L’antidote contre le conservatisme de la technologie opérationnelle

Les détails relatifs à la protection et à la mise à jour d’une infrastructure de TO.

Je le dis depuis des années : l’antivirus est mort.

Cette déclaration pourrait paraître étrange au premier abord, surtout lorsqu’elle vient de quelqu’un qui a été un moteur dans tout ce qui a trait aux virus et aux antivirus depuis la fin des années 80, début des années 90. Pourtant, si vous analysez plus en profondeur le sujet de l’antivirus (paix à son âme) et consultez quelques sources fiables sur cet (ancien) domaine, alors cette déclaration prend tout son sens. Tout d’abord, l’ « antivirus » est devenu une solution qui protège l’utilisateur « contre tout ». Ensuite, les virus, en tant qu’espèce spécifique de programme malveillant, ont disparu. Enfin, presque. Et c’est ce mot presque, d’apparence anodine et négligeable, qui cause encore problème dans le monde de la cybersécurité, et pourtant nous sommes fin 2022 ! C’est ce mot presque qui fait l’objet de cet article…

Donc… Les virus… Il n’y en a plus que quelques-uns sur liste rouge. Mais où sont-ils et que font-ils ?

Il s’avère qu’ils se trouvent généralement dans un des sous-champs les plus conservateurs de l’automatisation industrielle : c’est-à-dire la technologie opérationnelle (TO), à ne pas confondre avec la technologie de l’information (TI). La TO est une catégorie de matériel et de logiciel qui détecte ou provoque un changement grâce à la surveillance et au contrôle direct du fonctionnement de l’équipement industriel, des actifs, des processus et des événements. Pour faire simple, la TO est liée à l’environnement des systèmes de contrôle industriel (ICS, ou supervision). TO = systèmes de contrôle spécialisés pour les usines, les centrales électriques, les systèmes de transport, les services publics, l’extraction, le traitement et toute autre industrie lourde. Oui, l’infrastructure. En effet, il s’agit souvent d’une infrastructure critique. Oui, vous avez encore raison, c’est dans cette infrastructure industrielle / critique que les virus informatiques « décédés » sont encore en vie et actifs. De nos jours, près de 3 % des incidents informatiques qui affectent les ordinateurs de la TO sont causés par ce type de programme malveillant.

Comment est-ce possible ?

Nous vous avons déjà donné la réponse : la TO, et plus concrètement son utilisation dans le secteur industriel, est très conservative. S’il y a bien un secteur qui croit dur comme fer au proverbe « pas besoin de réparer ce qui n’est pas cassé » c’est celui de la TO. La stabilité est le point le plus important dans la TO, et non les dernières technologies modernes et les gadgets. Nouvelles versions, mises à niveau… Même une simple mise à jour (d’un logiciel, par exemple) est perçue avec beaucoup de scepticisme, si ce avec mépris ou peur ! En effet, la technologie opérationnelle dans les systèmes de contrôle industriel inclut généralement de vieux ordinateurs grinçants qui fonctionnent sous… Windows 2000 ! Et qui utilisent divers programmes tout aussi anciens qui regorgent de vulnérabilités, ainsi que de failles béantes dans les politiques de sécurité et de tout un ensemble de choses terribles et cauchemardesques pour la personne chargée de l’informatique. Mais voyons maintenant ce qui se passe loin des machines : le kit informatique de la partie administrative, c’est-à-dire dans les bureaux, en dehors de la chaîne de production, dans les installations auxiliaires ou techniques. Ces systèmes ont été vaccinés contre les virus puisqu’ils sont régulièrement mis à jour, mis à niveau, révisés et parfaitement protégés grâce aux solutions de sécurité modernes. Pendant ce temps, les parties purement industrielles (TO) ont fait tout le contraire : les virus survivent et se développent.

Découvrons les 10 programmes malveillants « anciens » détectés dans les ordinateurs des systèmes de contrôle industriel en 2022 :

Sality ! Virut ! Nimnul !

Que pouvons-nous en conclure ?

Tout d’abord, il convient de préciser que les pourcentages ci-dessus correspondent à la phase « de repos » de ces vieux virus. Pourtant, ces virus peuvent parfois franchir les limites d’un seul système infecté, se répandre dans tout le réseau et provoquer une épidémie locale grave. Au lieu d’administrer un traitement complet, les responsables récupèrent de vieilles sauvegardes qui ne sont pas toujours « propres ». De plus, l’infection peut affecter les ordinateurs des ICS et les automates programmables industriels (API). Par exemple, longtemps avant l’apparition de Blaster, un ver preuve de concept capable d’infecter le micrologiciel des API, le chargeur de Sality était déjà présent. Enfin, presque. Il n’était pas dans le micrologiciel mais se présentait sous la forme d’un script dans les fichiers HTML de l’interface Web.

Oui, Sality peut vraiment semer le désordre dans les processus automatiques de production, mais ce n’est pas tout. Il peut aussi perturber la mémoire grâce à un pilote malveillant et infecter les fichiers et la mémoire des applications. Tout cela pourrait provoquer une défaillance complète du système de contrôle industriel pendant plusieurs jours. Dans le cas d’une infection active, tout le réseau pourrait être anéanti puisque Sality peut effectuer des communications pair-à-pair afin de mettre à jour les listes des centres de contrôle actifs depuis 2008. Les fabricants de l’ICS n’ont certainement pas écrit le code en pensant à un environnement de travail aussi agressif.

