“Système Industriel” éveille dans notre inconscient collectif les images du film de Chaplin, les Temps Modernes : des ouvriers à la chaîne, exécutant des tâches répétitives et produisant des pièces mécaniques. En réalité, cette image surannée est totalement fausse. D’abord, parce que les usines modernes sont largement automatisées ; elles évoluent vers un usage massif du numérique. Ensuite, parce que la majorité des services dont nous bénéficions en tant que citoyens sont des systèmes industriels.

La production et la distribution d’énergie, qu’elle soit nucléaire, éolienne ou hydroélectrique, ou le raffinage et la distribution d’hydrocarbure, sont des systèmes industriels. Mais nos transports publics, les bâtiments intelligents à énergie positive ou encore les datacenters et leurs climatisations essentielles, et donc toujours disponibles, sont aussi des systèmes industriels. Cette expression doit être comprise avec un spectre large: “tout ce qui interagit avec le monde réel”. C’est pourquoi, dans la littérature, l’expression Cyber Physical System est souvent employée.

Le bon fonctionnement de ces systèmes industriels est assuré par des réseaux sur lesquels on trouve une multitude de composants. Ces automates, instruments, calculateurs ou encore stations de supervision sont de plus en plus intelligents. A titre d'exemple, les derniers débit-mètre -- équipements permettant de contrôler le débit d'un fluide dans un process -- sont équipés d'une carte électronique faisant tourner Linux et possédant même un serveur web où l’on peut configurer et superviser le composant.

Quand on sait qu'il existe des centaines, voire des milliers, de ces équipements, on touche du doigt l’idée de l'Internet Industriel : un ensemble de réseaux interconnectés, composés d'objets intelligents, de Cyber Physical Systems. L’objectif de ces réseaux, à la différence des réseaux “informatiques” dont l’objet est de traiter de l’information, est de piloter et contrôler un processus physique (contrôle / commande). C’est pourquoi, même s’ils emploient pour partie des technologies identiques, les priorités en terme de protection sont elles très différentes. Chaque partie est animée par un logiciel. Ainsi, l'ensemble de ces objets comportent-ils des failles, des vulnérabilités apportées par ces logiciels.

Ces menaces sont-elles illusoires ? Relèvent-elles uniquement des films hollywoodien à succès ? Dans Hacker, le dernier film de Micheal Mann, la centrale nucléaire de Chai Wan, à Hong Kong, a été piratée et l'insécurité informatique mondiale conduit à l’écroulement des marchés.

Malheureusement, si le piratage totale d’une centrale nucléaire relève encore de la fiction, de nombreux exemples réels et concrets nous montrent la réalité de ces menaces.

Le 2ème port européen victime d’une cyber attaque

En 2011, le port d’Anvers a été la cible cyber-attaque d'envergure par une organisation mafieuse de trafic de drogue. Les trafiquants ont recruté des pirates afin de pénétrer les systèmes informatiques qui contrôlent le mouvement et l'emplacement des conteneurs maritimes. Ils cachaient leur butin au départ et, grâce aux pirates, envoyaient des chauffeurs, armés de mitrailleuses, récupérer leur chargement avant que les dockers du port ne les aient débarqués et ouverts. Leurs gains étaient confortables, la police belge a saisi deux tonnes de cocaïne et d'héroïne et une valise bourrée de 1,7 million $.
Même si elle avait été alertée de la disparition de quelques conteneurs, la police belge a pu interpeller les trafiquants uniquement à cause d’une guerre des gangs sanglante. Sans cela, le hack du système industriel du port n’aurait jamais été découvert.

Un oléoduc victime d’une cyber explosion

Majoritairement détenue par BP, l'oléoduc Bakou-Tbilissi-Ceyhan a été construit pour être l'un des plus sûrs au monde. Ce pipeline géant est équipé de centaines de capteurs et de caméras pour surveiller les 1 800 kilomètres. Ces systèmes de sûreté n’ont pas permis d’éviter une explosion, projetant des flammes de 50 mètres de haut et stoppant l’exploitation du pipeline durant 3 semaines.

La communication autour de l’incident a été chaotique. Le gouvernement turc parle d’un accident mais les séparatistes kurdes ont revendiqué une cyberattaque.
Les cyber attaquants ont pris le contrôle du réseau de contrôle commande. Ils ont volontairement leurré les systèmes d’alarmes, coupé les communications externes et augmenté la pression de façon considérable au sein de l’installation. Voilà pourquoi l’explosion n’a pu être identifiée et pourquoi elle a causé autant de dommages matériels.

Si l’incident a été rendu public il y a quelques mois, les faits remontent à 2008.

Sortir de la posture du déni

Face à ces menaces avérées, les responsables d’installations industrielles doivent changer de comportement. Aujourd’hui, ils sont dans la posture du déni : “mon réseau est fermé, rien ne peut m’arriver”. Face à une nouvelle classe de menaces qui nécessite des investissements conséquents, c’est un mécanisme de défense naturel. Cette attitude empêche de démarrer les premiers projets de cybersécurité nécessaires. Plus encore, elle met en danger la sécurité des usagers et en péril la propriété intellectuelle de leurs entreprises.

Les directions générales et leur unité opérationnels se doivent donc de penser rapidement à la cybersécurité de l’ensemble de leur systèmes industriels, qu’il s’agisse de leur outils de production mais aussi de leur infrastructures (bâtiments, datacenter, gestion d’énergie) ou leur produit (conteneurs maritimes, voitures connectés, systèmes embarqués en général).

L’arrivée sur le marché de solutions innovantes, conçues par des startups, devrait permettre d’ouvrir les esprits. Une évolution vers une approche plus pragmatique est attendue, centrée d’abord sur la cartographie des flux du systèmes, l’inventaire détaillé et ainsi, la compréhension des  dépendances et des faiblesses résiduelles. C’est le point de départ à une gestion pérenne de la cybersécurité des systèmes industriels.

Par Laurent HAUSERMANN, Directeur Associé de Sentryo