Tant qu’il n’y a pas de problème, il ne se passe rien. Voilà ce qui se dit de l’inaction des industriels en matière de prévention cyber, à en croire les commentaires entendus au Forum international de la cybersécurité (FIC), qui s’est tenu à Lille du 7 au 9 juin et dont une journée était consacrée au milieu industriel. Mais qu’est-ce qui pêche, précisément, dans la sécurisation des systèmes de production, désignés par le sigle OT (Operational Technology), en opposition à l’IT ? A cette question, la deuxième édition du benchmark de la maturité cyber des sites industriels, réalisé par le cabinet Wavestone et dévoilé en partie au FIC, apporte plusieurs éléments de réponses.
Premier enseignement : si 70% des sites audités (60 l’ont été entre 2021 et 2022) assurent avoir besoin d’utiliser des clés USB, 53% n’ont pris aucune mesure technique de protection. « Cela ne veut pas dire que ces sites ne mettent pas en place des règles opérationnelles, comme de demander aux salariés de ne pas utiliser de clés personnelles sur le site, explique Arnaud Soullié, consultant chez Wavestone. Mais cela ne suffit pas, car on sait que les règles ne sont pas toujours suivies, que ce soit par oubli ou par facilité. »
Station de décontamination et filtrage des clés
L’expert invite à la mise en place de solutions techniques, qui peuvent être très simples. « Une première solution peut être d’installer sur chaque poste un petit agent qui va permettre que seule une liste prédéfinie de clés USB fonctionne dessus, illustre Arnaud Soullié. Une autre possibilité est d’installer une station de décontamination à l’entrée du site industriel, grâce à laquelle le contenu de chaque clé USB introduit par un prestataire externe va être scanné par un antivirus afin de valider son utilisation ou d’alerter en cas de malware détecté. » Ces deux solutions ne sont pas excluantes, au contraire. Pour s’assurer qu’aucune clé USB n’échappe à l’étape de décontamination, l’industriel peut installer sur chaque automate un petit logiciel qui bloque le fonctionnement des clés non scannées par l’antivirus.
L’autre sujet de préoccupation mis en lumière par ce benchmark renvoie à la gestion des vulnérabilités. Sur les 60 sites audités, 48% présentent une absence totale de « patch management ». Autrement dit : même quand une vulnérabilité sur un logiciel est connue et qu’une correction est disponible – c’est ce qu’on appelle en informatique un patch – rien n’est fait sur ces sites-là. « C’est vraiment l’adage selon lequel tant que le système fonctionne, on n’y touche pas », observe le consultant chez Wavestone, qui insiste sur la gravité du chiffre. « Il ne dit pas qu’une moitié fait bien et que l’autre peut mieux faire. Il dit que la moitié des sites industriels ne pratique aucune mise à jour sur aucun des systèmes. Et que l’autre moitié fait a minima quelque chose », considère l'expert.
Dans l'incapacité de définir ses exigences cyber
Les raisons à cette inaction sont connues : installer un patch demande de redémarrer le PC industriel, donc souvent d’arrêter la production, puis de réaliser quelques tests pour vérifier que le système marche normalement avant de le relancer. Des étapes qui peuvent être moins lourdes pour la production quand on met en place la redondance des systèmes, permettant de patcher un élément pendant qu'un autre, équivalent, continue de fonctionner. Mais pour ce faire, encore faut-il formuler les bonnes exigences lors des commandes d’équipements. Or, sur ce point, le benchmark est également inquiétant : seuls 21% des répondants s’estiment en capacité de définir leurs exigences cybersécurité auprès des tiers.
« Ce point est particulièrement critique, estime Arnaud Soullié. Si l’on peut comprendre que les vieux systèmes industriels ne soient pas bien sécurisés, on voit là que les nouveaux systèmes, même ceux installés en 2021, risquent d’être rapidement obsolètes en matière de cybersécurité. » L’expert invite donc les directions des groupes industriels à se saisir du sujet. « Les exigences cyber sont rarement spécifiques à un site, c’est donc le rôle du groupe que de donner les directives. Les politiques de sécurité doivent venir du central, mais avec des solutions clé en main pour que les sites soient en mesure de les appliquer même s'ils manquent de connaissance, de compétence ou de temps. » Il plaide donc pour une approche pensée de manière centralisée mais applicable sur le terrain.
