À l’ère de l’industrie 4.0, le niveau d’interconnexion à internet des chaînes de production continue de s’accroître à travers le monde. Une évolution devenue nécessaire pour permettre aux entreprises de piloter la production au plus proche de la demande.
Structurellement complexes et hétérogènes, les environnements industriels, appelés OT, sont par définition difficiles à sécuriser. Entre équipements de dernière génération et technologies obsolètes, la coexistence est un défi.
Avec les années, les usines françaises ont accumulé une dette technique, qu’il faut alors prendre en compte.
Comment sécuriser vos équipements industriels, sans perturber la continuité de vos activités ? Quelles sont les différences entre les environnements informatiques traditionnels (IT) et informatiques industriels (OT) ?
Réponse et éclairage par les experts Evicys.
Cybersécurité des équipements industriels : de quoi parle-t-on ?
Pour protéger efficacement vos environnements de production, il est essentiel de comprendre les spécificités de la cybersécurité industrielle (OT).
En matière d’informatique traditionnelle (IT), la confidentialité et la protection des données sont au cœur des préoccupations.
Dans les usines, il en est tout autre. Sur des chaînes de production complexes et automatisées, la disponibilité et l’intégrité des équipements deviennent la priorité des entreprises.
Dans les environnements IT, la panne peut être tolérée du fait d’un accès à des sauvegardes, qui permettent de restaurer les données et relancer l’activité. Un processus industriel en cours ne doit jamais s’arrêter de manière imprévue, au risque de causer des incidents, pertes de matière première et potentiels accidents de travail.
La cybersécurité OT consiste donc avant tout à préserver la stabilité des équipements et à maintenir en condition opérationnelle la chaîne de production, même en cas de tentative de compromission par un cybercriminel.
Les infrastructures OT ont été conçues pour durer. Historiquement, du fait des coûts d’investissement importants, la performance et la robustesse des machines ont primé sur les questions de cybersécurité. Ainsi, nombre d’équipements industriels reposent encore sur des architectures anciennes, sans mises à jour, mais toujours indispensables au fonctionnement de la chaîne de production.
Comparer les cycles de vie des équipements IT et OT permet d’illustrer cette différence : quand un poste de travail est remplacé tous les 3 ans et un serveur en 5 ans maximum, une machine industrielle à commande numérique (CNC) est fonctionnelle pendant 15 à 20 ans, parfois davantage. Cette longévité, gage de robustesse, constitue aussi une vulnérabilité en matière de cybersécurité.
Enfin, les technologies utilisées sont également différentes. Les protocoles de communication industriels, par exemple, sont différents de ceux utilisés dans l’informatique traditionnelle (IT).
Modbus, PROFINET/PROFIBUS, S7 Comm, DNP3, OPC UA et EtherNet/IP sont autant de protocoles permettant la communication et par analogie l’automatisation des machines, en assurant les échanges d’information entre les automates, les capteurs et les systèmes de supervision.
Comment protéger vos équipements industriels (OT) des cyberattaques ?
La cybersécurité des équipements industriels ne peut pas être abordée avec les mêmes approches que celles appliquées pour la cybersécurité des parcs informatiques classiques. Pour tenir compte des spécificités et contraintes propres à vos environnements industriels, Evicys vous conseille d’appliquer une stratégie de « défense en profondeur », aussi appelée la stratégie de l’oignon.
Il s’agit pour les entreprises de multiplier les protections autour de leurs équipements, chaque couche supplémentaire venant compliquer la tâche d’un potentiel attaquant. Vous découragez ainsi la plupart des cybercriminels, qui se tourneront vers des cibles plus rentables et moins bien défendues.
La première étape consiste à maîtriser vos points d’accès externes. Commencez par réaliser une cartographie de tous les points d’accès existants vers vos équipements. Sur cette base, mettez en place un filtrage des flux rigoureux, notamment grâce à l’installation de pare-feux en bordure et en cœur du réseau, configurés spécifiquement pour les environnements industriels (étanchéité des réseaux). Un contrôle strict doit être appliqué aux accès distants, en particulier ceux utilisés pour la télémaintenance, qui constituent une porte d’entrée privilégiée pour les attaquants. L’objectif est ici de durcir l’accès au réseau et de densifier les mécanismes de protection déployés autour de vos machines.
Une fois la surface d’attaque sécurisée, la protection de votre réseau interne est le second rempart à ériger. Pour prévenir toute propagation d’une attaque depuis vos bureaux vers vos lignes de production, une segmentation stricte entre vos réseaux informatiques (IT) et opérationnels (OT) doit être mise en œuvre. Une zone démilitarisée (DMZ) peut par exemple être déployée pour sécuriser ces échanges. L’efficacité de cette démarche repose sur une parfaite compréhension des protocoles industriels (tels que Modbus, PROFINET, SINAUT…) que vos équipements utilisent.
La troisième couche de sécurité se situe au niveau des équipements eux-mêmes. Il est essentiel de « durcir » l’accès à vos automates et autres systèmes de contrôle. Concrètement, cela signifie désactiver tous les services et ports non indispensables, renforcer les mots de passe et limiter les droits d’accès au strict nécessaire, réduisant ainsi votre surface d’attaque. La gestion des mises à jour de sécurité doit être menée avec prudence, en appliquant les correctifs uniquement après validation par le constructeur et en accord avec vos contraintes de production pour ne jamais nuire aux impératifs opérationnels.
Pour être complète, cette protection doit être accompagnée du déploiement d’outils, spécifiquement conçus pour la cybersécurité OT. Des sondes ou des systèmes de détection d’intrusion industriels, adaptés aux protocoles OT, permettent d’identifier en temps réel les communications anormales sur votre réseau ou les comportements suspects d’une machine, qui échapperaient à des solutions informatiques IT classiques.
Enfin, la technologie seule ne suffit pas. Il est fondamental de développer une véritable culture de la cybersécurité en sensibilisant vos employés aux « gestes barrières » : ne jamais connecter une clé USB inconnue, ne pas laisser de mots de passe visibles et toujours verrouiller sa session. Pour assurer le respect de ces bonnes pratiques sur le terrain, désignez un référent cybersécurité au sein de chaque équipe.
Confiez la cybersécurité de vos équipements OT à des spécialistes : faites le choix d’Evicys.
Assurer la cybersécurité d’un environnement industriel ne s’improvise pas.
Aussi, pour respecter vos impératifs de continuité d’activité, il est important de bien vous entourer.
Un RSSI à temps partagé, avec une vraie connaissance des infrastructures industrielles et des équipements OT, pourra vous accompagner et vous conseiller pour déployer, pas à pas, des stratégies de défense en profondeur au sein de votre entreprise.
Implanté au cœur de la région Auvergne-Rhône-Alpes, Evicys compte de nombreuses références dans le secteur de l’industrie.
Contactez-nous dès maintenant pour un premier échange et diagnostic gratuit.
