Cybersécurité pour chaînes logistiques: aussi solide que leur maillon le plus faible
Les vulnérabilités des chaînes logistiques en font des cibles de choix pour les cyberattaques,
par Morand Fachot, Rédacteur technique à la Commission électrotechnique internationale (IEC). A travaillé auparavant comme journaliste à la BBC, a écrit également pour le Financial Times Business Group et plusieurs publications internationales sur les questions géopolitiques, de sécurité et technologiques (défense, renseignement et audiovisuel).
Comme jusqu’à 80% des cyberattaques peuvent provenir de chaînes logistiques, la protection de celles-ci est une priorité absolue pour toutes les organisations. Les actifs industriels et d’infrastructure critique sont les plus exposés. La Commission électrotechnique internationale (IEC) a développé de nombreuses normes pour cela. Elle travaille également sur l’évaluation de la conformité (CA) et sur les systèmes de certification mondiaux par le biais de groupes de travail (WG) mis en place par son Comité d’évaluation de la conformitéii (CAB) et par le Comité de gestion de la certification (CMC) de IECEEiii, le système IEC pour les procédés d’évaluation des équipements et composants. Les deux devraient permettre de mieux protéger les chaînes d’approvisionnement.
Les infrastructures critiques importent plus
L’impact global et la gravité des cyberattaques varient selon les cibles. Celles visant les entreprises et l’industrie peuvent avoir des conséquences désastreuses pour les firmes touchées, et parfois pour la société. Elles peuvent même conduire à la fermeture de certaines entreprises ou industries. Cependant, les cybermenaces les plus graves au niveau des pays concernent les infrastructures critiques, qui rassemblent les actifs et systèmes essentiels au fonctionnement de la société et de l’économie d’un pays. Ces infrastructures critiques comprennent des secteurs essentiellement similaires dans de nombreux pays. Les dommages causés à l’une d’elles peuvent avoir de graves conséquences pour l’ensemble d’une société.
La chaîne logistique, un concept la fois flexible et complet
ISO/IEC 27036-1:iv Technologies de l’information – Techniques de sécurité – Sécurité d’information pour la relation avec le fournisseur – Partie 1: Aperçu général et concepts, la norme développée conjointement par l’Organisation internationale de normalisation (ISO) et l’IEC, donne une définition très complète de la chaîne d’approvisionnement dans le domaine des Technologies de l’information et de la communication (TIC). Elle se compose, selon cette norme, d’un “ensemble d’organisations partageant des ressources et des processus liés, chacune agissant en tant qu’acquéreur, fournisseur ou les deux afin de créer des relations de fournisseur successives établies dès la passation d’un bon de commande, d’un accord ou de toute autre procédure formelle d’approvisionnement (…)
Une définition de la chaîne logistique pour actifs industriels et autres, tels que réseaux de distribution électriques, systèmes de transport, fabrication intelligente (Smart manufacturing), etc. serait plus complète et complexe, car elle engloberait non seulement les TIC, mais également la chaîne d’approvisionnement des technologies opérationnelles (OT), les personnes (développeurs, fournisseurs, installateurs, personnel travaillant sur OT), les processus ainsi que les produits, c’est-à-dire les composants et systèmes essentiels pour OT, tels les systèmes de contrôle et d’automatisation industriels (IACS) et, de plus en plus, l’Internet des objets (IoT). La numérisation dans tous les secteurs industriels signifie davantage de vulnérabilités pour les chaînes logistiques industrielles.
Différents secteurs et activités confrontés à des défis similaires
Une conférence sur la gestion des cyberrisques pour infrastructures critiques, organisée par le Financial Times à Londres en juin 2018, a tenu une session-débat sur la sécurisation de la chaîne logistique critique. Parmi les participants figuraient des responsables de la sécurité de l’information (RSSI) et des responsables de l’information des industries aéronautique et de l’énergie, lesquels ont expliqué la gestion de leur chaîne logistique et de leurs fournisseurs. Ils ont décrit les défis auxquels ils sont confrontés et les solutions qu’ils déploient pour y faire face, tout en gardant à l’esprit que la sécurité constitue également une préoccupation majeure pour eux. Kevin Jones, responsable de l’architecture cybersécurité chez Airbus, a expliqué qu’Airbus avait trois domaines d’activité principaux: la production d’avions commerciaux, d’hélicoptères et d’équipements de défense. “Cela implique un nombre important de fournisseurs à un moment où Airbus évolue, à l’instar de nombreux autres fabricants suite à un vaste programme de transformation”, a déclaré Jones.
