Maîtriser l'industrie 4.0 en toute sécurité

Des mots clés tels que Industrial Internet of Things (IIoT), Industrial Control System (ICS) ou systèmes SCADA ne sont que quelques-uns des termes qui concernent des domaines partiels de la production en réseau ou de l'industrie 4.0. Les experts estiment que dans quelques années déjà, huit entreprises suisses sur dix utiliseront des composants (I)IoT. La connectivité met ainsi en réseau des domaines d'activité qui étaient jusqu'à présent indépendants les uns des autres. Dans le passé, les environnements de production étaient généralement planifiés et réalisés sous forme de solutions isolées hors ligne. Nombre de ces solutions isolées sont désormais "modernisées" et adaptées à la communication numérique. Dans ce contexte, le thème de la sécurité est rarement suffisamment pris en compte. La raison en est non seulement les avantages de l'intégration numérique, mais aussi le souci de la compétitivité et des investissements existants dans les installations de production. Malheureusement, aucun système numérique n'est absolument sûr à ce jour, en particulier les machines et les commandes qui n'ont pas été conçues et développées pour communiquer avec des systèmes extérieurs. Le risque de manipulation de ces systèmes augmente donc¹. Vol, fraude, chantage et manipulation en sont les conséquences possibles. Malgré cela, les principes de sécurité fondamentaux, considérés depuis des années comme des pratiques d'excellence dans l'informatique traditionnelle, ne sont souvent pas intégrés dans le cycle de développement et de maintenance des systèmes IIoT.

La confiance est essentielle dans l'industrie 4.0

La sécurité et la sûreté sont encore souvent considérées comme des mondes séparés, ce qui entraîne des déséquilibres. Alors que des directives claires s'appliquent à la sécurité et que des évaluations coûteuses doivent être effectuées, le thème de la sécurité est fortement négligé. Avec l'IIoT, les environnements de production évoluent toutefois vers un "monde OT" (Operational Technology) ouvert, dans lequel les systèmes critiques ne sont plus isolés. Et c'est ainsi que de nouvelles questions se posent soudainement :

1. Comment protéger les machines en réseau contre l'accès de tiers ?
2. Quelles sont les données que l'on veut absolument conserver dans l'entreprise ?
3. Quelles sont les données que l'on partage avec des partenaires commerciaux ?
4. Quelles données sont susceptibles d'être publiées dans leur intégralité ?

Avec l'industrie 4.0, le succès dépend de la sécurité. En effet, seul celui qui bénéficie de la confiance des clients et des partenaires en matière de sécurité et de protection des données peut agir avec succès. Les clients sont nettement plus affinitaires à cet égard qu'il y a quelques années.

Sécurité avec système, responsabilité et compétence

La cybersécurité devrait donc figurer en tête de chaque agenda - et pas seulement lorsque quelque chose a mal tourné. Quiconque s'occupe de l'IIoT et de l'industrie 4.0 doit impérativement se pencher sur le thème de la sécurité. Les normes internationales (p. ex. la série ISO/IEC 270xx ou le cadre de cybersécurité du National Institute of Standards and Technology) offrent des modèles reconnus pour l'établissement, la mise en œuvre, la vérification et l'amélioration continue sur la base d'un système de gestion de la sécurité de l'information (ISMS). Si un ISMS doit être établi dans le contexte de l'industrie 4.0, il est nécessaire d'adopter une approche globale qui englobe l'environnement informatique traditionnel, le développement et l'informatique de production. C'est la seule façon d'atteindre les objectifs de sécurité de l'information, de minimiser les risques pour l'entreprise et de répondre aux exigences réglementaires.

La mise en œuvre d'un SMSI nécessite la définition de rôles et de responsabilités. Un RSSI est responsable des questions relatives à la sécurité de l'information. Il assume également la fonction de gouvernance au sein de l'entreprise. Il est responsable de la sécurité dans l'informatique classique, dans l'informatique de développement et dans l'informatique de production, et en assure la conception et le contrôle. Cette fonction doit être intégrée en conséquence dans l'organisation et dotée des compétences nécessaires. Enfin, l'homme joue un rôle décisif dans la mise en place globale de la sécurité. Tous les collaborateurs doivent donc être sensibilisés et formés en conséquence.

