C’est précisément là que se positionne la version 2.0 du guide « La cybersécurité des systèmes industriels – Mesures détaillées », publiée le 27 novembre 2025 : traduire les classes de cybersécurité en mesures concrètes, au moment où l’OT doit composer avec une menace plus pressante, des architectures plus interconnectées, et des exigences de conformité plus visibles. 

Ce guide fait directement écho à la publication de la deuxième version de la Méthode de classification des systèmes industriels de l’ANSSI en mars 2025, pour laquelle nous avions déjà rédigé un article. 

Une mise à jour dans la continuité : même ossature, même logique 

Évolutions du guide des mesures détaillées entre la première et la deuxième version

Sur la forme, le guide 2025 reste très proche de la version 2014 : on retrouve une première partie rappelant les contraintes et faiblesses propres aux environnements industriels, puis un découpage entre mesures organisationnelles et mesures techniques. Les thèmes, eux, ne surprendront pas : gouvernance, maîtrise des accès, cloisonnement, accès distants, sauvegardes, supervision, gestion des vulnérabilités, intégration de la cybersécurité dans le cycle de vie, préparation à l’incident. La continuité est assumée. 

Cette stabilité a un avantage : elle permet à une organisation déjà alignée sur la version 2014 de ne pas repartir de zéro. Mais elle montre aussi que la plupart des “grands sujets” étaient déjà connus il y a plus de dix ans. La question n’est donc pas tant “qu’apprend-on de nouveau ?” que “qu’est-ce qui devient réellement plus actionnable, et à quel prix ?”. 

Sur ce point, le guide est clair sur son périmètre : il propose un socle pour les dossiers d’homologations. Pour autant, le guide ne prétend pas se substituer à l’IEC 62443, ni offrir un cadre de certification. Il se contente d’en reprendre certains principes et exigences, et rappelle que les mesures ne suffisent pas, à elles seules, pour les systèmes les plus critiques.

Ce qui change concrètement : une nouvelle grammaire d’exigences restructurée 

Le changement le plus visible n’est pas une nouvelle thématique, mais une nouvelle manière d’exprimer les exigences : 

En 2014, le guide s’appuyait sur une distinction structurante : recommandations (R) et directives (D), avec un mécanisme de durcissement selon la classe. En 2025, cette grammaire disparaît. Le guide formalise une lecture par classe (C1 à C4) et introduit des variantes : recommandations “à l’état de l’art”, alternatives de niveau moindre représenté par un –, ou recommandations renforcées complémentaires représentées par un +. 

Schéma type d’une recommandation 

Deuxième évolution structurante : l’ajout explicite d’une quatrième classe et l’alignement renforcé avec l’IEC 62443, en accordement avec la mise à jour de la méthode de classification. Pour chaque recommandation, une correspondance avec une exigence de l’IEC 62443 est indiquée lorsqu’elle existe et référencée dans une annexe. 

Concernant l’évolution de ces mesures, une large partie des 214 recommandations trouve, comme détaillé dans l’annexe B, un équivalent direct dans l’ancienne version. Cela confirme que la refonte repose davantage sur une réorganisation et une reformulation que sur une remise en cause du fond. Après analyse des 35 mesures étant identifiées comme sans équivalence directe, nous pouvons affirmer que ces dernières ne sont pas nécessairement nouvelles. Comme représenté sur ce tableau, elles traduisent : 

Catégories des raisons de non-équivalence directes et exemples illustrés 

Résumé des recommandations sans équivalences directes dans l’annexe B 

Une doctrine plus architecturée sur les interconnexions et accès distants 

Là où la version 2025 change réellement la dynamique, c’est sur certains sujets traités de manière plus structurée. Dans la première version, la doctrine sur les interconnexions et les accès distants était déjà relativement prescriptive : elle insistait sur le fait que la télégestion augmente considérablement la surface d’attaque, posait des règles opérationnelles et allait jusqu’à interdire la télémaintenance en classe 3, avec une logique d’uni-directionnalité des flux.

La modernisation apportée par la version 2025 est d’avoir rendu l’ensemble plus cohérent et mieux structuré : on passe d’un raisonnement principalement centré sur des composants et des moyens (pare-feu, VLAN, diode, VPN) à une lecture en fonctions de sécurité que l’on doit composer et positionner selon les classes et les sens de flux dans le tableau 3. Les lignes de ce dernier correspondent à la classe émettrice (from) et les colonnes à la classe réceptrice (to) ; les icônes indiquent les fonctions de sécurité à implémenter pour autoriser le flux dans ce sens. Par exemple, de la classe C1 vers IT, seul un système permettant de vérifier si la donnée provient d’une source autorisée – Aut(IT) – est requis. 

Résumé du tableau 3 – Section 4.2.1 : toutes les mesures qui figurent sont accompagnées d’une fonction d’unidirectionnalité du transfert de données 

Il est à noter que la définition d’Inno (OT) ne figure pas directement dans le document. 

Du référentiel à l’application terrain 

La version 2025 des Mesures détaillées referme logiquement la refonte initiée par la publication de la seconde version de la méthode de classification et renforce la compatibilité avec l’IEC 62443. Dans un contexte où la menace sur les environnements industriels est désormais très visible, ce document tombe à point nommé : c’est l’occasion d’adapter son plan d’action ou carrément lancer une roadmap 2030 – un guide non appliqué n’a jamais arrêté un attaquant ! 

Dans les chantiers prioritaires à lancer on identifie régulièrement : 

• Revoir la cartographie et dépendances IT vis-à-vis du métier 
• Adapter son architecture technique en troquant de nouvelle autorisation contre un renforcement de l’authentification et un meilleur contrôle du contenu
• Durcir et centraliser les accès distants notamment liées aux nombreux fournisseurs présents dans l’environnement industriel 
• Renforcer ou raccorder les environnements industriels à son SOC 

Cet article La cybersécurité des systèmes industriels : la refonte du guide de l’ANSSI des « Mesures détaillées »  est apparu en premier sur RiskInsight.

Menaces quantiques : une nouvelle ère pour la cryptographie industrielle 

L’informatique quantique représente une menace pour les algorithmes cryptographiques classiques qui garantissent l’intégrité, l’authenticité et la confidentialité des communications, y compris celles des systèmes OT et des produits. Même si le “Q-Day” (le jour où les ordinateurs quantiques casseront la cryptographie actuelle) est encore à quelques années devant nous, le risque est déjà là : les attaquants peuvent d’ores et déjà procéder à des attaques de type « Harvest Now, Decrypt Later », stockant des données chiffrées aujourd’hui pour les déchiffrer dès que les algorithmes cryptographiques actuels seront brisés. Mais un autre risque, tout aussi critique, se profile : « Trust Now, Forge Later ». Les signatures numériques ou certificats jugés fiables aujourd’hui pourront être falsifiés demain, rendant possible l’installation transparente de logiciels malveillants ou encore la compromission de chaînes d’approvisionnement. Contrairement à la fuite progressive de données, cette attaque provoque une rupture immédiate de la confiance et de l’intégrité, avec des impacts massifs sur les environnements industriels et les produits connectés. Avec la feuille de route européenne jalonnant 2026, 2030 et 2035, la question réside dans l’ordonnancement de la transition.  

Dans l’industrie, où les équipements vivent plusieurs décennies, c’est un enjeu majeur. 

L’industrie est particulièrement touchée : les environnements OT et les produits embarqués reposent sur des usages cryptographiques critiques qui seront directement impactés par l’arrivée des algorithmes post-quantiques. 

Plusieurs cas d’usages industriels et produits prioritaires identifiés : 

• Administration sécurisée des systèmes OT et produits : garantir l’intégrité et la confidentialité des opérations. 
• Signature numérique et intégrité des firmwares : garantir la fiabilité des mises à jour logicielles (secure boot, code signing, X.509…).
• Accès distants sécurisés aux actifs industriels et produits : protéger les connexions VPN, SSH, RDP, et autres protocoles contre les attaques futures.
• Échanges de données IT/OT : sécuriser les flux entre les systèmes d’information et les environnements industriels (TLS, MQTTS, HTTPS…). 
• Confidentialité des données des processus industriels : préserver la confidentialité des données sensibles en transit ou au repos.
• Journalisation et historisation sécurisées : assurer la traçabilité et l’intégrité des logs et historiques critiques.

PQC pour l’OT & Produit : intégrer les  contraintes, préserver la crypto-agilité 

Contexte OT & Produit : des contraintes spécifiques 

Les systèmes OT et produits n’ont jamais été conçus pour la crypto-agilité. De nombreux protocoles industriels comme DNP3, Modbus ou MQTT ne sont pas chiffrés aujourd’hui car l’architecture OT repose historiquement davantage sur l’isolement réseau que sur la cryptographie, alors il n’y a pas de raison de penser qu’ils seraient tous chiffrés demain avec des algorithmes postquantiques.

Néanmoins, les communications chiffrées subiront cette rupture cryptographique.

Dans un second temps, beaucoup d’équipements OT présentent des contraintes matérielles importantes (processeur, mémoire, capacité de stockage) et disposent d’une durée de vie très longue, souvent entre 10 et 30 ans. Ces caractéristiques rendent les mises à jour difficiles et coûteuses : les mécanismes de mise à jour sécurisée à distance restent rares, et la signature des firmwares n’est pas systématiquement implémentée, ce qui est dans les faits une mauvaise pratique.

