Image
Unsine du futur hyperconnectée

Cybersécurité : Pourquoi l’usine du futur devra se mettre à l’abri des hackers

7 nov. 2018 - 3 min

A l’intérieur des machines et partout dans l’usine, la data est au cœur de ce que sera l’industrie de demain. Ces données permettent d’optimiser la performance industrielle et financière, la fiabilité des processus, mais ouvrent aussi une porte dans laquelle pourront s’engouffrer des hackers malveillants. Pas de panique, des solutions existent.

Et si le hacking de site web n’avait été qu’une mise en bouche pour les pirates de l’informatique ? Demain, l’usine ultra connectée pourrait devenir son plat de résistance. Toujours plus branchée sur les réseaux, et donc plus vulnérable, l’usine 4.0 est toute désignée pour être une nouvelle cible prioritaire des cyberattaques. Soyons réalistes, il se pourrait que les hackers soient à même de prendre le contrôle total d’un site de production en communiquant avec ses équipements.

« Le champ des cyberattaques va probablement se déplacer vers le sabotage des systèmes industriels, énergétiques, de transports », déclarait l’an dernier Guillaume Poupard, directeur de l’Agence nationale de sécurité des systèmes d’information (Anssi). Si, en France, des obligations existent pour les sites jugés « d’importance vitale », rien n’est prévu pour les autres, qui par conséquent envisagent le digital trop souvent comme un levier de performance industrielle et économique, et pas assez comme un enjeu majeur de sécurité.

La nouvelle cible des hackers

Le piratage d’une usine peut pourtant avoir des conséquences alarmantes. Si les attaques consistaient essentiellement, jusqu’ici, à subtiliser des données secrètes ou provoquer un arrêt de la production, les risques s’étendent désormais au dysfonctionnement de machines. En clair, le dérèglement d’une chaîne de montage peut avoir de graves conséquences sur la sécurité des travailleurs, mais aussi des consommateurs qui finiront par acheter la production de l’usine. Au final, l’enjeu de la cybersécurité industrielle n’est plus tellement la confidentialité des données en elles-mêmes, mais surtout « la protection des fonctions des équipements et des produits ».

La menace ne va faire que grandir 

Assurer la disponibilité et l’intégrité de ces fonctions pour l’utilisateur final est un aspect majeur des avancées technologiques de l’industrie au cours de la dernière décennie. L’activité de production s’est décloisonnée, la distance avec le consommateur s’est réduite à néant grâce à la réduction des délais de fabrications et de stockage… et l’usine se retrouve donc presque en première ligne pour garantir la sécurité du consommateur. Et la menace ne va faire que grandir.

La multiplication des données via son utilisation systématique est au coeur de la nouvelle industrie. Elle est recueillie en très grande quantité en raison de l’abaissement des coûts d’exploitation et de stockage, et surtout, sa nature s’est significativement diversifiée. En effet, les machines pouvant désormais être instrumentées par des réseaux de capteurs sans fil, « on peut aussi collecter des données pas purement opérationnelles, mais utiles à la supervision, et qui ne se trouvent plus dans les machines ».

C’est ainsi que la vibration, l’acoustique ou encore la température sont captées en temps réel par des sondes posées sur les machines, combinées avec des données opérationnelles et d’environnement, puis analysées via des modèles créés par apprentissage automatique pour influer sur l’opération ou l’entretien des équipements. Toutes ces évolutions vont poursuivre leur généralisation, à des rythmes variables selon les gains de productivité attendus et l’évolution à la baisse du coût des technologies impliquées. Et Michel-Ange Camhi, l’expert des données chez Bureau Veritas, s’en réjouit, espérant ainsi repousser les limites que l’on rencontre aujourd’hui concernant la réplication des modèles. « Aujourd’hui, la manière dont on décrit et modélise l’activité d’une machine est souvent très spécifique à chacune d’entre elles, et il faut donc chaque fois reconstruire un modèle par outil. La prochaine étape, c’est de pouvoir appliquer à un nouvel appareil un modèle existant d’appareils similaires, et ainsi limiter l’effort d’adaptation ».

