L’inter-connexion des réseaux de production et de gestion : boîte de Pandore ?

Après la connexion généralisée des intranets à l’Internet, on note une tendance forte à interconnecter également les réseaux de production et de gestion. Malgré les avantages, le conservatisme des responsables de production s’y oppose souvent.

Et on les comprend a priori : de nombreux accidents industriels répertoriés sont le fait d’une interconnexion mal pensée du réseau de production à fins de monitoring ou de contrôle distant, de remontée automatique de données, ou simplement d’accès internet en production…  (voir les références données en bas de cet article)

Cependant, la possibilité de faire transiter des données via le réseau permet d’éviter le recours à des médias physiques tels clés USB, CD, qui sont d’une part peu traçables et d’autre part des vecteurs de logiciels malveillants.

La possibilité de mettre en place une interconnexion maîtrisée des réseaux de production et de gestion dépend de la qualité de l’architecture : bien conçue, avec firewall et administration dignes de ce nom, c’est une solution efficace diminuant le risque global. Mais si l’architecture n’était pas pensée pour, on va mettre en place une solution « brouillonne », telle une connexion directe via SSH entre deux systèmes par exemple, qui sera un risque supplémentaire difficile à maîtriser dans le temps.

Quels sont les coûts et les risques ?

Puisque l’intranet est « sécurisé » par rapport à l’internet, le risque est donc virtuellement nul de raccorder la production à l’intranet, avec bien sûr toutes les précautions au cas où :  firewall etc… pour mettre ceinture et bretelles…

Le contrôle de gestion et le management ont tout à y gagner : visibilité beaucoup plus rapide du « work in progress », avec des données directement collectées à la source. Le marketing et la vente ont tout intérêt à pouvoir disposer d’une visibilité « temps réel » sur la capacité de production disponible, voire sur l’avancement des commandes de leurs clients. Les responsables des « opérations » gagnent en flexibilité et rapidité de mise à jour des informations sur les lignes de production. Le contrôle peut se faire à distance : on peut ainsi partager l’expertise rare sur telle machine-outil entre divers établissements.

Moyennement quelques précautions (VPNs, contrôle d’accès réseau…), les fournisseurs pourraient même directement intervenir pour maintenance sur leurs équipements en fonctionnement dans les locaux. Les coûts d’interconnexion étant réduits (quelques keuros en équipements réseau et main d’œuvre pour installation et configuration), le retour sur investissement est rapide et facile à démontrer.

Quelles sont les résistances ?

Sans qu’ils puissent réellement le justifier, donc sans doute par méfiance de l’innovation et conservatisme dépassé, des responsables de productions s’opposent à toute tentative de connecter « leur » réseau au reste de l’entreprise. En effet, ils savent que la disponibilité de la communication entre leurs serveurs et équipements de production est critique, et ne peuvent que constater les pannes ou lenteurs qui touchent régulièrement le réseau bureautique.

Les dirigeants sont difficiles à convaincre avec des arguments techniques, du fait de leur manque de familiarité avec les techniques avancées de sécurité : pare-feux, IDS, VLANs avec QoS etc… Et les éventuels gains en cas d’interconnexion des réseaux concernent surtout les « cols blancs » : du point de vue de la production, ce n’est que nouveaux risques et possibles scénarios catastrophe. Les « opérations »  ont peu à gagner pour leurs propres indicateurs liés à la productivité, disponibilité, ponctualité, qui sont meilleurs lorsque l’environnement est protégé, donc leur réseau isolé.

Et d’ailleurs, déjà sans interconnexion de réseau, ils ont déjà eu des virus qui « ont planté une machine », à cause de « ces foutus postes de contrôle sous Windows imposés par le constructeur ». Alors, si on connectait tout ça au réseau bureautique, ce serait la fin des haricots !

Alors, combat d’arrière-garde ou saine méfiance ?

La sécurisation des réseaux en « couches » façon oignon, peut tout à fait être assurée, et l’est d’ailleurs très efficacement dans le milieu bancaire par exemple. Il y a cependant pour cela deux principales conditions :

  1. que l’expertise soit disponible pour à la fois correctement architecturer, configurer et ensuite administrer les réseaux et équipements de sécurité.
  2. que le niveau de sécurité, au sens authentification, traçabilité, contrôle, aille croissant avec la sensibilité de chaque couche réseau. En particulier : plus on va vers le cœur du réseau, plus les contrôles sur le personnel qui a accès aux équipements, les mots de passes et autres systèmes d’authentification, doivent être stricts.

Conclusion

Le réseau de production ne présente pas, dans le cas général, les deux caractéristiques ci-dessus, permettant de le sécuriser convenablement, par rapport à l’intranet, et donc a fortiori à l’internet.

Certains équipements permettent de mettre en place de la sécurité avec peu d’expertise : les fameuses « diodes réseaux » – j’y consacrerai un prochain article.

Il découle aussi de la deuxième condition ci-dessus que l’accès distant au réseau de production ne PEUT PAS être ouvert à des sociétés externes (sous-traitants etc…), car leur personnel ne peut pas être contrôlé au même titre que les employés. C’est d’ailleurs ce que j’ai constaté en terme de réalisation : même lorsque des clients spécifient un besoin d’interconnexion de réseau, l’accès à partir d’internet reste en général exclu.

L’interconnexion des réseaux permet donc de gagner en sécurité (mise à jour automatiquement des signatures d’anti-virus, suppression des transferts par USB etc…), à condition qu’il y ait déjà en place des personnes compétentes et effectuant un suivi de la sécurité du réseau, et que le réseau « bureautique » fasse, le cas échéant, office de DMZ, c’est à dire de tampon entre le réseau de production et l’internet : ces derniers ne devraient jamais être directement interconnectés.

Il y a aujourd’hui en France de nombreuses installations critiques dont les réseaux sont interconnectés avec les réseaux de gestion, sans que cela pose de problème car les risques sont correctement évalués et les mesures de sécurité adéquates sont en place. Ces mesures ne sont cependant pas forcément accessibles aux PMIs, qui préféreront, dans le doute, conserver un réseau de production distinct ET en contrôler l’accès physique (clés USB…).

Références

Joseph WEISS, Protecting Industrial Control Systems From Electronic Threats, Momentum Press, 2010  : contient des exemples d’accidents industriels aux US, notamment liés à l’interconnexion des réseaux.

Le guide NIST SP 800-82, Guide to Industrial Control Systems (ICS) Security, Juin 2011 comprend également une sélection, plus réduite et moins documentée, d’incidents (il est disponible gratuitement en téléchargement)

La société Innominate a publié une étude intéressante, mettant en particulier en avant les cas de prise de contrôle distant : « Hacking the industrial network » (white paper disponible gratuitement contre enregistrement sur leur site)

Dernière contribution en date (Juillet 2011) d’Eric Byres sur le sujet, qui démontre que la croyance en la sécurité apporté par une séparation des réseaux est illusoire : ICS and SCADA Security Myth: Air Gaps

 

Tags: , , , ,

1 commentaire sur “L’inter-connexion des réseaux de production et de gestion : boîte de Pandore ?”

  1. Patrice Bock dit :

    A noter un document très intéressant sur les limites de l’air-gap », avec description des manières d’exfiltrer des données voire de prendre le contrôle d’un système isolé à partir d’un poste voisin : annexe à la synthèse de veille de l’ANSSI du 22 mai 2015 (contactez votre RSSI pour avoir une copie)

Ajouter un commentaire

Note: Vous êtes responsable de vos commentaires, veillez à rester courtois et factuel. En postant votre commentaire, vous accordez de fait un droit de diffusion à Secur'id.