Ces contraintes expliquent pourquoi les environnements OT ne peuvent pas intégrer de nouvelles primitives cryptographiques au même rythme que l’IT, et pourquoi la PQC n’est pas encore prise en compte nativement.

Néanmoins, même si les produits et systèmes OT actuels ne sont pas conçus pour la cryptographie post-quantique, l’émergence des standards PQC, l’évolution des obligations réglementaires et la montée des risques liés au quantique rendent cette transition incontournable à moyen terme. 

Rendre la crypto-agilité opérationnelle pour l’industrie et les produits 

Le cadrage du projet PQC pour les Produits et l’OT peut s’axer en 4 volets principaux :

1. Réaliser l’inventaire cryptographique et prioriser les actifs critiques

Initier dès maintenant le dialogue avec vos fournisseurs de socles crypto (PKI, KMS, HSM) pour anticiper la migration.

2. Concevoir et déployer des architectures crypto-agiles

S’appuyer exclusivement sur les algorithmes standardisés par le NIST (ex : ML-KEM, ML-DSA, SLH-DSA), et proscrire tout développement interne ou adoption de librairies non standards pour les composants cryptographiques en privilégiant des solutions éprouvées et validées.

Concevoir des architectures crypto‑agiles implique de prendre en compte la dimension embarquée et ses contraintes (mémoire limitée, circuits imprimés, ressources énergétiques).  L’implémentation des algorithmes PQC sur ces systèmes reste incertaine. Toutefois, des algorithmes optimisés pour l’embarqué émergent et ouvrent la voie à une adoption réaliste.

3. Migrer progressivement via l’hybridation et l’itération

La transition vers la cryptographie post-quantique ne peut pas être pensée comme un projet ponctuel ou une migration « One Shot ». Il s’agit d’un processus itératif, à piloter dans la durée, en commençant par l’hybridation des algorithmes : c’est la stratégie explicitement recommandée par l’ANSSI et la Commission européenne.

La crypto-agilité n’est pas une option, mais une nécessité pour garantir la résilience, la conformité de vos environnements industriels et produits face à la menace quantique. Elle s’appuie sur une démarche structurée, pilotée par l’inventaire, l’architecture, la migration hybride et la gouvernance.

Retours terrain & cas d’usage concrets : des acteurs à des stades différents 

Notre expérience terrain révèle un écart de maturité saisissant entre deux profils d’acteurs industriels face à la cryptographie post-quantique : 

1. Les industriels avec une compréhension encore embryonnaire 

• Constat : Dans de nombreux environnements industriels, la PQC reste un concept abstrait, souvent perçu comme lointain ou réservé aux experts. 
• Symptômes :  
  • Les équipes opérationnelles et métiers ne sont pas impliquées dans les réflexions stratégiques sur la cryptographie. 
  • Les roadmaps actuelles manquent de maturité et de clarté, les chantiers sous-jacents sont souvent sous-estimés quant à leur coût. La priorité reste la continuité de service, la sécurité quantique étant reléguée au second plan. 
  • Les notions de HNDL & TNFL sont peu comprises, voire ignorées. 
• Risques :  
  • Perturbation de la production et fuite de données de processus industriels :  des communications vulnérables entre équipements critiques, basées sur des algorithmes obsolètes, exposent les données sensibles et peuvent entraîner des interruptions ou des perturbations majeures dans les opérations industrielles (perte d’intégrité des données).
  • Indisponibilité de production liée à une migration brutale : Une transition forcée vers la cryptographie post‑quantique, sans préparation ni crypto‑agilité, peut provoquer des arrêts de production, des surcoûts importants et des impacts sévères sur la continuité opérationnelle. 

 2. Les fournisseurs de produits : des pionniers déjà en phase d’industrialisation 

• Constat : À l’opposé, certains fournisseurs de produits (notamment dans l’automobile, ou les objets connectés) ont pris une longueur d’avance. 
• Symptômes :  
  • Les chantiers PQC sont priorisés sur les cas d’usage critiques : signature de firmware et mises à jour (OTA), gestion des identités d’équipements, sécurisation des accès distants, etc. 
  • Des pilotes sont lancés sur des lignes de produits ou des environnements représentatifs, avec des retours d’expérience concrets sur la performance, la compatibilité et la robustesse des solutions hybrides. 
  • La démarche s’industrialise : intégration de clauses PQC dans les contrats fournisseurs, automatisation de l’inventaire cryptographique CBOM, montée en compétence des équipes, et gouvernance dédiée. 

Conclusion & Roadmap : Passez à l’action pour bâtir un futur “quantum-safe” 

La menace quantique n’est plus une perspective lointaine : elle impose dès aujourd’hui une transformation profonde de la cybersécurité industrielle et produit.

1. Anticipez pour protéger l’avenir

Démystifiez les concepts quantiques et intégrez-les dès maintenant dans vos processus de cybersécurité, que ce soit pour vos produits, vos environnements OT ou vos systèmes IT. L’anticipation est la clé pour éviter la rupture.

2. Faites de la crypto-agilité une vision stratégique

Ne la considérez plus comme un simple projet technique, mais comme un pilier de votre résilience et de votre souveraineté numérique. Construisez une feuille de route claire, avec des jalons à court, moyen et long terme.

3. Appuyez-vous sur des partenaires de confiance

Le marché est prêt : des experts et des solutions existent pour vous accompagner dans la modernisation et la sécurisation de vos infrastructures critiques. Ne restez pas isolés face à la complexité.

4. Industrialisez la démarche

Passez du pilote à la généralisation : 

• Mettre en place une stratégie PQC pour cartographier, prioriser et piloter la migration des usages critiques (inclure des clauses PQC dans les contrats).
• Lancer un programme de transition pour moderniser les socles de confiance (PKI, CLM, HSM), automatiser l’inventaire et assurer la continuité des opérations.
• S’appuyer sur les retours d’expérience des pairs et des secteurs déjà engagés dans la PQC.

Le risque quantique est déjà là : chiffrement asymétrique fragilisé, signatures et données exposées.  

Comme mentionné précédemment, nous partons du constat que Les éléments qui ne sont pas chiffrés aujourd’hui dans l’environnement OT, n’ont pas vocation à être chiffrés demain avec des algorithmes postquantiques, car les mesures existantes assurent déjà un niveau de risque jugé acceptable.

Autrement dit, la PQC ne vise pas à transformer l’ensemble de l’OT, mais à protéger les usages qui reposent réellement sur des mécanismes cryptographiques exposés au risque quantique.

Pour autant, ce constat ne réduit pas l’importance de la préparation.

Les deux priorités restent les suivantes :  

• Migrer vos actifs critiques avant 2030 et agir dès aujourd’hui pour protéger la confidentialité des données.  
• Définir votre périmètre, et bâtir votre plan d’action, et surtout engager une démarche de migration dès aujourd’hui. 

Cet article La cryptographie post-quantique pour les produits et l’OT : de la tendance à la réalité industrielle est apparu en premier sur RiskInsight.

Dans un contexte où les menaces cyber deviennent plus ciblées, sophistiquées et persistantes, notamment à l’encontre des systèmes industriels et des infrastructures critiques, l’ANSSI renforce son dispositif de sécurisation en publiant une version refondue de son guide de classification des systèmes industriels, initialement paru en 2012. 

Ce guide s’adresse à l’ensemble des acteurs impliqués dans la sécurité des systèmes industriels : exploitants, opérateurs d’importance vitale (OIV), opérateurs de services essentiels (OSE), intégrateurs et prestataires, en charge d’aligner les exigences techniques avec les enjeux métiers. 

Il vise à fournir une méthode pour définir la criticité des systèmes industriels, afin de les ranger en classes de cybersécurité sur une échelle à 4 niveaux : mineur, modéré, majeur et catastrophique. Cette évaluation se fait selon la gravité maximale d’un impact potentiel sur : la population, l’économie et l’environnement. La classification permet de faciliter l’identification des besoins de sécurité et d’orienter la mise en œuvre de mesures de cybersécurité. 

Schéma des 4 classes de cybersécurité du guide 

Pourquoi revisiter le cadre existant ? 

La première version du guide de classification, parue en 2012, avait permis de poser les fondations d’une approche par niveau de sécurité, en introduisant une première segmentation en trois classes, basées sur le risque (impact x vraisemblance). 

Évolutions du guide entre la première et la deuxième version 

Si cette première version a joué un rôle fondamental et a été un vrai élan dans l’émergence d’une culture de la cybersécurité industrielle en France, à une époque où les référentiels spécifiques au monde industriel étaient encore rares, elle s’est heurtée à plusieurs limites. 

Premièrement, l’intégration de la vraisemblance dans la classification créait un “phénomène de bouclage”, pour reprendre les termes du guide. En effet, “au fur et à mesure que l’architecture du système industriel intégrait des mesures de sécurisation, la vraisemblance d’une attaque diminuait, abaissant par rebond la classification du système”. Ce phénomène fragilisait la stabilité de la classification et de ce fait, il était difficile de maintenir une cohérence entre classification et mesures. Par ailleurs, la première version du guide ne proposait que trois classes, ce qui résultait trop souvent en une définition des systèmes en classe 3. Enfin, il y avait un manque de granularité dans la définition des périmètres, et très peu d’alignement avec les normes internationales, comme l’IEC 62443. 

