Les réseaux industriels sont de plus en plus visés par des attaques ciblées. Souvent déployés depuis de nombreuses années, ils souffrent d’un manque criant de sécurité par défaut. Une question agite actuellement la communauté sécurité : quelle stratégie adopter face à cette situation ? Faut-il investir dans des équipements additionnels de protection ou alors envisager le renouvellement des équipements pour tirer partie des avancées des constructeurs en matière de sécurité ?
Une situation souvent désastreuse sur le plan de la sécurité de l’information
Les réseaux industriels et leurs composants les plus emblématiques, systèmes SCADA et automate (PLC/API) sont souvent dans des postures de sécurité très faible. Ils ont été construits par des équipes d’automaticiens alors peu confrontés aux problématiques des technologies telles qu’IP ou encore Windows qui ont pourtant depuis envahi les chaînes de production. Nos audits le montrent clairement : en termes d’architecture comme en termes de sécurisation unitaire des composants, beaucoup reste à faire. Avec un problème majeur : des équipements et des protocoles vulnérables « par construction » !
Des solutions d’attentes ont vu le jour
Dans ce contexte, de nombreuses solutions de sécurité ont vu le jour. Elles permettent de compenser une partie des vulnérabilités des systèmes. Nous pouvons en particulier citer les pare-feux industriels, tels ceux conçus par la société Tofino ou encore Industrial Defender. Des solutions plus classiques de sécurité (pare-feu, détection d’intrusion…) peuvent également être utilisées et dans une certaine mesure adaptées aux technologies des réseaux industriels.
Un réveil tardif des constructeurs
Il aura fallu un cas d’attaque de l’ampleur de Stuxnet pour que les constructeurs comprennent les enjeux autour de la sécurité des systèmes industriels. Ce réveil, certes tardif – mais mieux vaut tard que jamais- entraîne aujourd’hui des avancées significatives chez les constructeurs informatiques. On voit ainsi peu à peu apparaître le chiffrement des échanges, la capacité à mettre à jour plus simplement les équipements, des designs types intégrant les exigences sécurité, le durcissement des configurations par défaut… Il est même question de signatures de code déployé sur les automates !
Quelle stratégie adopter à long terme : protéger ou reconstruire ?
Il s’agit d’un débat qui fait rage actuellement et oppose deux camps aux stratégies différentes. Les partisans de la reconstruction prônent un remplacement volontariste, sur un délai de deux ou trois ans des anciens équipements par des nouveaux, mieux sécurisés. Bien que cela soit possible, la question de l’investissement nécessaire se pose particulièrement en ces temps de crise. En effet, les lignes de production sont souvent conçues pour une durée de vie de 10 à 15 ans ; changer l’ensemble des équipements a un coût non négligeable, à la fois financier mais aussi en perte d’exploitation potentielle sur des systèmes où la disponibilité est cruciale.
D’autres préconisent l’ajout de couches de sécurité additionnelles. Cela n’a cependant jamais été une solution idéale et nécessite également des investissements importants, complexifie les architectures et fait courir de nouveaux risques en particulier sur la disponibilité.
Je reste persuadé que la bonne approche est à trouver dans un compromis entre ces deux solutions. Et en particulier, qu’elle dépend de l’analyse de risques à réaliser sur chacun des systèmes de production concernés. Dans certains cas, un changement pourra être salutaire et permettra une sécurisation au plus près de la production, de manière fiable et pérenne. Dans d’autres cas, l’ajout de mécanismes complémentaires sera suffisant en attendant le renouvellement des systèmes.
Il s’agit donc de prendre le recul nécessaire pour choisir la ou les bonnes solutions sans oublier que les solutions techniques seules ne font pas tout. Bien souvent dans ces projets, une meilleure gestion des accès, une refonte de l’architecture sur la base des équipements déjà en place, une revue des filtrages en place et surtout une sensibilisation / formation des équipes d’automaticiens apportent beaucoup plus que l’ajout de fonctions de sécurité pure !