Nous suivre Industrie Techno

abonné

[Cybersécurité] Zoom sur ces sondes industrielles qui surveillent les réseaux de l'usine

Soyez le premier à réagir

Soyez le premier à réagir

[Cybersécurité] Zoom sur ces sondes industrielles qui surveillent les réseaux de l'usine

Traquant les codes malicieux, les sondes de cybersécurité industrielles se fondent dans les réseaux des usines, de l'atelier aux stations Scada, et interagissent davantage avec la partie IT pour une protection intégrale.

Au contact de l’IT (système informatique), les processus industriels s’exposent davantage aux cyberattaques. La menace n’est en rien théorique : plusieurs logiciels malveillants, ou malwares, ont déjà infiltré des installations parfois critiques. À l’image de Triton, ciblant la compagnie pétrolière saoudienne Petro Rabigh en 2017, d’Industroyer, à l’origine d’une panne de l’infrastructure électrique ukrainienne en 2016, ou du tristement célèbre Stuxnet qui, en 2010, avait infecté des automates Siemens sur un site nucléaire en Iran. Les conséquences sont potentiellement dramatiques, le sabotage motivant la plupart des attaques.

« Dans les cas les plus graves, l’attaquant peut chercher à provoquer des dommages physiques sur l’installation industrielle », observent Vincent Strubel, le sous-directeur de l’expertise, et Mathieu Feuillet, le sous-directeur adjoint des opérations à l’Agence nationale de la sécurité des systèmes d’information (Anssi). Les autres finalités sont l’espionnage, le cryptominage, qui met à profit la puissance de calcul du système industriel, et depuis peu le rançonnement.

Premier bénéfice : la visibilité sur le réseau industriel

« En 2013-2014, des entrepreneurs se sont saisis du sujet en Israël, en France et aux États-Unis, relate Laurent Hausermann, le directeur technique de la sécurité IoT chez Cisco. Avec une même approche : fournir de la visibilité et de la détection sur les systèmes de commande industrielle. » La naissance des sondes de cybersécurité industrielle était actée. Parmi les entreprises spécialisées dans leur conception, les plus notables sont Claroty, CyberX, Nozomi Networks et Sentryo, cofondé par Laurent Hausermann et Thierry Rouquet et cédé à Cisco en 2019.

La visibilité, premier bénéfice d’un tel dispositif, signifie qu’on obtient une vue d’ensemble des machines et des automates programmables actifs sur le réseau industriel (OT, technologies d’exploitation). Collectant les données issues des sondes de terrain, un logiciel de supervision établit une cartographie de l’environnement réseau en quelques heures ou quelques jours, selon la durée du cycle industriel. Il dresse l’inventaire des machines raccordées afin de repérer les vulnérabilités : versions logicielles obsolètes, segmentation du réseau inexistante…

« Connaître l’état du réseau est indispensable avant d’aller plus loin en matière de sécurité », note Vincent Dély, le directeur avant-ventes pour l’Europe, le Moyen-Orient et l’Afrique chez Nozomi Networks. Certains indicateurs, révélant la qualité des échanges sur le réseau ou la présence de machines qui n’ont plus lieu d’être, ont aussi une valeur opérationnelle. L’assainissement du réseau OT est envisageable avant même de dépister des menaces venant de l’extérieur.

Détective de terrain

La sonde représente le détective de terrain, qui se branche sur un commutateur (ou switch) industriel ou sur un boîtier TAP (test access point) intermédiaire. Le nombre de sondes nécessaires est déterminé par la quantité de machines à surveiller, la quantité de points d’écoute pour surveiller l’intégralité du réseau, la bande passante du réseau et sa topologie, locale ou globale, et la distribution éventuelle du réseau sur plusieurs sites.

Sur un site unique, la mise en œuvre ne dure que quelques heures, si le réseau a été préparé (avec notamment la configuration des miroirs de ports pour l’écoute). L’outil de production n’a pas besoin d’être interrompu. Une fois en place, la sonde reçoit une copie du trafic acheminé sur le réseau industriel. Elle est alors prête à inspecter les communications, à la recherche d’une anomalie.

Deux techniques sont employées, héritées de la cybersécurité IT. La détection par signature s’applique aux codes malicieux déjà répertoriés. Elle a le mérite d’être fiable et ses résultats sont sans ambiguïté. Mais les attaques inconnues, ou « zero day », sont susceptibles de passer sous le radar. L’analyse comportementale, qui distingue les comportements[…]

Pour lire la totalité de cet article, ABONNEZ-VOUS

Déjà abonné ?

Mot de passe perdu

Pas encore abonné ?

vous lisez un article d'Industries & Technologies N°1032-1033

Découvrir les articles de ce numéro Consultez les archives 2020 d'Industries & Technologies

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Wallix renforce sa présence en région et s’attaque à la cybersécurité industrielle et à l'IoT

Wallix renforce sa présence en région et s’attaque à la cybersécurité industrielle et à l'IoT

On le sait désormais : le Campus cyber ambitionne de tisser un cyber-réseau en région. Un travail qu’a déjà[…]

« A La Défense, le Campus cyber accueillera 60 sociétés dès septembre 2021 », annonce Michel Van Den Berghe

« A La Défense, le Campus cyber accueillera 60 sociétés dès septembre 2021 », annonce Michel Van Den Berghe

Rapport Kapersky sur les cyberattaques industrielles : moins nombreuses mais plus sophistiquées

Exclusif

Rapport Kapersky sur les cyberattaques industrielles : moins nombreuses mais plus sophistiquées

Paris Cyber Week : la crise du covid-19, catalyseur de la souveraineté numérique européenne ?

Paris Cyber Week : la crise du covid-19, catalyseur de la souveraineté numérique européenne ?

Plus d'articles