Le nouveau guide répond à ces constats. Il propose une approche fondée exclusivement sur l’impact, afin de garantir la stabilité des classes, une cohérence dans les comparaisons entre zones, et une meilleure articulation avec des démarches structurées d’analyse de risque comme EBIOS RM. Cette évolution permet aussi de mieux s’adapter à la diversité des organisations industrielles et à la complexité croissante de leurs systèmes. 

Une démarche méthodologique claire et intégrable aux référentiels existants 

Schéma de la méthodologie de classification du nouveau guide 

La nouvelle méthodologie repose sur une approche en trois activités structurantes : 

1. La définition du périmètre technique 
2. La segmentation en zones cohérentes 
3. La classification de ces zones selon la gravité des impacts potentiels en cas de compromission 

Cette démarche permet de classer le système industriel dans l’une des 4 classes de cybersécurité en fonction de la gravité des impacts et ainsi donner une lecture rationnelle des besoins de sécurité. Elle met l’accent sur deux critères clés : la disponibilité et l’intégrité, en cohérence avec les préoccupations de sécurité propres aux environnements industriels. 

Le guide ne se substitue pas aux démarches d’analyse de risque mais s’y intègre. Il a été conçu pour alimenter directement les ateliers EBIOS RM, en fournissant une base de classification qui alimente ensuite l’identification des événements redoutés et des mesures de sécurité associées. Cela permet d’éviter d’avoir à adapter ou déformer EBIOS RM pour tenir compte des spécificités industrielles. Il s’appuie également sur les concepts issus de la norme IEC 62443, notamment les notions de zones, de conduits et de niveaux de sécurité (Security Levels), permettant une convergence vers les pratiques industrielles internationales. 

Cette volonté de convergence avec les pratiques industrielles internationales s’inscrit dans une démarche plus large de déploiement structuré de la SSI. Le guide propose ainsi un cadre d’action concret, organisé autour de thématiques clés telles que représentées ci-dessous pour intégrer efficacement la cybersécurité dans les environnements industriels. 

Thématiques dans le cadre du déploiement de la SSI – Chapitre 3.1 du guide 

Et pour la suite : le guide des mesures détaillées, chaînon manquant entre stratégie et action  

Attendu dans les prochains mois, le guide des mesures détaillées constitue la suite naturelle de la démarche initiée par la classification. Il vise à donner aux acteurs industriels les moyens de passer de la théorie à l’action, en traduisant les classes de cybersécurité en exigences opérationnelles concrètes. 

Inspiré du premier guide de 2012, qui proposait déjà une série de mesures par classe, ce nouveau référentiel promet une approche plus fine, plus à jour, et mieux alignée avec l’état actuel des menaces et des pratiques de sécurité. Il apportera ainsi aux exploitants et décideurs une boîte à outils claire et applicable, en détaillant des mesures techniques, organisationnelles et humaines adaptées au niveau de criticité des zones à sécuriser. 

La publication de ce guide est attendue courant 2025, et permettra d’assurer une continuité avec les démarches d’analyse de risque et de conformité déjà engagées, tout en clarifiant les attentes en matière de mise en œuvre concrète des mesures. À ce titre, on peut espérer qu’il prendra en compte des thématiques de plus en plus présentes dans les environnements industriels, telles que la virtualisation, l’usage du Cloud, les plans de continuité d’activité (PCA) ou encore les questions d’interconnexion croissante entre systèmes OT et IT. 

Sécuriser l’existant, anticiper le futur 

Au-delà de la publication du guide, l’enjeu est désormais de s’approprier la démarche et de l’intégrer aux stratégies de sécurisation des systèmes industriels, qu’elles soient déjà définies ou en cours de conception. 

Pour les systèmes déjà en place, le nouveau guide s’inscrit naturellement dans les cycles de vie de la sécurité recommandés par l’ANSSI dans son guide EBIOS RM. Les impacts seront à apprécier au cas par cas pour savoir s’il est utile de modifier l’architecture déjà en place avec un arbitrage entre coût de modification, intégration de nouveaux besoins métiers et gains de sécurité attendues. Son intégration pourra se faire :  

• Lors du cycle stratégique, conseillé tous les 3 ans ou en cas de changement majeur, qui sera l’occasion de revoir le découpage des périmètres, d’actualiser les zones fonctionnelles, et de réévaluer la classification des systèmes à la lumière de la nouvelle méthode ; 
• Ou lors du cycle opérationnel, typiquement annuel, où il s’agira de contrôler les événements redoutés, de vérifier l’adéquation des mesures en place en fonction des classes de cybersécurité définies, et d’ajuster la stratégie de protection si nécessaire. 

Pour les nouveaux projets industriels, le nouveau guide remplace officiellement la version 2012 et doit être intégré dès les premières phases de conception. Il permet de bâtir une architecture sécurisée en cohérence avec les enjeux métiers, et facilite également la conformité aux exigences réglementaires (NIS2, LPM…) ou contractuelles à venir. 

Côté Wavestone, l’intégration de ce guide dans notre grille d’évaluation de la maturité des systèmes d’information industriels ainsi que dans notre Cyberbenchmark se poursuit à côté des autres standards de référence comme l’IEC 62443 ou le NIST SP 800-82, plus qu’à attendre le guide opérationnel pour être complet ! 

Cet article Vers une cybersécurité industrielle maîtrisée : ce que change le nouveau guide de classification des systèmes industriels de l’ANSSI est apparu en premier sur RiskInsight.

Cette initiative s’inscrit dans un contexte de multiplication des normes, règlements et directives en cybersécurité, tels que NIS2 (Directive sur la sécurité des réseaux et des systèmes d’information), le Cyber Resilience Act (CRA) ou encore des régulations sectorielles spécifiques Ce cadre réglementaire en pleine expansion reflète la nécessité de sécuriser les infrastructures critiques et produits technologiques face à des menaces croissantes. 

Cet article explore la réglementation PART-IS, ses implications, son périmètre, les parties prenantes impliquées, les exigences essentielles et les démarches pour s’y conformer. 

Qu’est-ce que la PART-IS ? Pourquoi est-elle essentielle ? 

La PART-IS a été introduite pour renforcer la sûreté aéronautique en protégeant les systèmes d’information critiques dans l’aviation. Son objectif principal est de garantir que ces systèmes, qui incluent des technologies telles que les communications avioniques et la gestion du trafic aérien, soient résilients face aux cybermenaces pour garantir la continuité et la sûreté des opérations aériennes dans un secteur où toute défaillance peut entraîner des conséquences graves. En effet, avec l’intégration croissante des technologies numériques dans les opérations aéronautiques, des systèmes de navigation aux infrastructures au sol, la vulnérabilité du secteur aux cyberattaques a considérablement augmenté. 

En obligeant les acteurs de l’aviation à identifier et évaluer les vulnérabilités de leurs systèmes, la PART-IS constitue une réponse proactive aux défis actuels. 

Quels sont les systèmes concernés ? 

 La PART-IS s’applique à tous les systèmes numériques utilisés dans l’aviation civile. Cela inclut par exemple : 

• Les systèmes embarqués, tels que les Flight Management Systems (FMS) 
• Les infrastructures de gestion du trafic aérien (ATM) 
• Les systèmes de maintenance prédictives 

En raison de l’interconnexion croissante entre ces systèmes, une vulnérabilité dans un composant peut provoquer une réaction en chaîne à travers l’ensemble de l’écosystème aéronautique, mettant en péril la sécurité des opérations. 

Qui sont les parties prenantes ? 

 La mise en œuvre de la PART-IS repose sur une collaboration entre plusieurs parties prenantes. Les principaux acteurs concernés incluent : 

• Les opérateurs aériens, responsables de la sécurité des systèmes embarqués 
• Les fabricants, qui doivent intégrer des mesures de cybersécurité dès la conception des aéronefs et des équipements 
• Les prestataires de services de navigation aérienne, chargés de protéger les systèmes de gestion du trafic 
• Les autorités nationales, dont le rôle est de superviser et vérifier la conformité réglementaire 
• Les fournisseurs de service au sol  

La PART-IS sera obligatoire à partir d’octobre 2025 pour les organismes agréés par l’EASA, dans le cadre du règlement délégué (UE) 2022/1645, c’est-à-dire les organismes de production et de conception. Les organismes de maintenance dans le cadre du règlement délégué (UE) 2023/203 devront se mettre en conformité d’ici février 2026. 

Quelles sont les exigences de la PART-IS ? 

La réglementation PART-IS impose des principes fondamentaux pour garantir la sécurité des systèmes critiques. Les organisations concernées doivent adopter une approche rigoureuse pour répondre à ces exigences et assurer leur conformité. 

Gestion des risques (SMSI) 

Cette réglementation s’inscrit dans une démarche proactive visant à identifier, analyser et atténuer les risques qui pourraient compromettre la confidentialité, l’intégrité et la disponibilité des informations sensibles. En s’appuyant sur un cadre structuré tel que la norme ISO/IEC 27001, le SMSI devient un outil central pour établir des politiques de sécurité robustes, déployer des mesures techniques et organisationnelles adaptées, et sensibiliser les parties prenantes aux enjeux de la cybersécurité. 

