La segmentation du réseau permet de contenir les menaces en évitant qu’elles se propagent à d’autres zones. Plusieurs stratégies sont possibles, selon la criticité des installations.
L'époque de la défense périphérique des systèmes d’information, façon château fort, est révolue. Aujourd’hui, le concept de défense en profondeur (appliqué dans le nucléaire et la défense), associé à une segmentation du système d’information, s’est imposé aux industriels. « Au même titre que les infrastructures physiques, on met en place une succession de barrières logiques concentriques. Aucune de ces barrières n’est infranchissable durablement. Les technologies et les vulnérabilités évoluent au fil du temps. L’enjeu est donc d’installer des processus d’isolation et d’interception », précise Patrick Baldit, responsable des systèmes informatiques industriels au CEA. Le réseau est ainsi découpé en zones de sécurité, des groupes de biens logiques ou physiques qui partagent les mêmes contraintes de sécurité.
Séparation physique ou virtuelle
La menace émanant principalement de l’informatique d’entreprise (IT), la priorité est de séparer celle-ci du système d’information industriel (OT). C’est du moins ce que préconisent les normes de la Commission électrotechnique internationale (IEC) et de l’Institut national des standards et technologie (Nist) du département du Commerce américain. « Sur le plan opérationnel, si un client ne dispose pas d’une maturité cyber su fisante, nous procédons différemment, nuance Xavier Facelina, le PDG de Seclab, fabricant de systèmes de cybersécurité industrielle. Nous ne commençons pas par segmenter l’IT et l’OT, mais nous cherchons où sont les automates les plus dangereux, critiques ou chers, et quels sont leurs échanges avec l’extérieur. Généralement, il n’y en a pas trente-six. La première chose à faire, c’est de segmenter cette microzone. Ensuite, nous pouvons remonter dans l’architecture. » La segmentation débute toujours par l’analyse et la cartographie des risques.
Il existe deux méthodes de segmentation : physique et logique. La première consiste à séparer les réseaux par zone. « Prenons l’exemple d’un constructeur automobile. Il possède plusieurs ateliers (carrosserie, moteur, portes, peinture…). Chacun est physiquement séparé par un équipement de filtrage réseau pour contrôler les flux d’information entre ces di fférentes zones », explique Khobeib Benboubaker, manager chez Stormshield, éditeur spécialisé en sécurité informatique. La segmentation logique, elle, va séparer virtuellement des machines, indépendamment de leur localisation, en utilisant notamment des réseaux virtuels (VLAN). Configuré sur un commutateur, un VLAN regroupe plusieurs équipements selon les numéros de port, les protocoles de communication, l’adressage IP…, plutôt que leur appartenance à un même réseau physique.
Si la segmentation par VLAN est la plus courante, « elle nécessite un changement dans l’adressage IP des équipements, ce qui entraîne des modifications de configuration des pare-feu, des serveurs DNS… Il peut être plus avantageux de mettre en place des microsegmentations fondées sur des SGT (security group tags) », souligne Éric Vedel, le directeur technique de la cybersécurité chez Cisco. Il s’agit de créer des groupes dits « de sécurité », identifiés par un tag, de définir des règles de communication entre eux et d’associer chaque terminal à un groupe. Ainsi, tout flux d’information sera doublement taggé – avec le tag du terminal de départ et celui du terminal d’arrivée – et bénéficiera d’un filtrage spécifique. C’est donc le contexte de la connexion qui est pris en compte, et pas seulement l’adresse IP.
Si la segmentation par VLAN est la plus courante, « elle nécessite un changement dans l’adressage IP des équipements, ce qui entraîne des modifications de configuration des pare-feu, des serveurs DNS… Il peut être plus avantageux de mettre en place des microsegmentations fondées sur des SGT (security group tags) », souligne Éric Vedel, le directeur technique de la cybersécurité chez Cisco. Il s’agit de créer des groupes dits « de sécurité », identifiés par un tag, de définir des règles de communication entre eux et d’associer chaque terminal à un groupe. Ainsi, tout flux d’information sera doublement taggé – avec le tag du terminal de départ et celui du terminal d’arrivée – et bénéficiera d’un filtrage spécifique. C’est donc le contexte de la connexion qui est pris en compte, et pas seulement l’adresse IP.
