KasperskyOS

Un changement de paradigme pour la sécurité industrielle : l’immunisation des usines

Kaspersky IoT Secure Gateway 100 : comment protéger les données industrielles tout en garantissant la continuité des processus.

Eugene Kaspersky
15 Déc 2021

Il peut se passer beaucoup de choses en dix ans en cybersécurité. Si nous avions pu voir le futur à cette époque et à quel point les technologies de cybersécurité allaient évoluer jusqu’en 2022, je pense que personne n’y aurait cru. Pas même moi ! Paradigmes, théories, produits (un antivirus… mais qu’est-ce que c’est que ça ?)… Tout s’est transformé et a évolué de façon spectaculaire.

En même temps, peu importe à quel point nous avons progressé puisque, malgré les faux miracles promis par l’intelligence artificielle et par les autres annonces presque publicitaires de la cybersécurité, nous rencontrons encore et toujours les mêmes problèmes qu’il y a 10 ans :

Comment protéger les données des personnes malveillantes et des modifications non-autorisées tout en garantissant la continuité des processus de travail ?

En effet, encore aujourd’hui, les professionnels de la cybersécurité consacrent leur journée à garantir la confidentialité, l’intégrité et l’accessibilité des données.

Peu importe son utilisation, le numérique vient toujours avec le même problème. C’était déjà le cas à l’époque, ça l’est encore aujourd’hui, et ça le sera dans les années à venir. Bien sûr que cela ne va pas changer, puisque les avantages du numérique sont plus qu’évidents. Même les secteurs les plus conservateurs comme l’industrie lourde, les raffineries, les transports ou l’énergie ont grandement été numérisés ces dernières années. Tout cela est bien beau, mais est-ce vraiment sûr ?

Avec le numérique, l’efficacité des entreprises avance à pas de géants. Mais d’autre part, tout ce qui est numérique peut être, et est, piraté, et voici quelques exemples qui l’illustrent à la perfection. La tentation est grande d’accepter pleinement le numérique et d’en tirer profit. Pourtant, ce doit être fait de manière à ce que ce changement ne soit pas atrocement douloureux (autrement dit sans que les processus ne soient interrompus). C’est là que notre tout nouveau antalgique entre en jeu : notre solution KISG 100 (Kaspersky IoT Secure Gateway).

Ce petit boîtier, avec un prix de vente conseillé légèrement supérieur à 1000€, est installé entre le matériel industriel (ci-après les « machines ») et le serveur qui reçoit les différents signaux envoyés par ce matériel. Les données de ces signaux varient selon la productivité, les failles du système, l’utilisation des ressources, les niveaux de vibration, les émissions de CO₂ et de NO_x, et de bien d’autres aspects, mais tous ces renseignements sont nécessaires pour avoir une vue d’ensemble du processus de production et pour pouvoir prendre des décisions commerciales raisonnées et fondées.

Comme vous pouvez le voir, le boîtier est petit mais très puissant. Une fonctionnalité cruciale est qu’il n’accepte que le transfert des données « autorisées ». Il ne permet la transmission des données que dans un sens. Ainsi, en un rien de temps, KISG 100 intercepte tout un ensemble disparate d’attaques : de l’homme du milieu, Man in the Cloud, par déni de service (DDoS), et bien d’autres menaces qui rodent sur Internet et qui ne cessent de s’en prendre à nous en cette période numérique « en or ».

KISG 100 fonctionne avec la passerelle industrielle SIMATIC IOT2040 de Siemens et notre système d’exploitation informatiquement immunisé KasperskyOS. Notre solution sépare les réseaux internes et externes de façon à ce qu’aucun méga de code malveillant ne puisse être transmis de l’un à l’autre, et pour que les machines soient parfaitement protégées. Cette technologie, pour laquelle nous avons trois brevets en cours de validation, repose sur le principe de la data diode : ouvrir le flux de données dans une seule direction et seulement dans certaines conditions. Contrairement aux solutions de la concurrence, KISG est (i) plus fiable, (ii) plus simple et (iii) moins cher !

Voyons cela de plus près…

Ce n’est pas pour rien que ce boîtier est une « passerelle ». En principe, il fonctionne comme n’importe quelle passerelle mécanique et hydrotechnique que l’on trouve sur les canaux : une écluse. Vous ouvrez la porte du bas et le bateau avance dans le sas. Le niveau de l’eau monte, la porte du haut s’ouvre et le bateau sort du sas. De même, KISG 100 initialise d’abord l’agent de la source depuis le réseau industriel, puis le connecte à l’agent du récepteur de données dans la direction du serveur, et autorise le transfert de données à sens unique.

Une fois que la connexion est établie entre les machines et le serveur, le système a un genre de statut protégé : l’accès à un réseau externe et à une mémoire non approuvée est interdit aux deux agents (source et récepteur), alors que l’accès à la mémoire approuvée est lui autorisé (d’où ils reçoivent les paramètres de fonctionnement tels que les clés de chiffrement, les certificats, etc.). Grâce à ce statut, la passerelle n’est pas menacée par les attaques lancées depuis un réseau externe puisqu’à ce moment-là tous ses composants sont déconnectés du monde externe et sont considérés comme fiables. Ils ne sont que chargés et initialisés.