Afin de protéger sa chaîne logistique, Airbus a mis en place un certain nombre de mesures, notamment un accès à distance sécurisé pour ses fournisseurs et un certain degré de compartimentalisation des accès, un audit complet des installations de production d’Airbus et de ses fournisseurs ainsi que l’identification des vulnérabilités. Les fournisseurs sont contraints de revoir leur processus et s’assurer que ceux-ci respectent les normes d’Airbus.
En ce qui concerne le développement de codes informatiques pour les environnements de sécurité, Airbus dispose d’équipes internes composées d’experts en rétro-ingénierie de codes et en évaluation de la fiabilité. “Nous investissons beaucoup d’argent, de temps et d’efforts pour nous assurer que notre code est bien validé. Comme toute grande entreprise, nous avons une chaîne logistique très complexe et très étendue et la façon dont nous la traitons dépend en grande partie des risques que cette chaîne pose pour notre entreprise”, a-t-il ajouté.
Peter Merker, RSSI de Skyguide, qui fournit des services de gestion du trafic aérien pour la Suisse et certaines régions limitrophes des pays voisins, a expliqué que l’ensemble du secteur de contrôle du trafic aérien était en profonde transformation technologique liée à la numérisation. Cette transformation numérique signifie l’abandon d’un ensemble d’équipements d’une durée de vie de plus de 20 ans au profit de systèmes issus de l’environnement informatique et de “l’introduction de logiciels commerciaux standards dès que cela est possible, en raison de pression sur les coûts et de la flexibilité. L’ensemble du système de contrôle de la navigation aérienne est géré de manière centralisée et de plus en plus intégré sur le continent au sein d’Eurocontrol, ce qui signifie que la transformation numérique et la manière dont le secteur du contrôle du trafic aérien utilise les fournisseurs se produisent partout,” a indiqué Merker “Skyguide achète des logiciels directement. Nous examinons les aspects contractuels lors de la révision du code source, ce qui est nouveau pour nous puisque nous avons développé les codes nous-mêmes.” Skyguide est propriétaire de SkySoft, une entreprise de développement de logiciels spécialisée dans les systèmes de gestion du contrôle du trafic aérien. “Nous gérons ce que nous développons nous-mêmes et ce que nous achetons sur le marché”, a déclaré Merker.
Dexter Casey, RSSI du groupe Centrica, multinationale britannique de l’énergie et des services, a expliqué que Centrica avait deux divisions principales, la première, British Gas, pour l’énergie [gaz et électricité] “dispose d’équipements très importants, de plates-formes et de stations pour le gaz. La deuxième division de Centrica, Connected Home, est une société IoT, “qui connaît également des problèmes similaires en ce qui concerne les puces et les jeux de puces (chipsets) provenant d’un seul fournisseur. Il est extrêmement difficile, contractuellement, de demander aux fournisseurs de modifier la configuration ou de rendre ces composants uniques”, a déclaré Casey, ajoutant que Centrica comptait plus de 30 000 fournisseurs et une équipe d’environ 15 employés chargés de passer en revue les contrats et d’effectuer les évaluations de sécurité. “Ce que Centrica doit faire, c’est concentrer ses efforts sur les 100 à 200 fournisseurs qui ont un impact déterminant sur la prestation de ses services”, a-t-il expliqué.
Plusieurs intervenants ont évoqué les risques liés aux “attaques de points d’eau”, dans lesquelles des programmes malveillants sont implantés sur certains sites web de fournisseurs susceptibles d’être visités par les organisations ciblées. La chaîne d’approvisionnement en logiciels est une cible attrayante pour les attaquants. Un rapportvi du centre national de contre-espionnage et de sécurité (NCSC) des États-Unis, publié en juillet 2018, avertit que “l’infiltration de la chaîne d’approvisionnement en logiciels menace déjà le secteur des infrastructures critiques et est sur le point de menacer d’autres secteurs”. Tous les intervenants ont convenu qu’ils étaient confrontés à des problèmes similaires, car les infrastructures et les processus reposaient de plus en plus sur les technologies de l’information et opérationnelles (IT et OT), rendant la gestion des chaînes logistiques bien plus complexe qu’avant, lorsque la numérisation était moins répandue et que les cybermenaces n’étaient pas un problème.
