L’Internet Industriel des Objets (IIoT) est aujourd’hui au cœur de l’actualité. L'un des facteurs clés ayant un impact sur sa mise en place et sa réussite est la sécurité. Une cyber-attaque menée contre un système IIoT pourrait engendrer une perte de données confidentielles, une interruption des activités et une destruction des systèmes. Cela risquerait de ternir la réputation et l’image de la marque, d’entraîner de lourdes pertes financières et de possibles dégâts sur les infrastructures. Pire encore, cela pourrait causer des ravages sur l’environnement, et même engendrer des blessés. Plusieurs éléments sont indispensables pour mettre en place une solution IIoT réussie: des produits fiables, des protocoles et un réseau sécurisés, une veille continue et enfin des employés formés dans le domaine de la cyber-sécurité.
Des protocoles sécurisés
Les systèmes IIoT sont parfois dotés de nouvelles techniques de connexion nécessitant des protocoles de communication sécurisés. Il est important de tenir compte de deux concepts clés concernant les protocoles sécurisés : le cryptage et l’authenticité/l'intégrité des données. Le cryptage permet de sécuriser les protocoles, mais peut entraver l’action des autres dispositifs de sécurité (tels que les systèmes de détection d'intrusion). L'intégrité et l’authenticité des données peuvent être assurées sans cryptage (ce qui permet aux systèmes de détection d'intrusion de rester actifs).
Les anciens systèmes utilisent des protocoles de communication non sécurisés. Les protocoles de communication évoluent progressivement et intègrent des améliorations en matière de sécurité : DNP3 a migré vers DNPV5, OPC-UA, Modbus® évolue vers Modbus Secure, et EtherNet/IP™ devient EtherNet/IP Secure.
L’importance de la confiance dans l‘IIoT
La confiance dans le cycle de vie IIoT réfère à la fois à l'intégrité de chacun des éléments constitutifs d'un système et à l’intégrité des données générées par le système. Cela impacte la chaîne d’approvisionnement, l'installation, la configuration, l’usage au quotidien et la mise hors service, qui nécessite un contrôle de fiabilité régulier tout au long du cycle de production.
Partons d'un exemple pour illustrer le modèle de l’intégration de la confiance. Disons qu'un utilisateur final achète un API doté de fonctionnalités de sécurité. Le fournisseur API achète des micro-processeurs et de la mémoire à des fournisseurs de composants qui expédient leurs produits vers des sites de fabrication. Les produits logiciels peuvent être développés au sein des centres de développement des fournisseurs ou achetés auprès de partenaires. Les produits sont fabriqués et expédiés vers des entrepôts. Le matériel peut alors être expédié vers des distributeurs ou des intégrateurs de systèmes avant d’être expédié aux utilisateurs finaux. Dans cet exemple, plusieurs organisations manipulent le matériel informatique/les logiciels. Dans chacun de ces sites, il existe un risque que des problèmes de sécurité émergent. Les utilisateurs finaux doivent se fier à l’intégrité de la chaîne d’approvisionnement qui fournit ses composants système. L'intégration de la confiance entre les opérateurs système et les fournisseurs est capitale pour la sécurité des systèmes IIoT.
Devenir un expert en cyber-sécurité
L'un des défis auxquels sont confrontés de nombreux utilisateurs finaux du secteur industriel n’est autre que l’expertise en cyber-sécurité. Le personnel du secteur industriel a développé des compétences de base visant à optimiser les processus. Les PME, plus que les autres entreprises, rencontrent parfois des difficultés lorsqu'il s’agit de renforcer en interne leur expertise en matière de cyber-sécurité. Les fournisseurs de matériel et les intégrateurs de système peuvent être sollicités pour obtenir une expertise en cyber-sécurité à moindre coût. Les fournisseurs allient efficacement le contrôle industriel et l’expertise en cyber-sécurité ; de nombreux consultants informatiques ne sont pas spécialisés en technologies opérationnelles. Les fournisseurs disposent également de l’expertise nécessaire pour guider les utilisateurs finaux dans le choix des données devant être extraites du processus.
Un autre facteur clé consiste à s’entraîner à utiliser le système pour le gérer efficacement une fois qu'il a été activé. Il est nécessaire d'imaginer des astuces pour gérer, contrôler et mettre à jour efficacement les processus. Des conseils sur les politiques relatives à la sécurité propre à l’entreprise sont également essentiels.
Le cloud
Les services du cloud permettent d’utiliser des capacités informatiques externes pour analyser et contrôler les infrastructures opérationnelles. Dans une architecture basée sur le cloud, les données issues de milliers d’appareils sont stockées, analysées et accessibles à partir d'un serveur unique. L'infrastructure du cloud peut être pilotée au sein du réseau de l’entreprise ou bien géré par un partenaire, en dehors du réseau. De nombreux utilisateurs finaux mettent actuellement en place des modèles internes basés sur le cloud. Les données extraites de l’IIoT seraient rassemblées et stockées dans des équipements installés au sein du réseau de l’entreprise. L’hébergement des données sur des équipements internes connectés à un réseau contrôlé par les utilisateurs finaux permet de sauvegarder les informations potentiellement confidentielles.
La collaboration avec un partenaire externe crée un certain nombre de limites de confiance pouvant avoir un impact sur la sécurité et la confidentialité. Les informations doivent être protégées tant sur le plan de la vie privée que sur celui de la sécurité. Par exemple, le vol d’identifiants pourrait permettre aux cybercriminels d’accéder à des données confidentielles. De plus, il est probable que des attaques visant d’autres clients du cloud, hébergés par le partenaire, se propagent.
Assurez-vous de consulter la 2ème partie de ce billet de blog - « Expertise en intégration pour le déploiement de l’IIoT » – en mars sur ProSoft Insights.
À propos de l’auteur: Fabrice Jadot a rejoint Schneider Electric en 1997 et s’est spécialisé dans le contrôle des moteurs au sein du service R&D dans le cadre de l’activité des systèmes d’entraînement à vitesse variable, qui a fusionné avec Toshiba en 2000 sous la forme d'une joint-venture portant le nom de Schneider Toshiba Inverter. En 2012, il a rejoint la partie « corporate » de l’entreprise en tant que VP des Plates-formes Stratégie et Innovation, gérant les plates-formes technologiques transversales dans le domaine des services digitaux, la supervision et le contrôle intégré. Aujourd’hui, il occupe le poste de Directeur des Technologies pour les activités industrielles en matière d’architecture des systèmes automatiques, de cyber-sécurité et la transformation numérique automatisée (Internet industriel des Objets, Industrie 4.0, etc.). En 2015, il est devenu membre du Conseil d’administration d’ODVA, une association internationale constituée d'individus issus des meilleures entreprises spécialisées dans l’automatisation. Il aime beaucoup voyager et plus particulièrement visiter des sites historiques et architecturaux, ainsi que la dégustation de vin et les balades.