La gestion des risques, pilier fondamental de cette approche, permet de prioriser les efforts en fonction des vulnérabilités identifiées, tout en assurant une amélioration continue grâce au cycle PDCA (Plan-Do-Check-Act). La réglementation impose aux opérateurs et entités de l’aviation civile de se doter d’une gouvernance de la sécurité de l’information solide, alignée sur les meilleures pratiques.  

Evaluation des risques 

Les organisations doivent établir une méthodologie structurée pour identifier, analyser et mitiger les risques cyber associés à leurs systèmes d’information. Cela inclut la réalisation d’analyses de vulnérabilité, l’évaluation des impacts en cas de compromission et la mise en œuvre de contrôles adaptés. 

Surveillance continue 

La surveillance en temps réel des systèmes est indispensable pour détecter et répondre rapidement aux incidents de sécurité. Cela nécessite l’utilisation d’outils avancés et la mise en place de protocoles de réponse aux incidents. Tous les incidents doivent être signalés rapidement et accompagnés d’un plan de réponse clair pour limiter leur impact. 

Formation et sensibilisation 

Le personnel doit être formé aux meilleures pratiques en matière de cybersécurité pour réduire les risques liés aux erreurs humaines. Des programmes de sensibilisation réguliers sont essentiels pour maintenir un niveau de vigilance élevé. 

Audits et documentation 

La conformité à la PART-IS est vérifiée à travers des audits réguliers menés par l’EASA ou des autorités nationales. Les organisations doivent ainsi maintenir une documentation complète couvrant les politiques de sécurité, les procédures mises en œuvre et les incidents rencontrés. 

Quelles sont les étapes clés pour démarrer votre conformité ?  

La mise en conformité avec la PART-IS offre une opportunité stratégique pour les entreprises de renforcer la sécurité de leurs systèmes critiques et de moderniser leurs pratiques. 

La date limite de mise en conformité étant fixée à octobre 2025 pour à minima une partie du périmètre, c’est le moment idéal pour entamer la démarche de mise en conformité. 

Pour y parvenir, nous accompagnons actuellement nos clients sur 3 activités principales :  

• Tout d’abord, il est essentiel de définir avec précision le périmètre concerné, en s’appuyant notamment sur celui des agréments délivrés par l’EASA, afin de cadrer efficacement les efforts.  
• Ensuite, la rédaction d’un Système de Management de la Sécurité de l’Information (SMSI) permettra de structurer les politiques et processus nécessaires à une gestion proactive des risques.  
• Enfin, réaliser les premières analyses de risques pour identifier les vulnérabilités et établir des plans d’action adaptés.  

Ces étapes posent les bases d’une stratégie solide et pérenne en matière de sécurité de l’information qui faudra par la suite faire vivre et évoluer dans l’esprit du processus d’amélioration continue prôné par PART-IS. 

Cet article PART-IS : Un pilier de la cybersécurité dans l’aviation européenne  est apparu en premier sur RiskInsight.

La perception actuelle de la cybersécurité dans l’OT

En milieu industriel, la cybersécurité ne bénéficie pas toujours d’une image positive et est vue comme pouvant être un frein au développement des activités. Il est souvent reproché aux équipes cybersécurité de définir des règles, mais aussi de déléguer leur implémentation sans fournir de solution, ni d’accompagnement pour l’implémentation des changements demandés. Il est par exemple difficile de changer régulièrement les mots de passe de dizaines de comptes génériques industriels alors que cette règle est un standard sur un périmètre IT classique. Les équipes OT se retrouvent donc souvent seules pour répondre aux exigences des politiques de sécurité.

Laissées seules, les équipes métiers développent des solutions « maisons » pensées avec leur point de vue très local, à l’échelle de leur site. Ces solutions échappent au contrôle du groupe et sont très spécifiques (dépendance à un fournisseur locale, solution maison conçue pour l’architecture réseau spécifique du site, …), et les capacités de passage à l’échelle ne sont pas évaluées. Toutes ces solutions sont développées par des équipes expertes et passionnées qui sont capables de questionner les pratiques et les standards de sécurité, mais qui ont rarement en tête une vision stratégique, y compris à l’échelle locale, ce qui empêche l’intégration de leurs solutions à l’échelle d’un ensemble de sites industriels.

Des solutions court terme… voire dangereuses

Sur le long terme, ces solutions locales présentent de nombreux inconvénients :

• Elles ne sont pas au niveau des standards de production et restent à la phase de POC
• Elles sont mal documentées ce qui rend la maintenance difficile
• Le passage à l’échelle d’un groupe de sites industriels est impossible à long terme

Certaines solutions « maison » rencontrées se sont même révélées dangereuses comme on peut le voir ci-dessous :

Exemples réels tirés des audits de sites industriels sur la période 2020-2023

Standardiser l’intégration de la cybersécurité chez les métiers

Les entreprises industrielles se distinguent par leur fort besoin de disponibilité, ainsi que les impacts qu’ont leurs métiers sur le monde physique. Les investissements doivent donc être à la hauteur de ces enjeux qui nécessitent des solutions de cybersécurité de très grande ampleur et d’une grande complexité. Les services IT, cybersécurité et OT doivent coopérer durant l’intégralité du processus de développement afin de garantir que les solutions conviennent aux opérations tout en répondant aux standards de sécurité du groupe. Le but est d’industrialiser le développement des solutions de cybersécurité pour le périmètre OT, en fournissant des solutions clé-en-main et prêtes à être déployées à grande échelle.

La solution est le développement d’un catalogue de services cybersécurité dans lequel les services sont sélectionnés et développés à l’échelle du groupe, en collaboration avec tous les acteurs (Cyber, opérations, IT) et en intégrant la gestion de l’intégralité du cycle de vie de la solution (maintenance, documentation, décommissionnement…). Ainsi, le service cybersécurité et la DSI peuvent créer, avec la direction industrielle, une roadmap de gestion produit, avec un processus industrialisé de création de solution.

Concevoir une solution de cybersécurité OT

Le processus de création de solution doit répondre à plusieurs problématiques :

• Collecter les besoins de toutes les parties prenantes ;
• Retranscrire les besoins correctement ;
• Garantir l’adoption à grande échelle par l’ensemble des sites industriels.

Afin de garantir l’efficacité du processus et des solutions, le développement des différentes solutions est nécessairement long et peut s’étendre sur une période de 2 à 3 ans. Cette durée de développement réduit les risques de s’exposer à une mauvaise couverture des besoins opérationnels, pouvant conduire au développement de solutions locales non maîtrisées ou à un déploiement mal contrôlé et incomplet.

Fournir des solutions de sécurité : un processus en 6 étapes :

Processus de Solution Factory

1.     Recherche et développement

Le but de la phase de R&D est de trouver la meilleure solution pour répondre à tous les besoins de cybersécurité. Ainsi, en cas d’audit réalisés à l’échelle du groupe, le respect des politiques de sécurité est garanti si l’outil est utilisé. Plusieurs points sont cruciaux pendant la R&D :

• Rassembler une équipe projet avec des représentants de l’IT, de la cybersécurité et également du métier, pour garantir l’utilité et le bon usage de la solution ;
• Définir les contraintes métier au bon niveau (disponibilité, résistance dans un environnement difficile, support, …) afin de maîtriser les coûts sans compromettre l’utilisabilité du produit ;
• Prévoir les processus de maintenance, de mise à jour et de sortie dès la R&D pour éviter de se retrouver bloqué avec un produit imparfait ou obsolète ;
• Prévoir le budget et le modèle économique du produit. En particulier qui doit payer et quels sont les coûts d’opération et d’investissement. Cela permet d’éviter le blocage du projet au moment du déploiement sur site pour des problèmes de budget ;

Lors de la phase de R&D il est aussi intéressant de partir de l’existant. Cela permet d’identifier des experts sur lesquels s’appuyer ou des solutions qui pourraient être adaptées à grande échelle et sur un périmètre OT. Pour trouver des solutions, il y a deux approches possibles :

• Trouver des solutions utilisées localement par les équipes OT et les faire passer à l’échelle ;
• Chercher des solutions de cybersécurité parmi le catalogue IT for IT et les adapter au monde industriel.

Deux méthodes pour prendre en compte l’existant

2.     Prototype

Au moment de la présentation du prototype, il faut soigner l’expérience utilisateur et l’image du produit. Le prototype est avant tout une vitrine qui doit faciliter l’adoption du produit, mais qui peut également écorner son image s’il n’est pas pratique et fonctionnel. Il faut bien cadrer les cas d’usages couverts et présenter un produit fonctionnel et simple. Il faut garder en tête que la première image du prototype est celle dont le métier se souviendra.

3.     Minimum Viable Product

La phase de MVP a globalement deux enjeux : tester le produit, et rassembler des promoteurs. La communication autour du MVP doit être soignée, et tout doit être mis en œuvre pour éviter les échecs. Lors du test, il ne faut pas simplement tester la solution en elle-même, mais également toutes les fonctions de support et l’intégration avec le reste de l’environnement de production.

Le MVP pouvant être un Single Point of Failure pour la production, il faut prendre en compte les besoins de haute disponibilité et mettre en place des mécanismes de bypass en cas de problème, afin de rassurer les métiers et faciliter l’intégration. Un MVP peut gravement abimer la réputation d’un produit sur le long terme en cas d’échec.

