Aujourd’hui les systèmes industriels ne sont plus à l’abri de la cyber-criminalité. Ils constituent de plus en plus fréquemment des cibles pour les pirates, voire des cibles militaires, comme l’attaque du virus Stuxnet sur les équipements nucléaires iraniens en 2010, ou des cibles économiques. « On a pris conscience que des outils informatiques pouvaient porter atteinte à un outil industriel, explique Thomas Houdy, spécialiste de la cyber-sécurité chez Lexsi, une société de conseil en cyber-sécurité informatique qui s’est investit dans la sécurité industrielle depuis cinq ans. Or les infrastructures industrielles, les systèmes de contrôle-commande et les automates qui constituent le centre névralgique de l’usine ne bénéficient généralement pas de mécanismes de protection et de sécurité. Pourtant, l’interconnexion de plus en plus importante des mondes industriels et informatiques les rend accessibles aux attaques directes mais également, tout simplement, à tous les virus, vers et autre cheval de Troie qui arpentent Internet. »

L’obligation de se protéger de la cyber-criminalité
Face aux menaces croissantes de cyber-attaque, les opérateurs d’importance vitale (OIV) vont avoir l’obligation, dans le cadre de la nouvelle loi de programmation militaire 2014-2019, de sécuriser leurs infrastructures, de remonter à l’Agence nationale de la sécurité des systèmes d’information (Anssi) tout incident de sécurité et d’auditer ou de faire auditer régulièrement leur système de sécurité pour s’assurer de leur mise à jour. Les infrastructures de traitement et de distribution d’eau potable, tout comme les stations d’épuration, font partie des opérateurs d’importance vitale puisque leur dysfonctionnement, leur arrêt ou leur contamination volontaire affecterait directement un grand nombre de personnes. Les contraintes et les enjeux sont très différents cependant selon qu’il s’agit d’une usine d’eau potable alimentant une grande ville ou bien d’une toute petite station en province faiblement informatisée, mais cette dernière devra néanmoins également veiller à sa sécurité. En effet, si elles ont moins à craindre d’être prises directement pour cibles — les cyber-attaques étant plus l’exception que la règle —, elles ne sont pas à l’abri d’une contamination par un logiciel malveillant introduit involontairement par la clé USB personnelle d’un employé ou d’un sous-traitant. Ce logiciel va se révéler dommageable pour le système de contrôle-commande de l’entreprise et conduire à la dégradation des équipements de production, par exemple casser les pompes qui vont tourner à vide à la suite de la fermeture inopinée d’une vanne en amont. Ce risque est décuplé avec l’adoption d’Ethernet ainsi que le développement des technologies M2M et des interventions à distance qui permettent de réduire les coûts d’exploitation (télégestion, télésurveillance ou télémaintenance). Ces nouvelles technologies multiplient en effet les portes d’entrées pour un virus. A plus grande échelle, la généralisation de l’interconnexion dans le cadre de Smartcity, qui permettra aux collectivités d’avoir une vue centralisée de tous les flux (énergie et transport mais aussi la gestion de l’eau, du gaz, de l’électricité), multiplie également les composants communicants et donc le nombre de failles potentielles à identifier et sécuriser.

Se protéger ne représente cependant pas nécessairement un investissement très coûteux. La plupart du temps les failles de sécurité sont dues à des systèmes configurés sans prendre en compte la sécurité, avec des identifiants et des mots de passe par défaut, des ports USB non protégés, des automates, équipés de petits serveurs web embarqués et connectés sur Internet pour la maintenance à distance sans créer d’accès spécifique, etc. « Ces erreurs sont fréquemment identifiées dans nos audits, indique Thomas Houdy. Elles permettent d’accéder facilement, à partir d’Internet, à des automates, des stations de communication d’opérateurs ou bien à un système de vidéo surveillance par exemple. Or Internet est un milieu dans lequel les pirates ont des outils très sophistiqués et des compétences d’expert ! »

