Industrie 4.0 : Risques et effets secondaires
Dans l'industrie, les aspects acceptables de la sécurité informatique doivent gagner en importance. Les installations et les produits, mais aussi les données et le savoir-faire doivent être protégés de manière fiable contre tout accès non autorisé et toute utilisation abusive. La manière dont les entreprises se protègent contre les attaques informatiques sera l'un des principaux défis de l'industrie 4.0.
Da décentralisation du trafic de données exige de nouvelles structures et technologies pour les réseaux et la gestion des données. Rien qu'en termes de performances et de temps de latence, l'informatique liée aux processus est confrontée à des exigences élevées : d'une part, parce que des volumes de données toujours plus importants doivent être traités rapidement et, d'autre part, parce que les exigences en matière de disponibilité et de confidentialité des informations à traiter augmentent. Par conséquent, il y aura certainement des objectifs contradictoires entre la sécurité informatique et la disponibilité des installations.
Sécurité et objectifs contradictoires
Un problème majeur des systèmes de contrôle industriels (ICS : système informatique, réseaux compris), par exemple, est qu'une culture de la sécurité n'a pas encore été établie (par rapport à l'informatique commerciale). Les systèmes informatiques liés aux processus (par exemple, les microprogrammes) font partie des usines et ont un horizon temporel beaucoup plus long que l'informatique commerciale (jusqu'à 20 ans).
La sécurité informatique n'est généralement pas l'objectif premier du constructeur de l'usine. D'autre part, l'opérateur de l'usine n'a souvent aucune connaissance détaillée des technologies informatiques qu'il utilise. L'Office fédéral allemand de la sécurité de l'information (BSI) a élaboré le "ICS Security Compendium" sur cette problématique afin d'aider les exploitants d'installations industrielles à sécuriser leurs systèmes de production et de contrôle. Le recueil donne un aperçu des principales menaces qui pèsent sur les systèmes de contrôle industriels (menaces organisationnelles, erreurs humaines et actes intentionnels).
En outre, les meilleures pratiques de sécurité pour la planification, la conception et la mise en œuvre des SCI sont présentées, ainsi qu'une méthodologie d'audit des systèmes SCI. Les systèmes SCADA (supervisory control and data acquisition), fréquemment utilisés, constituent l'interface entre les systèmes hôtes et les réseaux ICS.
Une nouvelle dimension dans le contrôle
Les réseaux ICS surveillent et contrôlent les composants ICS. Jusqu'à présent, ces systèmes SCADA étaient situés sur des plates-formes propriétaires avec leur propre infrastructure de communication et sans connexion Internet. En ce qui concerne l'industrie 4.0, les spécialistes de l'informatique s'efforcent aujourd'hui de mettre ces systèmes en réseau (Internet) de manière globale, mais cela les exposera à l'avenir aux dangers classiques de la sécurité informatique. Cependant, les anciens développeurs ne pouvaient pas le prévoir et ces systèmes n'ont donc jamais été conçus pour cela et les scénarios de menace présentés ci-dessus n'ont jamais été envisagés. En outre, lorsqu'il s'agit de contrôler des installations de production complètes, les valeurs des capteurs doivent être disponibles en temps réel ; en effet, en cas de dysfonctionnement (par exemple, une attaque de virus), l'installation ne peut généralement pas être simplement mise hors réseau sans mettre en danger la sécurité de fonctionnement (par exemple, dans l'industrie chimique, les centrales électriques). Il y a quelques années, l'exemple du virus "Stuxnet", introduit avec succès dans les installations nucléaires iraniennes, a montré à quoi pouvait ressembler un tel dysfonctionnement : Les centrifugeuses à uranium sont très vite entrées dans la gamme des vitesses rouges. Par ailleurs, Stuxnet avait utilisé des failles de sécurité dans les systèmes de contrôle de Siemens (Simatic S7).
