Comment SICK gère la cybersécurité de ses solutions numériques ?

5 janv. 2024

Aujourd’hui, dans un monde toujours plus numérique, on ne peut malheureusement pas empêcher les cyberattaques. Avec la digitalisation des usines de production, des activités logistiques et intralogistiques et l’industrie 4.0, les industriels sont tout aussi vulnérables que les États, les institutions publiques ou les particuliers. Beaucoup d’idées reçues circulent chez les industriels, souvent par méconnaissance, mais aussi parce que traditionnellement l’informatique (IT) et les systèmes opérationnels et physiques industriels (OT) appartenaient jusque-là à des mondes bien distincts. Or, la convergence de ces environnements implique aujourd’hui de nouvelles connaissances, dont la cybersécurité. L’enjeu est d’assurer l’intégrité de la circulation des données à tous les niveaux d’un système industriel : du capteur au Cloud, et au sein de tous les réseaux interconnectés de l’entreprise.

Le Cloud n’est pas moins sûr qu’un réseau local

Parmi les fausses croyances usuelles dans l’univers OT, on retrouve celle d’avoir ses équipements ou son réseau industriel isolé d’internet, celle de croire qu’il n’y a aucune raison d’être attaqué (petite PME, nature des données à voler estimée sans grande valeur pour autrui…), ou encore que le Cloud serait moins sûr qu’un réseau en local.

En fait, les brèches de sécurité se situent principalement aux points d’interconnexion entre les réseaux et entre les automates, machines, etc. C’est à ce niveau que des principes d’hygiène de base doivent être posés. Utiliser un Cloud n’est donc pas spécifiquement dangereux ou risqué. Il est même nécessaire d’être dans une logique de redondance de données « on premise » et dans le Cloud afin de sécuriser ses données. Se donner les moyens de les sauvegarder à plusieurs endroits réduit les risques d’être totalement bloqué lors d’une attaque et d’arrêter une production sur un temps inacceptable.

Les principes de base de sécurité du réseau recommandés par SICK

Lors de la conception d'une architecture réseau pour un système de contrôle industriel (ICS), la sécurité du réseau peut être assurée en introduisant des solutions de conception bien établies pour isoler et protéger les segments du réseau. Des considérations pratiques, telles que le coût de l'installation de l’ICS ou le maintien d'une infrastructure de réseau homogène, impliquent souvent d'établir une connexion entre le système de contrôle industriel et le réseau de l'entreprise.

 

1. La segmentation du réseau en différentes zones

Le découpage de l'architecture du réseau en zones différenciées par fonction (comme préconisé dans la norme ISA-95) permet de contenir une infection à l'intérieur d'une seule zone. Il est donc difficile pour un pirate de propager une attaque à d'autres zones. Il devrait y avoir au moins trois zones séparées :

  • Contrôle du réseau
  • "zone démilitarisée" (DMZ)
  • réseau local d'entreprise (LAN) - également appelé "Office LAN"

L'objectif de la segmentation du réseau est de minimiser l'accès aux informations sensibles pour les systèmes et les personnes qui n'ont pas l'autorisation d'y accéder.

 

2. Chiffrement des communications et isolation logique

Le chiffrement des communications et l'isolation logique peuvent être réalisés à l'aide des technologies de réseau privé virtuel (VPN) et de réseau local virtuel (VLAN) entre les zones. Cette mesure permet également d'éviter qu'une infection ne se propage d'une zone à l'autre. Le contrôle et le filtrage du trafic au moyen de pare-feu, de proxies et d'éléments destinés à identifier et à séparer le trafic et les communications tant au niveau du réseau (IP, routage) qu'au niveau des ports, des protocoles et des applications permettent de détecter une infection lorsqu'elle tente de passer dans une autre zone.

 

3. Extension de la sécurité aux couches de liaisons de données et d'applications

Des mesures de sécurité sont prises au niveau de la couche de liaison de données, telles que des contrôles d'accès conformes à la norme 802.1x et le filtrage par adresse MAC (Media Access Control), et au niveau des applications par l'utilisation d'un pare-feu d'application web (WAF).