4.     Packaging

L’étape de packaging permet de définir tous les prérequis au déploiement du produit. Il faut définir :

• Les process de l’ensemble du cycle de vie comme la gestion des demandes de déploiement, définir l’obligation ou non de déploiement, les process de maintenance, les process de mise à jour en prenant en compte les besoins opérationnels, …
• Définir les responsabilités, mais en prenant en compte que les sites industriels doivent garder une indépendance plus forte que ce qui se fait habituellement sur les périmètres IT. Il faut définir clairement ce qui est délégué aux responsables sur site en mode nominal et en cas d’urgence.
• Le modèle de coût, y compris à long terme, doit être clairement défini et comparé par rapport aux solutions externes.
• Le support doit être envisagé comme du Support as a Service et tous les process et outils doivent être mis en place et communiqués.

5.     Préparation de la maintenance

La dernière étape avant le déploiement effectif est la préparation à la maintenance opérationnelle. Pour chaque produit, un Solution Owner doit être identifié pour gérer les relations entre les utilisateurs, les fournisseurs et – pendant l’intégration – l’intégrateur. Cette personne doit être identifiée en interne avant le déploiement afin de garantir que la maintenance opérationnelle sur tout le cycle de vie sans avoir à dépendre d’un externe.

Avant de déployer la solution, trois points doivent encore être soignés pour préparer le cycle de vie du produit et favoriser son adoption à grande échelle :

6.     Déploiement

Pendant le déploiement du produit, les early-adopters doivent être supportés au maximum pour maximiser les chances d’adoption du projet par les autres sites. Des incitations financières, comme des réductions pour les premiers à adopter le système, peuvent également être mises en place. Différents scénarios de rapidité d’adoption doivent être anticipés afin d’être capable de déployer suffisamment vite en cas de grand succès, mais sans problèmes de coûts en cas de difficultés à l’adoption.

Conclusion

En milieu industriel, la cybersécurité est toujours vue comme trop restrictive, venant à l’encontre de la production, et trop prescriptive. Les départements IT mettent en place des politiques de sécurité mais ne donnent pas de solutions pour les respecter ce qui conduit au développement de solutions locales mal maîtrisées. Pour contrôler ces risques, une solution est le développement d’un catalogue de solution IT pour l’OT. Le développement de ces solutions est un processus long qui peut prendre plusieurs années, surtout lorsque plusieurs projets sont lancés en parallèle. Pour maximiser les chances de réussite, les besoins du métier doivent être pris en compte dès la phase de R&D, et jusqu’au déploiement. Notamment, l’intégration avec les processus métier, les processus de support et toutes les problématiques de budget doivent être pris en compte. Finalement, la dernière clé de la réussite du processus de développement de solution est la communication. L’image du produit doit être soignée et maîtrisée afin de maximiser l’adoption par les sites industriels après le début du déploiement.

Cet article IT for OT : Quel processus pour développer des solutions de cybersécurité adaptées aux métiers ? est apparu en premier sur RiskInsight.

Le secteur de l’énergie est composé d’infrastructures considérées comme vitales et assure des services essentiels pour un pays. Le secteur, marqué par une digitalisation croissante, est sans conteste une cible privilégiée des cyberattaquants avec des conséquences qui peuvent toucher par rebond la quasi-totalité des infrastructures et services de notre société. Si l’approvisionnement en électricité était interrompu durant plusieurs jours, d’autres services tels que le transport, la santé, les communications, ne pourraient assurer leurs fonctions.

 Un secteur en pleine transformation

Le secteur de l’énergie amorce une transition énergétique avec l’arrivée des énergies renouvelables. Elle s’appuie également sur de nouvelle façon de gérer l’équilibrage du réseau, essentiel au secteur et qui devient de plus en plus complexe. A chaque instant, la quantité d’électricité injectée sur le réseau doit être égale à la quantité d’électricité soutirée. Cette transformation induit une augmentation du besoin de flexibilité pour assurer la sécurité de l’approvisionnement et des investissements importants sur le réseau.  C’est l’objectif de concepts comme les Smart Grids qui rendent possible le pilotage de la consommation d’énergie et son optimisation pour le consommateur.

Pour répondre à cette transformation métier, l’industrie énergétique est en pleine transformation numérique qui bouleverse les modes de production, de transformation, de stockage, de transport et de consommation de l’énergie. Les technologies de l’information et de la communication ont permis d’optimiser la chaîne d’approvisionnement dans son ensemble.

Ainsi, on remarque le déploiement d’un grand nombre de dispositifs de l’internet industriel des objets (IIOT), avec une connectivité plus importante. Cette transition a déclenché une explosion sans précédent des données. Les entreprises du secteur de l’énergie doivent maintenant être plus agiles dans leurs décisions en exploitant efficacement ces données.

Une telle transformation expose l’industrie énergétique à des risques cyber accrus. Cette situation oblige à faire de la cybersécurité une priorité du secteur de l’énergie.

Prenons un exemple concret : pilotés à distance, les éoliennes et les panneaux solaires sont par nature des objets connectés. Ils doivent être accessibles à distance et par conséquent sécurisés. Seulement, ces nouveaux projets ne prennent pas systématiquement en compte dès la phase de conceptions l’ensemble des contraintes cybersécurité et des solutions techniques associées (protocoles sécurisés, des technologies d’accès appropriés…).

Un secteur de plus en plus visé

Faisons un peu « d’archéologie » de la cybersécurité liée au secteur : la découverte de Stuxnet en 2010 a créé une onde de choc au sein de l’industrie énergétique. Cette attaque a servi de projecteur sur des vulnérabilités inconnues.

En décembre 2016, une partie des habitants de Kiev et de sa périphérie a été privée d’électricité pendant environ 1 heure dû à la déconnexion de la sous station du réseau de transport électrique de Pivnichna. L’attaque a commencé dans le cadre d’une campagne de phishing massive survenue en juillet de la même année, qui a exploité une vulnérabilité de Windows XP. La panne a été causée par la commutation à distance des disjoncteurs de manière à couper l’alimentation.

Depuis plus une année sans évènement cyber. Un autre exemple : Les énergies renouvelables sont des nouvelles cibles pour les cyberattaquants. En 2019, dans l’Utah aux Etats-Unis, un réseau éolien et solaire a subi des pertes de connexion pendant 12 heures avec le centre de contrôle de l’entreprise, ce qui a provoqué des pannes d’électricité dans les foyers aux environs. Les cyberattaquants ont exploité une vulnérabilité connue sur des pare-feu non patchés provoquant un déni de service des équipements.

En 2021, les dirigeants de Colonial Pipeline, qui relie les raffineries à travers tous les Etats-Unis, ont décidé de bloquer toutes leurs opérations de distribution suite à la propagation d’un ransomware. L’entreprise a déclaré avoir payé 4,4 millions de dollars de rançon pour que les hackeurs fournissent un outil informatique permettant de rétablir leur activité ^[1].

Le secteur de l’énergie est un des secteurs les plus visés. Selon le rapport X-Force Threat Intelligence Index 2022 ^[2], en 2021, le secteur de l’énergie s’est classé comme le quatrième secteur le plus touché, avec 8,2% des attaques observées, derrière l’industrie manufacturière, le secteur de la finance et le secteur des services professionnels.

En 2021, les ransomwares ont été le type d’attaques le plus courant contre les organisations énergétiques avec 25% des attaques. Les entreprises pétrolières et gazières sont particulièrement touchées par ce phénomène. Les attaques de cheval de Troie (RAT), de DDoS et d’usurpation d’identité en entreprise (BEC) sont aussi fortement recensées avec 17% des attaques chacune.

Alors que les cyberattaques ont dans le cas le plus fréquent une visée lucrative et d’espionnage, l’industrie énergétique est aussi confrontée à des intentions de sabotage, parfois pour des raisons géopolitiques. Certains hacktivistes peuvent également représenter une menace en s’attaquant aux infrastructures critiques. L’actualité récente de déstabilisation majeures géopolitique en cours renforce ces risques.

Le secteur de l’énergie possède des infrastructures de biens essentiels. Dans un monde de plus en plus interdépendant, toute perturbation, même initialement limitée à une entité ou une zone géographique, peut produire des effets en cascade plus larges comme présentés ci-dessous :

Chaine d’Impact-Wavestone

Afin de lutter efficacement contre ces nouvelles menaces, les états et l’Union Européenne ont adopté des règlementations contraignantes pour assurer un niveau de cybersécurité renforcé sur les installations les plus critiques.

Quel rôle pour la règlementation ?

En France, l’autorité compétente en matière de cybersécurité est l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Pour répondre à l’accroissement des menaces, la stratégie de défense s’articule autour de la loi de programmation militaire depuis 2013 (LPM) afin de sécuriser les Opérateurs d’Importance Vitale (OIV). L’ANSSI insiste principalement sur des procédures d’homologation, de contrôle et de maintien en condition de sécurité des Systèmes d’Informations d’Importance Vitale (SIIV).

