La cybersécurité des installations industrielles, des systèmes cyber-physiques et plus généralement des systèmes d’IIoT (Industrial IoT) est, pour le moins, une problématique très actuelle.
Elle l’est tout d’abord à cause de l’évolution technologique des installations : celles-ci sont de plus en plus composées d’objets connectés entre eux et accessibles depuis l’Internet. L’idée encore très répandue consistant à penser que l’informatique industrielle d’un site de production peut fonctionner en autarcie à l’abri des cybers menaces est aujourd’hui révolue.
Elle l’est aussi à cause de l’évolution des contraintes réglementaires telles que celle imposées par la LPM2013 (loi de programmation militaire) en France. Pour les OIV (Opérateurs d’Importance Vitale), les pouvoirs publics demandent aux entreprises de mettre en place des mesures précises de maîtrise de la cyber-sécurité avec, en cas de non-conformité, le risque d’avoir à payer de lourdes amendes.
Elle l’est enfin à cause de l’évolution des acteurs du cyber crime. En effet, le crime organisé a pris conscience du potentiel des cyber-attaques et il met en œuvre des moyens considérables dans ce domaine. L’ère du hacker amateur appartient au passé et une grande part des malveillances informatiques sont aujourd’hui motivées par l’argent. Cette évolution du crime fait par ailleurs apparaître une nouvelle vulnérabilité liée aux acteurs internes de l’entreprise ayant accès à des ressources sensibles. Cela renforce le besoin d’une approche globale pour la maîtrise du cyber-risque qui nécessite de prendre en compte le facteur humain.
Cette approche doit être spécifique. En effet, les systèmes d’informatique industrielle ont des caractéristiques différentes des systèmes informatiques classiques, comme par exemple :
l’impact d’une attaque peut non seulement être financier (perte de production ou de qualité), mais peut également concerner l’environnement ou la santé des populations
les systèmes cyber physiques sont par nature temps réel, et la solution qui consiste par exemple à arrêter le calculateur n’est pas possible, le procédé lui-même, coupé de son contrôle informatique peut évoluer de façon dangereuse
les équipements rencontrés peuvent être assez anciens, conçus avant que la cyber sécurité ne soit un enjeu, et donc être très vulnérables
Face à la menace concernant la sécurité de ces systèmes, les entreprises doivent tout d’abord prendre conscience du risque, puis se doter des méthodologies et des outils pour l’évaluer. Dans le cas où le risque n’est plus acceptable, il s’agit ensuite de mettre en place des mesures adaptées et pertinentes pour le maîtriser.
Pour mener à bien ces tâches, des approches ont été proposées, par exemple par l’ANSSI, et un certain nombre de solutions techniques existent, mais le sujet reste encore mal maîtrisé. Il reste difficile de savoir vers quelles approches se tourner, de déterminer ce qu’elles nécessitent comme moyens, et de déterminer leur pertinence dans un contexte donné. L’articulation de la démarche par rapport à la démarche de gestion des risques de l’entreprise, notamment celle concernant la sécurité informatique est aussi un problème important.
L’objectif de GTR est de travailler sur ces questions. L’objectif est d’organiser les connaissances existantes, de les évaluer au vu des contraintes réelles et du retour d’expérience, et de faire émerger les points bloquants, qu’ils soient techniques, humains ou organisationnels.
Ce GTR vise à permettre la rencontre des acteurs concernés par les problématiques de cyber sécurité des installations industrielles et IIoT pour partager le savoir et les expériences, développer des actions d’évaluation des solutions existantes, et des actions de veille technique et réglementaire. Cela pourrait se traduire par la réalisation de guides et de journées de sensibilisation. Ce groupe a aussi vocation à nouer des relations avec d’autres organismes ou associations dans le domaine pour positionner ses problématiques par rapport à celles de la cyber sécurité globale, et travailler à faire émerger des axes de développement méthodologiques et des questions de recherche.
Tout membre de l’IMdR peut rejoindre un GTR en remplissant le formulaire de contact ici
Jean-Maris FLAUS (Université Grenoble Alpes)