Hervé Schauer

Le groupe de travail du Clusif « Cybersécurité des Systèmes Industriels » a été créé il y a déjà près de 10 ans a expliqué Hervé Schauer un des administrateurs du Clusif. Il a dressé un rapide panorama de l’historique de ce groupe de travail. Plusieurs panoramas des incidents industriels qui se sont produits et un guide sur la cyber Sécurité des objets industriels ont été produit par ce groupe de travail.

Theo Gissinger-Schumann

Considérer une interconnexion IT/OT

Theo Gissinger-Schumann (EIFFAGE) a expliqué que dans son groupe, la convergence entre l’IT et OT existe depuis plusieurs années avec la volonté de faire des interconnexions entre ces deux mondes. Une telle convergence implique de nouveaux défis du fait des nouveaux risques de cyber qu’elle induit. En ce qui concerne l’IT, il s’agit bien du réseau informatique interne. Pour ce qui est l’OT il fait référence aux outils qui font fonctionner les systèmes de production. L’objectif est d’optimiser la performance, la productivité... afin de réduire aussi les coûts.

Il rappelle que les incidents IT sont plus fréquents alors que ceux sur l’OT sont plus destructeurs du fait de l’impact sur le processus industriel qui parfois est arrêté. La convergence des deux mondes induits des attaques plus fréquentes donc a priori plus de destruction sur les outils industriels.

Les attaques en ligne sont aujourd’hui fréquentes, par contre celles hors ligne impliquent le concours de personnes de l’entreprise qui le font intentionnellement ou non. Il note que les attaques hors ligne coûtent souvent plus chers pour les attaquants par rapport à celle en ligne.

L’interconnexion implique une prise en compte des risques avec une analyse de risque pour veiller entre autre à une conformité réglementaire mais aussi la mise en œuvre de mesures de détection.

La bonne approche serait de rassembler les acteurs pour avoir une expression des besoin. Il faut par la suite construire une solution. Enfin il faut assurer une surveillance des mesures.

Il est aussi nécessaire de mettre en œuvre une démarche de cybersécurité avant déployer des solutions techniques.

Il présente trois moyens pour sécuriser l’interconnexion

– Une passerelle uni-directionnnelle via une passerelle unique qu va dans une seule direction
– Une passerelle de rupture protocolaire
– La mise en place d’un firewall (NGFW UTM...)

Une des solutions est aussi de mixer les solutions de défense comme par exemple la mise en place d’une passerelle bidirectionnelle et d’un pare-feu.

Le système industriel doit aussi assurer sa propre défense en prenant la cybersécurité comme la segmentation réseaux via des authentifications par exemple avec des certificats, la sécurité de type bastion, l’activation de la sécurité dans Microsoft, sans oublier oublier les sondes de détection.

Par contre, il y a encore trop souvent des failles du fait du manque d’activation des mesures de protection.

Comment concilier isolement industriel et attente des utilisateurs

Philippe Puyou-Lascassies (TEREGA) présente en préambule son entreprise qui est un opérateur d’infrastructures gazière. Son réseau de gaz fait l’interconnexion entre l’Espagne et le Nord de la France. Son réseau fait 5000 kilomètres et transporte du gaz, mais aussi de l’hydrogène. L’entreprise a 75 ans. La criticité de cette entrée été confirmée par la directive NIS via l’ANSSI. Avec la transformation digitale un accord tacite avec la DSI a été pris avec Côme contrepartie le renforcement de la sécurité de l’activité industrielle.

La sécurité de son réseau est assuré par une DMZ Elle permet d’isoler la partie IT de la partie industrielle. Il a ajouté à la sécurité logique de la sécurité physique. Le principe de l’entrée de données dans le réseau est interdite par principe sauf exception. Par contre la sortie d’éléments est possible. Il a positionné des diodes pour assurer l’export de fichiers de façon sécurisée. De l’autre côté, l’entrée de données est très surveillée avec un système propriétaire. Ce travail a été réalisé avec la DSI. Par contre, les métiers voulaient ouvrir beaucoup plus les réseaux. De ce fait, il a dû ouvrir les systèmes sous condition :
– Respecter la sanctuarisation de certaines données
– Maîtriser les données
– Maîtriser les équipements installés dans les SI

Pour ce faire, la DSI a monté un jumeau numérique dans le Cloud.
Il a construit une diode maison entre deux automates pour pouvoir collecter les données et les exfiltrer pour alimenter le Cloud. Ainsi, il a mis en place un chaîne de bout en bout avec la collecte jusqu’à l’envoi dans le Cloud.

En conclusion, il a dû faire de l’innovation interne en travaillant en commun avec les différentes équipes.

