importe quelle menace susceptible d’affecter la sûreté et la fiabilité.

Prenons par exemple l’application d’un correctif de système d'exploitation. La mise à jour d'un serveur d'entreprise n'est généralement pas un problème majeur, du moment que l’on choisit bien le moment auquel la lancer. Le correctif peut généralement être déployé et le serveur redémarré avec un minimum de perturbation de l’activité. Et une brève interruption est généralement acceptable. Mais dans le monde de l’OT, c’est très différent.

Il suffit de penser au déploiement d’un correctif au sein d’une usine de pâtes et papiers ou de fabrication de plastiques où l’activité doit être assurée en continu. L’application d’un correctif aux serveurs de gestion des processus de ces usines pourrait entraîner destruction d'équipement, gel du plastique et même des blessures ou des décès. Un attaquant peut simplement vouloir faire en sorte que les processus hoquettent, conduisant à une défaillance catastrophique.

Avant Stuxnet, la gestion des ICS n'incluait généralement pas la surveillance ou la sécurité informatique de l’environnement. En outre, les mises à jour des systèmes et des composants de ces usines peuvent être retardées pendant des années. Et certains systèmes peuvent même ne tout simplement pas être mis à jour, parfois pour de simples raisons de support de leurs fournisseurs.

Un cycle de vie radicalement différent

Le taux de renouvellement normal des systèmes IT est d'environ trois à cinq ans. Mais certains outils et équipements ICS peuvent être si vieux qu'ils ne sont plus pris en charge par le fournisseur. Leur cycle de vie peut couvrir des décennies.

Il n'est pas rare de trouver des systèmes d'exploitation obsolètes, tels que Windows NT, Windows CE ou Windows 2000, installés dans certaines usines. Car l'équipement fonctionne bien et fournit la disponibilité nécessaire. Et tant pis s’il peut être compromis parce qu'il n'est pas protégé contre les menaces actuelles.

Il existe des différences fondamentales entre les mondes de l’IT et de l’OT en matière de cybersécurité. Dès lors, les exploitants d’ICS doivent concentrer leurs efforts sur la réduction de leur exposition aux menaces. Ces mesures devraient notamment consister à s'assurer que les composants et les systèmes de l'usine sont séparés du réseau de l'entreprise et d'Internet au moyen de pratiques telles que l'architecture de référence de Purdue.

Les exploitants d’ICS doivent également s'assurer que leurs composants et systèmes sont mis à jour afin qu'ils puissent être maintenus en toute sécurité et dotés de capacités de défense actuelles.