Impact croissant de la conformité et de la certification sur la cybersécurité
Les activités étendues de l’IEC dans le domaine de la cybersécurité comprennent les normes, les exigences techniques et les spécifications et, de plus en plus, les certificats de conformité et la certification. Outre la famille de normes ISO/IEC 27000vii pour la gestion des services informatiques et la série de publications horizontales IEC 62443viii Réseaux industriels de communication sur les réseaux de communication industriels (IACS), relatives à de nombreux domaines, plusieurs comités techniques et sous-comités d’études de l’IEC (SC) ont élaboré des normes, spécifications techniques et exigences spécifiques pour certains secteurs.
Le CAB de l’IEC a mis en place le groupe de travail CAB WG 17ix: Cyber security. Les tâches de ce WG consistent notamment à examiner les besoins du marché et le calendrier des services de CA pour les produits, services, personnel et systèmes intégrés dans le domaine de la cybersécurité. Cependant, ils excluent le champ d’application des applications d’automatisation industrielle couvertes par IECEE CMC WG 31x: Cyber security. Le WG 17 du CAB communique également aux autres secteurs de l’industrie l’approche en matière de cyber sécurité adoptée par l’IECEE CMC WG 31 et la manière dont elle peut s’appliquer à ces autres secteurs.
La tâche principale de l’IECEE CMC WG 31 est de “créer une approche unique de la série IEC 62443 pour l’évaluation de la conformité.” Pour ce faire, il a préparé un document opérationnel, OD-2061xi, publié en juin 2018, qui décrit comment gérer l’évaluation de la conformité et son application à certaines normes de la série IEC 62443.
De plus, ce document opérationnel explique dans quelles conditions les certificats de conformité IECEE en matière de compétence en cyber sécurité industrielle peuvent être délivrés. Ceux-ci ne sont valables que lorsqu’ils sont “signés par un laboratoire d’essais agréé par un organisme de certification (CB) reconnu et annexés à un certificat délivré par un CB national (NCB)”.
Ces certificats sont actuellement définis pour un ensemble d’évaluations concernant produit, processus, applications de capacités du produit, des processus et de mise en oeuvre de solutions, chacune de ces évaluations s’appliquant à une ou plusieurs normes de la série IEC 62443.
Conjointement avec les normes de cybersécurité de l’IEC, l’introduction récente de systèmes complets de certification et d’évaluation de la conformité devrait permettre de mieux protéger les systèmes reposant sur les réseaux de communication industriels et le système IACS, y compris les chaînes logistiques, contre les cybermenaces.
Sources et lexique:
- IEC: Commission électrotechnique internationale / International Electrotechnical Commission: https://www.iec.ch/
- IEC Conformity Assessment Board (CAB): https://www.iec.ch/cab
- IEC System for Conformity Assessment Schemes for Electrotechnical Equipment and Components: https://www.iecee.org/
- ISO/IEC 27036-1:2014, Information technology – Security techniques – Information security for supplier relationships – Part 1: Overview and concepts: https://webstore.iec.ch/publication/11314
- FT Managing Cyber Risk in Critical Infrastructure: https://tinyurl.com/yc44r6nl
- NCSC 2018 Foreign Economic Espionage in Cyberspace report: https://www.dni.gov/files/NCSC/documents/news/20180724-economic-espionage-pub.pdf
- Famille de normes ISO/IEC 27000: https://tinyurl.com/ya3qr8cb
- Série de normes IEC 62443 pour Réseaux industriels de communication – Sécurité dans les réseaux et les systèmes: https://tinyurl.com/y96vgr9v
- IEC CAB WG 17: Cyber security: https://tinyurl.com/ybt7mk7y
- IECEE CMC WG 31: Cyber security: https://tinyurl.com/y98o3vwm
- IECEE OD-2061, Industrial Cyber Security Program: https://tinyurl.com/ydbysu77