Compréhension de la sécurité à l'échelle de l'entreprise

Mais cela ne suffit pas à lui seul. Pour la sécurité et une gestion durable des risques dans l'industrie 4.0, il est indispensable qu'une entreprise connaisse les actifs critiques et dignes de protection. Il s'agit par exemple des installations et des machines, des processus et des procédés de production ou des données sur les paramètres de fabrication, les recettes et le savoir-faire en matière de processus. Ces données doivent être documentées en conséquence et actualisées à intervalles réguliers. Il s'agit de mettre en évidence les menaces possibles et les corrélations pour les différents actifs. La probabilité d'occurrence et l'ampleur des dommages attendus permettent de déduire la criticité et le besoin de protection ainsi que les mesures à prendre. Dans le contexte de l'industrie 4.0, il faut pour cela une compréhension interentreprises et une classification uniforme des données. C'est la seule façon de garantir la sécurité au-delà des frontières de l'entreprise et d'éliminer les malentendus.

Segmenter, identifier et authentifier

Sur le plan technologique, l'une des clés de la sécurité réside dans une authentification, une architecture et un zonage appropriés dans les réseaux Industrie 4.0. La segmentation dans l'informatique et l'informatique de production décrit souvent une séparation verticale. En revanche, les sous-réseaux d'installations peuvent également être séparés horizontalement. Les zones présentant des besoins de protection similaires doivent être identifiées et séparées les unes des autres par des moyens techniques. Il s'agit de mettre en place différentes lignes de défense (Lines of Defense) et de protéger ainsi les données et les installations grâce à la segmentation des environnements, des flux de données et des processus d'exploitation, tout en surveillant les transitions entre les zones.

Les identités sécurisées sont le point de départ de la chaîne de confiance dans la communication automatisée. Chaque partenaire de communication impliqué dans le réseau de création de valeur a besoin d'une identité (sécurisée) adaptée à l'usage qu'il veut en faire, qui permette une identification claire et, le cas échéant, une authentification. Dans le domaine informatique, la gestion des identités est aujourd'hui une pratique courante. Cette gestion de l'identité doit être étendue à la production et garantie au-delà des frontières de l'entreprise. C'est en effet la seule façon de garantir la sécurité dans l'environnement système hautement interconnecté de l'industrie 4.0. Tant pour la segmentation que pour la gestion des identités, il n'est pas nécessaire de réinventer la roue. Il s'agit ici aussi de s'orienter vers les approches de meilleures pratiques qui ont fait leurs preuves et de les adapter.

Fournisseurs et partenaires dans la chaîne de valeur

Dans l'industrie 4.0 et dans le paysage informatique traditionnel, tous les composants matériels et logiciels doivent être inventoriés et documentés. Sur cette base, il est ensuite possible d'établir des règles pour l'apport de mises à jour logicielles ou de nouveaux composants logiciels et matériels. Dans ce contexte, il est recommandé d'établir des consignes de sécurité claires vis-à-vis des fournisseurs et de mettre en place une gestion ciblée des risques fournisseurs. En effet, les failles de sécurité dans la chaîne de création de valeur peuvent rapidement devenir un risque de sécurité pour toutes les parties impliquées. Parallèlement, les services et fonctions non utilisés des composants matériels et logiciels devraient être désactivés et ainsi renforcés. Les fournisseurs devraient donc mettre à disposition une documentation appropriée pour les composants livrés et les mécanismes de sécurité mis en œuvre. Avant la mise en service, les nouveaux systèmes devraient en outre être testés et vérifiés par exemple à l'aide d'un test d'intrusion.

La sécurité IIoT n'est pas une affaire ponctuelle, car la situation en matière de risques évolue constamment. Les entreprises doivent observer en permanence l'état actuel des menaces et optimiser et améliorer continuellement leur dispositif de sécurité en tenant compte des nouvelles menaces et vulnérabilités. Les éléments importants d'une gouvernance de la sécurité comprennent donc des évaluations des risques, des audits organisationnels, des tests de sécurité des systèmes, des tests d'intrusion et des analyses de vulnérabilité. Parallèlement, les entreprises devraient être en mesure de détecter à tout moment les incidents de sécurité, d'y réagir rapidement et d'en réduire l'impact au minimum.

Des concepts d'urgence spécifiques sont nécessaires pour la restauration, comme par exemple la défaillance de composants matériels, des données modifiées en raison d'influences externes, des cyberattaques ou "seulement" une panne de courant. Cela inclut également une sauvegarde régulière des données et des programmes pertinents pour les parties importantes de la production. La sécurité n'est donc pas un sujet que l'on aborde un jour ou l'autre - peut-être seulement après qu'un incident s'est produit. Quiconque s'occupe d'industrie 4.0 doit impérativement s'occuper de cybersécurité. C'est en effet la seule façon d'instaurer la confiance entre toutes les parties impliquées, au-delà des frontières de l'entreprise.

1 Témoignage de Melani

Auteur

Markus Limacher

Responsable du conseil en sécurité, InfoGuard AG