En tant qu’ingénieur (électro)mécanique, vous réaliserez des projets ambitieux et stimulants en Flandre occidentale, Flandre orientale ou Anvers. Nous pouvons vous offrir une grande diversité d’applications et de domaines tels que l’Automobile, l...
Cybersécurité dans les réseaux industriels
Avec la récente cyberattaque sur le pipeline Colonial Pipeline par le groupe de pirates informatiques DarkSide, le concept de sécurité pour les réseaux industriels est au cœur des discussions dans l'industrie du contrôle. Dans le cas de l'attaque sur le pipeline, il s'agissait d'un groupe qui a utilisé un ransomware pour chiffrer un ordinateur dans le but de contraindre l'entreprise à payer une rançon. Bien que ce soit un problème sérieux, les techniques utilisées étaient simples et les moyens de l'éviter sont applicables à de nombreux secteurs.
La sécurité des réseaux industriels est un exercice d'équilibre entre la protection et la facilité de maintenance. Pour qu'un réseau soit parfaitement sécurisé, il serait impossible de le modifier – ce qui n'est pas une solution réaliste, car l'accès par l'équipe de maintenance est essentiel pour garantir une opération 24/7. Un ingénieur expérimenté comprend qu'il y aura des imprévus ou qu'une solution de contournement hors spécifications sera nécessaire, au moins à court terme – c'est de là que provient le terme "insecure by design". Le système de contrôle industriel est configuré de manière à permettre des modifications.
Types de sécurité
Sécurité par l'obscurité
La technique la plus utilisée pour sécuriser la production est la sécurité par l'obscurité. Cela signifie qu'une architecture suffisamment obscure réduit les chances qu'un acteur malveillant parvienne à la comprendre. Le problème principal est que si quelqu'un parvient à découvrir le design du dispositif, il est possible pour un autre de comprendre son fonctionnement. Par le passé, cela était efficace car comprendre le fonctionnement d’un dispositif ou d’un réseau nécessitait des années d’expérience et de formation. De nos jours, la plupart des réseaux industriels fonctionnent via Ethernet en raison de sa haute bande passante, de sa fiabilité, de sa disponibilité et de la familiarité des équipes IT avec cette technologie. En outre, les contrôleurs industriels disposent de tutoriels de programmation accessibles en ligne.
L'attaque majeure la plus connue de ces dernières années est celle de Stuxnet. Cette attaque a directement modifié les paramètres des PLC (contrôleurs industriels) de manière à ce que les centrifugeuses utilisées dans les processus d'enrichissement nucléaire iranien tournent juste assez vite pour causer des dommages tout en restant en deçà des seuils où cela aurait été évident. Cela a été rendu possible par la nature réseau des systèmes industriels modernes et a démontré que les contrôleurs eux-mêmes pouvaient être compromis.
Séparation physique
On dit souvent qu'un réseau parfaitement sécurisé est celui qui n'est pas connecté à internet. Il est recommandé de réduire autant que possible la surface d’attaque. Par conséquent, il est crucial de séparer les réseaux utilisateurs et les réseaux de production. Par exemple, un opérateur ne devrait pas pouvoir consulter ses emails depuis un client DCS.
Ainsi, un design idéal implique l’utilisation de commutateurs distincts pour chaque réseau. Une solution simple consiste à utiliser un VLAN pour séparer les appareils. Toutefois, je préconise une étape supplémentaire lorsque cela est possible : une version plus sécurisée consisterait à séparer physiquement les commutateurs de réseau. Ajouter de nouveaux commutateurs dans les armoires réseau existantes, connecter uniquement les appareils de production à ces derniers, et tirer de nouvelles fibres optiques.
Il y a toujours des raisons d'exposer le réseau de production à Internet, comme la nécessité de surveiller les conditions de l'usine en dehors du bureau. Une solution consisterait à relier les réseaux via un pare-feu. Une équipe IT pourrait utiliser des techniques éprouvées pour limiter l'accès à cet appareil unique, en s'assurant qu'il est accessible uniquement aux personnes nécessaires, tout en le maintenant à jour avec les derniers correctifs de sécurité. Bien qu’imparfaite, cette approche est très efficace pour réduire la surface d’attaque.
Design basé sur des cellules
Les problèmes surviennent constamment, surtout dans les installations fonctionnant 24/7 où la maintenance est souvent reléguée au second plan au profit du respect des délais, laissant la porte ouverte à des problèmes variés. Le design de l'installation doit toujours s’efforcer d’éviter les points de défaillance uniques. Si ceux-ci sont inévitables, une solution de secours rapidement déployable doit être prévue.
