Kipsecu

Devenez Acteur de la Sécurité du Web

img

Cybersécurité en milieu industriel : Les bases indispensables

/
/
/
95 Views

Quelles sont les principales failles d’une informatique en milieu industriel ? Comment faire face à une cyber attaque visant un site industriel ? Nous allons tenter de répondre du mieux possible à ces questions qui se posent pour de nombreux responsables informatique.

Pourquoi mon système d’information industriel est-t-il la cible d’attaques ?

Anonymous cyberattaque usine

Dans le milieu de la sécurité informatique, on distingue généralement 3 sources de motivation qui font qu’un pirate s’intéresse à votre informatique.

Tout d’abord, nous allons parler des attaques ciblées, c’est-à-dire lorsque l’attaquant a délibérément choisi d’attaquer votre entreprise. C’est le type d’attaque le plus difficile à contrer car les pirates sont généralement organisés et ont des moyens financiers et techniques à la hauteur de l’enjeu. Il peut s’agir de vos concurrents principaux, d’une organisation gouvernementale, d’un groupe militant, … Leur choix de viser votre entreprise peut être lié à des considérations idéologiques ou avoir un objectif lucratif.

La seconde motivation des hackers peut être de relever un défi en parvenant à s’introduire dans votre système d’information. Votre entreprise sera alors un terrain de jeu pour tester des attaques informatiques. Les auteurs de ce type d’attaque peuvent être des amateurs (script kiddies), des adolescents, des internes de votre entreprise qui s’essaient à la sécurité informatique, … Bien que le but de l’attaque ne soit pas de nuire à leur victime, il est possible qu’une mauvaise manipulation de leur part fasse d’importants dégâts sur vos systèmes.

Le dernier type d’attaque peut être qualifié de masse, à l’aveugle. L’attaquant va privilégier la quantité à la qualité et va inonder le web de ses attaques. Il peut s’agir de campagnes de phising sur des leaks (fuites) d’adresses emails, de propagation de virus (ex :  ransomware wannacry), …

 

Comme vous pouvez le voir, les attaques ne ciblent pas nécessairement votre entreprise pour ce qu’elle représente. Quoiqu’il arrive, votre système d’information est une cible, que vous soyez une TPE, une PME ou une multinationale.

 

 

La faille principale se situe toujours entre le siège et le clavier

Humain faille informatique

Pour protéger un système d’information de manière efficace, il faut déjà veiller à se protéger des personnes qui l’utilisent. Vos employés, stagiaires, sous-traitants, sont autant de portes dérobées que vous ne pouvez pas sécuriser comme vous le feriez pour un équipement informatique.

Par exemple, l’insertion d’une clé USB personnelle sur un serveur de votre entreprise peut avoir des conséquences dramatiques si cette dernière est infectée par un virus. Bien évidemment, les conséquences seront encore plus importantes si vos équipements ne sont pas protégés par des anti-virus.

C’est pourquoi vous devriez absolument former votre personnel aux bonnes pratiques de la sécurité informatique et leur faire adopter une bonne hygiène informatique au travail. Il est indispensable de mener régulièrement des campagnes de sensibilisation à l’attention de vos employés. Ces campagnes peuvent prendre la forme d’affiches dans les couloirs, de newsletters, de fausses campagnes d’hameçonnage, …

 

Maîtriser la sécurité d’une informatique industrielle est complexe

Politique sécurité informatique industrielle

Jusqu’à peu relativement épargné par les contraintes de la sécurité informatique, l’informatique en milieu industriel se rapproche de plus en plus de l’informatique de gestion en termes de vulnérabilités.

Cela vient du fait que le secteur industriel souhaite désormais avoir accès en temps réel aux données du système d’information, de n’importe quel endroit de la planète, dans une logique de réduction des coûts et d’amélioration de la compétitivité des industries.

Les outils de développement, de télémaintenance et de maintenance sont aujourd’hui développés de la même façon que des logiciels de gestion. L’importance du nombre d’outils développés sur des technologies très répandues contribue à la multiplication des failles de sécurité sur les automates industriels.

