Au sein de toutes les entreprises Françaises, une transformation digitale est en marche. Portée par la quatrième révolution industrielle, celle-ci doit relever de nombreux challenges. Secteurs de l’Industrie, de l’Énergie ou des Utilités n’échappent pas au phénomène. Pour ces acteurs économiques, un des enjeux est donc de faire évoluer leurs systèmes de production et/ou d’exploitation (SCADA). Ces systèmes devront dorénavant être plus ouverts et interconnectés avec les différents systèmes de l’entreprise. Les objectifs sont variés. Pour certains, il s’agit de générer des gains de productivité, de compétitivité ou d’apporter un meilleur service à leurs clients. Pour d’autres, le but, est d’améliorer les capacités de production, voir à développer de nouveaux services à valeur ajouté. Tous ces objectifs sont bien sûr réalisables. Attention, cependant à ne pas négliger la cybersécurité des installations !
Le métier de la Supervision vit une véritable révolution
Le métier de la Supervision est en train de vivre une révolution digitale. Traditionnellement, les systèmes SCADA étaient isolés des autres systèmes informatiques. L’isolement pouvait tout d’abord être physique, car il s’appuyait généralement sur un réseau informatique dédié. Cependant, il pouvait également être géographique. En effet, les sites de production étant souvent distants des centres de décision. Les protocoles de communication étaient également très spécifiques, voire propriétaires et très proches des modes de fonctionnement des systèmes de contrôle-commande et d’automatisme.
Aujourd’hui, ce cloisonnement qui pouvait apparaître comme un premier rempart de protection face à des problématiques « Cyber » est en train de disparaître. Il n’est plus rare de constater que les automates et systèmes communiquant utilisent des protocoles de communication en Ethernet (IP). De plus, ils s’interfacent avec des systèmes informatiques de gestion d’entreprise : ERP, MES, GMAO, SIG… Cette interconnexion portée par l’émergence des nouvelles technologies, mobiles, objets connectés, Cloud, Big Data… représente un des challenges techniques de la transformation digitale portée par la convergence OT/IT (Informatique Industriel/Entreprise). Fort potentiel de création de valeur, cette convergence présente également une menace pour l’intégrité des systèmes.
Les SCADA héritent désormais des nombreuses vulnérabilités issues des systèmes informatiques d’entreprise (IT) qu’il faut désormais traiter. Cela passe à la fois par des règles d’hygiène informatique strictes, mais aussi par la mise en service de systèmes SCADA capables intrinsèquement de prendre en compte les enjeux de la Cybersécurité informatique.
Les menaces et enjeux de la Cybersécurité sur les systèmes SCADA
La digitalisation des entreprises est une réalité. Cela passe par le renforcement de la connectivité et de l’interaction des systèmes entre eux. Il est facile de s’imaginer que les enjeux de cybersécurité sont dédiés à quelques fleurons industriels nationaux, mais ce serait une erreur. Selon une étude de Kaspersky, les vulnérabilités des systèmes d’ICS (Systèmes Industriels de Contrôle) augmentent régulièrement en nombre et en sévérité. Déstabilisation, espionnage, sabotage ou cybercriminalité, les entreprises, qu’elles soient ou non considérées par l’état français comme d’importance vitale (OIV), sont devenues des cibles privilégiées. Toutes se doivent de préserver l’intégrité de leur système d’information afin de maintenir un outil de production fiable et compétitif.
A quoi sert la certification CSPN ?
En choisissant un produit certifié, une entreprise à la garantie que les fonctionnalités offertes disposent d’un niveau de sécurité éprouvé.
La certification répond principalement à 3 objectifs. Premièrement, les objectifs réglementaires. Il s’agit de répondre aux règlements nationaux ou européens qui imposent l’utilisation de solutions garantissant un niveau de robustesse éprouvé. Ensuite, les objectifs contractuels. Ils ont pour mission de répondre aux donneurs d’ordres publics ou privés qui exigent que les solutions utilisées aient préalablement obtenu un Visa de sécurité ANSSI. Pour terminer, les objectifs commerciaux. Ils doivent permettre à un fournisseur de produits ou à un prestataire de services, ainsi qu’aux utilisateurs finaux de ces solutions, de se démarquer de la concurrence par la garantie d’un certain niveau de robustesse.
Utiliser une plateforme certifiée comme support à des applications de supervision dûment implémentées assure donc un niveau de fiabilité éprouvé. L’entreprise qui avance dans une démarche de cybersécurité gagnera un temps précieux lors des phases de tests et de validation de son système de supervision dans le cadre de sa politique de sécurité du ou des systèmes d’information (PSSI).
Cas pratique : La Cyber-stratégie de Codra
De par son expérience dans des projets de supervision dit « sensibles », Codra a toujours prêté attention à la sécurité informatique. Celle-ci est inscrite dans l’ADN de la société. Depuis 2015, la Cybersécurité est un pilier de la stratégie de développement des produits Panorama. C’était donc une évidence pour Codra de travailler en étroite collaboration avec l’ANSSI afin de pouvoir apporter rapidement des solutions concrètes aux enjeux de cybersécurité dans les métiers de la Supervision. Ce choix stratégique a permis à Panorama E2 de devenir aujourd’hui la première plateforme SCADA à obtenir la Certification de Sécurité de Premier Niveau (CSPN) délivrée par l’ANSSI.
Dans le cadre du CSPN, un organisme mandaté par l’ANSSI a effectué des tests de pénétration. Les fonctionnalités implémentées permettent de limiter la propagation des attaques et d’assurer une défense en profondeur.
Codra a également mis en place un CSIRT produit (Computer Security Incident Response Team). Il permet d’assurer un dialogue constant entre les utilisateurs et les équipes techniques Panorama. Disponible depuis 2018, il permet également de travailler sur le volet prévention. Notamment avec la publication de bulletins de sécurité et mise à disposition de correctifs de sécurité.
Panorama E2 : Une solution SCADA sécurisée
Concrètement, Panorama E2 permet aux entreprises d’appliquer aux mieux les bonnes pratiques cyber en termes d’hygiène informatique grâce à ces nombreux mécanismes de cybersécurité. Par exemple, identifier les différents rôles utilisateurs et données sensibles à protéger. Ils permettent également de contrôler l’intégrité et le chiffrement des applications. Les menaces étant constantes, des attaques malveillantes peuvent intervenir à tout moment. Voici quelques exemples : altération de flux, corruption de configuration, contournement d’identification. La mise en place d’un PSSI couplé à des mécanismes de cybersécurité éprouvés sont autant d’atouts à la fois pour les opérationnels et les DSI/RSSI qui doivent désormais travailler main dans la main pour assurer un niveau de sécurité optimal.
Pour mener à bien cette cyber-stratégie, la certification du produit Panorama fut une étape majeure pour Codra, mais pas la seule, ni la dernière ! Ainsi, Codra est en route pour la qualification ANSSI. Celle-ci garantit plus largement les compétences et l’engagement de Codra à respecter des critères de confiance approuvés par l’agence nationale.
Pour découvrir Panorama E2 , la supervision SCADA de Codra, rendez-vous à cette adresse codra.net