Au niveau européen, la volonté est aussi de protéger les organisations sensibles que sont les opérateurs de services essentiels (OSE) du secteur de l’énergie. Le point de référence pour la cybersécurité est actuellement la directive Network and Information System Security (Directive NIS). Elle a pour objectifs premiers d’accroître la coopération entre les Etats membres de l’UE, en facilitant l’échange d’informations stratégiques et opérationnelles, et d’améliorer la cyber-résilience des entités publiques et privées des secteurs essentiels tels que l’énergie. Ici, pour l’énergie, l’ENISA souhaite se prémunir des menaces de grandes envergures avec des réseaux de plus en plus transfrontaliers et interdépendants.

La complexité se trouve maintenant dans l’application opérationnelle de certaines mesures dans des milieux industriels où les équipements et moyens de production sont prévus pour durer plusieurs dizaines d’années. Ainsi, modifier les processus opérationnels d’exploitation et/ou les équipements pour y intégrer plus de cybersécurité est un réel défi. Les impacts de cette transition sont importants aussi bien en termes financier qu’en termes de modification des façons de travailler. Cela rend  le partage entre les acteurs de l’énergie d’autant plus primordial pour trouver des solutions pragmatiques et adaptées : architecture réseaux adaptés, solutions techniques compatibles avec le monde industriels, processus de gestion des vulnérabilités et mises à jour construites avec les équipes opérationnelles par exemple.

Conclusion

Compte tenu de la criticité des infrastructures, celles-ci sont des cibles de 1^er plan. Il est primordial que les acteurs métiers et cybersécurité du secteur de l’énergie communiquent sur les bonnes pratiques de cybersécurité, tirent les enseignements des précédentes attaques et contribuent à faire évoluer le niveau de protection globale. C’est dans ce contexte que le premier forum spécialement dédié aux acteurs de l’énergie « Cyber4Energy », se tiendra à Marseille le 30-31 mars 2022. Cet évènement sera l’opportunité pour les professionnels d’échanger sur les défis de la cybersécurité et les solutions spécifiques qui s’offrent au secteur.

Références :

[1] Etats-Unis : les oléoducs Colonial Pipeline ont versé une rançon de 4,4 millions de dollars à des hackeurs (lemonde.fr)

[2] X-Force Threat Intelligence Index 2022, IBM Security X-Force Threat Intelligence Index 2022 (ibm.com)

Cet article Secteur de l’énergie : Une obligation de cybersécurité face aux attaques pour garantir la fourniture de services essentiels est apparu en premier sur RiskInsight.

Faisons un détour par une page d’histoire, avant de nous plonger dans le cœur de notre sujet :

• Au XVIII^e siècle, la machine à vapeur de James Watt et l’exploitation du charbon changent la manière de travailler. L’utilisation de machines hydrauliques fait évoluer les ateliers artisanaux en des usines bien plus performantes : la 1^re révolution industrielle bat son plein.
• Ensuite, la 2^e révolution industrielle connue pour le taylorisme et la production en série repose sur l’utilisation de l’électricité et du pétrole. Les longues chaînes d’assemblage, chères à Charlie Chaplin, viennent remplacer les machines hydrauliques et à vapeur désormais désuètes.
• Le développement des nouvelles technologies de l’information, dès 1970, épaulant les opérateurs dans les tâches les plus difficiles caractérise la 3^e révolution industrielle. Elle permet notamment une robotisation accrue et production de plus grandes séries.

Cette 4^e révolution industrielle marque l’arrivée de nouvelles technologies toujours plus connectées aboutissant à un haut niveau de dépendance à l’informatique

L’Industrie 4.0 regroupe un ensemble d’avancées technologiques et d’outils techniques permettant d’optimiser des processus industriels.

Prenons un exemple concret d’un cas d’usage :

Une entreprise a besoin d’accélérer sa cadence de production et de robotiser une partie de ses actions pour gagner du temps. Par exemple, des actions de vissage. Elle choisit d’utiliser pour cela un robot collaboratif, aussi appelé « cobot »[1] capable de réaliser des actions en simultané ou sur un même espace de travail qu’un opérateur. Celui-ci aura la charge de présenter les pièces à visser au cobot.

La mise en place de ce binôme permet, en plus de réduire le délai d’exécution, d’augmenter la qualité du produit fini.

Les cas d’usage liés à l’Industrie 4.0 augmentent le risque cyber pesant sur les processus métiers. Deux raisons à cela : la nécessité de nouvelles interconnexions des systèmes industriels avec l’extérieur et l’augmentation de l’impact potentiel en cas de compromission.

Quels sont les impacts pour la cybersécurité dans toute cette histoire ? Si nous poursuivons avec ce cobot, le vissage, initialement effectué manuellement par un opérateur, est maintenant facilité par l’utilisation du cobot. Le cobot doit être connecté pour recevoir des ordres et être mis à jour.

• L’opération manuelle est remplacée par une opération informatisée maintenant exposée à une cyberattaque

Sur un robot classique, une « cage de sécurité » est présente pour éviter une intrusion d’un opérateur pendant le fonctionnement de la machine-outil. Sur un cobot, comme il y a collaboration avec l’opérateur cette protection n’existe pas. Un impact en cas de contact entre le tournevis du cobot et la main de l’opérateur serait particulièrement grave pour celui-ci !

• L’introduction de nouvelles technologies peut augmenter la gravité d’une attaque cyber

Et cela n’est pas la seule conséquence d’une utilisation non sécurisée d’une telle technologie :

• La modification d’une valeur dans le cobot concernant le couple de vissage peut entrainer un défaut de qualité en cas de mauvais serrage ;
• L’importance plus élevée des opérations assistées implique qu’en cas de défaillance, l’impact sera plus fort sur la production… ce qui va rapidement induire un impact financier.

Résumons de manière un peu simpliste :

La question est maintenant de savoir comment traiter ces risques, sans bloquer les demandes légitimes des opérationnels. Spoiler : non, refuser le projet n’est pas la solution !

Les équipes responsables de la cybersécurité peuvent anticiper les besoins de mise en place de technologies 4.0 par l’établissement de fiches réflexes adaptées

D’un point de vue technique nous pouvons regrouper les avancées liées à l’Industrie 4.0 autour de quelques grandes thématiques : réalité augmentée, objet connecté, fabrication additive… En amont des projets et avec quelques acteurs métiers bien renseignés autour de la table, il est possible d’anticiper les demandes potentielles.

L’objectif pour l’équipe cybersécurité va être alors de dresser le portrait-robot des cas d’usage type, en déduire les risques potentiels et commencer à identifier des mesures de sécurité adaptées pour y répondre. C’est aussi l’occasion de proposer des check-lists « Industrie 4.0 » pour sensibiliser en amont des projets.

Concrètement, voici un exemple de fiche réflexe type appliquée à notre cobot vu précédemment :

En se préparant en amont, les équipes cybersécurité sont plus pertinentes et efficaces lorsqu’un nouveau projet est sur le point de démarrer.

Prêt à se lancer dans un projet « 4.0 » ? C’est l’occasion idéale d’accompagner le métier dans la transformation de son usine en proposant des services de cybersécurité adaptés.

L’avantage des projets « Industrie 4.0 » consiste dans leur capacité à faire évoluer en profondeur les fondations, parfois un peu poussiéreuses, des systèmes et réseaux déjà installés en usine.

Un projet de convoyeur a-t-il besoin d’échanger des informations avec l’extérieur de l’usine ? C’est l’occasion de proposer un serveur d’échange de fichiers sécurisés dans votre DMZ[2] industrielle (en absence de celle-ci, c’est également le bon moment pour y réfléchir…). Un système de réalité augmentée a-t-il besoin d’une connexion sans fil plus stable ? C’est le moment d’engager une réflexion sur le renforcement du contrôle des appareils pouvant s’y connecter…

Au risque de reprendre des évidences ici, l’idéal est d’arriver en amont des projets, par une approche constructive, plutôt qu’à travers une PSSI[3] de 100 pages et des guides de normes et règles techniques non adaptés aux cas d’usages présentés.

Pour l’analyse de risques d’un projet « Industrie 4.0 », la méthode d’analyse de risques EBIOS RM facilite les échanges par le partage de scénarios stratégiques compréhensibles par le métier

Une fois les discussions engagées autour d’un projet concret, il est utile de réaliser une analyse de risques qui servira de support aux discussions. Sa profondeur et sa méthode vont dépendre de la taille et des risques du projet.

Cette analyse va permettre d’affiner les objectifs que l’on souhaite protéger, prendre du recul sur l’écosystème en place et définir des scénarios d’attaques les plus probants.

Voici quelques exemples de scénarios fréquemment retrouvés :

• Le sabotage logique à des fins financières (version longue du scénario Ransomware) : Une attaque ciblée ou non, permettant de rendre les équipements indisponibles en vue d’un gain financier.
• L’arrêt/ralentissement de la production : Sabotage ciblé en vue d’obtenir un avantage concurrentiel, une revanche par idéologie ou juste par défi peut être opéré par un concurrent malveillant, un vengeur, un terroriste, un activiste ou voir même un amateur en quête de frissons. Attention également à ne pas oublier les erreurs de manipulation !
• L’altération de la qualité de la pièce produite: sabotage plutôt sophistiqué et ciblé impactant la qualité des produits pour décrédibiliser l’entreprise ou simplement créer des dégâts.

La conclusion de l’analyse de risques va permettre de définir précisément les mesures de cybersécurité à mettre en place et les risques résiduels associés.

