Cyberrésilience des TO : protection stratégique des données pour la conformité aux normes IEC

La protection et la résilience des données TO consistent à sécuriser les données des systèmes de contrôle industriels, telles que la logique des API, les configurations des IHM et les archives historiques, contre les pertes ou les cyberattaques, tout en garantissant une restauration rapide afin de préserver la sécurité et la continuité de la production.

Dans les environnements industriels modernes, le concept traditionnel de « la sécurité comme barrière » ne suffit plus. Alors que les initiatives 4.0 du secteur comblent le fossé entre les technologies de l’information (TI) et les technologies opérationnelles (TO), l’« air gap » (barrière physique entre les systèmes informatiques et les systèmes opérationnels), autrefois fiable, s’amenuise. Les systèmes TO héritent aujourd'hui des menaces issues de l’informatique, sans bénéficier des cycles de correctifs rapides ni du matériel standardisé de l’informatique.

Dans ce contexte, il est irréaliste de viser une prévention parfaite. Lorsqu’une panne de système ou une cyberattaque se produit dans une usine, la principale préoccupation n’est pas de savoir « Qui nous a attaqués ? », mais : « À quelle vitesse pouvons-nous restaurer les opérations en toute sécurité ? ». Pour les professionnels des TO, la protection des données n’est pas une tâche informatique secondaire, elle constitue le pilier essentiel de la disponibilité opérationnelle et de la sécurité physique.

Dans le secteur industriel, la perte de données ne se limite pas à des feuilles de calcul manquantes : elle entraîne l’arrêt des chaînes de production, la détérioration de lots de produits et la mise en péril des protocoles de sécurité. L'impact financier de ces perturbations est considérable.

Selon le rapport Siemens – The True Cost of Downtime 2024 : la réalité économique des interruptions d'activité, les temps d’arrêt imprévus coûtent aux fabricants du Global 500 environ 1 400 milliards de dollars par an, ce qui représente environ 11 % de leur chiffre d’affaires annuel total.

Le coût d’une seule heure d’interruption d'activité varie selon le secteur d’activité, mais il reste catastrophique dans tous les secteurs :

·      Automobile : 2,3 millions de dollars par heure.

·      Pétrole et gaz : 500 000 dollars par heure.

·      Fabrication lourde : 260 000 dollars par heure.

·      Produits de grande consommation (fast-moving consumer goods, FMCG) : 36 000 dollars par heure.

La menace des attaques de ransomware pour la production : les ransomwares ne sont plus seulement un casse-tête informatique, ils constituent une menace directe pour la continuité de l’activité industrielle.

·      Selon Sophos – State of Ransomware in Manufacturing 2024, 93 % des attaques par ransomware dans le secteur de l’industrie tentent de compromettre les sauvegardes afin que la victime n’ait d’autre choix que de payer.

·      Le secteur de l’industrie manufacturière enregistre actuellement le taux de chiffrement le plus élevé de tous les secteurs, à savoir 74 %.

·      Selon les données du rapport Coveware du quatrième trimestre 2024, le délai moyen de restauration après une attaque est de 21 à 24 jours, une durée que la plupart des activités industrielles ne peuvent pas supporter sans subir des pertes considérables.

C'est pourquoi Acronis Manufacturing Solution s’efforce de réduire au maximum le « délai maximal d’interruption admissible » (RTO, Recovery Time Objective) afin de permettre à l’industrie de continuer à fonctionner.

Les environnements TO sont souvent des « musées vivants » de la technologie d’automatisation. Il est courant de constater que des processus critiques sont gérés par des machines sous Windows XP ou Windows 7 qui ne peuvent pas être mises à jour, car elles sont liées à du matériel spécifique et sensible.

Par ailleurs, conformément à la norme NIST — SP 800-82r3, le modèle Purdue d’architecture des systèmes de contrôle industriels impose une segmentation stricte. Pour protéger efficacement ces systèmes, il est nécessaire de mettre en place des architectures qui respectent les contraintes suivantes :

1.    Intégration de niveau 2 ou de niveau 3 : les sauvegardes doivent être gérées localement au niveau de la cellule ou de la zone afin de garantir que la restauration soit possible même en cas de coupure de la connexion au réseau de l’entreprise (niveau 4/5).

2.    Serveurs de sauvegarde locaux renforcés : dans les segments isolés, utiliser un stockage renforcé qui résiste à la propagation de ransomwares depuis le côté informatique.

3.    Transfert unidirectionnel et diodes de données : pour les segments hautement sensibles, utiliser des transferts de données unidirectionnels afin de transférer les images de sauvegarde vers des référentiels sécurisés, sans ouvrir le segment aux menaces entrantes.

4.    Gestion des environnements air-gapped : pour résoudre les problèmes de protection des données dans les usines air-gapped, il faut des solutions qui ne dépendent pas d’une connexion constante au cloud pour fonctionner.

En cas de panne d’un nœud SCADA ou d’une IHM, c’est l’ingénieur en poste, et non un administrateur informatique à distance, qui intervient en premier. La résilience dépend de la capacité de cet ingénieur à restaurer le système sans formation spécialisée en cybersécurité.

