Cybersécurité : La technologie alliée à l’expertise, gage d’une cybersécurité de bout en bout

La connexion accrue des systèmes informatiques (IT) aux systèmes industriels (OT) accentue les risques de cyberattaques. Aucune entreprise ou même administration, quelles que soient sa taille et son activité, n’est à l’abri (usines, hôpitaux, villes, infrastructures routières…). Les interactions entre ces deux mondes doivent donc être sécurisées. Ayant pris la mesure de cet enjeu depuis 10 ans déjà, Siemens propose des logiciels et les matériels appropriés, tels que ses automates SIMATIC S7-1500 qualifiés par l'ANSSI, mais également un service d’accompagnement personnalisé et des formations dédiées afin de mettre en place une organisation et une architecture garantissant un niveau de cybersécurité maximal. 

La connexion des systèmes de production aux solutions informatiques dédiées à la gestion des activités d’une entreprise est de plus en plus étroite. Cette fusion de l'univers des systèmes d'information (IT) traditionnels avec celui des technologies opérationnelles (OT) permet aux industriels de gagner en réactivité, en flexibilité et en productivité.

Néanmoins, cette tendance à la globalisation des systèmes et à leur hyper connectivité s’accompagne indéniablement d’une augmentation de la surface d’attaque et donc d’une exposition accrue des équipements industriels à d’éventuelles cyberattaques. Les risques encourus diffèrent selon les environnements impactés.
Dans le périmètre IT, les risques concernent surtout la perte ou le vol d'informations. Dans le périmètre OT, les cyberattaques peuvent conduire à un arrêt des services rendus ou de la production.

Les interconnexions entre ces deux mondes doivent donc être sécurisées. Cette sécurisation est d’autant plus difficile que les cyberattaques continuent d’évoluer et deviennent de plus en plus difficiles à détecter et à neutraliser. Après l’application non négociable des mesures d’hygiène informatique de base, la modernisation des moyens de réponse doit donc être l’une des priorités des industriels. L’adoption d’une approche de cybersécurité fondée sur le principe de défense en profondeur et sur les risques peut faciliter l’identification des vulnérabilités potentielles et la prise de décisions en fonction de la probabilité et de l’impact de chaque vulnérabilité.

Dans le monde des systèmes IT, les experts en cybersécurité sont légion. Par opposition, dans le secteur des systèmes OT, les spécialistes tels que Siemens, capables de prendre en compte les spécificités des installations industrielles automatisées, les contraintes métiers, la diversité des architectures, la disparité des technologies et l’ancienneté des équipements, sont rares. Depuis la découverte en 2010 du ver informatique « Stuxnet » capable d’espionner et reprogrammer des systèmes d’automatismes industriels, Siemens a fait de la cybersécurité sa priorité. L’entreprise a formé des experts en la matière et a mis en place, de manière coordonnée dans chaque pays, une organisation dédiée pilotée par des ingénieurs cyber qualifiés (IT & OT). 
Ses équipements ont été, dans le même temps, considérablement durcis. Dès 2016, l’automate de la gamme SIMATIC, CPU 1518, est le premier automate du marché à obtenir la certification de premier niveau puis la qualification ANSSI. Siemens a franchi un nouveau palier en 2017 avec l’extension de la certification CSPN ⁽¹⁾ et la qualification ANSSI à l’ensemble de sa gamme d’automates S7-1500. La qualification ANSSI d’un équipement garantit un niveau de protection bien supérieur à une simple certification. Elle atteste d’un certain niveau de sécurité et de confiance dans les produits qualifiés mais aussi dans le constructeur qui les fournit. Le processus de qualification évalue, au travers de tests réalisés par un laboratoire indépendant, la résistance du matériel à une série d’attaques. Il vérifie la présence et la bonne implémentation des fonctions de sécurité. Cette qualification signifie également que le fabricant est à même de gérer les vulnérabilités qui pourraient apparaître (et disons-le, apparaîtrons) au fil du temps : les détecter, les corriger et fournir aux utilisateurs les correctifs nécessaires. 

