La cybersécurité industrielle, c’est quoi ?
Quels sont le but et l’objet de la cybersécurité industrielle (à quoi ça sert ?)
Comment la discipline se positionne-t’elle par rapport à la sécurité fonctionnelle ?
Quelles différences / points communs avec la sécurité des systèmes d’information ?
A un moment où l’on recherche des consultants en « cybersécurité industrielle », et où les industriels, dans les domaines exposés au moins, commencent à affecter des budgets au sujet, il semble qu’il est temps de tenter une définition !
Le terme de cybersécurité commence à être mis à toutes les sauces, alors qu’il s’agissait initialement de se différencier de « la sécurité des SI ». Et en effet, il y a des différences majeures.
Ainsi de nombreux articles et livres blancs justifient un traitement différent entre les SI « de gestion » (emails, bureautique, systèmes de gestion…) et les SI « industriels ». Pour faire cela, ils présentent souvent un tableau montrant les différences entre SI de gestion et SI industriels, ce qui permet bien de comprendre que ce n’est pas la même chose.
On trouve en général au moins les principales différences ci-dessous :
- on ne peut pas facilement « patcher » (mettre à jour) les systèmes industriels,
- on a des systèmes d’exploitation et des logiciels particulièrement datés,
- on a des équipements extrêmement vulnérables (voir ce précédent article),
- de très nombreux intervenants (sous-traitant, maintenance) interviennent dans l’industrie,
- ce qui compte dans l’industrie c’est la disponibilité, et non pas en général la confidentialité,
- etc…
Que protège-t’on ?
Tout ceci est exact mais n’aborde pas la principale caractéristique de la cybersécurité industrielle, qui est qu’on ne s’intéresse pas particulièrement à l’information, comme l’illustre bien le logo de Langer Communication :
En effet, la cybersécurité consiste à protéger les investissements, la capacité de production, les personnes, et l’environnement, des attaques informatiques. Dans l’industrie, il est souvent beaucoup plus important d’empêcher la destruction des « actifs de support » (les serveurs, les systèmes industriels comme les automates et les processus contrôlés), que d’empêcher le vol, la perte ou la corruption des « actifs primaires » (l’information). Les priorités sont radicalement différentes.
Contre quoi se protège-t’on ?
L’autre grande différence concerne les menaces contre lesquelles on veut se prémunir. La « sécurité des systèmes d’information », bien rodée, consiste à protéger l’information, au sens large, de l’entreprise, contre toutes les menaces imaginables : espionnage industriel, employé malveillant, mais aussi panne de serveur, coupure d’électricité, aléas climatiques etc…
Les industries qui se préoccupent du risque de cybersécurité se sont en général déjà prémunies contre les « menaces » liées aux pannes, accidents, et autres événements déjà traités par les plans de continuité de production et les plans de sécurité. L’industrie n’a pas attendu l’informatique pour développer une culture avancée de la gestion des risques !
Les industries qui mettent en oeuvre les principes de sécurité fonctionnelle (norme CEI 61508 et dérivées), et celles qui doivent mettre en oeuvre les principes de sûreté nucléaire, ont des définitions précises de la cybersécurité, tiré du principe de « résistance aux agressions informatiques ». Ce sont aussi aujourd’hui les domaines où des référentiels et normes commencent à être employés, toujours dans l’esprit « résistance aux agressions ».
La cybersécurité vise donc essentiellement à lutter contre les risques spécifiques aux systèmes programmés : attaques informatiques, négligences créant un risque informatique, mais pas les pannes matérielles qui sont déjà envisagées. En général on cherche à se défendre comme les attaques d’origine « humaine », et pour les infrastructures vitales, contre les organisations criminelles, ou étatiques…
Pour cette raison, en réalité, les problèmes de disponibilité (le D de « C,I,D ») ont souvent moins d’impact que les problèmes d’intégrité (I), qui reflètent des modifications de données ou des programmes, du fait d’une attaque ou de négligences. C’est d’ailleurs ce que j’ai pu constater en travaillant avec des exploitants sur des analyses d’impacts de cyber-attaques. En effet, les industriels ont des solutions et ont prévu les pannes et problèmes de disponibilité, mais n’ont pas évalué les risques liés à des modifications volontairement préjudiciables des systèmes programmés.
Rajout mars 2013 : suite à des demandes répétées, un article didactique sur les critères DIC a été rajout à ce blog.
En bref, le pire scénario pour les sites industriels critiques est la modification non détectée de programmes ou de paramètres, amenant l’installation à un fonctionnement dangereux ou destructif, quelquefois sans que ce soit détectable facilement. Le scénario Stuxnet en somme…
Impact sur les méthodes
Le terme cybersécurité n’est pas seulement un détail de vocabulaire, mais rappelle la différence de nature sur au moins les deux sujets évoqués : le type de menaces (plutôt agressions) et l’objectif (protéger investissement, production, personnes, environnement) en plus de l’information.
Les méthodes, notamment d’analyse de risques, doivent être adaptées. Trop souvent on voit encore des intervenants prétendant réaliser une analyse de risques en environnement industriel et proposer d’utiliser telle quelle la méthode EBIOS par exemple.
Il faut pour l’industrie des méthodes adaptées : par exemple, commençant par définir non pas la liste des informations à protéger, mais la liste des ateliers/fonctions industrielles concernées. Dans l’analyse, il faut intégrer les vulnérabilités spécifiques, les principes de mesures de sécurité industrielle (les zones et conduites ISA 99 typiquement), et s’attacher aux menaces pertinentes.
Il n’y a pas encore de méthode standardisée, mais les consultants expérimentés savent partir des principes ISO 27005 (ou EBIOS) pour réaliser une analyse correcte des systèmes industriels, sans noyer le client (et se perdre eux-même) dans la complexité d’outils peu adaptés.
En conclusion : définitions « cybersécurité industrielle »
J’ai trouvé deux sources proposant des définitions intéressantes que je partage ci-dessous.
Un expert de la sécurité fonctionnelle et collègue (Philippe Dubach) a proposé récemment ceci dans un article pour le salon Gazelec (après quelques échanges nous sommes tombés d’accord) :
« La cyber-sécurité industrielle a pour but de prévenir, de détecter et de gérer les occurrences d’actions malveillantes ou involontaires présentant des risques pour les fonctions réalisées par les SI industriels. »
Et enfin, revenons à la bonne source de l’ISA 99 qui traite le sujet de la cybersécurité industrielle, et l’on trouve sur la page dédiée de l’ISA France les paragraphes suivant :
« La cybersécurité a trait à la prévention des risques associés aux intrusions dans le système de contrôle –commande, liées à des actions malintentionnées au travers des équipements informatiques et des réseaux de communication du système. »