Pour y parvenir, la solution fondamentale consiste à pouvoir agréger de manière intelligente des données issues de différentes machines, ce à quoi travaille activement Bureau Veritas, dont la présence dans tous les secteurs d’activité l’oblige à recueillir des données, de manière confidentielle. L’entreprise supervise, par exemple, les « parties sous pression » (tubes, pipelines, etc.) de très nombreux acteurs industriels. Qu’il s’agisse de générateurs à charbon, d’énergie nucléaire ou de raffineries, ces équipements sont tous soumis à des formes diverses de dégradation et de corrosion qu’un modèle commun d’activité et de dégradation permettrait de traiter plus efficacement. La multiplicité de paramètres structurels, opérationnels et environnementaux rend l’exercice infiniment complexe, mais c’est là que l’intelligence artificielle serait d’un apport précieux, en apprenant des modèles basés sur l’expérience et potentiellement généralisables. Vous l’aurez compris, cette évolution à rythme exponentiel des connexions entre machines et réseaux informatiques doit imposer la question des enjeux de cybersécurité. « Le monde de l’industrie a été profondément marqué par l’attaque Stuxnet en 2010, qui démontrait que les outils industriels peuvent faire l’objet d’attaques même lorsqu’ils ne sont pas reliés à Internet ! », se souvient Michel-Ange Camhi.

Image
Ecran d'ordinateur piraté

©Unsplash - Markus Spiske

Agréger les données

Désormais conscients de leur responsabilité quant aux données liées à leurs machines (datas structurelles, opérationnelles ou de surveillance), de nombreux acteurs ont entamé une réflexion et consacré des moyens pour évaluer les risques et mettre en place des méthodes de mesure des risques et de protection qui soient valides et efficaces. Heureusement, les solutions existent. Dans tous les cas, affirme Michel-Ange Camhi, « le point de départ est toujours une analyse de risques, pour comprendre ce qu’il faut protéger et avec quel niveau de protection ». Ensuite sont mises en place de bonnes pratiques, comme celles édictées par l’Agence nationale de la sécurité des systèmes d’information (Anssi) : gouvernance de la sécurité, cartographie des risques et des systèmes de sécurité, plan de maintien en condition, outils de détection et de gestion de crise, défense en profondeur, homologation /certification… Le monde de l’industrie a également adopté la norme IEC 62443, qui aborde des spécificités sectorielles telles que les sites de production, les composants individuels ou encore les machines.

Un guide pour protéger les logiciels des usines

Une usine moderne « 4.0 » fonctionne aujourd’hui avec des dizaines de softwares. « Ces programmes récoltent les données des machines et des capteurs et contrôlent les différentes commandes dans l’usine, résume Michel-Ange Camhi. Omniprésents, ils sont autant de portes d’entrée pour les pirates ». Les hackers sont en effet capables, en modifiant des lignes de codes et des paramètres, ou en envoyant de fausses informations, de prendre le contrôle d’un site industriel. Pour accompagner les développeurs et les acteurs industriels, Bureau Veritas a publié un guide technique dédié à la cybersécurité des logiciels. Ce document présente un ensemble d’objectifs de sécurité et de bonnes pratiques à mettre en place en amont, dès la phase de développement. Réalisé en partenariat avec le Pôle « recherche technologique » du CEA, ce manuel accompagne pas à pas le développeur dans l’élaboration du logiciel : choix du langage de programmation, architecture du système, outils d’analyses statiques du code… Dans chaque section du guide, les ingénieurs de Bureau Veritas et du CEA ont sélectionné les meilleures normes en matière de cybersécurité. De ce fait, cet ouvrage peut également servir aux directions générales ou directions des systèmes d’information pour définir un cahier des charges sur le sujet, à l’attention de leurs prestataires. Il est téléchargeable gratuitement sur le site Internet de Bureau Veritas.

 

Image
Utilisation d'une clé de connexion sécurisée

©Pexels - Negative Space

Les 5 scénarios d’un piratage d’usine

  1. Attaque par déni de service
    Le hacker repère un accès internet non sécurisé pour entrer dans le réseau informatique de l’usine. Il inonde alors le système de requêtes bidons, qui « bug » aussitôt. L’usine est paralysée.
  2. Le code du Wifi 
    Si le réseau wifi local n’est pas bien sécurisé, un pirate l’infiltrera aisément à condition de s’approcher physiquement de l’usine. 
  3. Le mauvais remake du cheval de Troie
    Un salarié du siège ouvre un e-mail et clique sur la pièce jointe infectée ce qui active un code malveillant. Les connexions entre informatique de gestion et de production font le reste pour la propagation du virus à l’outil industriel.
  4. La salarié saboteur
    Hé oui, le sabotage peut aussi  avoir une origine interne. Un salarié corrompu, ou fâché, disposant de droits d’accès importants, peut agir contre le système informatique industriel.
  5. Isoler n’est pas protéger
    Même une usine non connectée est vulnérable. Lors d’une phase de maintenance, ou de mise à jour, un prestataire charge via clé USB un nouveau programme malveillant.

Besoin d'une information ?

Cliquez-ici