Sortir du modèle tout « château fort », à savoir tout miser sur l’isolement de son SI industriel et la sécurité périmétrique, et proposer des mesures de sécurité adaptées : détection plus fine, chiffrement, MCS[4]… en quelque sorte, c’est le moment de passer aux mesures “4.0”

Nos retours d’expérience montrent que la définition d’un plan d’actions est un travail d’équilibriste dans ces projets « 4.0 ». En effet, en appliquant un modèle de sécurité trop restrictif, à base de zones et conduits type IEC 62443-3-3, nous courrons à l’incompréhension entre les parties prenantes. En effet les solutions métiers ne sont pas toutes compatibles, pas toutes matures et n’ont pas encore intégré les standards que nous aimerions voir appliquer.

Alors que faire ? Une piste pourrait être de proposer des mesures de sécurité adaptées, des mesures « 4.0 » (pour l’environnement industriel en tout cas) mais qui ont déjà fait leurs preuves dans d’autres environnements :

• Pour éviter une propagation d’une menace, renforcer les moyens de détection, surtout les flux en provenance et à destination des SI industriels. C’est le moment d’en profiter pour faire un accostage avec le SOC Groupe si ce n’est pas déjà fait.
• Afin de s’assurer de l’intégrité et la traçabilité des données transmises/reçues​, on peut mettre en place du chiffrement et de l’authentification. Vous avez déjà une PKI Groupe ? Pourquoi ne pas réfléchir à l’étendre aux périmètres industriels.
• C’est également le bon moment pour renforcer son processus de MCO / MCS. La solution est connectée avec l’extérieur ? Plus d’excuse pour ne pas installer un antivirus, le mettre à jour, installer les patchs de sécurité de son OS favori, etc. Ce point est à anticiper en amont de l’achat de la solution, plutôt qu’une fois le produit déjà installé !
• Enfin la solution est critique pour le métier ? Un volet cyber résilience doit être anticipé pour pouvoir reconstruire rapidement la solution et repartir en cas d’attaque.

Comme nous venons de le voir, les solutions ne manquent pas, mais nécessitent un accompagnement adapté de la part des équipes cybersécurité et de dépasser les modèles théoriques. Alors, profitons de ces projets « 4.0 » pour faire évoluer nos modèles de cybersécurité industrielle sans apriori !

[1] https://commons.wikimedia.org/wiki/File:Cobot.jpg licence CC : https://creativecommons.org/licenses/by-sa/4.0/deed.en

[2] Zone démilitarisée, ici la zone réseau tampon entre le SI Industriel et le SI de gestion

[3] Politique de Sécurité des Système d’Information

[4] Maintien en Conditions de Sécurité

Cet article La cybersécurité industrielle à l’ère de l’Industrie 4.0 : comment sécuriser ces nouveaux cas d’usage et accompagner les projets métiers ? est apparu en premier sur RiskInsight.

Les réseaux industriels aussi appelés « OT » (Operating Technology) ou « Réseaux de production » regroupent ici aussi bien : les réseaux de production dans les usines, les bancs de test, laboratoires de recherche ou bien encore les réseaux embarqués dans des produits technologiques : train, voiture, avion, etc.

Les clés USB, véritables couteaux Suisses des SI Industriels, se révèlent être de formidables vecteurs de cyberattaques

Des réseaux industriels particulièrement vulnérables

Les systèmes industriels ont des durées de vie importantes pouvant s’élever à plusieurs dizaines d’année. Ces durées bien supérieures à celles communes dans l’IT classique, les confrontent à des problèmes d’obsolescence matérielle ou logicielle. Ces systèmes ne sont alors plus maintenus par leurs fournisseurs qui ne publient plus de mises à jour de sécurité. Le maintien en condition de sécurité est alors complexe voire impossible.

Même lorsque des mises à jour sont publiées leur application pose des problèmes. En effet cela nécessite de disposer d’une fenêtre de maintenance. Celle-ci peut avoir un impact opérationnel. Il faut également dans certains cas requalifier le système ou effectuer des tests techniques et fonctionnels avant de pouvoir redémarrer.

De plus, la standardisation des systèmes est devenue la norme. On trouve couramment des Systèmes d’Exploitation Windows ou Linux similaires au monde IT, les patchs de sécurité en moins. Cette facilité d’utilisation, est aussi exploitée par les virus informatiques.

L’obsolescence des systèmes industriels couplée à une difficulté de les maintenir en condition de sécurité et une standardisation devenue la norme, les rendent de plus en plus vulnérables aux cybermenaces. Encore faut-il accéder au réseau industriel pour exploiter ces vulnérabilités, ceux-ci étant historiquement moins exposés…

Ces vulnérabilités sont régulièrement exploitées en utilisant les médias amovibles comme vecteur

Or, les médias amovibles sont souvent utilisés comme pont entre le réseau bureautique interne ou un réseau externe et le réseau industriel, par exemple :

• Les périphériques de stockage USB peuvent être utilisés pour déployer des configurations ou des correctifs sur les systèmes déconnectés. Ces fichiers de configuration ou patchs sont issus de postes de travail qui se trouvent sur le réseau d’entreprise et qui disposent d’une connexion internet. Ces postes sont exposés aux menaces cyber, en conséquence les médias amovibles le sont aussi et à travers eux les systèmes déconnectés.
• De nombreux prestataires interviennent sur le réseau industriel pour acheminer des fichiers de configuration, outils de débogage et autres logiciels. Ils utilisent pour ce faire des clés USB. La multiplicité des sous-traitants implique un grand nombre d’échanges depuis des réseaux non maitrisés vers les réseaux industriels, chacun potentiellement vecteur de menace.

Ces échanges exposent le réseau industriel à plusieurs types de menaces :

• Il existe de nombreux virus exploitant des vulnérabilités Windows se propageant grâce aux médias amovibles. Un des plus connus reste le virus Conficker qui exploite le mécanisme de lancement automatique de tâche des médias amovibles et parvient ainsi à lancer automatiquement une charge virale au branchement du média. Une fois un ordinateur infecté, il a la capacité de se propager à d’autres hôtes en passant par un réseau informatique.
• Les périphériques de stockage peuvent également être détournés de leurs utilisations, ce type d’attaque est appelé « Bad USB ». Rubber Ducky en est un exemple, il fait passer une clé USB pour un périphérique d’entrée comme un clavier, pour lancer des commandes au branchement du périphérique avec un ordinateur.
• Au branchement avec un ordinateur, les USB killers qui se présentent comme des clés USB ordinaires, accumulent de l’énergie jusqu’à être sous haute-tension, puis rejettent cette énergie dans l’ordinateur hôte pour en détruire les composants physiques.

Or, l’utilisation de ces médias amovibles est difficilement contournable

Or, les médias amovibles peuvent être utilisés dans plusieurs cas comme par exemple le stockage de données, la sauvegarde, le transfert ou le partage d’information.

Ces différents cas d’usage sont apparus progressivement, souvent à l’initiative des utilisateurs sans réel encadrement de la DSI ou d’une direction métier. Lorsqu’on étudie ces différentes situations on peut les classer en deux catégories :

• Ceux qui sont facilement supprimables en proposant soit une alternative plus sécurisée soit une méthode de travail adaptée. Par exemple dans le cas de deux réseaux industriels connectés entre eux, la mise en place d’un espace de partage de fichiers sur le réseau peut remplacer un échange direct par média amovible.
• Ceux qui pourraient être supprimés au prix d’investissements importants ou très difficilement supprimables immédiatement. La situation typique est le cas d’un réseau isolé pour installer un nouvel ordinateur, le recours à un master par disque dur USB peut être difficile à remplacer.

Il est difficile de se passer totalement de l’utilisation des médias amovibles cependant leur utilisation reste problématique. Face à cette source de menace des solutions commencent à émerger.

De multiples solutions techniques qui émergent mais qui apportent une solution partielle

Une myriade de solutions techniques de plus en plus disponibles

Il existe différentes solutions techniques permettant de contrôler à différents niveaux le contenu ou l’utilisation d’un média amovible. On peut les catégoriser en plusieurs familles de solutions :

• Les bornes ou boitiers de décontamination seuls permettent, grâce à une ou plusieurs bases antivirales disponibles depuis l’équipement, d’analyser le contenu de la clé et si nécessaire de la formater ou de mettre en quarantaine les fichiers considérés comme malveillants. Plusieurs constructeurs proposent ce type de solutions, notamment : KUB, HOGO, Orange et SOTERIA.
• Celles plus complexes qui peuvent délivrer un certificat à la clé pour faire suite à son passage par la borne de décontamination. Ce certificat atteste à l’hôte que la clé a bien été analysée. Cela nécessite qu’un agent soit déployé sur tous les postes de travail pour permettre l’authentification par certificat. OPSWAT et FACTORY Systems comptent parmi les constructeurs. KUB, précédemment cité, propose cette option plus complexe sur ces boitiers.
• La dernière regroupe les périphériques utilisés comme filtres jouant le rôle de sas de sécurité s’interposant entre l’hôte et le média amovible. Il s’agit d’un matériel de petite taille, branché directement sur le port USB de l’hôte d’un côté, et sur la clé USB de l’autre côté. Son fonctionnement est basé sur du filtrage par listes blanches et/ou bloque l’écriture depuis le poste de travail vers le média amovible. SECLAB est un exemple de constructeur pour cette solution.

