Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

La cybersécurité des systèmes de contrôle industriels : un nouveau domaine d’activité complexe

La sécurité des infrastructures critiques utilisant des systèmes de contrôle industriels (industries nucléaire, pétrolière, chimique et pharmaceutique, réseaux électriques, etc.), et plus particulièrement pour les opérateurs d’importance vitale, s'impose désormais comme une priorité essentielle. Et ce, dans un contexte de montée généralisée des risques de sécurité informatique depuis 2010.
Twitter Facebook Linkedin Flipboard Email
×

La cybersécurité des systèmes de contrôle industriels : un nouveau domaine d’activité complexe
La cybersécurité des systèmes de contrôle industriels : un nouveau domaine d’activité complexe © DR

D'une part, l'évolution des technologies amène les systèmes de pilotage informatisé des installations à s'ouvrir aux réseaux extérieurs, ce qui génère une augmentation des risques. Conçus à l’origine pour fonctionner de manière isolée, ces systèmes sont intégrés de manière de plus en plus systématique avec le système d’information de l’entreprise - gestion des actifs, GMAO, gestion de la chaîne logistique...-, afin de répondre à des exigences de productivité.

D’autre part, les composants techniques utilisés dans les systèmes de contrôle industriel sont en général peu préparés aux défis de la sécurité informatique : ils utilisent des technologies hétérogènes (matériel et logiciel), souvent vieillissantes et mal protégées. Au-delà de cette vulnérabilité intrinsèque, ils sont aussi soumis à des contraintes de disponibilité et d'exploitation qui rendent les mises à jour de sécurité difficiles.

une nouvelle discipline de l'ingénierie est en train d'émerger

Pour ces raisons, mais aussi parce que la nature des risques est différente (conséquences sur le monde physique) et parce que l’environnement réglementaire est en constante évolution, les stratégies de sécurisation des installations industrielles diffèrent de celles des systèmes d’information d’entreprise.

L'accent est mis tout particulièrement sur la méthode de segmentation des réseaux industriels, avec un découpage en zones, de degrés de sécurité différents. C'est véritablement une nouvelle discipline de l'ingénierie qui est en train d'émerger, nécessitant de mettre en place des équipes pluridisciplinaires et multiculturelles : des spécialistes de la sécurisation des réseaux et des systèmes informatiques, des consultants en organisation et des hackers éthiques, qui ont déjà l'habitude de travailler ensemble, mais aussi des architectes de systèmes industriels et des spécialistes de la production industrielle, qui connaissent bien les spécificités de ces systèmes critiques.

une architecture de sécurité pour les réseaux industriels

Les premières réponses sont d’abord organisationnelles avant d'être technologiques. Il est important de définir en premier lieu l’organisation et les processus à mettre en œuvre : définition de la chaîne de responsabilité de la cybersécurité au sein de l’entreprise, définition des processus pour la gestion des risques, la remontée et le traitement des alertes de sécurité, définition des processus de vérification et d’audit, définition de la relation avec les autres processus de l’entreprise tels que la gestion des ressources humaines ou encore la sécurisation physique des sites.

Ensuite, pour les réseaux industriels, il faudra élaborer une architecture de sécurité en définissant le nombre de degrés de sécurité que l'on veut mettre en place, la stratégie de découpage du système en zones de sécurité et les mesures de contrôle des flux qui circulent entre les zones. Des standards comme CEI 62443 fournissent des méthodes pour effectuer ces diverses opérations.

C’est sur cette architecture de sécurité que s’appuient ensuite les mesures techniques de protection : pare-feu, équipements de sécurité, durcissement de la configuration des automates et des ordinateurs. Puis viennent les mesures techniques de mitigation, dont le but est de limiter les impacts d'un incident de sécurité éventuel : dispositifs de sauvegardes et de reprises sur incident d’une part, mais aussi auditabilité du système et préservation de l'historique des évènements et des changements de configuration, permettant de déterminer la cause et la portée d'un incident.

Anticiper la montée des obligations réglementaires liés au statut d’Opérateur d’Importance Vitale

Pour certains systèmes particulièrement critiques et qui le justifient, on met finalement en place une surveillance du système à partir d'un centre opérationnel de sécurité. Ce dispositif peut éventuellement être mutualisé avec la surveillance du réseau d’informatique d’entreprise, souvent déjà en place dans les grands groupes industriels.

La mise en place de l’ensemble de ces mesures représente à l’évidence un effort important. Bien souvent, elle devra donc être traitée par étape, dans le cadre de plans pluriannuels d’amélioration continue. Face à un effort qui promet de s’inscrire dans la durée, le maître mot pour le responsable en charge de la sécurité des systèmes industriels est donc l’anticipation :
•    Anticiper la montée des obligations réglementaires, tout particulièrement pour les industriels ayant en France le statut d’Opérateur d’Importance Vitale
•    Planifier et réussir à défendre les budgets nécessaires, dans un domaine qui relève avant tout de la gestion du risque et donc sans retour sur investissement direct
•    S’entourer du bon mix de compétences en sécurité informatique, en architectures et en exploitation industrielle

Thierry Cornu, Responsable de l’offre Cybersécurité Industrielle d’Euriware

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale