Operational Technology: quand les cybercriminels arrêtent les machines
Que se passe-t-il quand tout s’arrête soudainement? Que faire quand les cybercriminels prennent le contrôle et interrompent le flux de production ou éteignent les appareils médicaux? La sécurité des OT et des systèmes cyber-physiques (CPS) gagne énormément en importance. Les raisons sont multiples.
Février 2025, Textes: Andreas Heer Image: Swisscom 6 Min.
C’est une image commune en Suisse: un atelier de production dans lequel les machines ronronnent, martèlent, perforent, vrombissent. La situation est similaire dans le domaine de l’approvisionnement en énergie, par exemple dans les centrales hydroélectriques, dans les hôpitaux ou dans tout secteur impliquant une exploitation en continu. Les pannes et les arrêts imprévus coûtent cher, car ils perturbent l’ensemble de la chaîne de production et de logistique et peuvent par exemple entraîner la perte de tout un lot de production dans l’environnement alimentaire et chimique.
La disponibilité absolue est le mot-clé pour toutes ces machines. Beaucoup de ces machines communiquent entre elles. Elles gèrent le flux de production de manière numérique et reçoivent des instructions de l’ERP. Les systèmes visuels tels que la tomodensitométrie (TDM) dans les hôpitaux enregistrent les images sur le réseau ou dans le cloud. De plus, beaucoup de ces appareils sont équipés de capteurs qui surveillent le fonctionnement et la production et transmettent ces informations aux systèmes de commande.
Operational Technology (OT) et IoT fusionnent pour former des systèmes cyber-physiques (CPS) et héritent des problèmes de sécurité de l’informatique. «Ces risques sont beaucoup trop sous-estimés», indique Thomas Dummermuth, responsable de la sécurité physique chez Swisscom.
Quand un ransomware interrompt le flux de production
La menace des cyberattaques est indéniable : elle a des conséquences dans le monde réel et pas seulement dans le monde numérique. Le Waterfall Threat Report 2024 dénombre pour 2023 un total de 68 attaques visant près de 500 sites de production et infrastructures, qui ont entraîné des interruptions de la production et, dans certains cas, causé des dommages estimés à plusieurs centaines de millions de dollars américains. En d’autres termes: en cas de problème, les dommages physiques sont généralement importants. Cela peut menacer des vies humaines, par exemple en cas de dysfonctionnement de systèmes vitaux dans un hôpital en raison d’une défaillance informatique ou si des ambulances doivent être redirigées vers des hôpitaux plus éloignés. Seul un quart de ces attaques visaient directement le CPS. Dans les cas les plus fréquents, une attaque par ransomware crypte les systèmes de production informatiques, entraînant l’arrêt des systèmes et des réseaux ainsi que de la production.
Tout au plus, un système de contrôle industriel (ou ICS pour Industrial Control System) mal protégé et trop peu cloisonné peut également être touché. «Actuellement, le nombre d’attaques contre les CPS est inférieur à celui des cyberincidents dans le domaine de l’informatique, explique M. Dummermuth. Mais ce n’est qu’une question de temps avant que le vent tourne.» En effet, la volatilité de la situation mondiale et la facilité d’accès aux outils d’attaque, tels que le ransomware-as-a-Service, contribuent à l’augmentation de ce type d’attaques. Les établissements de santé tels que les hôpitaux, qui étaient autrefois épargnés par les bandes de ransomware en raison d’une sorte de code de conduite, sont désormais également concernés. Des chaînes d’approvisionnement complexes dans lesquelles se cachent parfois des attaques contre la chaîne d’approvisionnement et des systèmes hétérogènes parfois obsolètes facilitent le travail des cybercriminels.
Quels sont les défis de la CPS Security?
Les machines industrielles, des installations de production aux grues portuaires, ont une durée de vie nettement plus longue que les systèmes informatiques. En conséquence, certains systèmes de contrôle dans la production ne bénéficient plus de correctifs. Et lorsqu’il y en a, ils ne sont pas installés. En effet, l’interruption d’exploitation nécessaire à l’installation est souvent considérée comme inacceptable, ou la version modifiée du logiciel n’est pas certifiée pour l’exploitation. Lorsque de nouvelles machines, capteurs et commandes viennent s’ajouter au fil du temps, l’univers CPS gagne en hétérogénéité et perd en précision. Le manque de transparence empêche la création d’une vision globale de tous les domaines de compétence.