Chaque appareil terminal devrait appartenir à une cellule capable de s’auto-gérer et d’accomplir ses tâches sans dépendre d’un système de contrôle centralisé. Si le système principal tombe en panne, il doit être possible de faire fonctionner les appareils en mode manuel ou semi-automatique, avec un accès facile à ce mode. Cela implique de s’assurer que les appareils de différents fabricants communiquent idéalement entre eux à l’avance et à l’arrière sur la chaîne de production, sans passer par un point de défaillance central tel qu’un PC configuré par le fabricant pour connecter leur groupe d’appareils au réseau principal — ce qui, selon mon expérience, constitue généralement le maillon faible. Il est préférable que les dispositifs en temps réel communiquent directement entre eux ; à tout le moins, le réseau de production devrait être autonome. Cela nécessite une architecture système bien conçue dès le départ, car il est beaucoup plus difficile de rétroconcevoir ces fonctionnalités.
La menace pour la production n’est pas toujours externe. Par exemple, un conducteur de chariot élévateur pourrait faire une embardée pour éviter quelqu’un et heurter une armoire de contrôle. Un appareil pourrait aussi être chargé avec un code erroné, perturbant ainsi le fonctionnement d’un appareil voisin sur le réseau. Ces incidents arrivent, et il est crucial de permettre à l’équipe de maintenance de gagner du temps pour résoudre le problème. Chaque machine doit disposer d’un mode manuel, et un opérateur doit être en mesure d’intervenir pour maintenir une partie de la production en cours, quel que soit le contexte. En cas de cyberattaque sur un pipeline, il devrait être possible d’assurer l’écoulement du pétrole brut grâce à un mode de secours, même si celui-ci est moins efficace.
Surveillance continue
Lorsque cela est possible, il est judicieux de surveiller les appareils pour garantir leur bon fonctionnement. On doit partir du principe qu’une situation de compromission pourrait survenir et prendre des mesures pour identifier et corriger rapidement tout incident.
Je plaide en faveur de systèmes historiens qui enregistrent des données clés et sont capables de les afficher sous forme de tendances historiques. Des plateformes comme Wonderware System Platform me viennent à l’esprit, mais il en existe plusieurs dans l’écosystème des données massives de l’IoT. Ces systèmes sont particulièrement utiles pour la maintenance préventive. Un niveau supérieur serait de surveiller les contrôleurs industriels pour vérifier qu’ils exécutent le code correct en utilisant un outil tel que FactoryTalk AssetCentre. Cela est nécessaire car un technicien pourrait accidentellement charger un code erroné sur un contrôleur ; il est donc préférable de détecter ce problème le plus rapidement possible. Il n’est pas indispensable d’utiliser des logiciels coûteux, car des scripts Python compatibles avec des bibliothèques existantes peuvent être mis en place pour surveiller les variables critiques.
Il est également logique de surveiller les intrusions dans le réseau. Par exemple, si quelqu’un tente de se connecter à un PLC en utilisant un mot de passe par défaut, cela devrait être signalé et une alarme devrait être déclenchée. Cela permet d’alerter les personnes adéquates avant qu’un problème ne survienne.
DevSecOps
DevSecOps signifie adopter une approche de sécurité dès le début du projet. Il s'agit de n’exposer que les points nécessaires pour la lecture et l’écriture, de ne pas utiliser de mots de passe par défaut, et de limiter le système à ses fonctionnalités essentielles, car tout élément superflu représente un risque potentiel. Pendant la phase de conception d’un projet, l’architecte système peut accomplir cela en quelques clics. Cependant, lorsqu’il s'agit d’installations existantes, où le matériel est souvent utilisé bien au-delà de son obsolescence, la gestion de la sécurité devient plus complexe.
Cela implique également de s’assurer que les ingénieurs et les techniciens disposent des moyens nécessaires pour accomplir leur travail. Un architecte expérimenté dans l’ensemble du cycle de vie d’un produit est indispensable pour comprendre les besoins des équipes d’ingénierie et de maintenance.
Avoir un réseau très sécurisé ne signifie pas qu’il est impénétrable. C’est comparable à un système d’alarme pour une maison : avec suffisamment de temps et d’effort, n'importe quel verrou ou alarme peut être contourné. L’objectif est de devenir une cible suffisamment difficile pour que l’attaquant décide que cela ne vaut pas la peine et se tourne vers des cibles moins sécurisées.
"TMC reconnu comme Best Managed Company 2020-2021"
"Attachez vos ceintures pour TMC & Oerlikon Eldim"
![afbeelding[2].jpg](https://www.themembercompany.com/cache/063c5a406f128756c6277f4a6c935d8b/afbeelding[2].webp "afbeelding[2].jpg")
"Q&R : comment le programme de stage TMC peut lancer votre carrière"
"L'agilité d'une start-up et les ressources d'une grande entreprise"
Découvrez-nous !
Contactez-nous pour des opportunités, des collaborations ou des questions. Nous sommes là pour créer des liens.