Après le lancement, le statut de la passerelle est modifié et devient actif : l’agent récepteur a le droit de transférer les données vers un réseau externe et peut accéder à la mémoire non approuvée (où sont stockées les données temporaires). Ainsi, même si le serveur est piraté, les cybercriminels ne peuvent pas avoir accès aux autres composants de la passerelle ou au réseau industriel. De cette façon :

C’est un moniteur de cybersécurité KSS qui contrôle le respect des règles d’interaction entre les agents et le changement de statut de la passerelle. Ce sous-système isolé de KasperskyOS surveille en continu le respect des politiques de sécurité établies (quel composant fait quoi) et, conformément au principe de « déni par défaut », bloque toutes les actions interdites. Le principal avantage concurrentiel de KSS est que la politique de sécurité est très pratique pour décrire dans un langage spécial et pour associer différents modèles de cybersécurité prédéfinis. Si un seul composant de KISG 100, par exemple l’agent récepteur, est en danger, il ne peut pas nuire au reste de la structure puisque l’opérateur système est informé de l’attaque et peut passer à l’action pour y faire faire face.

Vous arrivez à nous suivre ? C’est là que nous disons la phrase typique : mais ce n’est pas tout !

Ce petit boîtier peut aider à fournir d’autres services numériques. Il permet d’intégrer en toute sécurité les données industrielles dans un PGI, un GRC et bien d’autres systèmes d’une entreprise !

Les scénarios qui impliquent de tels services peuvent varier fortement. Par exemple, pour notre cher client Chelpipe Group, principal producteur de tubes en acier, nous avons calculé le rendement d’une machine-outil qui coupe les tubes. Grâce à cette analyse prédictive, l’entreprise peut économiser jusqu’à 7000 dollars par mois en décidant d’acheter un tel outil ! En réalité, cette intégration offre une infinité de possibilités.

Un autre exemple. L’entreprise LenPoligraphMash, basée à Saint-Pétersbourg, a connecté son matériel industriel au système ERP 1C. Elle peut désormais voir en temps réel, ou presque, les analyses du PGI en termes de performance de tous les opérateurs pour qu’elle puisse les payer selon l’interruption réelle de l’activité, et non en normatif ou en moyenne. L’unicité de cette approche et son extensibilité ont été confirmées par les experts de la renommée agence d’analyse Arc Advisory Group dans son premier rapport d’immunité informatique.

Comme vous pouvez le constater, il ne s’agit pas d’un vieux boîtier. Il est ingénieux et magique ! D’ailleurs, en plus d’accomplir son devoir au sein de l’entreprise Chelpipe Group, KISG 100 a été installé sur les machines de transformation des métaux de StankoMashKomplex, des projets pilotes qui ont bien fonctionné et qui sont aussi opérationnels chez Rostec et Gazprom Neft, sans oublier les dizaines d’autres projets qui ont commencé avec plusieurs grandes institutions industrielles. Le dispositif a reçu une récompense spéciale pour ses résultats exceptionnels en technologie lors du plus grand événement informatique chinois, la World Internet Conference. Lors du salon industriel Hannover Messe 2021, KISG 100 figurait parmi les solutions les plus innovantes. Plus récemment, cette technologie a reçu le premier prix aux IoT Awards 2021 organisés par la Internet of Things Association, battant ainsi plusieurs entreprises prestigieuses.

À l’avenir, nous allons étendre la portée de ces boîtiers intelligents. Le grand-frère de KIGS 100, KIGS 1000, est déjà testé en version bêta. En plus d’être un gardien de passerelle, c’est un très bon inspecteur : non seulement il recueille, vérifie et distribue la télémétrie, mais en plus il transfère les commandes de gestion aux dispositifs et protège contre les attaques de réseau.

Pour conclure, n’ayez pas peur du numérique. Vous devez simplement savoir comment bien le cuisiner ! Nous sommes là pour vous aider, en vous proposant de travailler avec les meilleurs chefs.

Une vulnérabilité critique détectée dans la bibliothèque Log4j d’Apache

Des chercheurs ont découvert une vulnérabilité critique, avec un score CVSS parfait de 10 sur 10, dans la bibliothèque Log4j développée par Apache. Nous vous expliquons comment vous protéger.

Conseils

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Ni fleurs ni cadeaux : comment les femmes se font escroquer

Encore une fête… pour les escrocs. Comment les cybercriminels escroquent les femmes avant la célébration du 8 mars.

Protection des enfants

Un changement de paradigme pour la sécurité industrielle : l’immunisation des usines

Les systèmes d’exploitation à micro-noyau luttent contre les menaces des appareils connectés

Les données industrielles fiables sont le futur de l’industrie

Une vulnérabilité critique détectée dans la bibliothèque Log4j d’Apache

Conseils

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Ni fleurs ni cadeaux : comment les femmes se font escroquer

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky