A bord des navires et dans les ports, les systèmes de contrôle industriels (Industrial Control Systems) jouent un rôle essentiel dans l’activité quotidienne du secteur. Intégrés sous la catégorie d’Operational Technology (OT) par le National Institute of Standards and Technology américain, ils restent souvent encore [mé,mal,in]connus par beaucoup d’entre nous. Les raisons sont multiples : manque de formation et d’expérience, segmentation des responsabilités fonctionnelles entre IT et OT, technologies, logiciels, protocoles complexes… Leur durée de vie, leur capacité à se faire presque « oublier » dans des armoires industrielles y contribuent aussi.
Pourtant, à bien des égards, les systèmes industriels sont passionnants et méritaient bien la première de couverture de cette première lettre d’information de France Cyber Maritime. En effet, ils affichent souvent un taux de disponibilité et une sûreté de fonctionnement à faire pâlir n’importe quel administrateur système IT. Ces systèmes simplifient, accélèrent, sécurisent, automatisent tout un pan de notre écosystème numérique maritime. Sans eux, la manœuvre et le fonctionnement quotidien d’un navire serait bien plus complexe. Sans eux, les ports, écluses, stations de pompage, centrales électriques, Énergies Marines Renouvelables ne pourraient probablement plus fonctionner.
A terre, les automates se sont aussi généralisés au sein des ports : grues et portiques, cavaliers, pompage, électrification à quai, circuits de type pipeline, systèmes de stockage, gestion des barrières et aiguillages, ponts, écluses et portes, réfrigération, passerelles Ro-Ro. Les automates, et les capteurs et actionneurs liés permettent d’assurer ou de faciliter une grande partie de missions qui pourraient être dangereuses, difficiles ou complexes pour l’homme.
L’utilisation de systèmes industriels n’est pas limitée à de grandes installations : lors de visites d’installations portuaires ou à bord de navires, certains détails permettent d’identifier la présence de systèmes industriels, parfois « oubliés » ou fonctionnant en totale autonomie, sans que la prise de conscience qu’il s’agit d’un système industriel n’existe. Sur les installations modernes et récentes, ces automatismes sont de plus en plus nombreux et se multiplient, à tel point qu’on peut parfois douter de leur intérêt par rapport à ce qui existait auparavant, souvent à base d’électronique ou d’électricité.
Systèmes d’information à part entière, il convient cependant de rester rationnel lorsqu’on évoque les enjeux de cybersécurité sous-jacents. Oui, certains de ces systèmes ne verront probablement jamais au cours de leur vie des correctifs de sécurité, en absence de clauses et de procédures Maintien en Conditions de Sécurité. Oui, certains de ces systèmes font encore l’objet d’installation « par défaut », sans cloisonnement, sans sécurisation, avec des mots de passe par défaut… pour autant, le catastrophisme n’est pas toujours constructif : chaque installation est différente, chaque système a ses propres enjeux. Tout projet de sécurisation doit donc s’inscrire dans une démarche globale et rationnelle d’analyse de risques, être réalisée avec des professionnels de ces systèmes aptes à recommander et mettre en œuvre les outils les plus adaptés.
En 2010, la découverte du ver Stuxnet avait surpris plus d’un dirigeant et d’un exploitant de systèmes industriels, persuadés que ces systèmes n’étaient pas des cibles réalistes pour un attaquant motivé. La prise de conscience qui s’en est suivie a permis des analyses réfléchies sur les vulnérabilités de ces systèmes.
Sans vouloir être exhaustifs, il nous est possible d’en lister quelques unes. Ainsi, le manque de connaissance de ces systèmes nous remonte souvent. Lié en partie à un manque de formation (persistent) des spécialistes de la cybersécurité et de l’IT sur les systèmes industriels, ce manque de visibilité s’explique également par une absence de cartographie récurrente de ces systèmes, ou alors gérée de manière séparée et différente de l’IT. Il est encore trop fréquent que, à l’annonce d’une nouvelle vulnérabilité sur ces systèmes (automates programmables industriels (Programmable Logic Controller, PLC), capteurs, actionneurs, équipements réseau industriels…), la connaissance partielle de la cartographie ne permette pas de lister les installations concernées, les versions installées, etc…
Il faut dire qu’il existe de réelles difficultés organisationnelles et contractuelles autour de ces systèmes : face à une absence fréquentes de clauses de cybersécurité à la conception, face à un manque encore important d’entreprises capables de concevoir des systèmes industriels sécurisés, le système entre souvent en service sans que des mesures essentielles aient été prises. Sauf à se tourner vers les Opérateurs d’Importance Vitale ou le secteur de la Défense, ce constat demeure un sujet légitime d’inquiétude. Ces difficultés se rencontrent aussi dans la maintenance de ces systèmes : qu’elle se fasse localement – avec des PC portables de maintenance, des clés USB à la provenance et à la décontamination parfois inconnues, et de plus en plus à distance, la connaissance précise du fonctionnement de ces systèmes par l’opérateur reste encore insuffisante. Dans le futur, la généralisation du « green shipping » et du « smart shipping » et, plus généralement, du suivi à distance de ces installations, va continuer à généraliser l’élongation de ces réseaux en-dehors d’emprises maîtrisées.
