Le blog Médiane Système

La Cybersécurité dans le monde industriel

39169871_m-cyberscu
Les cyber-attaques visent désormais le monde industriel.
Médiane Système vous aide à vous protéger...

Illustrations

Bouclier croix   2010  

Le ver Stuxnet est découvert. Il vise les installations d'enrichissement nucléaires iraniennes.
Particularité du ver : il ralentit ou détruit le procédé d'enrichissement en s'attaquant aux asservissements de la centrale.

Bouclier croix   2017

Le ver Triton est découvert dans une installation pétrochimique saoudienne, puis quelques mois plus tard chez un producteur resté confidentiel. L'attaque a été préparée en laboratoire pendant plusieurs mois. Elle cible la sûreté de fonctionnement d'un système critique qui devient ainsi dangereux y compris pour des vies humaines.

Bouclier croix   2020

Tesla est victime d'une tentative de vol de données concernant les secrets industriels liés à sa voiture électrique intelligente avec pour conséquences possibles des pertes abyssales pour l'entreprise. Cette fois les moyens sont moins technologiques puisque c'est un employé de Tesla qui est visé.  


Les cyber-attaques visent désormais le monde industriel.
Médiane Système vous aide à vous protéger.

Enjeux

Qu'elle soit industrielle ou purement informatique, qu'elle soit privée, professionnelle ou publique, la cybersécurité s'intéresse aux critères suivants : 
  • La confidentialité : rendre secrètes les données qui doivent l’être.
  • L’intégralité : garantir qu’une information stockée ou transmise ne sera pas altérée ou imitée.
  • La disponibilité : faire en sorte que les services rendus soient utilisables aux moments où ils sont sollicités.
  • La non répudiation : identifier avec certitude les parties prenantes d’un échange et détecter les usurpateurs.
  • La traçabilité : être capable de prouver l’état de son système, et dans le cas d’une compromission, être capable de fournir les traces permettant de comprendre, corriger les failles et identifier les attaquants.
Au niveau industriel, se pose donc la question de l’impact de la cybersécurité au même titre qu’elle se pose en termes de fiabilité :
Quel est le coût si j’ai un arrêt de production et en combien de temps suis-je capable de redémarrer ?
Quel est l’impact sur mon image si mon produit est corrompu suite à la modification malveillante de mon procédé de fabrication ?
Quel risque légal je prends si le produit que je vends est piraté et permet d’accéder à des données sensibles de mon client ? Etc…

Comment faire ?
La cybersécurité, comme la plupart des domaines techniques, coûte d’autant moins qu’elle est intégrée tôt dans le processus de développement.
La prise en compte de la cybersécurité dans les projets doit se faire selon trois axes :
  • Un axe humain : car la formation des équipes est essentielle et reste la clé de voûte d’une sécurisation efficace.
  • Un axe organisationnel : pour mettre en place des méthodes en visant le « juste suffisant » de façon à réduire les risques pour un coût qui ne pénalise pas la compétitivité.
  • Un axe technique : qui va de la définition d’une architecture système « secure by design » à l’implémentation des solutions de protection et de surveillance adaptées.
Nos experts cybersécurité peuvent vous accompagner lors de la définition du produit, sa conception, son déploiement, sa phase de maintenance, jusqu’à sa destruction.

Audit
Tout au long du cycle de vie d’un produit, des tests et audits doivent être réalisés pour vérifier la prise en compte des exigences de cybersécurité et le niveau de sécurité réellement atteint.
Particularité du monde de la sécurité : un audit ne peut donner un statut qu’à un moment donné, dans un contexte donné et non un état définitif d’un système. En effet, en fonction de l’évolution des types d'attaques ou de la découverte de failles dans les systèmes utilisés, un système considéré comme sûr un jour peut devenir vulnérable le lendemain. On pense par exemple à la faille Heartbleed dans la bibliothèque openSSL qui a nécessité la mise à jour de dizaine de milliers de systèmes pourtant réputés sûrs.

Dans le cadre du développement d’un produit ou d’une base produit existante, Médiane Système réalise des audits de vulnérabilité en boîte noire et en boîte grise, l’objectif étant d’obtenir un aperçu du niveau de vulnérabilité d’un système.
Les audits sont accompagnés d’une restitution et de conseils pour apporter un premier niveau de solutions aux problèmes rencontrés et dans un deuxième temps de préconisations pour arriver à un degré de sécurité correspondant aux exigences du produit.

