Dans les usines, la donnée est au cœur des systèmes OT (Operational Technology), elle est initialement donneuse d’ordre. Elle régule l’ensemble de la chaine de production, elle est donc critique et souvent urgente.
L’industrie 4.0 a pour objectifs l’optimisation des coûts, de la qualité et de l’efficacité opérationnelle. Pour répondre à ces enjeux, les entreprises doivent s’appuyer sur des outils numériques de maintenance prédictive, de traçabilité, de simulation virtuelle (jumeau numérique), etc.
Ces innovations requièrent collecte et analyse. Ainsi, les données d’actions deviennent également données d’informations. Disparates et volumineuses, elles peuvent être traitées localement (on parle de « edge computing ») mais aussi au-delà des murs de l’usine (ERP, cloud, partenaires…). Par conséquent, l’industrie se doit aujourd’hui d’être totalement communicante. Cela se traduit par une convergence IT/OT vers un ensemble unifié.
Dans ce contexte, l’expertise d’APIXIT en Connectivité, Réseau et Cybersécurité réponds aux contraintes de :
- disponibilité et de temps réel propre aux données d’actions
- agilité et de performance des données d’informations
- protection des données
ASSURER LA DISPONIBILITÉ
ET L’AGILITÉ DE L’ARCHITECTURE
Réseau physique industriel
Le premier enjeu de l’industrie est la continuité de production. Amplifié par le passage à l’industrie 4.0 et l’IIoT, les besoins de connectivité des systèmes industriels modernes évoluent constamment.
Les équipes en charge de l’informatique industrielle doivent donc non seulement assurer la disponibilité de l’infrastructure, mais aussi s’appuyer sur une architecture physiquement agile. Cela passe par une vision globale plutôt qu’une vue par ligne de production.
APIXIT vous propose son éclairage sur un plan :
- Technique : par exemple, les boucles optiques permettent une redondance par des chemins différents et surtout une agilité physique avec ajouts et retraits simples de coffrets en tout point de la boucle.
- Méthodologique : la reprise d’un existant inadapté aux besoins actuels et parfois non documenté, requière une phase d’audits et de plans de travaux avant le déploiement. La criticité des équipements nécessite des recettes unitaires du câblage (et non pas échantillonnée). La réorganisation permanente des usines implique forcément une rigueur sur la mise à jour des livrables.
Architecture LAN
L’usine doit maîtriser ses temps et limiter ses arrêts de production pour améliorer son efficacité opérationnelle. Elle doit donc désormais être communicante. Les unités de production ne pouvaient plus se contenter du réseau BUS historique. Elles se sont orientées vers des technologies performantes proposées par l’Ethernet LAN.
L’Ethernet LAN a dû s’adapter pour permettre le transport des protocoles industriels (profinet, modbus-TCP…), l’implémentation de fonctionnalités spécifiques (NAT L2, PTP…) et la mise en place d’architectures adaptées à l’environnement physique de l’usine (protocoles de convergence de boucle rapide MRP, PRP, REP…).
Cependant, beaucoup d’entreprises industrielles ne sont pas confrontées aux contraintes techniques impliquant ces spécificités. Leurs réseaux se rapproche d’architectures similaires à celles des environnements campus.
Par sa maîtrise de ces différents environnements, APIXIT accompagne les entreprises industrielles de tous types : prestations de conseil, ingénierie d’architecture, déploiement.
Wifi industriel
Les connexions des équipements Wifi dans le monde industriel sont bien plus critiques que dans la bureautique. Par exemple des activités logistiques ou encore l’usage d’objets connectés (IIoT) rendent la connexion radio indispensable.
Plus critique, le Wifi industriel est également plus complexe : roaming, AGV, hétérogénéité des terminaux, complexité de couverture (surface conséquente et mouvante, matériaux disruptifs, hauteur…).