Ensuite, 0,14 % en un mois ne semble pas si important mais… il s’agit de milliers de cas d’infrastructures critiques partout dans le monde. C’est dommage quand vous pensez comment ce risque pourrait complètement et simplement être exclus en suivant les méthodes de base.

Enfin, étant donné que la cybersécurité des usines est comme une passoire, il n’est pas surprenant d’entendre que d’autres types de programmes malveillants ont réussi à attaques les usines, notamment les rançongiciels (par exemple, Snake contre Honda).

Le conservatisme du personnel de la TO est évident : pour eux, le plus important est que les processus industriels qu’ils supervisent ne s’arrêtent jamais et l’apport de nouvelles technologies, de mises à jour ou de mises à niveau pourrait provoquer des interruptions. Et si ces arrêts sont causés par l’attaque d’un vieux virus présent depuis des années ? C’est effectivement le dilemme auquel le personnel de la TO est confronté, même s’il choisit généralement de maintenir ce retard. D’où les chiffres du graphique ci-dessus.

Devinez quoi ?! Ce dilemme pourrait appartenir au passé grâce à notre « pilule »…

Dans l’idéal, les industries ont besoin de pouvoir innover, mettre à jour et mettre à niveau leur kit TO sans mettre en péril la continuité des processus industriels. L’an dernier, nous avons déposé un brevet pour un système qui le garantit…

Voici comment il fonctionne en quelques mots : avant d’introduire quelque chose de nouveau dans les processus qui DOIVENT continuer à fonctionner, ils sont testés dans une maquette du système réel, un support spécial qui simule les fonctions industrielles critiques.

Ce support est établi à partir de la configuration du réseau TO en question, qui allume les mêmes types d’appareils utilisés par le processus industriel (ordinateurs, API, capteurs, matériel de communication et divers kits de l’IoT) puis les fait interagir entre eux pour reproduire la fabrication ou tout autre processus industriel. Un échantillon du programme testé est placé au terminal d’entrée du support et est observé par une sandbox qui enregistre toutes les actions, observe les réponses des nœuds du réseau et conserve les modifications des performances, l’accessibilité des connexions et bien d’autres caractéristiques atomiques. Les données obtenues de cette façon permettent l’élaboration d’un modèle qui décrit les risques du nouveau programme, ce qui permet également de prendre une décision réfléchie quant à l’ajout ou non du nouveau programme et par rapport à ce qu’il faut faire au niveau de la TO pour fermer les vulnérabilités non corrigées.

Attendez, cela devient encore plus intéressant…

Vous pouvez littéralement tester tout ce que vous voulez sur le terminal d’entrée, pas seulement un nouveau programme ou les mises à jour à déployer. Par exemple, vous pouvez tester la résistance face à des programmes malveillants qui arrivent à contourner les méthodes de protection externes et à pénétrer dans le réseau industriel protégé.

Cette technologie a beaucoup de potentiel dans le domaine des assurances. Les compagnies d’assurance pourront mieux évaluer les risques informatiques afin de calculer plus précisément les primes d’assurance, alors que les assurés ne vont pas payer plus sans aucune raison valable. Ainsi, les fabricants de matériel industriel pourront utiliser ce support de test pour certifier les logiciels et le matériel informatique de développeurs tiers. Si nous poussons cette idée plus loin, cette méthode pourrait aussi servir aux centres d’accréditation spécifiques à l’industrie. Sans parler du potentiel de recherche pour les institutions académiques !…

Pour le moment, revenons-en à notre support pour les usines…

Il va sans dire qu’aucune émulation ne peut reproduire à 100 % toute la variété des processus des réseaux de TO. Pourtant, avec le modèle que nous avons développé à partir de notre vaste expérience, nous pouvons anticiper les « surprises » qui pourraient apparaitre après l’ajout du nouveau programme.

De plus, nous pouvons contrôler en toute sécurité la situation avec d’autres méthodes, notamment avec notre système de détection précoce d’anomalies MLAD, dont j’ai parlé dans cet article, qui peut identifier les problèmes dans les sections spécifiques d’opérations industrielles à partir des corrélations directes voire indirectes.  Vous évitez ainsi de perdre des millions ou des milliards de dollars à cause de ces incidents.

Qu’est-ce qui empêche le personnel de la TO d’adopter notre modèle ?

Peut-être que pour le moment, comme ce secteur est si conservateur, les entreprises ne recherchent pas activement une solution comme la nôtre parce qu’elles pourraient croire que ce n’est pas nécessaire. Nous ferons de notre mieux pour promouvoir notre technologie afin d’aider ce secteur à économiser des millions mais, en attendant, je souhaiterai ajouter quelque chose : notre modèle, bien que complexe, va rapidement se révéler rentable s’il est adopté par une grande organisation industrielle ou infrastructurelle. Il ne s’agit pas d’un modèle avec un abonnement ou quelque chose de similaire. C’est un achat unique qui permet de faire des économies (tout en réduisant les risques liés à la réglementation, la réputation et les opérations) pendant des années sans avoir à faire un investissement supplémentaire. Ah, il y a autre chose qui sera préservé : la santé de l’équipe de la TO.

Conseils

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Abonnez-vous et recevez tous nos titres à la une par e-mail
  • For all other countries