Historiquement, les fabricants de ces systèmes industriels ont eu recours à des protocoles propriétaires pour concevoir leurs systèmes, en faisant ainsi des « boîtes noires », hermétiques à la connaissance du défenseur et, théoriquement, de l’attaquant. Pour autant, la multiplication d’attaques étatiques sur ces systèmes ont confirmé la fragilité de ce type de raisonnement qui, en plus, a eu pour conséquence de freiner considérablement l’arrivée de systèmes de détection d’intrusion et de surveillance temps réel.
Deux autres vulnérabilités concentrent aujourd’hui encore l’attention : l’absence de contrôle d’intégrité et de processus fiables d’identification, d’authentification et de non répudiation et, d’autre part, la fragilité des protocoles réseaux, des capteurs et actionneurs.
Alors, oui, les risques cyber-physiques sont réels. Oui, des acteurs étatiques, voire criminels, ont aujourd’hui acquis des connaissances et même de l’expérience dans la compromission de ces systèmes à des fins d’espionnage ou de sabotage. Chacun pourra parfaitement identifier, pour chacun de ses systèmes, les impacts potentiels.
Mais, si le paragraphe sur les conséquences cyber-physiques d’une attaque est court, c’est surtout parce que, aujourd’hui, nul ne peut dire, comme cela était globalement le cas en 2010, qu’aucune solution (organisationnelle, technique, humaine) n’existe pour réduire ce risque à un niveau parfaitement acceptable au quotidien.
Déjà, en termes de formations, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) délivre, par le biais de son centre de formation, un stage « Sécurité des systèmes industriels » [https://www.ssi.gouv.fr/uploads/2015/07/catalogue_cfssi-2023.pdf]. Par ailleurs, l’agence a également veillé à l’intégration de notions de cybersécurité industrielle pour les formations souhaitant obtenir la labellisation SecNumEdu. D’autres organismes, publics ou privés, proposent à présent ce type de formation.
En termes de méthodologie, de nombreux acteurs ont réalisé des travaux sur le sujet, suffisamment exhaustifs et collégiaux pour mériter une lecture attentive. Citons :les guides de l’ANSSI sur le sujet [https://www.ssi.gouv.fr/administration/bonnes-pratiques/systemes-industriels/], le travail de la Direction Générale des Infrastructures, des Transports et des Mobilités (DGITM) sur les ports cybersécurisés [https://www.ecologie.gouv.fr/sites/default/files/DGITM%20-%20Guide%20Ports%20Cybers%C3%A9curis%C3%A9s%20-%202022-1.pdf] le guide « Renforcer la protection des systèmes industriels du navire » de l’ex-Direction des Affaires Maritimes [https://www.mer.gouv.fr/sites/default/files/2020-11/Guide%25202%2520-%2520Cyber%2520securit%25C3%25A9%2520-%2520Renforcer%2520la%2520protection%2520des%2520syst%25C3%25A8mes%2520industriels%2520du%2520navire.pdf]
En termes de connaissance, de nombreux acteurs français de la cybersécurité se sont engagés sur ce domaine, en en faisant parfois même une de leurs spécialités. Réaliser des audits organisationnels et techniques, voire des tests d’intrusion, sur ces systèmes est aujourd’hui une opération maîtrisée et indispensable pour gagner en maturité.
Les équipements de sécurité spécialisés (Test Access Points, sondes de détection d’intrusion, pare-feux), là aussi français, existent et ont, pour plusieurs d’entre eux, fait l’objet de visas de sécurité délivrés là encore par l’ANSSI. Il en va de même pour certaines gammes d’automates et d’équipements réseaux. Autant d’exigences qui mériteraient de figurer dans certaines clauses contractuelles lors de la construction ou du remplacement de systèmes industriels.
Enfin, l’existence de jumeaux numériques industriels adaptés au secteur, également parfois appelés « cyber ranges » permet de gagner en maturité et de dérisquer les actions de sécurisation de ces systèmes.
La route reste cependant longue : que ce soit au niveau technologique (cyber-surveillance temps-réel, investigation numérique, défense en profondeur des stations d’ingénierie et de maintenance, sécurisation et segmentation a posteriori, maintien en conditions de sécurité) qu’organisationnel et humain (procédures, formations adaptées, y compris pour les sous-traitants, entraînements).
Vous pouvez compter sur l’engagement de France Cyber Maritime et de ses adhérents, à vos côtés, pour mener sur ces systèmes les démarches nécessaires à leur sécurisation
Avec le soutien de