Identifier les failles, contrôler les accès, détecter les attaques
Des guides de bonnes pratiques, permettant l’auto-évaluation et l’auto-sécurisation, ont été mis en ligne par l’Anssi en janvier 2014 pour aider les exploitants dans leur démarche. Ces guides ont été établis au sein de groupes de travail auxquels contribuent des acteurs du domaine, comme les constructeurs Schneider ou Siemens, la société de conseil Lexsi, les fournisseurs Factory Systemes ou Rockwell Automation, les intégrateurs Aréal ou Actemium. « La première chose à faire est de réaliser un inventaire afin d’être en mesure d’identifier les composants susceptibles d’être piratés et d’évaluer les risques associés, c’est-à-dire les conséquences prévisibles d’une cyber-attaque ou d’un dysfonctionnement de ces composants, indique Jérôme Poncharal, spécialiste de la cyber-sécurité chez Rockwell Automation. Une fois les vulnérabilités identifiées, il s’agit d’y pallier par des contre-mesures appropriées, c’est-à-dire choisies en fonction de l’impact d’une attaque et de sa probabilité d’occurrence. »
Il faut donc surveiller les accès et protéger les connexions essentielles en authentifiant les utilisateurs, en déterminant qui a le droit de faire quoi et en bloquant tout flux non autorisé, par exemple en établissant des listes blanches d’applications qui sont sensées être en usage sur un poste. Des logiciels comme Trendmicro, distribué par Factory Systemes, permettent de bloquer à l’exécution toutes les applications ne figurant pas sur une telle liste. Il est également indispensable de détecter les tentatives d’intrusion et de les faire remonter par des alarmes. En effet, depuis 2010 les stratégies des pirates ont évolué.  « Il ne s’agit plus de détruire mais de passer inaperçu pour récupérer le plus de données possible, raconte Thomas Houdy. En 2014 deux virus spécifiques des environnements industriels ont été capables de s’introduire sur des réseaux de contrôle-commande, de scanner le réseau à la recherche de machines OPC, puis de prendre des informations et de les exfiltrer. Ils peuvent infecter en toute discrétion une petite station car elle peut constituer une porte d’entrée pour remonter vers des réseaux plus intéressants. »

