Ces outils repèrent les vulnérabilités et les anomalies dans le fonctionnement des équipements du réseau industriel. Grâce à l’IA, leur puissance est aujourd’hui renforcée.
L'une des pépites françaises de la cybersécurité industrielle est passée sous pavillon américain. Le 8 août, Rob Salvagno, le vice-président de l’équipementier de réseaux informatiques californien Cisco, a finalisé le rachat de Sentryo, annoncé deux mois plus tôt. Tièdement reçue dans l’Hexagone – « Dommage pour le marché français, même si cela valorise l’innovation tricolore », regrette Anthony Di Prima, du cabinet de conseil Wavestone –, l’acquisition témoigne de la montée en puissance des sondes de détection d’intrusion. « Le futur de la cybersécurité passe par ces nouveaux outils qui vont compléter les antivirus et pare-feu existants », pointe Emmanuel Germain, le directeur général adjoint de l’Agence nationale de la sécurité des systèmes d’information (Anssi).
Une sonde est un logiciel s’appuyant sur des boîtiers branchés sur les commutateurs réseaux – sortes de postes d’aiguillage – pour écouter les communications entre les machines passant par ces commutateurs. Elle permet notamment de détecter des pirates installés dans les systèmes informatiques. Si les réseaux d’entreprise (IT) commencent à s’équiper de sondes, les réseaux industriels (OT) ne disposent que depuis peu de solutions adaptées. Aux côtés de Sentryo, fondé en 2014, une poignée de start-up [lire ci-dessous] développent des sondes de cybersécurité industrielle. La cyberattaque Triton d’une usine pétrochimique leur a donné un coup de fouet, constate Rob Caldwell, du cabinet de conseil en cybersécurité FireEye. « Le marché des sondes a explosé ! Triton a montré à tous que la surveillance des systèmes industriels était primordiale. »
Une fois en place, la sonde, ce « mouchard », comme aime à dire Laurent Hausermann, le cofondateur de Sentryo, rentre dans les communications. Sa méthode ? L’inspection profonde de paquets (« deep packet inspection », ou DPI). « Les informations qui circulent dans le réseau sont groupées par morceaux, appelés paquets. Notre logiciel les écoute et en extrait ce qui est utile », précise-t-il. À savoir les informations métiers échangées par les machines industrielles, comme les ordres de commande à une presse, la vitesse de rotation d’un moteur, la température d’un four… Pour accéder à ces informations, la sonde doit être capable de parler les langages des machines, c’est-à-dire en connaître les protocoles de communication, souvent propriétaires.
Maîtriser les protocoles
C’est pourquoi, dans ce marché encore peu mature, celui qui comprendra le plus de protocoles industriels l’emportera, analyse Luis Delabarre, directeur technique cybersécurité chez Capgemini. Plus l’offre est complète, plus elle sera adaptée à tous types de clients. Sentryo revendique comprendre une cinquantaine de protocoles ; Nozomi Networks, plus de soixante. Ces start-up ont développé une proximité avec les automaticiens. « Nouer des partenariats avec Siemens, Schneider Electric… est crucial, souligne Vincent Dély, ingénieur chez Nozomi Networks. Cela nous permet d’augmenter le niveau d’informations sur des équipements et nous donne les clés pour comprendre le protocole. » Pour les protocoles propriétaires, il faut recourir à la rétro-ingénierie, qui ne fournit qu’une « compréhension limitée » du protocole par la sonde, reconnaît-il.
La puissance de la DPI est séduisante : rien qu’en écoutant les messages que les machines s’échangent, la sonde peut recenser, identifier et localiser les équipements présents sur le réseau. Un bénéfice moins anodin qu’il n’y paraît pour les industriels. « Nos clients n’ont pas beaucoup de visibilité sur leur réseau. Ils connaissent, en moyenne, moins de 50 % des machines qui y sont connectées », alerte Laurent Hausermann. La première phase d’écoute permet de dresser un inventaire des équipements, présenté sous forme graphique, « un Google Maps du réseau industriel ». Toute démarche de cyberprotection commence par une cartographie du réseau.
Apprentissage non supervisé
La sonde va ensuite chercher dans un répertoire des failles publiques (common vulnerabilities and exposures, ou CVE) les vulnérabilités des équipements. De quoi établir un ordre de priorité pour les correctifs de sécurité à appliquer. En effet, il n’est pas question de mettre à jour et redémarrer un automate pendant la pause-déjeuner, il faudra attendre le prochain arrêt de maintenance. Entre-temps, il est possible de prendre des « mesures palliatives temporaires » comme la microsegmentation ou le correctif virtuel, indique Vincent Dély. La première consiste à « isoler l’appareil le plus critique », la seconde à « indiquer au pare-feu quel équipement est vulnérable à quelle attaque ».
L’ambition des sondes va cependant bien au-delà. Leur atout majeur est la détection des intrusions. En continuant d’écouter les machines communiquer, elles peuvent identifier les signatures des attaques connues. Elles peuvent aussi détecter des anomalies sur la base de règles préprogrammées, signes potentiels d’attaques inconnues (dites « zero day »). Par ailleurs, en écoutant sur le temps long, la sonde va apprendre le fonctionnement normal des équipements du réseau : les récurrences, les variables remontées par telle ou telle machine… « Une fois l’apprentissage terminé, note Vincent Dély, on va pouvoir alerter en cas de comportement anormal : deux machines qui se connectent de façon inédite, un protocole jamais utilisé, une consigne qui dépasse les valeurs habituelles. »
La détection d’anomalies n’est pas nouvelle, elle existait déjà dans les outils de surveillance IT. Mais l’avènement du big data et le développement de l’apprentissage automatique (machine learning) confèrent à cette approche une puissance renouvelée. « Pendant des années, dans l’IT, on définissait des règles statiques en corrélant des logs [historiques d’événements, ndlr] entre eux pour détecter des comportements malicieux », rappelle Luis Delabarre, de Capgemini. Aujourd’hui, la détection s’effectue grâce à de l’apprentissage non supervisé : des algorithmes publics, comme K-means, qui permettent de rassembler les données par famille et de visualiser les points (qui peuvent correspondre à des utilisateurs, des applications, des adresses IP…) isolés afin d’alerter l’analyste.
C’est par l’intelligence artificielle que les éditeurs de sondes IT, comme Vectra ou DarkTrace, reviennent en force. Sentryo devrait, lui aussi, intégrer d’ici à la fin de l’année un algorithme d’apprentissage automatique – un réseau de neurones de type Long-short term memory –, afin d’améliorer les capacités d’apprentissage de sa sonde, l’ICS CyberVision, a annoncé Laurent Hausermann. Un nouvel atout pour Cisco, qui associe désormais ses sondes à certains de ses commutateurs.