La certification et la qualification ANSSI ne sont pas les seuls efforts menés par Siemens au service de la cybersécurité. Ses sites de R&D, de conception et de production ont été mis, pour plus d’une trentaine d’entre eux de par le monde, en conformité avec la norme internationale IEC 62443 relative à la sécurité des systèmes industriels. Cette norme s’intéresse notamment à l’ensemble du processus de développement des produits. La mise en place des process rigoureux qu’elle préconise au regard de la cybersécurité permet d’améliorer les produits face aux menaces en perpétuelle évolution et conduit à faciliter leur certification et leur qualification. La qualification des équipements de Siemens par l’ANSSI et le respect de procédures standardisées pour le développement, la production et le suivi dans le temps de ses produits constituent pour les industriels un gage de confiance en matière de sécurité. 
Cependant, Siemens a bien conscience que cela ne suffit pas. L’ensemble de ses solutions durcies du point de vue de la cybersécurité doivent être déployées de façon appropriée afin de répondre aux spécificités de l’application industrielle et garantir un niveau de sécurité maximal.

Pour soutenir les entreprises dans leur démarche de sécurisation informatique, Siemens a donc mis en place un service d’accompagnement personnalisé. Ce service, qui comprend plusieurs volets, va renforcer le système de protection contre les cybermenaces. La première étape consiste à cartographier l’architecture du système pour localiser les équipements en place, identifier leur rôle et déterminer leur niveau d’attractivité et de sensibilité aux cyberattaques. Ce diagnostic va permettre d’établir une stratégie de protection selon la nature des installations et une évaluation précise des risques encourus. Ce qui va conduire à proposer, au cas par cas, selon chaque situation industrielle, une stratégie reposant sur l’organisation, la formation du personnel, la configuration logicielle et l’installation de matériel approprié visant à renforcer la sécurité. Des mises à niveau régulières doivent être envisagées car les technologies et les risques évoluent perpétuellement. Le déploiement de matériels dédiés (cloisonnement réseau, pare-feu, protection physique et durcissement d’équipements, etc.), jusqu’à l’installation de sondes de surveillance lorsque cela s’avère nécessaire, n’est qu’une brique du mur protégeant des cyberattaques. Le service d’accompagnement personnalisé de Siemens veille à soutenir les industriels dans la construction robuste et évolutive d’un tel mur. 

La robustesse de ce mur de protection peut cependant être fragilisée par des comportements individuels des collaborateurs de l’entreprise ou de l’un de ses fournisseurs. La vigilance et la sensibilisation régulière du personnel à certaines règles de base, via des campagnes de formation, sont donc indispensables. Siemens propose notamment une formation permettant d'acquérir les bases de la cybersécurité des systèmes industriels et d’en connaître les solutions de protection élémentaires. Cette formation de trois jours s’adresse aux automaticiens et à toute personne en charge de la conception, du développement, de l'intégration, de l'exploitation ou de la maintenance de systèmes industriels (maîtrise d'ouvrage, maîtrise d'œuvre, exploitants, intégrateurs, etc.). A l’issue de cet apprentissage, combinant théorie et mise en pratique, les  stagiaires seront capables de comprendre les enjeux en matière de cybersécurité industrielle, d’identifier les failles et les vulnérabilités courantes, proposer des mesures de protection, cloisonner des réseaux, mettre en place un système de détection d’incidents et configurer les protections automates. 

Un fois configurés et déployés, ces automates doivent être maintenus en condition de sécurité, par exemple via le service SIMATIC Security Package, qui surveille les vulnérabilités et vérifie que les fonctions de sécurité restent opérationnelles dans la durée. Des notifications sont transmises aux utilisateurs qui peuvent ainsi identifier les points faibles de leur installation, assurer des mises à jour et prendre les mesures appropriées. Avec la nouvelle version de TIA Portal (V17), les automaticiens ont désormais une arme de plus pour défendre leurs systèmes industriels des cyberattaques. La plate-forme d’ingénierie de Siemens supporte à présent le protocole TLS (Transport Layer Security), standard éprouvé de l’IT, que Siemens met au service de l’OT, et qui permet de sécuriser les communications de bout en bout entre automates, IHM, ou encore stations d’ingénierie.. Les automaticiens peuvent maintenant gérer depuis TIA Portal les certificats et les clés de chiffrement de leurs équipements, et ce de manière individuelle. Les entités sur le réseau sont donc authentifiées et les données transmises entre-elles sont ainsi chiffrées pour empêcher leur lecture et leur modification durant leur transfert. Les aspects confidentialité, intégrité et bien évidemment disponibilité s’en trouvent ainsi considérablement renforcés. 

Fabien Miquet et Thomas Jauniaux

⁽¹⁾ CSPN : Certification de sécurité de premier niveau qui garantit la résistance d’un produit à des attaques de niveau modéré