Des solutions peu coûteuses pour sécuriser les équipements
Outre les règles d’hygiène informatique qui sont à la base d’une stratégie de sécurité, il est nécessaire d’installer des protections physiques ou logicielles aux endroits vulnérables. Il n’est cependant pas toujours possible d’adopter directement les dispositifs utilisés dans le domaine de l’informatique classique. Utiliser un anti-virus sur certaines stations par exemple dégraderait leur performance ou ferait redémarrer une machine. Mais il existe déjà sur le marché des solutions de protection adaptées au monde de l’eau. « Tous les produits disposent depuis plusieurs années de dispositifs de sécurité intégrés qui permettent de gérer le risque d’attaque du réseau interne, explique Olivier Bartel, responsable de la partie développement chez Perax. Ils peuvent être protégés par des mots de passe et être paramétrés pour prévenir des essais d’intrusion mais ces fonctionnalités ne sont pas exploitées.  La sécurité est une affaire de culture ! » Ce constructeur propose aujourd’hui un produit de télégestion VPN (virtual private network) qui assure l’authentification de la communication et le cryptage des données entre un superviseur comme Okapi et les produits, ou bien entre les produits eux-mêmes. Le dispositif Stratix 5700 de Rockwell Automation permet de vérifier la légitimité du trafic au niveau des contrôleurs, et le routeur de service Stratix 5900 est bien adapté à la protection des infrastructures en site distant et au transfert sécurisé des données sur un réseau extérieur. Ce routeur s’assure que la personne cherchant à se connecter est habilitée à le faire (authentification) et génère un tunnel VPN pour transférer des informations cryptées. « La technique VPN est très aboutie et offre le meilleur niveau de confiance dans des rapports qualité/prix raisonnables, souligne Jérôme Poncharal, spécialiste cyber-sécurité chez Rockwell Automation. Ce dispositif peut également servir à l’intérieur de l’usine, pour protéger des machines d’interférences de communication avec d’autres. C’est une mesure simple et efficace. »
Le développement actuel des objets connectés, des radiofréquences et du M2M industriel crée d’autres vulnérabilités. « Il peut être judicieux par exemple d’utiliser un système de radio-fréquence qui offre un niveau de sécurisation supérieur à Ethernet ou wifi, ou bien de privilégier, sur des réseaux télécom ou classique sur IP, le protocole sécurisé MQTT (message queue telemetry transfert), prévient Gregory Guiheneuf. Par exemple nos capteurs Libellium véhiculent les informations sur ce protocole. » Factory systemes dispose également d’un Modem Imsys qui fonctionne sur le réseau Ethernet ou avec une carte Sim sur un réseau d’opérateur télécom, et est géré, de façon centralisée et sans administration complexe, par un service hébergé dans le cloud (Imsys connectivity service). Ce service permet de créer une communication VPN très simplement entre un utilisateur et une application selon des règles définies par l’exploitant, par exemple, l’ouverture du tunnel sous condition d’autorisation d’accès seulement. « Ce système offre souplesse et sécurité, aussi bien pour le prestataire que pour l’administrateur du réseau, précise Gregory Guiheneuf. En souscrivant à ce service, les clients peuvent administrer l’ensemble de leurs modems Imsys pour une cinquantaine d’euros par an et par équipement. C’est un gain énorme pour les exploitants qui peuvent ainsi réaliser sans se déplacer un premier niveau d’intervention. » 
Factory Systemes propose également des solutions simples de prévention pour éviter le transfert de virus à l’intérieur de l’usine comme le scan antiviral de l’éditeur américain Bluecoat qui permet de certifier les clés USB avant de pouvoir les utiliser sur les postes Scada de l’entreprise. « L’entrée de virus par les ports USB constitue le premier risque, note Gregory Guiheneuf. L’idée est de créer des zones protégées pour les postes sans anti-virus. Nous proposons également un anti-virus sur clé USB, conçu par un autre leader du domaine de la cyber-sécurité Trendmicro, qui scanne le PC pour identifier la présence éventuelle d’un virus et lancer un correctif le cas échéant. Cette solution plaît beaucoup car elle permet également de sensibiliser les utilisateurs. » Factory systemes propose des pare-feux industriels, Radiflow et Tofino, dédiés aux systèmes très distribués et qui surveillent les protocoles utilisés sur le terrain, ainsi qu’une solution de protection par datadiode, Fox IT, qui permet de garantir une communication unidirectionnelle entre deux points et, par conséquent, l’impossibilité de prendre la main sur un poste fonctionnant en automatique la nuit par exemple.

L’éditeur Aréal développe de son côté des solutions logicielles destinées à protéger les communications avec l’extérieur. « Nous préconisons de créer ce qu’on appelle une zone DMZ (demilitarized zone), c’est-à-dire un sous-réseau isolé du reste de l’installation et auquel on accède par un serveur web avec un pare-feu et des filtres sur les flux de données entrant, explique Arnault Judes d’Aréal. Nous installons un logiciel qui permet d’entrer sur la machine mais ne permet pas d’aller plus loin. » Aréal propose également des utilitaires pour verrouiller l’environnement Windows en fonction des droits d’accès pour différentes opérations (supervision, installation de nouveaux logiciels) et protéger les disques durs en écriture. « Ces questions figureront bientôt dans les cahiers des charges, indique Arnault Judes. Nous contribuons à la définition de ces préconisations pour les Scada en participant aux groupes de travail de l’Anssi. Et nous ferons les développements nécessaires pour être labellisés. »

Actemium propose de surcroît des dispositifs pour protéger les procédés essentiels de la station, par exemple pour détecter une modification anormale de la concentration de chlore en comparant des unités redondantes, en faisant remonter des alarmes en cas de modification inopinée de programme des automates, etc. « Un autre moyen de surveillance consiste à mettre en place des analyseurs de réseau (sniffer) qui permettent de vérifier que les commandes transitant sur les réseaux entre supervision et automates sont bien autorisées par rapport aux droits d’accès utilisateurs, indique Frédéric Tarcy, Artemium Arras. Ils permettent aussi de détecter une intrusion sur le réseau industriel. »