Les offres de solutions ayant toutes des caractéristiques différentes, il convient d’identifier parmi elles celle qui répond le mieux aux exigences de sécurité et aux contraintes des utilisateurs.

Ces solutions techniques créent des étapes supplémentaires et nécessitent du temps, ce qui peut freiner leur adoption

En fonction de la solution technique, la décontamination d’un média amovible constitue une étape qui peut être chronophage. En effet si la clé contient un grand nombre de petits fichiers devant tous être contrôlés, le délai de traitement de la tâche sera rallongé. Ce délai est également fortement dépendant de la performance du média testé.

Aussi, un problème de dimensionnement de la borne se pose si le média amovible est utilisé pour pousser de nombreuses mises à jour volumineuses (Microsoft par exemple) voire une base de données WSUS (Windows Server Update Services) complète entre 2 réseaux, celles-ci pouvant atteindre une centaine de Giga-octets de données. Si ce temps n’est pas maitrisé et limité au maximum, les utilisateurs de médias amovibles n’utiliseront pas la technologie choisie.

Un accès difficile découragerait les utilisateurs. En particulier, dans le secteur industriel, il existe de nombreuses contraintes en fonction des zones où les utilisateurs se trouvent. Un changement de zone peut nécessiter de changer d’équipement de protection, de tenue ou passer des contrôles particuliers. Un nombre insuffisant d’équipements conduirait au même problème d’accessibilité.

Il est nécessaire de placer les équipements là où la décontamination est encouragée ou incontournable (accueil, bureau de sûreté), et de trouver le bon compromis entre les différentes implémentations de solutions : solution appliquée centralement (borne) ou distribuée (boitier ou filtre).

Ces solutions techniques nécessitent souvent un Maintien en Condition Opérationnelle (MCO) et un Maintien en Condition de Sécurité (MCS) qui ne doivent pas être négligés

Le bon fonctionnement des solutions techniques identifiées implique de les mettre à jour, mettre à jour leurs bases virales dans le cas où la solution intègre un anti-virus, mettre à jour les règles de filtrage ainsi que pour les systèmes plus complexes la base de certificats. Il est également utile d’être en mesure d’émettre des rapports et des alertes quand l’outil le permet.

Pour cela les bornes de décontamination nécessitent plusieurs types d’accès :

• Aux serveurs de mises à jour antivirales ;
• Aux serveurs de mises à jour de leur système d’exploitation interne ;
• Au réseau de supervision pour l’émission des rapports et des alertes ;
• Parfois à un serveur dédié qui va gérer la base de certificats et la centralisation de l’administration.

Ces bornes s’intègrent ainsi dans une architecture plus ou moins complexe.

Les bornes de décontamination sont dotées d’un système d’exploitation et d’applications souvent standards, d’où l’importance de durcir leurs configurations afin qu’elles ne fassent pas elles-mêmes l’objet d’une attaque.

Il est nécessaire de mener une étude sur les solutions techniques envisageables en mettant en perspective la fiabilité, l’utilité, l’efficacité et le coût de chaque option. De même, il est indispensable de mener une réflexion sur la gouvernance de ces équipements qui se situent au carrefour entre le SI de gestion et le SI industriel. Cela doit permettre d’éviter les problèmes de sous-dimensionnement d’un projet d’implémentation de ces solutions qui conduirait les utilisateurs à se détourner de la solution choisie.

La protection des systèmes industriels contre les menaces issues de l’utilisation des clés USB passe par un choix réfléchi de la solution technique et de sa mise à disposition des utilisateurs. Sans cela et sans une sensibilisation aux enjeux de cybersécurité, les systèmes sont exposés et les impacts d’une attaque sont non-négligeables.

Ces outils doivent faire l’objet d’un projet complet : de la prise en compte des cas d’usage et la conduite du changement

Les cas d’utilisation doivent être connus pour arbitrer entre les différentes solutions voire supprimer l’utilisation du média amovible

Avant de proposer une solution technique, la 1^ère question à se poser porte sur la nécessité d’utiliser un média amovible. Pour y répondre, il faut lister avec les utilisateurs les différents cas d’usage existant.

Pour chaque cas, il faut déterminer si leur utilisation est bien appropriée et s’il n’existe pas de solution alternative plus efficace et plus sûre. Voici quelques exemples de situations couramment rencontrées pour lesquelles des solutions alternatives existent :

• Si une clé USB est utilisée comme lieu de stockage de fichiers de configuration alors une solution centralisée ou à minima le stockage sur un équipement adapté peuvent être proposés.
• Dans le cas d’un média utilisé entre deux équipements eux même connectés à un réseau, la mise en place d’un serveur d’échange, par exemple utilisant un protocole sécurisé comme SFTP sera envisagé.
• Pour les mainteneurs intervenant sur des systèmes connectés utilisant des médias amovibles pour mettre à jour des fichiers de configuration, une passerelle d’échange type MFT (Managed File Transfer) avec contrôle antivirale pourra être proposée. Cette application s’assure de l’innocuité d’un fichier en provenance d’une source externe avant de le mettre à disposition en interne. Une solution tierce consisterait à mettre des médias amovibles sécurisés à la disposition du personnel ou du mainteneur, en autorisant uniquement depuis des postes sas l’écriture sur ces médias.

Dans les cas restants, une solution adaptée est à envisager. La solution devra être présentée aux utilisateurs et son intérêt expliqué. Pour une meilleure adoption elle devra influer le moins possible sur le processus métier préexistant, à minima ne pas représenter une surcharge de travail ou de temps trop importante.

En plus de s’intégrer au cas d’usage métier, la solution technique doit répondre aux objectifs de sécurité visés

2 critères de choix sont à prendre en compte dans le cadre d’un projet de déploiement d’une solution de sécurisation des médias amovibles : le cas d’usage métier et les objectifs de sécurité visés.

Les objectifs de sécurité recherchés sont souvent les 2 mêmes : vérifier qu’un périphérique de stockage en est bien un (et pas une « Bad USB ») et vérifier que celle-ci ne comporte pas de charge virale. Ces 2 objectifs sont couverts par la majorité des solutions du marché.

C’est donc le cas d’usage métier qui va influer sur l’ergonomie de la solution retenue :

• Une borne fixe monobloc s’intègre bien à l’entrée d’une zone réservé à des opérateurs comme un laboratoire ou un atelier. A l’inverse une tablette permettra d’être plus mobile et de pouvoir être utilisée dans plusieurs cas d’usage.
• Une solution par certificat nécessitant un agent sur l’équipement ne posera pas de difficulté sur des postes standards sans qualification particulière mais peut être problématique dans des environnements qualifiés ou déjà obsolètes.
• Dans le cas d’une population mobile et devant toujours disposer d’un moyen de contrôler un média amovible, une solution par filtre peut être envisagée.

Une fois le type de solution choisie, les possibilités d’intégration de la solution à l’écosystème existant et les options de sécurité proposées permettront de sélectionner celle la plus adaptée.

La solution retenue doit intégrer des fonctions d’administration et de remontée d’incidents tout en garantissant un niveau de sécurité adapté

L’outil choisi doit être facilement administrable et notamment doté d’une administration centralisée si un nombre conséquent d’équipements est envisagé. Il est également nécessaire que la solution puisse être mise jour, aussi bien : le système d’exploitation de la solution, les applications embarquées et notamment antivirales ainsi que les bases de signatures.

Ces fonctionnalités sous-entendent que la solution aura besoin d’une connexion sur le réseau d’administration et d’une connexion à l’extérieur pour récupérer ces mises à jour. Ces connexions doivent être sécurisées et le serveur de mise à jour systématiquement identifié.

En outre, il est nécessaire de prendre des précautions en vérifiant que la solution a été durcie et que seules les fonctions utiles sont disponibles, notamment au niveau du système d’exploitation. Cela serait un comble que l’outil de décontamination des clés soit lui-même le vecteur de contaminations de celles-ci !

Enfin, il est préférable que les rapports et journaux d’évènement générés puisse être envoyé dans un format standard type Syslog, centralisés et analysés par un SIEM déjà en place afin de détecter et de tracer toutes activités suspectes.

En conclusion, l’implémentation doit faire l’objet d’une conduite du changement auprès des personnes qui utiliseront réellement la borne tous les jours

Il existe bien des solutions techniques qui, en analysant et décontaminant ces périphériques, permettent de réduire l’exposition par les médias amovibles des réseaux industriels. Il y a 2 facteurs de succès visibles à 1^ère vue pour une bonne implémentation :

• Une solution pensée aux cas d’usage métier avec les utilisateurs finaux ;
• Une solution où les aspects d’administration, de mise à jour et de sécurité ont été étudiés en amont.

A ceux-ci s’ajoute un 3^ème facteur de succès : l’accompagnement au changement qui doit s’assurer de la bonne intégration du nouvel outil aux processus existants et un dialogue avec les utilisateurs finaux.

Pour compléter ce dispositif, il est nécessaire de formaliser une procédure en cas de découverte d’un virus ou toute situation anormale. Détecter n’est finalement que le 1^er pas vers une réaction adaptée.

Cet article Outils de décontamination de médias amovibles – Les facteurs de succès pour un gain de sécurité effectif et un déploiement réussi est apparu en premier sur RiskInsight.