Formations
En cybersécurité, l’humain reste l’un des principaux piliers d’une défense réussie. Ainsi, la formation et la sensibilisation sont les premiers vecteurs d’amélioration des comportements. Cela touche tout le personnel concerné par la sécurité (de la direction au bureau d’étude, des ressources humaines à la production), le contenu des formations étant adapté à chaque auditoire.

Modules de formation proposés par Médiane Système :
  • Sensibilisation des intervenants projet : utilisateurs, développeurs, managers, production, marketing, maintenance…
  • Sécurisation d’une architecture d’un système industriel donnant les clés du « secure by design » adressée aux développeurs, architectes systèmes et logiciels et chefs de projet.
Nos formateurs ont tous une expérience « terrain » donnant un aspect très concret à nos formations.
Pour plus de détails, voir notre site en cliquant ici.

Sécurisation d’un produit
Avant de parler technique, la sécurisation d’un produit passe par une définition claire et partagée des risques, vulnérabilités et menaces auxquels le système est exposé.
L’identification de ces points permet d’établir un plan d’assurance sécurité détaillant les exigences globales qui devront être prises en compte. Ces exigences couvrent aussi bien le domaine technique que les aspects organisationnels et humains.
Il est également conseillé de prévoir un plan de continuité d’activité (qui dans le cas d’un produit prévoit comment celui-ci continue à fonctionner en mode dégradé même en cas d’attaque) et un plan de reprise d’activité (qui traite du retour à une situation normale suite à un incident de sécurité). Ces plans permettent d’orienter et d’anticiper les efforts pour rendre un produit ou un système sûr et résilient.

Nos experts cybersécurité peuvent apporter leur soutien et/ou prendre en charge l’analyse des risques et élaborer les différents plans de sécurisation liés à un produit ou un système industriel.

Du développement sécurisé à la fabrication
Manager engineer check and control automation robot arms machine in intelligent factory industrial on real time monitoring system software. Welding robotics and digital manufacturing operation. Depuis la définition de l’architecture du produit et pendant toutes les phases de développement, il est nécessaire de prendre en compte les exigences cybersécurité. Mais cela concerne également la phase de fabrication, qu’elle soit ou non sous-traitée : les secrets du produit (binaire, clés de chiffrement) sont-ils bien protégés ? Quelle garantie qu’un logiciel corrompu n’est pas installé en lieu et place de l’original ?
Tous ces éléments nécessitent un soin particulier touchant plusieurs domaines et activités : la sécurisation de logiciels embarqués, la configuration d’OS (Linux, Windriver), le choix et le paramétrage des services de log permettant une surveillance et une résilience correcte, la gestion des utilisateurs et de leurs droits, la configuration des interfaces réseaux et des firewall utilisés, la mise en place de mécanismes d’auto-surveillance qui permettent la détection rapide de problèmes potentiels, etc…

Déploiement et fin de vie
12404409 s fin de vie h450Le déploiement d’un produit marque le début du cycle le plus délicat à gérer : la maintenance en conditions de sécurité. La mise en place d’une veille est fortement recommandée pour surveiller l’apparition d’éventuelles failles de sécurité et y remédier selon les niveaux de risques. Pour cela, chaque faille doit faire l’objet d’une analyse, d’une évaluation de sa criticité et si nécessaire de la mise en place de solutions correctives. Une évolution du produit peut nécessiter le passage des tests de non-régression (si possible automatisés…).
La fin de vie d’un produit ou système suit la même approche que le cycle de développement : identification des secrets présents, définition des méthodes de non divulgation (obsolescence des clés, effacement des composants de stockage, etc…). Cette démarche tient compte du contexte de déploiement du produit ou du système, des contraintes économiques et pratiques, etc…

Forts de nos expériences et réalisations, Médiane Système est à même d’intervenir sur l’ensemble du cycle de développement et jusqu’à la fin de vie du produit, en passant par la fabrication.
Chaque phase fait l’objet de propositions de solutions adaptées, alliant efficacité technique et justesse économique.

Pour plus d'informations, contactez-nous à 
Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Télétravail, un succès pour Médiane Système
02 – Transatlantique (partie 2)

By accepting you will be accessing a service provided by a third-party external to https://medianesysteme.com/