 

4. Contrôles d'accès basés sur une liste blanche

Ces contrôles mettent en œuvre des règles d'accès basées sur des éléments reconnus et refusent l'accès à tous les autres. Le contrôle du trafic sortant du réseau de contrôle, qui pourrait représenter un risque important s'il n'était pas géré, est un domaine où les pratiques varient considérablement. Un exemple est celui d'un logiciel malveillant qui utilise le tunnel HTTP pour exploiter des règles de sortie mal définies. En plus de ces règles, le pare-feu doit être configuré avec un filtrage sortant pour empêcher les paquets IP falsifiés de quitter le réseau de contrôle ou la zone démilitarisée. En pratique, cela se fait en vérifiant les adresses IP source des paquets sortants par rapport à l'adresse de l'interface réseau respective du pare-feu. L'objectif est d'empêcher le réseau de contrôle d'être la source de communications usurpées (c'est-à-dire falsifiées), qui sont souvent utilisées dans les attaques par déni de service (DoS).

 

5. Les réseaux sans fil comportent un risque supplémentaire

Les réseaux sans fil ne doivent être mis en place que qu'en cas d'absolue nécessité ou à la suite d'une décision spécifique de l'organisation et toujours avec une justification claire. Dans ce cas, les mécanismes IEEE 802.1x sont utilisés pour l'authentification, notamment le protocole d'authentification extensible couche transport (EAP-TLS). Il authentifie les clients à l'aide de certificats, et peut être utilisé en combinaison avec un RADIUS. Les points d'accès doivent être situés sur des réseaux isolés ou ayant le moins d'interconnexions possibles avec le réseau de contrôle (aucune, si cela est possible). 

Un protocole solide pour les communications sans fil, tel que WPA2 Enterprise avec CCMP, doit être mis en place. Et, en outre, un identifiant unique de service (SSID), avec diffusion désactivée, mais avec un filtrage par adresse MAC en fonctionnement.

SICK, en conformité avec les standards et certifications actuelles

Chez SICK, la cybersécurité couvre l'ensemble du cycle de vie des produits : de la conception à l’installation chez le client, et bien sûr pendant le suivi au cours de son existence. Un bureau dédié à la gestion de la cybersécurité existe : le SICK Cybersecurity Office. Il centralise et chapeaute la sécurité des produits de série, des services, des solutions systèmes (et l’intégration), et leur suivi sur site en opération.

Son rôle se découpe en six activités :

  • La sécurité pendant le cycle de développement produit
  • Le support aux équipes projet
  • La cryptographie et le suivi des clés uniques liées à l’infrastructure
  • Le centre de test
  • La gestion des incidents et vulnérabilités (Product Security Incident Response Team PSIRT)
  • La coordination

Avec ce bureau centralisé et l’organisation des process qui en découle tant au niveau de la maison-mère que de ses unités décentralisées, SICK respecte la norme IEC 62443. C’est une obligation depuis 2020 pour tous les nouveaux développements produits. Cette démarche a d’ailleurs été attestée par la délivrance d’un certificat du TÜV Nord en 2022.

L’équipe SICK PSIRT (SICK Product Security Incident Response Team)

Pour garantir la sécurité des produits et services tout au long de leur durée de vie, les rapports sur les vulnérabilités possibles sont pris très au sérieux et traités avec le plus grand sens des responsabilités. La découverte de vulnérabilités est comprise comme un objectif commun de différentes parties dans le but d’offrir à nos clients un niveau de sécurité constamment élevé.

Le PSIRT SICK gère l’inspection, la coordination interne et la divulgation des failles de sécurité. Un avis de sécurité est émis pour les vulnérabilités confirmées dès qu’une solution est disponible. Si la situation l’exige, un avis de sécurité avec les mesures à prendre est envoyé avant qu’une mise à jour ne soit disponible.

Les rapports sur les vulnérabilités potentielles ou d’autres incidents sont plus que bienvenus de la part de quiconque, quel que soit son statut client. SICK AG respecte et prend en compte les différents intérêts des déclarants et encourage la communication d’informations à l’EISR SICK SAIP. L’objectif est de suivre un processus de divulgation coordonnée des vulnérabilités (divulgation coordonnée des vulnérabilités).

Retrouvez toutes les informations sur le SICK PSIRT et les derniers avis de sécurité publiés.

 

Ces articles pourraient vous intéresser

Productivité et sécurité en harmonie : Interview sur les solutions de capteurs intégrés pour la robotique

En lire plus

Read more
Grâce à la maintenance conditionnelle, le Gaasperdammertunnel d'Amsterdam est prêt pour l'industrie 4.0.

En lire plus

Blog des capteurs SICK
Blog des capteurs SICK
Tous les articles

Vous avez des questions ?

N’hésitez pas à contacter nos experts

Abonnement newsletter
Abonnement newsletter
Abonnez-vous à notre newsletter !

Pour ne rien manquer de nos actualités (produits, webinars, salons, formations, applications, ...), inscrivez-vous à notre newsletter mensuelle !

Inscrivez-vous