Or, contrairement au monde de l’informatique de gestion, l’informatique industrielle n’est pas en mesure de corriger les failles ou de mettre à jour ses systèmes de façon régulière. En effet, les systèmes industriels ont de fortes contraintes de disponibilité et de sûreté, ce qui réduit la possibilité d’arrêt des automates et par conséquent la fréquence des mises à jour.

Enfin, les acteurs du monde industriel sont sans doute moins sensibilisés à la question de la sécurité informatique que leurs homologues du monde de la gestion.

 

Quelles sont les vulnérabilités les plus fréquentes pour un SI industriel ?

 

Le manque de visibilité sur son parc informatique industriel

architecture système informatique industriel

Etape incontournable pour sécuriser son système d’information industriel ou de gestion, la cartographie des matériels et équipements est souvent mal maîtrisée sur les sites industriels. Sans visibilité sur le nombre, la nature ou les versions des équipements informatiques, il est impossible de sécuriser efficacement son système d’information.

Imaginez qu’un PC sous windows XP, connu pour ses nombreuses failles soit utilisé sur votre site industriel sans que vous ne soyez au courant. Même avec la meilleure des protections sur le reste du parc, vos systèmes seront vulnérables via cette porte d’entrée que vous ne soupçonnez pas. Le niveau de sécurité informatique global d’un système s’évalue en fonction du maillon le plus faible du système.

 

L’absence de PCA/PRA

 

Que faire en cas de sinistre affectant vos équipements informatiques (incendies, inondations, coupures de courant, …) ?

Le PCA (Plan de continuité d’activité) et le PRA (Plan de reprise d’activité) sont deux procédures que vous devriez mettre en place sur votre site industriel pour pallier à ce type de risques.

Le rôle du PCA est de faire en sorte que le système d’information ne s’arrête pas, même en cas de défaillance. Il s’agit en général de mettre en place une redondance des systèmes sur un site distinct, le 2ème système étant prévu pour prendre le relai en cas de panne du 1er.

Le rôle du PRA quant à lui est de déterminer les procédures à effectuer pour remettre en route les systèmes en cas d’arrêt de ce dernier. Il s’appuie notamment sur des systèmes de backup pour restaurer les systèmes d’information à l’état le plus proche possible de l’interruption des services.

 

L’absence d’analyse de risques sur votre SI industriel

Ransomware SI industriel

 

En sécurité informatique, une analyse de risques est une méthode permettant d’évaluer le niveau de sécurité informatique de l’entreprise ou des éléments qui composent le système d’information. Pour analyse les risques pesant sur le SI, il convient tout d’abord de déterminer le périmètre que l’on souhaite protéger.

Une fois délimité, les risques doivent être inventoriés et classés en fonction de leur impact sur l’organisation et de leur probabilité de survenance. Par exemple, un serveur à l’arrêt n’aura pas les mêmes conséquences sur un site nucléaire que dans un lycée.

La corrélation de ces 2 facteurs vous permettra de déterminer la criticité du risque et de mettre les contre-mesures adaptées en place face à ce risque. Vous pouvez choisir d’accepter le risque si vous considérez qu’il n’est pas une menace pour votre entreprise.

L’analyse doit également préciser le type de risque auquel on doit faire face. Ils sont au nombre de trois :

  • L’intégrité: La nature des données peut-elle être modifiée, être altérée ?
  • La confidentialité: Les données sont-t-elles accessibles à des personnes non-autorisées ?
  • La disponibilité: Puis-je accéder à mes données lorsque j’en ai besoin ?

L’analyse de risque est essentielle au Management de la Sécurité des Systèmes d’Information (SMSI). Après la mise en place d’une politique de sécurité des systèmes d’information, l’analyse de risque de votre SI sert de point de départ à l’application de mesures de protection.

 

La présence de mots de passe par défaut sur les machines industrielles

 

Les mots de passe sont toujours incontournables en 2017 pour sécuriser son informatique. Les nouvelles technologies dans le domaine de l’authentification ne manquent pas (empreintes digitales, cartes à puce, double authentification, …) mais elles sont souvent chères et pas forcément adaptées à la nature des systèmes industriels.

