"La plupart des réseaux OT sont encore aujourd'hui fermés sur eux-mêmes"

Monsieur Hiestand, quel est le pire scénario en cas de cyberattaque dans le secteur industriel ?

Roger Hiestand : Nous devons faire la distinction entre la sécurité IT et la sécurité OT. Dans le domaine OT, la compréhension de la sécurité informatique et en partie la technique ont quasiment dix ans de retard sur l'informatique. C'est donc aussi le plus grand vecteur d'attaque ou le pire scénario. Même les scriptkiddies, c'est-à-dire les utilisateurs sans grand savoir-faire, ont relativement peu de mal à attaquer les installations industrielles. Un exemple : dans une installation de refroidissement d'une entreprise alimentaire, on pourrait par exemple augmenter la température de cinq degrés sans que personne ne le remarque, et tous les aliments seraient gâtés. Cela va jusqu'à la commande de machine CNC. Cela peut être des millimètres lors du fraisage dans un bloc moteur, ce qui pourrait éventuellement entraîner une destruction totale du moteur. Du point de vue de l'OT, le secteur industriel reste un domaine très conservateur. Il s'agit en premier lieu d'une question de fonctionnalité, la sécurité se situant en aval : dans les installations industrielles, beaucoup de choses ne sont toujours pas cryptées. Pendant longtemps, on ne s'est pas préoccupé de la sécurité informatique, par exemple avec SNMP ou BACnet, dans l'industrie et dans la technique du bâtiment. Certes, on s'efforce de rendre les appareils ou les protocoles de communication comme SNMP v3 ou BACnet Secure plus sûrs. Mais le chemin est souvent long jusqu'à ce que les terminaux et les logiciels prennent entièrement en charge ces normes.

Pourquoi les attaques de ransomware contre les systèmes de contrôle industriels sont-elles de plus en plus fréquentes ?

Une cyberattaque dépend toujours de ce que l'on veut atteindre. Pour espionner un secret commercial, on utilise plutôt un cheval de Troie classique. On agit alors "en silence". Le dommage vient quasiment toujours après. Dans le cas d'un ransomware, l'attaquant veut extorquer de l'argent - le plus d'argent possible : or, de très nombreuses installations de commande industrielles fonctionnent encore aujourd'hui avec Windows 7 ou même Windows XP - et non pas, par exemple, avec une version actuelle (éventuellement durcie) de Windows 10. Comme les deux systèmes d'exploitation cités précédemment ne reçoivent plus de mises à jour de sécurité, une attaque par ransomware est donc devenue proportionnellement plus simple et plus efficace. Pour cela, un pirate n'a même pas besoin de faire de l'ingénierie sociale à grande échelle. Il pourrait théoriquement poser une clé USB sur le bureau d'un gardien d'immeuble et il est très probable que cette clé soit branchée pour vérifier ce qu'elle contient - et c'est à partir de cette étape que l'attaque a commencé. L'effort est donc très faible et le facteur de réussite plutôt grand, à savoir que les entreprises paient la rançon, par exemple sous forme de bitcoins, car la plupart des entreprises n'ont pas de mesures de sécurité, comme par exemple pour les sauvegardes, et sont donc tributaires du décryptage des données par l'attaquant.

Quels sont les vecteurs d'attaque qui représentent le plus grand risque dans le domaine OT ?

Une grande partie des réseaux dans les installations industrielles sont plats et ne disposent que de peu ou pas de mesures de sécurité. Pour illustrer, un réseau plat est comme un rail électrique. Il n'y a pas de mesures de sécurité qui empêchent de brancher quelque chose et d'obtenir du courant ; il en va de même pour ces réseaux plats. Toute personne ayant accès à un commutateur peut brancher n'importe quel appareil et rechercher les points faibles du réseau. Le problème : dans l'OT, de nombreux commutateurs se trouvent quelque part dans la cave, dans des débarras ou des colonnes montantes. Ainsi, en cas d'attaque, on passe plutôt inaperçu, car le flux de personnes est plutôt plus faible dans de tels locaux que dans un bureau animé. La structure plate (couche 2) des réseaux permet par exemple de trouver rapidement et facilement les caméras de vidéosurveillance ou les contrôleurs de ventilation et, le cas échéant, de les compromettre.

À qui incombe la tâche de protéger les réseaux industriels ?

En règle générale, dans les réseaux industriels, c'est l'installateur qui fournit l'infrastructure nécessaire. Inversement, lorsque l'installateur fournit l'infrastructure, le service informatique (s'il existe) dit souvent qu'il n'a plus rien à voir avec l'installation. Là, nous nous trouvons déjà dans une zone de tension, dans le sens de "Fire and Forget". Un système est construit, mais souvent, il n'est plus alimenté en correctifs de sécurité. Il manque également des surveillances qui permettent de détecter si, par exemple, des appareils étrangers sont connectés. Une équipe spécifique chargée de la sécurité des réseaux industriels a donc tendance à ne pas exister. Dans le meilleur des cas, si un contrat de service existe, les mises à jour de sécurité nécessaires des fabricants sont installées lors des inspections annuelles. L'opinion selon laquelle il ne faut rien changer aux systèmes qui fonctionnent (proverbe : "Never touch a running system") persiste à tort.

Existe-t-il des "experts en sécurité OT" indépendants ou des équipes d'experts qui peuvent être convoqués pour une analyse théorique/réelle concernant la segmentation du réseau et la sécurité OT générale ?

C'est précisément sur ce point que nous avons travaillé au sein de l'association SES. Notre objectif est d'aborder ces questions dans le cadre de notre travail. Nous avons élaboré des fiches techniques, des directives, des approches de bonnes pratiques et des formations pour sensibiliser à ce sujet. Comme indiqué dans une question précédente, il s'agit en premier lieu de créer une compréhension de la sécurité informatique. Une fois que cette première étape est franchie des deux côtés (installateur et donneur d'ordre), les experts en sécurité IT/OT peuvent apporter leur soutien. Et pour répondre clairement à la question : oui, il existe de tels experts indépendants. En tant qu'expert en sécurité informatique, c'est une "entreprise" relativement simple de se familiariser avec les particularités du monde OT.

A quoi faut-il faire attention lors du choix d'un fournisseur de sécurité OT ?

C'est une question difficile. Étant donné que les exigences et les possibilités sont en partie plutôt faibles, il faut certainement veiller à utiliser du matériel professionnel qui dispose d'une longue durée de vie à tous points de vue. Cela signifie qu'il ne faut pas utiliser du matériel grand public qui, par exemple, est déjà "en fin de vie" au bout d'un an. Certains fabricants proposent, dans les cas extrêmes, un cycle de vie de sept à dix ans, y compris le remplacement du matériel et les mises à jour de sécurité. Le deuxième critère à prendre en compte est celui des solutions techniques de processus. Mots-clés : sensibilisation des collaborateurs, gestion des correctifs et stratégie de sauvegarde.

L'interview détaillée est à lire dans l'édition papier de SicherheitsForum du 3 mars 2021.