A l’occasion des Assises de la sécurité des systèmes d’information qui se déroulaient du 11 au 14 octobre à Monaco, WALLIX est revenu sur la réponse qu’apporte la gestion des accès à privilèges aux enjeux liés à l’industrie du futur à travers les témoignages de ses partenaire et client Schneider Electric et Syngenta.
Qu’est-ce que l’industrie du futur ?
L’industrie du futur, ou industrie 4.0, fait référence à l’inclusion du numérique dans les processus de gestion et de contrôle des équipements industriels, à l’origine non-connectés. Aujourd’hui, le numérique permet d’optimiser et faciliter la gestion de certaines activités industrielles comme le suivi de production, la planification, la gestion de l’énergie, les accès à distance etc., générant des besoins de connexion importants entre systèmes industriels et systèmes d’information.
Ces nouvelles pratiques induites par l’industrie du futur requièrent de nouveaux savoir-faire. Par exemple, les industriels peuvent avoir des besoins en télémaintenance pour gérer l’informatique, leur expérience dans le domaine étant souvent moins orientée technique que projet.
Les enjeux de sécurité propres à l’industrie du futur
L’industrie du futur est le produit d’un changement fondamental dans la gestion des systèmes industriels et soulève de nouvelles menaces en matière de sécurité ; elle augmente le nombre potentiel d’utilisateurs à privilèges sur un équipement cible par l’usage nécessaire de la téléassistance et permet la propagation des vulnérabilités informatiques dans les systèmes industriels.
Entre l’augmentation des utilisateurs possédant des droits administrateurs ou à privilèges élevés et la non-étanchéité des réseaux industriel et informatique, les défis de sécurité amenés par l’industrie du futur sont de taille.
De plus, ils doivent être maîtrisés rapidement et en temps réel pour ne pas affecter la disponibilité des réseaux industriels, en particulier lorsqu’ils sont identifiés comme OIV (Opérateurs d’Importance Vitale).
Quel est rôle de la gestion des accès à privilèges dans la sécurisation des systèmes industriels ?
Pour les Assises de la sécurité des SI, WALLIX a réuni les témoignages de son partenaire Schneider Electric et de son client Syngenta autour d’un retour d’expérience passionnant qui apporte des réponses concrètes et pragmatiques aux différents enjeux de sécurité de l’industrie du futur.
1. Répondre aux risques de sécurité liés à la télémaintenance
Les défis de sécurité que posent les connexions à distance n’est pas propre à l’informatique industrielle en tant que telle, mais les architectures et moyens de connexions utilisés dans le secteur industriel et l’impact qu’un incident de sécurité peut provoquer sont particuliers. Si un télé-mainteneur rend le système vulnérable par négligence ou malveillance, l’impact sur la disponibilité du système par exemple, ou sur la sécurité des personnes, le chiffre d’affaires, ou encore sur les formules des médicaments s’il s’agit du secteur pharmaceutique est immédiat et grave.
La gestion des accès à privilèges est particulièrement adaptée aux spécificités de l’environnement industriel pour diminuer ces risques. Elle offre notamment une maîtrise complète des accès remote en donnant la possibilité aux super administrateurs de :
• Superviser les sessions en temps réel ou après leur fermeture grâce à des fonctionnalités d’enregistrement
• Renforcer la sécurité des connexions à distance via un workflow d’approbation dans lequel l’identification, la raison de connexion et la durée de la session peuvent être spécifiées
• Couper instantanément et automatiquement la connexion d’un tiers lorsque des commandes sont jugées frauduleuses ou dangereuses
De la même manière, les responsables systèmes sont souvent tenus de fournir une revue complète des comptes avec accès VPN, avec une liste de comptes à ouvrir, à maintenir ou à supprimer. Avoir une vue centralisée des comptes nominatifs et des privilèges associés à ces comptes distants devient primordial pour répondre à ces demandes d’audit et justifier l’existence ou la suppression des comptes à privilèges pour diminuer les risques de sécurité qui leur sont associés.
2. Assurer l’étanchéité de l’interconnectivité des réseaux industriels et informatiques
Les nouvelles pratiques de l’industrie du futur conduisent certains utilisateurs du réseau informatique à vouloir se connecter directement sur les serveurs du réseau industriel pour obtenir de la visibilité sur la chaîne production depuis leurs outils de bureautique et récupérer certaines données qui leurs sont essentielles dans leur travail. Les connexions par RDP sont donc fréquentes dans le milieu industriel. En fonction de la politique de sécurité de l’entreprise, sécuriser les connexions par RDP peut être fastidieux, avec des besoins de granularité plus ou moins fins en fonction des autorisations et droits de chaque utilisateur à privilèges.
Une solution de gestion des accès à privilèges répond à cette problématique de granularité tout en assurant l’étanchéité entre réseaux industriel et informatique. Par exemple, grâce à une installation du Bastion et ses différents modules en DMZ entre la bureautique et le réseau de production, Syngenta fait le lien entre son réseau industriel et les utilisateurs qui se connectent depuis le réseau bureautique pour collecter les informations en toute sécurité.
« Nous cherchions des solutions robustes pour assurer les fonctionnalités de télémaintenance, et permettre de sécuriser les liens entre les systèmes de production et bureautique.
WALLIX a permis de répondre à nos attentes, et a su évoluer et répondre à notre besoin précis. Nous apprécions particulièrement la gestion des demandes et validations de connexion, et l’enregistrement de toutes les actions. »
Nicolas Barbier, Automation Group Leader, Syngenta
3. Garantir une solution adaptée pour une adoption à 100%
Dans l’Industrie plus qu’aucun autre secteur d’activité, il est fortement déconseillé de modifier un système industriel qui fonctionne, même lorsqu’il s’agit de renforcer sa sécurité. Le système étant en charge de la production, le compliquer ou le modifier peut le bloquer et impacter toute la chaîne de production.
« Un système industriel modifié peut rendre la production et la journée d’un constructeur insupportable »
Fabrice Tea, Expert Réseau et Cybersécurité, Schneider Electric
Garantir la performance et le temps de réponse d’un système industriel est primordial. Une solution de cybersécurité sans agent est un avantage indéniable car elle ne nécessite aucune intervention sur le système. Déployer une solution sans agent est d’autant plus important dans le secteur industriel car les administrateurs de la solution sont aussi les responsables techniques de maintenance industrielle. Leur rôle principal étant centré sur les projets industriels et non sur l’administration des systèmes, l’usage d’une solution de cybersécurité doit donc être intuitif.
De plus, changer leurs habitudes de travail peut avoir un impact extrêmement néfaste sur la production et la disponibilité du système. Pour ne pas freiner les activités et être délaissée au profit du bon fonctionnement des équipements, une solution de cybersécurité doit être invisible au quotidien. Le Bastion de WALLIX fait en sorte que l’utilisateur ne soit perturbé en rien par l’installation du Bastion. La connexion par RDP sécurisée, également transparente pour l’utilisateur, témoignage d’une sécurité installée pour protéger et assurer la pérennité des activités industrielles. La performance des outils reste aussi inchangée, avec « quelques millisecondes supplémentaires invisibles à l’usage quotidien » selon Fabrice Tea.
Retrouvez l’intégralité du témoignage de Schneider et Syngenta aux Assises de la sécurité des SI en vidéo !