← Retour à la catégorie Pompes

Gestion des risques de cybersécurité dans les technologies de vannes intelligentes et de pompage

Par Nigel Stanley, CTO chez TUV Rheinland

Pendant des décennies, les pompes et les vannes ont été la principale ressource de nombreux processus industriels, qu’il s’agisse de la circulation et du contrôle des fluides, des gaz ou des boues. La technologie a peut-être évolué, mais la fonction principale de ce matériel de base, mais essentiel, est restée la même.

Récemment, nous avons vu la technologie «intelligente» et l'Internet des objets (IoT) pénétrer dans des systèmes de pompage avec des pompes pouvant être connectées à des smartphones et des vannes contrôlées à distance à l'aide de réseaux de téléphonie mobile pour fournir un retour constant de position.

Nigel Stanley, CTO chez TUV Rheinland

Nigel Stanley, CTO chez TUV Rheinland

Une défaillance ou une mauvaise performance de ces composants souvent critiques peut perturber ou dégrader les installations, ce qui aurait des répercussions sur les calendriers de production et les résultats. Dans certains cas, les systèmes critiques pour la sécurité reposent sur la fermeture ou l'ouverture de vannes en mode de défaillance sécuritaire dans un délai prédéterminé. Les systèmes de pompage peuvent fournir des services essentiels de refroidissement ou de lutte contre les incendies, dont la défaillance peut entraîner des pertes catastrophiques.

La performance de tels systèmes critiques pour la sécurité devrait normalement être abordée du point de vue de la sécurité fonctionnelle dans le cadre d’une étude HAZOP ou d’une évaluation du cas fonctionnel ou de la sécurité pendant les phases de planification et de conception des installations ou des systèmes.

Mais comme de plus en plus de systèmes reposent sur un contrôle informatisé «intelligent» (via des systèmes de contrôle industriels), ils sont soumis aux menaces de cybersécurité qui pourraient compromettre la sécurité et la fiabilité de ces systèmes de contrôle, pompes et vannes.

De telles cyber-attaques peuvent causer des dommages physiques en raison du cycle rapide des périphériques ou de la dégradation des performances du système. Dans des cas extrêmes, les systèmes critiques pour la sécurité pourraient être compromis, entraînant des dommages pour les personnes et l'environnement, pouvant à leur tour entraîner des amendes ou des poursuites réglementaires.

À première vue, les pompes et vannes intelligentes ne semblent pas présenter de risque, mais leur utilisation est souvent difficile à sécuriser. Sécuriser une pompe physiquement distante pouvant utiliser un réseau mobile (GSM, 3G ou 4G) ou une liaison VHF pour se connecter à un réseau industriel d'entreprise peut s'avérer un défi.

Le simple fait de bloquer cette connexion radio peut perturber un processus. Un accès physique aux ports USB non sécurisés des systèmes de contrôle ou un accès à des stations de travail de contrôle via une connexion piratée distante peut suffire à éteindre ou à compromettre une installation.

La technologie de soupape intelligente ou de pompe pourrait être utilisée comme point de pivot lors d'une attaque à grande échelle, lorsqu'une pompe intelligente mal sécurisée pourrait servir de point d'entrée dans d'autres systèmes plus intéressants pour un attaquant.

Ces vannes et pompes étant placées à la périphérie des réseaux (souvent isolés physiquement) et ne subissant souvent pas les mêmes tests de sécurité rigoureux que les systèmes d'entreprise traditionnels, il est possible de les utiliser comme passerelle ou comme point d'ancrage dans le réseau.

En compromettant un dispositif informatique périphérique potentiellement non sécurisé et non surveillé, tel qu'une pompe intelligente ou une pompe, les attaquants pourraient accéder aux systèmes et aux données auxquels ils n'auraient autrement pas eu accès.

Si ces périphériques sont connectés à un réseau, via un routeur mobile, un réseau local ou sans fil câblé qui, à son tour, se connecte à un réseau plus grand, ils deviennent des cibles potentielles au sein de l'organisation pour l'attaque initiale.

Les pirates s'intéressent déjà à la technologie de pompage et à la manière de la renverser. Dans un cas, un chercheur a démontré qu'il était possible de réduire le débit d'un système de pompage à distance en fermant partiellement une vanne, induisant ainsi une cavitation et des vibrations systémiques. Une telle dégradation des performances du système provoquerait probablement des dommages physiques si elle n'était pas résolue.

Un autre exemple infâme est le Stuxnet attaque des installations nucléaires iraniennes, qui a été rendu public dans 2010 et comprenait une attaque sur les systèmes de contrôle moteur dans la centrifugeuse à uranium.

Vanne de régulation pneumatique dans un système de chauffage à la vapeur

Vanne de régulation pneumatique dans un système de chauffage à la vapeur

Alors, comment faut-il sécuriser ces systèmes de commande intelligents de vannes et de pompes?

  • Les fabricants d’équipements doivent inclure la gestion des risques de cybersécurité dans les processus de conception et de fabrication de leurs produits. La surveillance à distance (pour, par exemple, la maintenance prédictive) doit être entreprise de manière à ne pas augmenter le risque de cybersécurité.
  • Les opérateurs doivent procéder à une évaluation des risques de cybersécurité de leur usine et de leurs systèmes opérationnels, menée par leurs entreprises. Il existe un certain nombre de méthodes et de cadres acceptés, mais considérez le cadre de cybersécurité du NIST (Institut national de normalisation et de technologie) ou l'ensemble de normes IEC 62443 comme un bon point de départ.
  • Les exploitants d’usine devraient examiner comment les systèmes de pompage intelligents et les vannes peuvent être surveillés régulièrement pour les problèmes de cybersécurité. La surveillance non invasive des réseaux industriels est désormais une possibilité et un certain nombre de solutions sont disponibles à cet effet.
  • Éduquez le personnel à comprendre les risques de cybersécurité et à mettre en place un plan d'intervention et de reprise des incidents de cybersécurité bien préparé. De cette manière, lorsqu'un événement ou un incident se produit, vous pouvez le gérer rapidement et efficacement.
  • Travaillez avec des experts en cybersécurité expérimentés qui comprennent le monde de la transformation industrielle et peuvent vous aider à faire face à votre risque de cybersécurité.


La bonne nouvelle est que, en prenant certaines mesures de cybersécurité de base, il est possible de réduire le risque pour les vannes intelligentes et les systèmes de pompage, ce qui laisse plus de temps pour se concentrer sur d'autres aspects de la gestion d'une entreprise rentable.

Industrie de process Informer

nouvelles connexes

Laissez un commentaire

Ce site utilise Akismet pour réduire les spams. Découvrez comment vos données de commentaire sont traitées.

Partage via
Copier le lien