Toutefois, malgré les menaces potentielles ou les incidents mentionnés à titre d'exemple, les systèmes d'automatisation, de contrôle des processus et de commande des processus ne sont actuellement toujours pas au centre de la sécurité informatique. Cela doit changer fondamentalement pour l'industrie 4.0 ! La dissolution des "applications isolées" et la forte mise en réseau avec un grand nombre d'autres systèmes, y compris l'environnement de bureau, entraînent également de nouvelles exigences pour l'environnement réseau. Les entreprises doivent envisager non seulement la disponibilité du réseau, mais aussi la segmentation du réseau comme mesure de protection. Les concepts d'autorisation d'accès, les procédures d'authentification, l'utilisation de protocoles de réseau sécurisés, pour ne citer que quelques exemples, doivent être définis et mis en œuvre. Avec la mise en réseau et l'échange croissants de grandes quantités de données dans l'industrie 4.0, les exigences en matière de sécurité doivent donc augmenter dans chaque entreprise. Cependant, les mesures visant à renforcer la sécurité des attaques n'ont été mises en œuvre jusqu'à présent que lentement et souvent comme une solution à des aspects partiels, alors que la poursuite du développement vers l'industrie 4.0 exige des approches qui garantissent une protection globale des structures de systèmes fortement mises en réseau ainsi que l'échange de données et d'informations. Sur le plan opérationnel, même l'application régulière et opportune de correctifs représente un défi. Le support souvent insuffisant des fabricants et la criticité des systèmes (disponibilité) rendent encore plus difficile la gestion réglementée des correctifs. Une gestion approfondie des risques, même pendant la planification et la mise en œuvre des systèmes informatiques, est une condition préalable à une gestion réussie de la sécurité.
La norme ISO/IEC 27001
Pour assurer la sécurité de l'information dans l'industrie 4.0, il est essentiel d'adopter une approche proactive, comme le prévoit déjà aujourd'hui la norme ISO/IEC 27001, qui a une approche holistique. En tant que système de gestion, il ne se concentre pas seulement sur la mise en œuvre de mesures de sécurité, mais exige également l'attention de la direction et une adaptation constante pour améliorer le système. Le TR ISO/CEI (Lignes directrices pour la gestion de la sécurité de l'information basées sur l'ISO/CEI 27019 pour les systèmes de contrôle de processus spécifiques au service public de l'énergie) est un complément utile à ce catalogue générique d'exigences pour l'industrie de l'énergie, fournissant une assistance pour la mise en œuvre de mesures techniques et organisationnelles en plus des exigences de l'ISO/CEI 27001.
Il ne suffit pas de mettre en œuvre des fonctions de sécurité après coup s'il y a déjà eu des incidents de sécurité. Le sujet doit être considéré dès le début - adapté aux processus de l'entreprise, intégré dans le système de gestion. En outre, avec la mise en réseau et la coopération croissantes de différents partenaires, une forte confiance mutuelle est nécessaire. Des concepts, des architectures et des normes fiables dans le domaine de la sécurité informatique devraient soutenir cette base de confiance, car les fabricants et les opérateurs doivent avoir la certitude que leur savoir-faire, leur propriété intellectuelle et leurs données sont protégés.
Autres défis
Le défi consiste donc à équiper les systèmes informatiques existants pour les nouvelles exigences de l'industrie 4.0 et à développer en même temps des solutions pour les nouvelles usines. Les précautions au niveau de l'entreprise sont d'autant plus importantes qu'il reste à le dire : Il n'existe actuellement aucune souveraineté technique ou numérique dans le domaine de la sécurité informatique, que ce soit au niveau allemand ou européen. C'est pourquoi le gouvernement allemand souhaite renforcer la confiance dans la sécurité informatique, au moins au niveau national. Un projet de référence du BMBF sur la protection de la production contre les cyberattaques et l'espionnage sert cet objectif et explicitement en ce qui concerne l'industrie 4.0. Les questions de normalisation joueront un rôle central dans l'établissement d'une souveraineté technologique qui protège contre la cybercriminalité et assure la sécurité des données afin de fournir des technologies dignes de confiance. Les systèmes de contrôle industriel n'ont jamais été conçus pour répondre aux exigences de l'industrie 4.0. Le développement d'une informatique hautement disponible et, surtout, sécurisée, constitue donc le principal défi technique du monde numérisé et hautement interconnecté de demain.
Conclusion
Des normes élevées en matière de sécurité de l'information doivent être créées pour garantir le maintien de la protection des informations et des données. La sécurité des systèmes et la protection des données sont donc des questions transversales centrales de l'industrie 4.0 et chaque entreprise devrait élaborer à l'avance des mesures appropriées à cet égard. L'une des indications à cet égard peut être la norme ISO/IEC 27001. La sécurité informatique et la sécurité des communications sont donc les points névralgiques ! C'est là que l'on décide si l'industrie 4.0 sera un succès ou non.
