Nous suivre Industrie Techno

« Si on perd la bataille pour sécuriser le parc existant, on échouera à sécuriser l’Usine du futur »

Sophie Eustache
« Si on perd la bataille pour sécuriser le parc existant, on échouera à sécuriser l’Usine du futur »

© DR

La vision de l’Usine du futur, prônée par le plan d’investissement d’avenir, est une usine connectée. Les opérateurs pourront gérer les commandes via des tablettes, apprendre par la réalité augmentée, collaborer avec des robots… mais cette croissance de connexions risque d’entrainer une explosion des failles de sécurité. Avant de passer à l’Usine du futur, les professionnels de la sécurité se concentrent sur la sécurisation du parc existant. Thomas Houdy, manager Audit chez Lexsi, qui consacre à ce sujet une table ronde intitulée "Autopsie et résilience des systèmes industriels Scada" lors des Assises de la sécurité qui se tiennent en ce moment à Monaco, revient pour Industrie & Technologies sur les solutions, les bonnes pratiques et les enjeux de la cybersécurité en milieu industriel.

Industrie & Technologies : L’Anssi a mis l’accent sur la cybersécurité des systèmes contrôle-commande pour les Assises de la sécurité, qui se déroulent du 2 au 5 octobre 2013 à Monaco. Comment accompagnez-vous les industriels pour protéger les Scada ?

Thomas Houdy : «  Concernant la sécurité des systèmes contrôle-commande industriels, nous avons une approche classique. Nous commençons par mener un diagnostic, pour identifier les risques spécifiques à l’environnement industriel. Pour un industriel, la continuité des flux et la sûreté priment. Un diagnostic ou un audit permet d’évaluer des scénarios de risque. On démontre ainsi qu’il est possible d’accéder aux infrastructures.

I&T : Une fois le diagnostic établi, quelle solution proposez-vous ?

T.H. : Le défi est de ramener les automaticiens autour de la table de la cybersécurité, c’est avec eux que nous devons construire un plan d’action pragmatique. Par exemple, mettre à jour un inventaire des automates afin de connaître le nombre d’automates Schneider Electric, Siemens… et leur version. Il s’agit aussi de sécuriser les composants des serveurs Scada et de maîtriser les flux réseaux, c’est à dire, savoir quel automate communique avec quel serveur.

I&T : L’Anssi a aussi insisté sur les bonnes pratiques. Les industriels n’ont pas vraiment de culture « cybersécurité ». Comment vous positionnez-vous sur ce sujet ? 

T.H. : Nous organisons des formations sur deux jours, dont un jour est consacré aux travaux pratiques sur des automates. Nous devons travailler main dans la main avec les experts industriels et ne pas se poser en donneur de leçons. La loi de programmation militaire déposée au sénat au début du mois d’août sera aussi un levier, mais il va falloir laisser le temps aux industriels de se normaliser. Contrairement à d’autres domaines, comme les banques, le DSI est capable de déployer mondialement des mécanismes pour gérer en central des systèmes distribués. Dans le monde industriel, il faut aller au plus près du processus. Il y a des normes spécifiques à chaque secteur (énergie, transport, bâtiment, ndlr).

I&T : Comment faire prendre conscience aux industriels des risques existants ?

Il faudrait des exemples d’attaque. TrendMicro a fait un Honeypot dernièrement. [Cette approche consiste à utiliser un piège, destiné à être attaqué, afin de pouvoir observer ce qui se passe, ndlr] Ils ont mis en place un logiciel qui simulait le fonctionnement de Scada. Ils ont découvert que des pirates se sont connectés sur ces réseaux et ont pu dérégler des paramètres, comme la pression, la température…

I&T : Quelles sont les failles les plus communes ?

T.H. : Le Wi-Fi, la télémaintenance et la télésurveillance sont les failles les plus courantes. Il nous est arrivé de retrouver des livebox qui géraient la télésurveillance dans des armoires électriques industrielles. La question se pose alors : qui gère cette livebox ? Il y a des points de jonction entre le SI de gestion et le SI industriel. De plus en plus de PC sur le réseau bureautique sont autorisés à se connecter au SI industriel. Dans le cadre du projet Shine, mené aux Etats-Unis, un million de Scada connectés à l’Internet ont été découverts. Nous avons mené un projet similaire chez Lexsi. On a trouvé plusieurs milliers de Scada connectés à l’Internet.

I&T : Les Scada posent de nombreux problèmes de sécurité. L’Usine du futur sera amplement connectée. Quels sont les risques de cette croissance de connection ?

T.H. : Avec des projets comme IBM Smart Planet ou de smart grid de Huawei, on voit se dessiner une Usine du futur connectée. On constate que ces usines vont utiliser de plus en plus de composants issus de l’électronique grand public, avec tous les problèmes que ça engendre. Par exemple, les opérateurs pourront accéder au contrôle-commande via des tablettes. Si tous ces objets ne sont pas sécurisés, on risque d’avoir de l’espionnage, des attaques ciblées… si on perd la bataille pour sécuriser le parc existant, on échouera à sécuriser l’Usine du futur. Il faut une prise de conscience des décideurs industriels.

Propos recueillis par Sophie Eustache

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

 Un transformateur plus compact pour les smart grids

 Un transformateur plus compact pour les smart grids

Des chercheurs suisses ont mis au point le prototype d’un transformateur moyenne fréquence plus de dix fois moins encombrant que ses[…]

Ce robot performe dans le jeu d’adresse Jenga

Ce robot performe dans le jeu d’adresse Jenga

Avec Pando, l'Isae-Supaero muscle sa puissance de calcul

Avec Pando, l'Isae-Supaero muscle sa puissance de calcul

Fake news : ces technologies qui les traquent

Fake news : ces technologies qui les traquent

Plus d'articles