JPO - Les cyber-escrocs du Dark Web aux portes de nos industries…

Si j’ai voulu associer l’acronyme « JPO » au titre de ce billet, c’est parce qu’il représente pour moi, la vision imagée que j’ai de l’industrie 4.0 face aux cybermenaces. Vous allez me dire que c’est un peu tiré par les cheveux, certes, mais si l’on fait l’association suivante à la définition, ça peut avoir du sens :

1. Monuments ou des lieux  Usines
2. Interdits au public  Sûreté
3. Ouvert à la visite  Industrie 4.0

En réalité, la sécurité industrielle [Sûreté] liée aux accès vers les différents systèmes stratégiques d’une [usine], est devenue « perméable » aux cybermenaces depuis la 4ème révolution industrielle, caractérisée par l'apparition de l'Internet industriel [Industrie 4.0]. A titre de comparaison, l’industrie 3.0, qui n’en n’était qu’aux prémices d’Internet, a vue l’arrivée des automates programmables en 1969 et l’automatisation systématique des processus. Les machines industrielles automatisées ne communiquaient pas encore entre elles, ce qui n’est plus du tout le cas aujourd'hui.

Le véritable enjeu

Mais le véritable enjeu ici, fait référence au mot « exceptionnellement » de la définition, car c'est lui qui devenir « l’exception ». Sans ça, le record d’influence des cybermenaces ne cessera d’augmenter au fil du temps et mettra à mal, la sûreté et l'économie du pays.

Dans la continuité de ce délire cyber-intellectuel, à l’acronyme « JPO », j’associerai aussi :

• « Portes ouvertes »  Internet industriel
• « Journée »  Le jour le plus long (même si cette temporalité ne représente que partiellement la vérité).

Plus sérieusement, et je le mentionnais dans un autre billet (Cybersécurité industrielle : Il n’est pas trop tard…), outre le fait que les machines communiquent entre-elles, le passage à l’industrie 4.0 a démultiplié les besoins d’accès aux seins des SI industriels : stockage de données dans le Cloud, supervision et gestion d'équipements de production à distance, interconnexion de l'informatique industrielle (OT) à l'informatique des bureaux (IT), etc… Cette démultiplication des accès, synonyme de « portes d’entrées » pour les cybermenaces, élargie la surface d’attaque des différents systèmes stratégiques de l’organisation, en les exposant aux futurs assauts des cyber-escrocs du Dark Web.

Comparatif IT/OT

Un petit rappel peut-être, concernant les différences entre IT (Information Technology) et OT (Operational Technology), manière à replacer l'église au centre du village. Les technologies de l'information, symbolisées par « IT » sont exploitées au sein des systèmes d'information d'entreprise, tandis que les technologies opérationnelles, symbolisées par « OT » sont mises en œuvre pour la gestion et la prise en charge des systèmes d'Information Industriels.

Transition digitale

Associées au monde de l'industrie 4.0, les cybermenaces conduisent à une certaine prise de conscience. Les machines de production sont toutes supervisées (analyse de différents métriques) et collectent des données qui doivent sortir du cloisonnement OT pour être envoyées à d’autres entités de l’entreprise, sur d’autres réseaux ou même dans le Cloud. Les systèmes d’information sont aujourd’hui interconnectés et obligent l’entité OT à se plier aux normes de sécurité de l’entité IT.

En fait, les deux cultures et les deux mondes que l’on croyait éloignés se solidarisent et convergent dans leurs besoins, leurs métiers et leur équipement. Cette convergence impose une transition digitale (transformation numérique) pour la mise en pratique de nouveaux usages :

• Internet :
  • Industriel
  • Des objets (IoT)
• Interopérabilité :
  • Des chaînes de production
  • Des outils de production
• Fabrication « just-in-time »
• Flux tendu de production
• Etc...

Malheureusement, cette transition digitale fait aussi appelle aux technologies IIoT (IoT Industriel) qui induisent de nouvelles vulnérabilités. A cela, s’ajoute l’accroissement du nombre de logiciels de pilotage et de supervision des ressources industrielles, qui génère lui aussi une exponentiation des vulnérabilités pouvant mettre à défaut les systèmes et provoquer un arrêt partiel ou total de la production. Bref, les équipements industriels doivent adopter conséquemment les technologies de l’IT, et c’est pourquoi l’association IT/OT doit devenir naturelle avec le temps. Mais pour ça, il faut impérativement que les deux entités industrielles collaborent pour faciliter cette transition.

Les Directions des départements OT, en collaboration avec leurs homologues IT, doivent donc rapidement prendre les mesures nécessaires pour protéger leurs systèmes d’information. Les nouvelles règlementations Européenne imposent la protection des secteurs critiques, ce qui va obligatoirement accélérer les cycles de décision de pas mal d'industries. En France, la LPM (Loi de Programmation Militaire) et la directive NIS (Network and Information Security), très bientôt (2^ème semestre 2024) dans sa version 2 (Directives NIS 2), imposent aux entreprises de sécuriser leur informatique de gestion mais aussi leurs systèmes industriels.

Option ou obligation ?

Il faut savoir qu’au-delà des impacts financiers ou vols de données que l'on retrouve dans un contexte IT, une cyberattaque sur un système industriel peut également mettre en danger le facteur humain. Même si à l’ère 4.0, les entités IT/OT sont à la même école, elles ne jouent pas tout à fait dans la même cyber-cours de récréation. La cybersécurité dans le monde de l’OT n'est plus une option, mais une obligation.

Comment se protéger ?

La cyber-protection contre les intrusions sur les SI industriels est donc plus que primordiale. Les départements IT/OT ont un réel défi à relever pour protéger leurs accès, qu’ils soient locaux où à distance. Dès qu’une nouvelle connexion se fait sur un site industriel, une nouvelle porte d'entrée vers de nouveaux risques est créée, ce qui implique que tous les accès doivent, non seulement être protégés, mais ils doivent aussi être tracés et contrôlés. Cependant, dans des contextes de maintenance, d’administration, de supervision, …, les accès qui se font avec un compte à privilège doivent en plus être « surveillés ».

Pour garantir une protection optimale des accès, les solutions de sécurisation doivent, dans la mesure du possible :

1. S’appuyer sur une architecture d’accès basée sur un modèle zéro-trust (ZTNA)
2. Etre en capacité de différentier les diverses populations qui se connectent (identités avec ou sans privilège) pour garantir un niveau de contrôle adapté.

Une plateforme SaaS telle que cyberelements.io offre ce niveau de service. Placée entre les effectifs (populations qui se connectent) et les systèmes cibles (IT/OT), elle gère l'identité et l'accès des utilisateurs en fonction de leurs besoins et de leurs parcours en matière de cybersécurité. Elle utilise le provisioning des identités, la sécurité des accès et des fonctions de Security Service Edge (SSE). Elle permet la sécurisation des accès des collaborateurs à leurs systèmes d’information IT/OT et aux environnements critiques du site industriel en quelques minutes, tout en appliquant le paradigme du zero-trust. Son expérience unifiée apporte un accès, et aux télétravailleurs (ZTNA) et aux utilisateurs à pouvoirs (PAM), qu’ils appartiennent à l’organisation industrielle ou à un prestataire de son écosystème.