Début septembre, Splunk retrouvait avec joie les débats et les rencontres (en présentiel s’il vous plaît !) du Forum International de la Cybersécurité (FIC) à Lille. A l’issue (espérons-le) d’une pandémie marquée par une augmentation significative des cyber-attaques en tous genres, les sujets ne manquaient pas pour les 12 500 inscrits : l’identité numérique, la mise en œuvre du plan d’accélération cyber français, la sécurisation du cloud, et pour finir une journée complète de discussions sur la cybersécurité des sites industriels.
Energie, industrie lourde, réseaux d’eau… Les cyber-attaques touchent tous les secteurs
Il faut dire que l’actualité des dernières années a démontré l’urgence du problème et la nécessité d’y faire face. Colonial Pipeline, Hydro et même le cyber-sabotage évité de justesse du traitement des eaux en Floride ont mis en exergue la vulnérabilité des sites industriels et l’ampleur des coûts occasionnés par ces attaques. A tel point que la cybersécurité est maintenant considérée comme un facteur de risque majeur pour l’industrie, juste après l’interruption d’activité et un nouvel épisode épidémique (Allianz Risk Barometer 2021).
Pourquoi les sites industriels sont-ils devenus particulièrement vulnérables ? Parce que l’industrie a été profondément transformée par la digitalisation des systèmes. Tous les systèmes sont connectés, l’IIoT (Industrial Internet of Things) est omniprésent dans les lignes de production. Des capteurs permettent le contrôle des machines et leur maintenance à distance. La collecte et l’analyse des données permettent d’optimiser le cycle de production, réduire les coûts et même l’impact environnemental des opérations.
Cette hyper connectivité crée des vulnérabilités. Et l’impact peut être dévastateur pour l’industrie. Si une cyber-attaque sur un système IT peut rendre inaccessibles des données, une attaque sur les systèmes opérationnels peut aller jusqu’à stopper totalement la production – une véritable catastrophe pour les entreprises impactées. Ce fut le cas pour Hydro en 2019, avec un coût total estimé à 70 millions de dollars !
La culture de la sécurité numérique doit encore progresser dans l’industrie
L’industrie connectée est vulnérable aux cyber-attaques pour plusieurs raisons. Tout d’abord, l’industrie a tardé à prendre conscience des risques encourus et manque encore de maturité dans le domaine. Le cycle de vie des installations industrielles est parfois très long (20 à 30 ans), les équipements et les systèmes peuvent donc devenir obsolètes et constituer des cibles idéales pour les attaquants.
Les intervenants du FIC ont aussi été nombreux à rappeler le manque de dialogue entre l’OT (c’est-à-dire les systèmes industriels, ou Operational Technology) et l’IT. Il peut en effet y avoir des difficultés de compréhension entre la gestion opérationnelle de l’entreprise et les systèmes d’information, alors qu’ils sont maintenant intimement liés.
Comment faire face à la menace ? Plusieurs pistes formulées au FIC
Tout d’abord, il faut commencer par cartographier les systèmes IT et OT pour faire une évaluation précise des risques et ensuite déployer les solutions dans tous les sites de l’entreprise, tout en sensibilisant les équipes opérationnelles aux risques encourus. Ensuite, il faut maintenir un niveau de protection adéquat dans la durée, et sur tous les sites. Cela passe souvent par un cloisonnement des systèmes et la mise en place de patchs de sécurité à intervalles réguliers.
Comme le rappelait Olivier Ligneul, Directeur Cybersécurité d’EDF, il faut aussi assurer une étroite coopération avec toute la chaîne d’approvisionnement. Les attaques peuvent circuler facilement de système en système et contaminer toute la supply chain. En cas de cyber-attaques, il en va du devoir de chacun d’informer ses partenaires et ses fournisseurs pour éviter la contagion.
« Il ne faut pas laisser des stocks de dette technique s’accumuler. L’important pour l’IT, c’est d’être intégré dès la conception de nouveaux systèmes industriels ».
- Hervé Constant, DSI de GRTgaz
Intervenant au FIC, le Rijkswaterstaat, le service de gestion des eaux et des infrastructures des Pays-Bas, faisait part des 3 éléments-clés de leur protection : la formation du personnel, la mise en place d’un processus global et, au niveau technique, l’analyse des données et des logs en temps réel pour surveiller les réseaux. Chez Splunk, ce dernier élément nous semble particulièrement essentiel !
Sécuriser l’environnement OT passe aussi par Splunk
On l’a bien compris, la cartographie des systèmes et leur surveillance est un passage obligé pour sécuriser les systèmes industriels. Splunk a saisi l’ampleur du challenge et fournit des solutions avancées pour visualiser en temps réel tous les environnements OT et IT d’une organisation, permettant une meilleure collaboration entre l’IT, la sécurité et les équipes opérationnelles. Splunk OT Security permet surtout d'améliorer la posture de sécurité, la disponibilité des systèmes et d'assurer la sécurité et la conformité.
Le FIC nous aura donné l’occasion de constater que la prise de conscience des risques liés à la sécurité de l’OT est bien réelle, et que la demande de sécurisation des systèmes industriels est forte. Le rapprochement de l’OT et l’IT est en cours, et Splunk est là pour accompagner ce changement. N’hésitez pas à consulter notre page sur la sécurité OT et notre livre blanc dédié !
