Comment renforcer la sécurité de l’IoT industriel ?
Temps de lecture : 7 min
Les cyberattaques, notamment par accès à distance non autorisés, sont une menace grandissante pour les sites industriels où l’IoT est de plus en plus omniprésent. Une dimension prise très au sérieux depuis une dizaine d’années par Paris Aéroport, dont les systèmes d’information industriels ont été sécurisés par Actemium, en partenariat avec Axians, avec la solution WALLIX.
Selon une analyse réalisée par la société de cybersécurité Barracuda, 94 % des organisations industrielles ont connu un « incident de sécurité » au cours des douze derniers mois. Il s’agit notamment d’attaques par déni de service distribué (DDoS), d’accès à distance non autorisés aux réseaux, de chaînes d’approvisionnement compromises, de vols de données, de ransomwares…
Or les incidents de cybersécurité, et tout particulièrement les failles de sécurité de l’IIoT (Industrial Internet of Things), ont souvent des conséquences allant au-delà des pertes monétaires entraînant des temps d’arrêt importants : 87 % des organisations qui ont subi un incident ont ainsi été impactées pendant plus d’une journée.
La nécessité d’investir davantage dans la sécurité IIoT dans le cadre de systèmes OT (Operational Technology*) est désormais partagée par l’immense majorité des entreprises industrielles : 96 % des chefs d’entreprise notent ainsi que leur organisation doit augmenter ses investissements dans la sécurité industrielle, et 72 % des organisations ont indiqué qu’elles avaient déjà mis en œuvre ou étaient en train de mettre en œuvre des projets de sécurité IIoT/OT.
Une démarche étape par étape
Reste à définir concrètement la marche à suivre. « Au-delà évidemment des investissements mobilisés, la maturité des interlocuteurs sur ces questions dans l’entreprise, mais aussi celle des installations, est primordiale », prévient Pierre Vidard. Selon le Project Manager d’Actemium Maisons-Laffitte, la marque de VINCI Energies spécialisée dans les process industriels, la démarche à adopter doit se faire étape par étape.
« En fonction évidemment de la spécificité de chaque entreprise, la première mesure à prendre est de cloisonner les installations en se basant notamment sur la règle du « moindre privilège ». Il faut ensuite gérer l’obsolescence des matériels et de leurs logiciels qui ne sont pas toujours paramétrés aux derniers standards de la cybersécurité. »
« Troisième étape : bien comprendre les habitudes et comportements des utilisateurs afin d’instaurer les bonnes pratiques en impactant au minimum leur travail au quotidien. Enfin, avec l’essor du télétravail et de la télémaintenance, il est indispensable de sécuriser les opérations via des VPN ou mieux : des solutions de type bastion**. »
Une meilleure traçabilité des connexions
Paris Aéroport, qui travaille à une plus forte sécurisation de ses systèmes d’information industriels avec le concours d’Actemium qui en assure la maintenance, a entrepris ce travail depuis une dizaine d’années déjà.
« La maturité des interlocuteurs dans l’entreprise, mais aussi celle des installations, est primordiale. »
« En 2020, nous avons souhaité répondre plus particulièrement aux nouvelles contraintes de télémaintenance en maîtrisant mieux les canaux et les flux qui transitent en téléopération, et ce, par une meilleure traçabilité des connexions afin d’éviter toute rupture protocolaire », explique Sébastien Hélaouet, responsable Sécurité et Administration des réseaux industriels du Groupe ADP.
Actemium a proposé à l’exploitant aéroportuaire d’adopter la solution WALLIX. Editeur de logiciels de cybersécurité et spécialiste européen de la sécurisation des accès et des identités numériques, WALLIX a développé une solution éponyme de gestion unifiée des privilèges.
S’appuyant sur le partenariat de l’éditeur avec Axians, la marque ICT de VINCI Energies, Actemium a lancé le déploiement de trois bastions au sein du Groupe ADP, l’un d’eux étant déjà opérationnel depuis 2021. « Cette solution, qui permet de définir de façon centralisée des droits d’accès à des connexions sécurisées, présente l’avantage de proposer également une interface d’administration des accès avec un suivi des sessions », détaille Pierre Vidard.
L’entreprise a ainsi une réelle maîtrise de l’utilisation de son système d’information, que ce soit par des intervenants extérieurs, notamment en maintenance, mais aussi par ses propres collaborateurs qui sont de plus en plus nombreux à recourir au télétravail.
La sensibilisation, étape clé
Le Project Manager d’Actemium souligne enfin un aspect trop souvent négligé : l’importance de la dimension humaine pour le succès de ce type de solution. « Dans toute évolution informatique, mais peut-être plus encore dans le cadre de ces solutions bastions, la sensibilisation et l’information des utilisateurs jouent un rôle clé. Si les gens n’adhèrent pas, cela ne fonctionnera pas, ou pas bien. »
En l’occurrence, dans le cas de Paris Aéroport, si une étape supplémentaire de connexion a certes été instaurée avec WALLIX en plus du VPN existant, la possibilité désormais d’accéder à toutes les machines sans avoir, comme par le passé, à mentionner l’adresse IP de chaque équipement, a été perçue comme un réel bénéfice. « Sans compter que ce type de solution sécurisée est particulièrement rassurant pour l’intervenant, qu’il soit externe ou interne », conclut Pierre Vidard.
* Operational Technology ou technologies d’exploitation : utilisation de matériel et de logiciels pour contrôler des équipements industriels.
** Le bastion permet de piloter et fournir un point d’accès unique à des zones spécifiques et sensibles d’un système d’information.
14/12/2022