5 conseils pour sécuriser l’OT d’une usine

1. Avoir une vision claire de ce que l’entreprise souhaite protéger

Il est impératif de conduire un état des lieux des équipements présents sur le réseau industriel afin de comprendre la diversité de ceux-ci pour mettre en place des protections en mesure de couvrir un maximum d’entre eux. Mais il ne faut pas se contenter de faire simplement une cartographie physique des équipements (type, emplacement sur le réseau…). Il faut aussi réaliser une cartographie fonctionnelle permettant de comprendre quels équipements contribuent à quelle fonction. Pour ce faire, il est possible de s’inspirer du concept « zones et conduits » de l’IEC62443. Cela permet une meilleure réaction en cas d’attaque car il sera possible d’identifier immédiatement quelle fonction est impactée pour ensuite adapter l’action de remédiation.

2. Ne protéger que ce qui est nécessaire

En d’autres termes, optimiser les coûts de sécurisation. Pour cela une analyse de risque basée sur des scénarii d’attaques spécifiques aux usines permet d’identifier rapidement les risques que l’on accepte et ceux que l’on veut réduire. Pour cela, il faut veiller à impliquer les personnes travaillant dans l’usine au moment de l’analyse des scénarii, au moyen de sessions de travail dédiées. Au-delà d’une évaluation du risque précise, cette manière d’aborder les risques permet de sensibiliser les opérationnels et de les embarquer dans le programme.

3. Elaborer une roadmap réaliste, efficace et modulable

Vouloir tout sécuriser partout et en même temps ne fonctionne pas ! Seule une approche progressive est en mesure de réussir, car il faut tenir compte des enjeux business de l’usine. En effet, un arrêt de la production peut coûter cher en pénalités de retard de livraison et porter atteinte à l’image de l’entreprise.
Par exemple, il est possible de démarrer par le déploiement des protections n’impactant pas l’architecture de la ligne de production :
– EPP/EDR sur des end points,
– Dispositif de contrôle des clés USB,
– Outils de détection et asset management en port mirroring,
– Sensibilisation des opérateurs.

Ensuite quand nécessaire, il est possible de changer l’architecture avec :
– Isolation et segmentation des réseaux,
– Gestion plus fine des droits d’accès et privilèges, y compris les accès à distances très nombreux sur les SI industriels pour les opérations et la maintenance,
– Gestion de l’obsolescence avec une mise à jour des versions (ex: avec les automates) ou du « virtual patching » (ex: avec les vieux OS).

Il est intéressant de classer les usines en 2 ou 3 catégories par niveau de criticité et de choisir de ne déployer qu’un certain type de protection en fonction de la catégorie. La criticité la plus élevée sera par exemple pour les usines qui produisent le produit phare de l’entreprise et qui ont aussi des risques environnementaux (SEVESO par ex) et/ou humains, s’il y a des manipulations dangereuses faites par les opérateurs par exemple.

4. Tester une solution avant de la déployer dans toutes les usines

Réaliser un prototypage de la solution dans une usine pilote permet de comprendre finement la solution et ainsi mieux préparer son déploiement. Il ne faut pas se limiter à tester la fonctionnalité de la solution mais aussi s’assurer qu’elle ne dégrade pas la safety, l’efficacité des opérateurs et bien sûr la performance du système.
Deuxième point à vérifier : s’assurer que la solution est facile à installer et « patchable » avec un maximum d’automatisation permettant d’écrire des procédures de déploiement minimisant l’impact sur la production.

5. Détecter et réagir aux attaques sans « tout casser »

L’enjeu ici est d’avoir des équipes qui connaissent et comprennent le fonctionnement de la chaine de production et des équipements / réseaux industriels pour être capable d’analyser finement les évènements et surtout construire un plan de remédiation minimisant l’impact sur la production et évitant la détérioration d’équipement industriels critiques.
Pour cela, il est important d’avoir un représentant cybersécurité issu des équipes opérationnelles au sein de l’usine, qui possède une très bonne connaissance de l’usine pour aider à l’analyse des alertes et surtout participer à la construction du plan de remédiation. Ce n’est pas au SOC de décider de l’arrêt d’une machine sur la chaine de production ou au sein du système de contrôle commande !

---

Les conseils présentés ci-dessus reposent sur une dizaine d’années d’accompagnement des entreprises industrielles de secteurs différents qui souhaitaient augmenter le niveau de sécurité et de surveillance de leurs usines et centres de production (électricité, gaz, eau…). Notre présence auprès de ces entreprises nous a permis d’acquérir une expérience significative sur des services end to end (Define/Protect/Defend).

En outre, il nous parait important de rappeler qu’un projet de cybersécurité dans l’environnement industriel nécessite d’impliquer des personnes ayant une double compétence « métier » (production industrielle, énergie, transports …) et « cyber » afin de proposer des recommandations et des solutions respectant le cadre réglementaire et normatif de la sécurité des SI Industriels (ANSSI/NIS, IEC 62443, IEC 62351, ISO270xx, NIST-800 …) et adaptées au contexte métier dont les principales préconisations concernent :
– Le respect de la complétude et cohérence avec la sûreté de fonctionnement.
– Le respect des contraintes opérationnelles.
– Le respect des contraintes technologiques (hétérogénéité, obsolescence, performance temps réel, ressources limitées, bande passante réseau).

Blog issu de Cyberun n°18 « Industrie : de l’objet connecté à l’industrie 4.0 ». Magazine gratuit disponible ici.