Supply chain : quelle cybersécurité pour les composants connectés ?

Qu’il s’agisse d’un train, d’un automate industriel ou d’une caméra de vidéosurveillance, sitôt qu’un appareil ou un système est capable d’échanger des données avec l’extérieur, il se trouve en effet exposé à des actes de malveillance. On peut chercher à soutirer les données qu’il contient, à bloquer ou détourner son fonctionnement, ou encore à s’en servir comme d’une porte d’entrée vers d’autres systèmes. Pour cela, on exploite le plus souvent les vulnérabilités de l’un de ses composants matériel ou logiciel, vulnérabilités qui auraient été introduites délibérément par son fabricant ou par manque de vigilance de celui-ci.

Le fabricant du produit final reste tributaire du niveau de sécurité des composants qu’il utilise. Or, bien que leur responsabilité puisse être engagée en cas d’incident, peu d’industriels se soucient aujourd’hui de demander à leurs fournisseurs des garanties en matière de cybersécurité, sinon dans de rares activités sensibles. Dans le secteur de la Défense, par exemple, l’Armée française a ainsi élaboré un référentiel de maturité cyber pour les entreprises de la Base Industrielle et Technologique de Défense (BITD). Malgré ces initiatives, l’approche reste souvent désordonnée et cloisonnée, chaque département évaluant les risques aux limites de son périmètre et selon ses critères.

Une pression réglementaire grandissante

La multiplication des composants connectés entraîne une grande tension économique et géopolitique de par l’accès potentiel à des informations critiques. Il n’est donc plus possible d’ignorer ces enjeux. La réglementation prend désormais en compte ces nouveaux enjeux et souhaite se renforcer. En Europe, le Cyber Resilience Act, en cours d’élaboration, et la directive NIS2, qui entrera en vigueur courant 2024, vont accroître la pression sur les entreprises en leur imposant de faire preuve de davantage de vigilance. En parallèle, émergent des normes sectorielles, comme l’UNR 155 et l’ISO 21434 pour l’automobile, ou l’ED 202 pour l’aéronautique, qui renforcent elles aussi les exigences de sécurisation et de contrôle.

Pour toutes les industries connectées et/ou qui fabriquent des produits connectés, il va donc falloir très vite s’organiser pour pouvoir garantir la sécurité, l’authenticité et l’intégrité des composants tiers. Pour mettre en place cette « supply chain de confiance », il faudra toutefois surmonter quatre écueils majeurs :

• la faible maturité en matière de cybersécurité des fournisseurs, dont peu ont la taille et les ressources pour s’en être sérieusement préoccupés jusqu’ici ;
• la faible substituabilité des composants, en général très spécialisés et sur lesquels on ne peut donc pas imposer trop d’exigences ;
• la difficulté pour les donneurs d’ordre de mettre en place un dispositif global et systématique d’évaluation et de contrôle ; et enfin,
• la règlementation jusqu’ici insuffisante pour contraindre les fabricants à se pencher sur le niveau de sécurité des composants utilisés.

Dans ce contexte, nous recommandons une approche en trois temps : la priorité sera de prendre conscience et faire prendre conscience de la réalité des risques, de leur ampleur, et donc de la nécessité de s’en prémunir.

Sensibiliser et convaincre pour embarquer

L’objectif est de construire une vision stratégique globale tant au niveau des produits (du chipset au cloud) que de la production (processus et outils de l’industrie intelligente), et de faire en sorte que tous les acteurs internes concernés (études, achats, IT, juridique, production…) adhèrent et participent. La gestion des risques cyber liés aux tiers doit être décloisonnée, coordonnée de bout en bout, et fondée sur une perception et une visibilité commune des risques. Ce travail pour sensibiliser, convaincre et embarquer devra également être mené avec les fournisseurs eux-mêmes.

Se donner les moyens de ses ambitions

La deuxième étape consiste à doter cette stratégie de moyens organisationnels et techniques. Étant donné les enjeux, des procédures déclaratives ne suffisent plus : il faut formaliser les pratiques, objectiver les évaluations, systématiser les contrôles. Pour cela, après avoir cartographié l’existant, on pourra s’appuyer sur un référentiel (NIST, ISO, IEC…) pour remettre à plat les processus et les mesures de sécurité, notamment en ce qui concerne l’évaluation et la sélection des fournisseurs. Il faudra aussi collaborer avec ces derniers pour les accompagner dans la mise en place de leurs nouvelles obligations.

Il faudra par ailleurs se doter de l’outillage adéquat : d’une part, pour vérifier et contrôler le niveau de sécurisation intrinsèque des composants tiers (évaluation des risques, tests, validation des certifications et homologations…) ; d’autre part, pour s’assurer qu’ils respectent les principes de l’architecture de sécurité de type zero-trust (auto-contrôle des équipements, gestion des identités et des accès, stockage des informations sensibles…).

Inscrire cette politique dans la durée

Enfin, la troisième étape va consister à mettre en place un suivi de cette politique dans la durée. En effet, les cycles de vie des produits industriels sont parfois longs, et les technologies comme le contexte sécuritaire évolueront probablement. Ainsi, il faut prévoir un dispositif opérationnel qui permettra de superviser les risques et leur évolution tout au long de l’exploitation des produits, en intégrant ces derniers au SOC (Security Operations Center) et à un processus de gestion des vulnérabilités et des incidents. Celui-ci viendra s’ajouter aux stratégies de défense en profondeur et de conception robuste qui évitent de faire reposer toute la sécurité sur des composants au futur incertain.

Depuis la cyberattaque qui, en 2020, a emprunté des mises à jour de l’éditeur SolarWinds, les risques associés à la supply chain logicielle sont désormais bien identifiés (sinon adressés). Il ne faudrait pas attendre un incident similaire, aux conséquences potentiellement catastrophiques, pour que les entreprises prennent conscience que les menaces sont identiques sur leur supply chain matérielle. La sécuriser de bout en bout sur le plan cyber sera un travail de longue haleine, mais il est capital de débuter dès aujourd’hui en se posant une simple question : que sais-je exactement de la sécurité des composants avec lesquels je fabrique mes produits ?