David Arnold

Accompagner nos fournisseurs

Chez Michelin, David Arnold explique que la sûreté de l’information, la sécurité physique et la sécurité informatique sont dans les gênes de son entreprise.

Le focus sur la sécurité des systèmes industriels a émergé suite à l’arrêt d’une usine aux États Unis à cause d’un clé USB qui contenait un malware. En 2013, Michelin a commencé à déployer des firewalls pour séparer le SI de l’OT. Un service cybersécurité pour l’OT a été créé avec des automaticiens. Ils ont rédigé un référentiel sécurité OT. Ils ont mis en place des services sécurité par usine ou au moins un référent sécurité OT dans chaque usine. Aujourd’hui, il arrive à faire de l’inventaire automatique pour l’OT. Par la suite, un RSSI industriel a été nommé.

Il explique que les usines achètent souvent de nouvelles machines et en analysant les contrat de maintenance, la partie patchs de sécurité et plus généralement maintenance en condition opérationnelle pour l’informatique n’étaient pas prise en compte. De plus, en analysant les contrats de vente des fournisseurs, ils se sont aperçus que la sauvegarde, l’inventaire... et toutes les données nécessaires à la sécurisation n’étaient quasiment pas prise en compte par ces derniers.

Ainsi, une DMZ par fournisseur a été monté. Par principe, les remontés des données informatique sont interdites par défaut.

Michelin a mis en place un certificat « d’assurance sécurité ». Le fournisseur peut par la suite grâce à cette assurance sécurité s’auto-certifier. Par la suite un plan d’assurance a été mis en place par type de machine afin d’alléger le travail à la fois des équipes sécurité et des fournisseurs. Le responsable informatique par usine peut refuser que la machine se connecte au réseau si elle ne répond pas à cette assurance.

Dans le processus d’appel d’offre, il y a un questionnaire cybersécurité que chaque fournisseur doit remplir. Dans la contractualisation, il y a des SLA sur le patching, la prise en compte du RGPD, la directive NIS, la LPM... et les réglementations propre à l’automobile.

Chez Michelin les exigences sont de plus en plus forte à la demande des clients comme Airbus, Renault, General Motors...

En conclusion, il s’est demandé si la mise en place d’un certificat pour toute l’industrie ne serait pas nécessaire.

Baptiste Fouque (ALSTOM)

Autorisation distribuée

Le problème de cette entreprise reste que les agents qui entretiennent les machines ne sont pas les mêmes entre ceux qui l’ont fait par exemple à Paris le matin et à Marseille le soir.

Lors de la mise à jour de sécurité sur toute une flotte, les agents ont besoin de droit extrêmement intrusif. De plus certains agents ont aussi besoin de droits pour des missions spécifiques. Donc on leur donne des droits ponctuels pour effectuer ses mission grâce à des jetons.
En cas de panne par exemple en rase campagne, des jetons de mission sont donnés pour une durée limitée et pour des action limitées.

On a deux types de gestion des identités :

– Une gestion de comptes locaux dont l’inconvénient principal est de proposer une identification générique
– Une gestion des comptes centralisée dont l’inconvénient est une forte disponibilité de toute l’infrastructure et on lie cette disponibilité à des contraintes opérationnelles

En fait, le besoin principal des équipes est de devoir fournir une gestion des identités fortes, disponible et alignée sur les besoins des opérateurs : la solution est le jeton.

Le jeton est un fichier qui est donc facile à transporter et il ne crée pas de nouvelles contraintes de sécurité. Il est transposable par mail ou autre. Il est fait pour les opérateurs des environnements industriels.

Dans le jeton, il y a des éléments informatifs qui servent pour la traçabilité. On injecte dans le jeton un mécanisme de challenge avec une preuve à montrer... on limite dans le temps l’usage du certificat donc il inclut des mécanismes de gestion du temps. On va y trouver la description des missions. En outre, il faut un serveur de certification, un moyen de transport, une bibliothèque d’authentification et un système de communication.

Selon lui, le système ferroviaire est mature en matière de cybersécurité. Il y a même, des codéveloppements avec des fournisseurs pour travailler sur ce système de jeton. Il a utilisé une technologie simple et un ancien standard pour la partie certification.

Actuellement, il souhaite aller vers une intégration de ces jetons dans son système qui a trois modules : un module d’authentification standard dans le système, un déploiement sur tous les composants et un serveur de mission intégré.
Il souhaite que ce système soit intégrer dans la gestion opérationnelle de l’opérateur. Il faut que authentification soit universelle. Pour cela, il a une stratégie d’ouverture pour réaliser une spécification unique qui serait intégrer par le industriel et les fournisseurs.

Aujourd’hui, chez Alstom il cherche des retours d’expérience avec d’autres industriels afin d’échanger et ainsi améliorer ce système.