C’est pourquoi vous devriez absolument mettre en place une politique de mots de passe efficace au sein de votre entreprise, et cela commence par le changement systématique des mots de passe par défaut lors de l’installation d’un nouveau composant.

Les failles les plus courantes et les plus exploitées sont les dispositifs de vidéosurveillance et les accès non autorisés aux routeurs. Les bases de données des mots de passe par défaut de ces équipements sont largement diffusées sur la toile. Il arrive même que les équipements soient dépourvus de mots de passe lors de l’installation !

Les comptes à vérifier sont le plus souvent : les bases de données, les applicatifs, les comptes de services, les accès en mode console, …

Dans le même esprit, attention à la présence de mots de passe en clair dans les documentations, les sauvegardes ou encore les codes sources.

Avec le développement des objets connectés (IoT), la sécurité informatique va devenir de plus en plus complexe à gérer, les constructeurs de ces objets n’accordant que peu d’intérêt à la sécurité des objets, privilégiant des coûts de fabrication faibles.

 

La gestion des accès utilisateurs dans un système industriel

 

Dans la mesure du possible, il faudrait appliquer les règles d’accès au SI du monde de l’entreprise au SI industriel. Cela signifie qu’un compte utilisateur doit être attribué à une seule et même personne, avec une authentification « forte ». L’utilisateur doit être déconnecté lorsqu’il n’est pas à son poste de travail et désactivé lorsqu’il quitte l’entreprise.

L’existence de comptes génériques, c’est-à-dire partagé entre plusieurs utilisateurs, doit être limitée au maximum. En effet, en cas de problèmes, vous ne pourrez pas tracer l’identité de la personne connectée à ce compte. De plus, lorsqu’un employé quitte l’entreprise, il est fréquent d’oublier de changer le mot de passe du compte générique et de fait, l’utilisateur pourra toujours s’y connecter.

Toutefois, dans le monde industriel, il arrive fréquemment que certaines machines doivent être accessibles 24h/24 par l’ensemble de l’équipe ou encore qu’elles ne soient pas dotées de mesures d’authentification. Dans ce cas de figure, la bonne pratique est de sécuriser l’accès au local de la machine, de préférence par badge magnétique pour être en mesure de retracer les entrées/sorties de la pièce.

La mise en place d’un active directory sur les systèmes de l’entreprise peut être intéressante pour gérer les comptes utilisateurs de manière centralisée.

 

Active Directory en milieu industriel

 

La gestion des droits utilisateurs

 

La gestion des droits utilisateurs est tout aussi importante que la gestion des accès utilisateurs. La plupart des attaques informatiques venant de l’intérieur de l’entreprise, vous avez tout intérêt à limiter les droits des employés au strict nécessaire.

L’erreur la plus souvent commise est de donner les droits administrateurs à un utilisateur classique, pour faciliter la vie du salarié et de l’administrateur système. Or, les comptes à privilèges peuvent être à l’origine d’attaques destructrices pour le SI.

A l’heure de l’externalisation de la maintenance des systèmes, le danger peut aussi venir des administrateurs d’un sous-traitant, d’un infogérant, … Une bonne gestion des logs de connexion est alors essentielle.

 

Comment se protéger d’une attaque informatique en milieu industriel ?

 

Dans un prochain article, nous continuerons le passage en revue des vulnérabilités les plus fréquemment rencontrées dans un système informatique industriel et les contre-mesures que vous pouvez mettre en place pour améliorer le niveau de sécurité informatique dans vos industries.

Nous vous proposerons également des astuces pour sensibiliser vos employés, techniciens, automaticiens, utilisateurs finaux, à la sécurité informatique industrielle.

Pour aller plus loin, vous pouvez prendre connaissance de notre premier article sur la sécurité informatique dans le monde de l’industrie : La sécurité informatique industrielle, c’est quoi ?

Notre blog, nos guides et notre équipe d’experts en sécurité informatique a pour vocation d’aider les internautes à se protéger des menaces présentes sur le web.

  • Facebook
  • Twitter
  • Google+
  • Linkedin
  • Pinterest

Leave a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

It is main inner container footer text