Nous suivre Industrie Techno

abonné

Focus

Cybersécurité : les pare-feu industriels se hissent enfin au niveau de l'IT

Kevin Poireault
Soyez le premier à réagir

Soyez le premier à réagir

Cybersécurité : les pare-feu industriels se hissent enfin au niveau de l'IT

Apparus il y a un peu plus de dix ans sous l’impulsion de pure players de la cybersécurité industrielle, les pare-feu OT n’avaient pas beaucoup évolué jusqu’au milieu des années 2010. Mais depuis quelques années, les éditeurs de pare-feu IT ont adapté leurs solutions pour l’atelier en intégrant les besoins de l’industrie.

Les pare-feu modernes méritent-ils encore leur appellation ? Ces outils de sécurité informatique en entreprise sont désormais bien plus que de simples boucliers face aux cyberattaques. Ce sont des couteaux suisses, aussi bien capables de filtrer ce qui entre et sort d’un réseau, que de créer un tunnel chiffré pour accéder à une machine à distance.

Et depuis quelques années, cette polyvalence ne vaut plus seulement pour les pare-feu classiques, destinés aux systèmes d’information d’entreprise (IT, information technologies). Leurs homologues OT (operation technologies), connectant automates industriels, commutateurs et autres équipements de l’atelier, se sont mis à niveau. Filtrage dynamique, détection des menaces, réseaux privés, routage, gestion des authentifications… Ils proposent généralement un panel de fonctions de sécurité aussi complet que les pare-feu IT nouvelle génération tout en étant pensés pour évoluer dans l’atelier et ses contraintes.

Des mécanismes d'inspection profonde

Ils ont gagné en robustesse : le PA-220R de Palo Alto Networks ou les SNi40 et SNi20 du français Stormshield sont ainsi certifiés IEC 61850, une norme relative aux réseaux électriques qui leur garantit de résister à une amplitude de températures élevée (de - 40 à 70 °C pour le SNi20), à l’humidité et aux interférences. Ces pare-feu industriels ont aussi « leur propre circuit de refroidissement, sans ventilateur, pour les préserver des vibrations », ajoute Éric Antibi, le responsable de l’ingénierie des systèmes chez Palo Alto.

Ces innovations marquent un tournant dans l’histoire – pourtant récente – des pare-feu. S’ils ont été théorisés au milieu des années 1980, comme de simples filtreurs de paquets, il faudra attendre les années 2000 pour voir arriver des fonctions de sécurité au niveau des applications. Ces pare-feu intègrent alors des mécanismes d’inspection profonde des paquets (deep packet inspection, ou DPI), qui analysent des flux dans la charge utile des paquets plutôt que dans les en-têtes, ainsi que des systèmes de détection d’intrusion (IDS) et de prévention d’intrusion (IPS).

À cette époque, la sécurité des réseaux OT n’était pas encore un sujet. « Puis, en 2010, l’attaque Stuxnet a tout changé », rappelle Éric Byres, spécialiste de la cybersécurité industrielle. Ce malware, probablement concocté par l’Agence américaine de sécurité (NSA) et les services de renseignement israéliens pour s’attaquer aux centrifugeuses iraniennes d’enrichissement d’uranium, a fait prendre conscience de l’intérêt de protéger ces réseaux industriels.

Faciles à configurer

« Mais les pare-feu existants ignoraient alors ce qu’était un protocole industriel comme Modbus, Profinet ou ethernet IP », ajoute-t-il. Les éditeurs ont donc adapté leurs produits pour répondre à cette menace. Désormais bardés de fonctionnalités de sécurité, ils souffrent cependant d’un nouveau handicap : ils sont très gourmands en ressources. Un inconvénient pour des réseaux qui ne tolèrent le plus souvent « aucune latence de plus de 50 à 100 millisecondes », indique Vincent Riondet, spécialiste cybersécurité et ingénierie réseau chez Schneider Electric.

Il a fallu concevoir des pare-feu adaptés à ces besoins industriels, mais aussi faciles à configurer et à maintenir – « Si vous êtes sur une plate-forme pétrolière en plein milieu de la mer du Nord, il n’y a pas un ingénieur IT à des kilomètres à la ronde ! », illustre Éric Byres. C’est ce que font Tofino, fondé en 2006 par ce dernier et racheté en 2011 par le groupe américain Belden, et Innominate, propriété de l’allemand Phoenix Contact depuis 2008.

Beaucoup moins onéreux, ces pare-feu industriels sont de bons filtreurs réseau pour les protocoles industriels (Modbus, S7, Profinet, OPC UA…) et proposent parfois des fonctions supplémentaires, comme le routage, la traduction d’adresse réseau (NAT) ou encore le réseau privé (VPN), pour la télémaintenance, par exemple.

Chez Pheonix Contact, certains modèles plus haut de gamme peuvent même intégrer de la DPI et la possibilité de faire de la redondance de matériel au cas où l’un tombe en panne (gamme FL mGuard RS 4000) ou même un scan de réseau afin d’inventorier les actifs (gamme FL mGuard RS 1100). « Mais avec l’arrivée de l’industrie 4.0, qui élargit la surface d’attaque dans les réseaux OT, ces solutions ne sont pas toujours assez performantes », estime Vincent Riondet. C’est la[…]

Pour lire la totalité de cet article, ABONNEZ-VOUS

Déjà abonné ?

Mot de passe perdu

Pas encore abonné ?

vous lisez un article d'Industries & Technologies N°1042

Découvrir les articles de ce numéro Consultez les archives 2021 d'Industries & Technologies

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Des micro-aéronefs instrumentés dispersés en chute libre maîtrisée pour scruter l'air ambiant

Des micro-aéronefs instrumentés dispersés en chute libre maîtrisée pour scruter l'air ambiant

Une équipe de recherche internationale a mis au point des structures volantes en trois dimensions de très petite taille pouvant[…]

Un guide d'ondes compact et à faible bruit pour amplifier la lumière

Fil d'Intelligence Technologique

Un guide d'ondes compact et à faible bruit pour amplifier la lumière

[FIC 2021] Airbus Cybersecurity et Alstom déploient une offre commune pour la cybersécurité des trains

[FIC 2021] Airbus Cybersecurity et Alstom déploient une offre commune pour la cybersécurité des trains

Avec Cybersecurity for industry, le FIC veut devenir le rendez-vous de la cybersécurité industrielle en Europe

Avec Cybersecurity for industry, le FIC veut devenir le rendez-vous de la cybersécurité industrielle en Europe

Plus d'articles