·      Restauration en un clic : la complexité est l’ennemie de la disponibilité. Il est essentiel de comprendre pourquoi la restauration en un clic est cruciale pour maintenir la production. Elle permet aux opérateurs de lancer un processus de restauration préconfiguré qui ramène la machine à un état de fonctionnement connu en quelques minutes.

·      Restauration sur système nu (BMR) : en cas de défaillance du matériel d’un poste de travail, la BMR vous permet de restaurer l’intégralité du système, c'est-à-dire système d’exploitation, pilotes, applications et logique, sur du matériel entièrement neuf et différent, sans reconfiguration manuelle.

·      Support de démarrage : dans les cas où le système d’exploitation ne se charge pas, les ingénieurs peuvent éviter des temps d'interruption d'activité coûteux en utilisant un support de démarrage. Ils peuvent ainsi lancer la restauration à partir d’une clé USB ou d’un CD afin de contourner l’environnement local corrompu.

Les antivirus informatiques traditionnels constituent souvent un frein dans le domaine des TO. Ils peuvent provoquer des faux positifs qui entraînent l’arrêt d’un pilote de communication d’API ou consommer un grand nombre de cycles de processeur, ce qui provoque une « gigue » dans les processus sensibles au temps.

Recherchez, lorsque vous évaluez Acronis Cyber Protect for OT, les critères suivants, adaptés aux TO :

·      Prise en charge des systèmes d’exploitation anciens : une protection qui s’étend jusqu’à Windows XP SP3.

·      Détection comportementale hors ligne : la capacité à identifier les schémas de ransomware sans avoir besoin d’une mise à jour des signatures depuis Internet.

·      Faible impact sur le processeur : la garantie que l’agent de sécurité n’interfère pas avec les exigences en temps réel des applications industrielles.

·      Autodéfense : l'agent de sauvegarde lui-même doit être « immuable » ou protégé contre toute interruption non autorisée par un malware.

On ne peut pas protéger ce qu’on ne voit pas. Les « TO fantôme », c’est-à-dire les terminaux ajoutés au réseau par des fournisseurs ou des équipes de maintenance sans documentation officielle, constitue une source majeure de vulnérabilité.

Les stratégies modernes de résilience intègrent :

·      Découverte passive : identification des actifs par l’analyse du trafic de sauvegarde plutôt que par une analyse intrusive du réseau.

·      Inventaire logiciel : la collecte et la gestion automatisées de l’inventaire logiciel vous permettent de savoir exactement quelles versions de Siemens TIA Portal ou de Rockwell Studio 5000 sont utilisées sur l’ensemble du parc.

·      Évaluation des vulnérabilités basée sur les sauvegardes : analyse des images de sauvegarde à la recherche de vulnérabilités dans un environnement en bac à sable, afin que la gestion des vulnérabilités n’ait pas d'incidence sur la machine de production en service.

Une véritable cyberrésilience permet de mettre en correspondance les capacités avec des normes internationales telles que la norme IEC 62443-3-3. Acronis facilite cet alignement en fournissant :

Les données TO sont différentes des données informatiques. Elles comprennent la logique et les configurations qui définissent les mouvements physiques et les processus chimiques.

·      Rockwell Automation : fichiers de projet Logix (.ACD), FactoryTalk View (.APA, .MER).

·      Siemens : archives de projet TIA Portal (.zap1X), projets Step 7.

·      Schneider Electric : EcoStruxure Control Expert (.STU, .ZEF).

·      AVEVA/Wonderware : aplications IHM InTouch et archives Historian (.idq, .hcal).

Pour en savoir plus sur la sécurisation de ces systèmes spécifiques, découvrez comment les directeurs d’usine et les ingénieurs TO peuvent se préparer aux attaques SCADA.

·      Support de restauration amorçable actuel (USB/ISO).

·      Copie hors ligne de la dernière sauvegarde (datant de moins de 24 heures).

·      Schéma de l’architecture réseau et liste des adresses IP, en version papier.

·      Pilotes de restauration indépendants du matériel pour les pièces de rechange actuelles.

·      Clés d’accès physiques aux armoires de serveurs verrouillées.

1.    Isoler : déconnecter le segment concerné du reste du réseau.

2.    Vérifier : vérifier l’intégrité de la dernière sauvegarde (s’assurer qu’elle n’est pas « infectée »).

3.    Restaurer : utiliser la restauration sur système nu pour transférer l’image sur la machine cible.

4.    Valider : vérifier la communication API-IHM et les verrouillages de sécurité avant de reprendre la production.

Q : Peut-on utiliser une sauvegarde informatique standard pour nos API ? R : Non. Les sauvegardes informatiques ne permettent souvent pas une restauration « sur système nu » pour les systèmes d’exploitation industriels hérités et peuvent entraîner des problèmes de synchronisation (gigue) dans les boucles de contrôle.

Q : Comment gérer les sauvegardes dans un environnement entièrement isolé ? R : Utilisez un serveur de gestion local au sein de l’environnement isolé (« air-gap ») et effectuez des transferts de données manuels de type « swivel-chair » au moyen d’une clé USB chiffrée et analysée ou d’une diode de données dédiée.

Q : Acronis prend-il en charge les systèmes Windows XP hérités ? R : Oui, Acronis offre une prise en charge spécialisée pour les systèmes hérités, ce qui permet d’effectuer des sauvegardes d’images complètes et des restaurations sur du matériel virtuel ou physique moderne.