Pour rapprocher les équipes IT et OT de la sphère industrielle face aux cybermenaces, deux marques de VINCI Energies, Actemium et Axians, ont développé des outils en commun, dont un intégrant un cobot.

Les usines et les ateliers ont longtemps été gérés par des systèmes de contrôle/commande fermés pour l’extérieur et notamment pour les acteurs du monde des technologies de l’information (IT) et de l’Internet.

Mais avec la digitalisation de l’industrie impliquant l’arrivée des capteurs et autres objets connectés, le recours à des outils de mobilité, la « cloudification » croissante de nombreuses applications industrielles, etc., on assiste à une convergence des systèmes de production gérés par les systèmes de technologies opérationnelles (OT) avec les systèmes IT. Ceux-ci étant par nature potentiellement accessibles depuis l’extérieur, on augmente la surface d’attaque des installations industrielles. La collaboration entre OT et IT est donc indispensable pour traiter les questions liées à la circulation et au traitement des données, mais aussi, de plus en plus, pour trouver des solutions aux problèmes de cybersécurité qui touchent l’industrie.

« Sachant que tous les biens que nous consommons, que nous utilisons au quotidien, tous les services comme ceux liés à la production/distribution d’électricité ou d’eau sont gérés/pilotés par des systèmes OT, on imagine bien le risque que représentent les cyberattaques industrielles. Pour les industriels, la question n’est pas de savoir si leurs installations vont être touchées, mais quand elles le seront », prévient Thomas Leseigneur, responsable Innovation d’Actemium, la marque de VINCI Energies dédiée à la performance industrielle.

« Si sa nécessité est une évidence, le rapprochement entre les métiers de l’industrie et ceux de l’information ne va pas de soi. »

Cela n’épargne personne, même les grands groupes sont frappés par des hackers, à l’instar de Saint-Gobain et Renault, par exemple, avec des conséquences fâcheuses : un serveur de messagerie électronique bloqué pendant plusieurs jours pour le premier, la production arrêtée plusieurs semaines pour le second.

Réconcilier deux cultures

« Si sa nécessité est une évidence, le rapprochement entre les métiers de l’industrie et ceux de l’information ne va pas de soi », souligne Vincent Bazillio, responsable du développement chez Axians, la marque de VINCI Energies dédiée aux solutions ICT.

Les différences de culture entre les deux univers se traduisent par des priorités parfois contradictoires : pour les techniciens de l’IT, la confidentialité est l’objectif numéro un et la disponibilité d’une installation vient après ; pour les professionnels de l’OT, c’est pratiquement l’inverse.

De la même façon, les réactions divergent face à une menace : pour l’IT, le réflexe est de fermer l’accès afin d’analyser et de corriger quand la production, même avec une menace, va rester la priorité numéro un pour l’OT.

Or Actemium, par son cœur de métier, est un expert de la culture industrielle quand Axians maîtrise parfaitement les modes opératoires de l’IT. Cette double compétence a amené les deux marques de VINCI Energies à travailler ensemble pour proposer aux industriels des solutions de cybersécurisation qui respectent à la fois les contraintes propres à l’industrie et les bons usages des DSI.

Outils de sensibilisation

Afin de permettre aux responsables OT et IT de mieux protéger les équipements et les données des unités de production, Actemium et Axians ont mis à leur disposition des outils de sensibilisation basés notamment sur des tests de vulnérabilité et de pénétration des installations par des « gentils hackers ».

L’idée est de montrer de façon très expérimentale quelles failles vont être utilisées pour attaquer une installation industrielle et comment procéder à la sécurisation des équipements de l’installation.

Deux outils de démonstration sont utilisés dans les présentations qui rassemblent les experts IT et OT d’une entreprise : un outil de réalité virtuelle et un petit cobot baptisé GrabIT.

GrabIT se présente comme une simulation d’usine connectée réalisée avec un terminal opérateur, un automate et un robot. Il montre ce qui se passe sur un réseau. Pour cela, on fait réaliser une tâche au cobot : en choisissant une couleur sur un écran, on lui transmet l’instruction d’aller se saisir avec sa pince d’un objet de la même couleur.

Cela fonctionne, jusqu’au moment où l’on simule un opérateur qui va ouvrir sur son portable un fichier Word pour lire une notice. Le virus hébergé dans ce fichier, transmis avec la clé USB qui contenait le document Word, va alors perturber le fonctionnement du cobot dont les mouvements deviennent imprévisibles et potentiellement dangereux pour l’homme.

Recourir aux bonnes pratiques

A cette occasion, les industriels se rendent compte que les PC qu’ils utilisent ne sont pas forcément sécurisés. On leur montre aussi, et c’est une bonne nouvelle pour eux, que 80 % des menaces peuvent être traitées simplement, en recourant aux bonnes pratiques. En la matière, « un simple plexiglas devant le PC inclus dans l’équipement de production aurait suffi à empêcher que n’importe qui y connecte une clé USB infectée », commente Vincent Bazillio.

Cette démonstration avec GrabIT est complétée par une cartographie des équipements connectés, réalisée par les intervenants d’Axians et d’Actemium.

A la surprise des participants, bien souvent, on s’aperçoit avec cette cartographie du réseau qu’on avait oublié tel équipement ou tel capteur situé dans le faux plafond ou à l’extérieur des locaux, et que, potentiellement, ces appareils constituent des failles de sécurité.

Cette cartographie comporte pour chaque élément une fiche descriptive incluant les vulnérabilités. Des informations qui peuvent être précieuses pour les techniciens de maintenance.

Une fois sensibilisés aux enjeux de sécurisation, les industriels mettent en place un certain nombre d’actions, indique l’expert cybersécurité d’Axians, comme « la protection de segments de la ligne de production ». « La segmentation constitue une mesure classique en IT, commente Vincent Bazillio. Il s’agit de placer dans des « bulles de sécurité » des équipements qui requièrent la même protection, par exemple ceux qui ont besoin d’être accessibles à des personnes de l’extérieur. » Cela peut passer par une configuration des commutateurs réseau ou un firewall.

18/11/2020