L’usage est au cœur de la réflexion d’APIXIT pour élaborer votre solution technique sur 4 axes :
- le design radio contextualisé (positionnement, couverture, type d’antenne, puissance) primordial car il supporte la transmission des données
- l’architecture technique avec des solutions constructeur conçues pour l’entreprise
- une configuration adaptée à votre OT
- des outils de management innovant pour un troubleshooting réactif mais aussi proactif
UNE SÉCURITÉ ADAPTÉE
A L’INNOVATION
La convergence IT/OT nécessite une sécurité adaptée au contexte d’ouverture des Systèmes d’Information Industriels. En effet, cette ouverture conduit à une augmentation de la surface d’attaque et expose les environnements industriels aux mêmes risques que l’environnement IT. Les cyber-attaquants ont bien saisit l’intérêt de cibler l’environnement OT compte tenu de sa criticité pour l’activité de l’entreprise.
Etant historiquement fermé, un réseau industriel ne prend pas traditionnellement en compte la cybersécurité. A cela s’ajoute l’obsolescence de certains systèmes d’exploitation, l’hétérogénéité des équipements et parfois l’impossibilité d’installer des logiciels de détection.
Pour compromettre un réseau industriel, les attaquants utilisent des techniques bien rodées et efficaces : les mêmes techniques que dans l’environnement IT. Les vulnérabilités des protocoles industriels sont parfois exploitées mais de façon marginale.
La défense du réseau industriel s’appuie donc sur les mêmes concepts techniques que la défense de l’IT et nécessite une approche de Sécurité Opérationnelle :
Sensibilisation
Les attaquants peuvent également recourir à de l’ingénierie sociale afin de prendre la main sur les process industriels. Ceci, afin de compromettre la sureté de l’usine.
Pour se prémunir de cette menace, il est nécessaire de sensibiliser les personnes présentes sur site et notamment les équipes techniques.
Cela passe par l’analyse de l’empreinte numérique des utilisateurs ainsi que par des séminaires de sensibilisation.
Visibilité
Les usines sont confrontées à un manque de visibilité dû à l’élargissement du périmètre IT ainsi qu’à l’augmentation et la rotation des équipements (IIoT, automates…). Les prestations de TMA accentuent ce phénomène avec de potentiels flux à risques provenant de prestataires tiers.
Disposer d’une visibilité complète est indispensable pour être en mesure d’identifier les vulnérabilités avant qu’elles ne soient exploitées.
Il n’est pas toujours possible d’installer des agents sur les postes OT. Il est donc nécessaire de s’appuyer sur des solutions d’inventaire orientées réseau. Elles permettent la cartographie et l’audit permanent de l’ensemble des composants du réseau OT.
Segmentation
Il est primordial de segmenter le Système d’Information Industriel et Informatique pour contenir les menaces et éviter leur propagation (déplacement latéral).
Cela peut induire une restructuration du réseau industriel, ou simplement un découpage en plusieurs VLAN/VRF de façon à pouvoir filtrer et autoriser les connexions.
Cette restructuration n’est possible qu’à condition d’avoir procédé à un inventaire des équipements, de leurs typologies et de leur mode de communication. Cet inventaire est indispensable pour définir la segmentation de l’architecture réseau voir la micro-segmentation.
Accès aux ressources
L’ouverture du réseau industriel fait émerger un ensemble de menaces pouvant conduire à un accès aux équipements et aux ressources OT
Contrôler les accès au réseau, aux ressources et aux outils de production permet de limiter ce risque.
Les dispositifs de contrôle d’accès interviennent à plusieurs niveaux : NAC, MFA, VPN, Bastion d’administration…
Détection des attaques
Les APT ciblent tous types de secteurs, et en particulier les secteurs à fort enjeu de disponibilité. Les environnements industriels ne sont donc pas épargnés : l’environnement OT est exposé aux mêmes scénarios de menaces que l’IT.
Le déploiement de solutions de type EDR est autant nécessaire dans l’OT que dans l’IT. Devant la difficulté d’équiper certains postes OT d’un agent EDR, le NDR s’avère le complément indispensable pour la détection des attaques dans l’environnement industriel.
Ces solutions ne peuvent toutefois pas se passer de l’expertise d’un cyber-analyste afin d’isoler les faux-positif, appliquer un principe de précaution et réagir 24h/24 aux alertes générées..
L’association de ces technologies avec le SOC APIXIT permet de déclencher une réaction en moins d’une heure sur tout incident critique détecté.