Un problème de culture avant tout
La mise en sécurité doit être méthodique et va bien au-delà des solutions techniques. Elle implique des changements de comportements et des mises à jour régulières car c’est un domaine en perpétuelle évolution. « La sécurité n’est pas un problème qui se traite simplement par la mise en place de produits, prévient Gregory Guiheneuf. Parfois, nous recommandons des anti-virus ou la désactivation de certains ports de communication, mais, mis à part si l’entreprise dispose de services informatiques conséquents, la plupart du temps ils ne sont pas mis à jour. » Autrement dit la porte blindée n’est qu’une piètre protection si la fenêtre est ouverte, tout comme l’alarme si elle n’est pas branchée ! Comme dans beaucoup d’autres domaines, on a tendance à négliger la question tant que l’on n’est pas directement confronté à une attaque.
C’est pourquoi les acteurs comme Factory systemes, Rockwell Automation, Aréal, Actemium ou Lexsi proposent, souvent en partenariat, des formations destinées à sensibiliser les exploitants à la cyber sécurité. « Nous avons créé une formation de 3 jours qui réunit des sociétés expertes et complémentaires sur la sécurité, annonce Gregory Guiheneuf de Factory systemes. La société spécialisée dans la cybersécurité industrielle Lexsi traite de la sécurité industrielle et des aspects normatifs, de gouvernance et de lexicologie de la cybersécurité. Nous présentons par la pratique les contraintes spécifiques du scada et les outils de sécurisation existants. Enfin, l’entreprise de logiciel Diateam montre par la pratique, sur une plateforme de stimulation piratée volontairement, comment on peut rapidement et simplement protéger son système de contrôle-commande. »

Réagir en cas d’intrusion ou de malveillance
« Il n’y a pas de sécurité à 100%, insiste jérôme Poncharal de Rockwell Automation. Les menaces évoluant, on parle de niveau de confiance des protections ou niveau de SAL (security assurance level), qui sont notés de 1 à 4. On peut se protéger de la majeure partie des logiciels malveillants mais il est nécessaire de prévoir des procédures de repli et de restauration en cas d’attaque effective. » En effet, une fois l’intrusion détectée se pose la question de comment réagir puis comment revenir en condition opérationnelle. Pour être efficaces le moment venu, ces opérations doivent être anticipées et faire l’objet de procédures. Actemium s’appuie sur sa double compétence en traitement de l’eau et en cybersécurité pour proposer une formation personnalisée sur ce versant de la sécurité. « Nous simulons l’installation des opérateurs sous différents scénarios d’attaque pour mieux identifier les risques et définir les réactions appropriées, explique Sylvain Remeau, responsable innovation chez Actemium. Cela permet d’identifier comment mettre l’installation en repli puis la remettre en fonctionnement rapidement pour assurer une continuité d’exploitation dans les meilleures conditions possibles. Nous avons aussi des outils de simulation appliqués aux systèmes de distribution électrique qui représentent également une partie importante de l’usine à sécuriser. » Ces outils permettent, par exemple, d’identifier à l’avance comment contrer une attaque sur un château d’eau en isolant la partie ciblée et en basculant sur d’autres réservoirs afin d’assurer temporairement la continuité de service. « Ce sont des cas concrets envisagés dans le cadre de la protection de site en cyber-sécurité mais nous mettons également cette démarche en œuvre pour la gestion des crues, par exemple, quand il faut faire basculer des systèmes de pompage en adoptant la meilleure stratégie possible, précise Frédéric Tarcy, chef d’Actemium Arras.

Maintenir le système de sécurité dans le temps
Les systèmes de protection en place, il ne faut pas baisser la garde car les menaces évoluent en permanence. Il faut s’assurer que le niveau de sécurité suit au même rythme en procédant à une mise à jour régulière des anti-virus et autres contre mesures. Il est nécessaire pour cela de consulter les bulletins émis par un centre d’alerte et de réaction aux attaques informatiques (Cert) ou de s’abonner à un service de notification automatique d’alerte dédié à la sécurité qui informe sur comment se protéger en isolant du réseau et en appliquant une contre-mesure appropriée.

Paru dans l'Eau, l'industrie, les nuisances n°380

Mots clé : Technologies numériques | Cybersécurité | OIV