En outre, lors de l’installation des systèmes, l’accent a été mis sur la fonctionnalité et non sur la sécurité. Le principe de la sécurité par l’obscurité est un modèle que l’on trouve dans l’industrie: il s’agit de systèmes cloisonnés («air gap») isolés du reste du réseau et donc prétendument inattaquables. «Prétendument» seulement, parce que les logiciels malveillants peuvent également atteindre les machines via l’ordinateur portable du technicien de service.
De manière générale, l’architecture système du CPS est conçue pour garantir la disponibilité et des temps de réaction courts, en partie au détriment de la sécurité, par exemple en cas de communication non cryptée. La maintenance du CPS s’effectue souvent via un accès à distance afin que le technicien de service puisse y accéder de n’importe où, par des accès mal voire pas du tout protégés, selon l’âge de la technologie utilisée, ou tombés aux oubliettes depuis longtemps.
Les exigences réglementaires se durcissent
Les organisations telles que les fournisseurs de soins de santé et d’énergie, les institutions financières ou les entreprises de production doivent également améliorer leur cybersécurité pour des raisons réglementaires. En effet, les exigences en matière de sécurité augmentent avec la progression de la numérisation et de la mise en réseau.
L’UE renforce le cadre juridique avec l’introduction de la directive NIS 2 et du Cyber Resilience Act (CRA). L’objectif est d’accentuer la cyberrésilience des organisations. Ces réglementations ont un impact direct sur les entreprises suisses, par exemple lorsqu’elles travaillent en tant que fournisseurs pour des entreprises de l’UE, qu’elles servent des clients dans l’UE ou qu’elles ont des succursales dans l’UE. C’est pourquoi de nombreuses entreprises locales doivent se confronter à ces réglementations et, le cas échéant, adapter leurs stratégies, processus et mesures de sécurité.
En Suisse, la stratégie de protection des infrastructures critiques (PIC) joue un rôle important. Elle poursuit des objectifs similaires à ceux des réglementations de l’UE. Pour les entreprises suisses d’approvisionnement en électricité, une extension de l’ordonnance sur l’approvisionnement en électricité (OApEl) s’applique en outre. L’article 5a de 2024 fixe des directives pour la protection des cybermenaces. Dans le secteur financier, ce sont les exigences de la FINMA qui visent un niveau de protection élevé, y compris les systèmes OT et IoT tels que les distributeurs automatiques de billets et les systèmes d’accès.
Les premiers pas des CPS vers une meilleure cyberrésilience
Une cyberrésilience robuste pour les CPS commence par favoriser la transparence sur les systèmes, capteurs, ICS, PLC (Programmable Logic Controller) et les accès utilisés. «Le manque de transparence est l’une des raisons pour lesquelles de nombreuses entreprises ne sont pas en mesure d’évaluer correctement le cyberrisque», souligne M. Dummermuth.
Un inventaire détaillé des systèmes et composants existants sert de base à cette transparence. Sur cette fondation, les entreprises peuvent identifier les points faibles et planifier des mesures de sécurité de manière ciblée. Ces mesures découlent d’une stratégie de cyberrésilience. La stratégie devrait couvrir tous les aspects de la sécurité du CIS, de la prévention aux cyberincidents en passant par leur détection.
Des exercices d’urgence réguliers constituent un élément essentiel de cette stratégie. Ces derniers aident à déterminer l’efficacité des mesures et à préparer toutes les personnes impliquées à une situation d’urgence.
Un autre élément central est la gestion globale des risques. «C’est nécessaire pour identifier et évaluer tous les risques potentiels, ce qui permet de hiérarchiser les mesures de sécurité», explique M. Dummermuth. La gestion des risques est un processus continu qui vérifie et évalue en permanence l’état des menaces. Cela permet, dans une certaine mesure, de prendre de nouvelles mesures «à la demande» ou d’adapter les mesures existantes. Pour détecter les incidents et réagir de manière appropriée, il est essentiel que le centre des opérations de sécurité (SOC) soit complété par le CPS. Celui-ci surveille les menaces à l’aide d’un monitoring et est en mesure de réagir rapidement et efficacement en cas d’incident.
L’amélioration de la cyberrésilience pour le CPS commence par une approche structurée et systématique. Un inventaire complet, une stratégie globale avec des exercices d’urgence réguliers, une gestion des risques efficace et un SOC étendu sont les éléments clés pour protéger le CPS des cybermenaces croissantes. Pour toujours entendre les machines ronronner, marteler, percer et vrombir.