Les systèmes de contrôle d'accès, de plus en plus indispensables
Les pare-feu permettent d’établir, dans une usine, une zone démilitarisée (DMZ) entre l’IT et l’OT. « Celle-ci s’apparente à un sas, fermé de chaque côté par un pare-feu, qui surveille ce qui entre et ce qui sort, et autorise certaines actions. Le protocole autorise ainsi le réseau IT à venir déposer un fi chier dans la DMZ, et le réseau OT à venir le récupérer. En revanche, il empêche de prendre le contrôle d’un ordinateur industriel depuis le réseau IT », explique Fabrice Tea, le directeur technique de la transformation digitale chez Schneider Electric. Les pare-feu, dans leurs versions industrielles, sont également utilisés pour segmenter le réseau OT. Ces outils logiciels sont capables « de faire du filtrage applicatif, de l’inspection de réseaux, d’analyser finement les données », explique Khobeib Benboubaker. Cependant, ils ne garantissent pas la même sécurité qu’une solution matérielle telle que les cartes électroniques de cybersécurité appelées diodes. Celles-ci ne laissent passer les flux que dans un sens. L’Agence nationale de la sécurité des systèmes d’information (Anssi) préconise qu’une installation très critique ne puisse communiquer avec le réseau IT qu’à travers une diode.
Le caractère unidirectionnel de la diode empêche d’attaquer un équipement critique à partir d’un terminal situé hors de la zone protégée par la diode. Mais cela empêche aussi de piloter cet équipement à partir de ce terminal. Seclab a donc développé une passerelle sécurisée électronique qui permet des échanges de données bidirectionnels. Pour Xavier Facelina, les solutions matérielles – électroniques – o ffrent un temps de latence réduit et davantage de stabilité : « Une fois que c’est câblé, ça ne change pas de comportement. L’électronique apporte un fort niveau de confiance et de pérennité. La contrainte principale de l’industrie reste en e et la durée de vie du produit. »
Diodes, pare-feu, VLAN, SGT… « Les systèmes de contrôle d’accès au réseau jouent un rôle de plus en plus essentiel dans la solution de sécurité globale, estime Fayce Mouhieddine, le directeur des ventes cybersécurité chez Cisco. Non seulement ils sont capables de contrôler l’accès au réseau mais, via des interfaces de programmation, ils permettent également d’exclure un équipement si ce dernier est considéré comme compromis ou dangereux pour le système. »
Le caractère unidirectionnel de la diode empêche d’attaquer un équipement critique à partir d’un terminal situé hors de la zone protégée par la diode. Mais cela empêche aussi de piloter cet équipement à partir de ce terminal. Seclab a donc développé une passerelle sécurisée électronique qui permet des échanges de données bidirectionnels. Pour Xavier Facelina, les solutions matérielles – électroniques – o ffrent un temps de latence réduit et davantage de stabilité : « Une fois que c’est câblé, ça ne change pas de comportement. L’électronique apporte un fort niveau de confiance et de pérennité. La contrainte principale de l’industrie reste en e et la durée de vie du produit. »
Diodes, pare-feu, VLAN, SGT… « Les systèmes de contrôle d’accès au réseau jouent un rôle de plus en plus essentiel dans la solution de sécurité globale, estime Fayce Mouhieddine, le directeur des ventes cybersécurité chez Cisco. Non seulement ils sont capables de contrôler l’accès au réseau mais, via des interfaces de programmation, ils permettent également d’exclure un équipement si ce dernier est considéré comme compromis ou dangereux pour le système. »
« Sécuriser les ports USB est indispensable » (Xavier Facelina, PDG de Seclab)
Les clés USB représentent un risque important. Comment s’en protéger ?
A priori, c’est difficile. Dans l’OT, on ne maîtrise pas les ordinateurs. Ils peuvent se trouver à l’intérieur des automates, parfois il n’y a pas d’écran, et on ne peut pas installer un antivirus dessus. Pour se protéger des clés USB, on installe donc des postes de douane électroniques qui matérialisent la séparation entre l’OT et l’IT. C’est-à-dire des ports USB sécurisés qui laissent passer uniquement les fichiers signés.
Ces ports sécurisés ne s’adressent-ils qu’aux systèmes isolés ?
Régler le problème de la segmentation réseau est vital, mais parfaitement inutile du point de vue de l’analyse des risques si l’on n’est pas capable d’apporter exactement la même isolation sur les ports USB des systèmes isolés. Les clients 100 % réseau utilisent aussi ces ports sécurisés comme back-up. Un client ayant acheté des ports USB peut se dire : si mon réseau tombe et que je suis en mode dégradé, avec les ports USB sécurisés, je maintiens mon isolation.
Comment garantir cette isolation ?
C’est une logique de contrôle d’accès. Seul le fichier qui a un passeport valide va passer la douane. Par exemple, le service d’ingénierie, qui envoie des fichiers de mises à jour du programme de pilotage d’automate, utilise l’un de nos boîtiers réseaux, connecté à l’intérieur de son réseau. Le boîtier va fournir une signature cryptographique au fichier qui sort du service ingénierie. Ce fichier signé peut passer où il veut, sur internet, par des virus, des malwares, des clés USB… In fine, il arrivera par une clé USB, branchée sur notre port USB électronique, qui ne sait lire que les fichiers signés et intègres.