Comment les fabricants peuvent se protéger contre les cyberattaques

By Jonathan Wilkins of Stafford based European Automation

In 2014, the total number of cyber security incidents detected rose to 42.8 million according to PWC”s Global State of Information Security Survey 2015, which you can find at http://goo.gl/MZR3zg. For those of you that have not done the maths, that is 117,339 attacks per day, every day. And these are just the strikes that were detected and reported.

European Automation Johnatan WilkinsTo comprehend the sheer extent of current threats, antivirus business Kaspersky has created an interactive map. It depicts the number and type of cyber threats in real time. If you are reading this white paper online, I am sure you will agree that it is almost hypnotic. If you are reading offline, I recommend you visit http://cybermap.kaspersky.com.

Mais la carte est aussi incroyablement inquiétante. Le nombre total d'attaques de sécurité détectées a augmenté de 48 de 2013 à 2014 et il y a peu de preuves pour suggérer que ce pourcentage diminuera sous 2015. Malgré ces chiffres, il semble que les programmes de sécurité de l’information se soient effectivement affaiblis, en grande partie à cause de la naïveté et de l’investissement insuffisant.

Dans le seul secteur industriel, les entreprises ont signalé une augmentation en pourcentage de 17 des incidents de sécurité détectés dans 2014. Les coûts financiers qui en résultent ont augmenté de 34%, tandis que les recherches de Barclays suggèrent que près de 50% des entreprises victimes d’une attaque de cybersécurité cessent leurs activités.

Ce rapport spécial analyse la cybermenace mondiale croissante et souligne l’utilité de la mise en œuvre d’une stratégie de sécurité centrée sur les entreprises pour assurer le bien-être des employés et des systèmes automatisés industriels.

Qui l'a fait?

L’année écoulée, 2014 a présenté certaines des plus grandes violations de la sécurité informatique et du piratage informatique de la décennie. Il semble que personne n’était en sécurité, pas même les plus grands acteurs de l’entreprise. eBay, Sony Pictures Entertainment, Apple et Sony Playstation ont tous été victimes d'attaques informatiques sous une forme ou une autre.

Interestingly, there is one thing most security threats have in common and that is the source. The results of PWC”s survey illustrate that 34.55 per cent of companies asked, reported that the attacks on them last year were estimated to originate from current employees of the company and 30.42 per cent from former employees. These were the two biggest culprits.

Statistically, you are far more likely to come under cyber attack because of someone plugging in a corrupted USB stick to your network, than you are to be specifically targeted by a hacker trying to exploit a weakness in an automated system. However, that”s not to say that you shouldn”t prepare for both eventualities.

Hackers still ranked highly in the survey – third with 23.89 per cent of companies surveyed pinning their security attacks on them. However, there is another, less prevalent threat that companies should be aware of too.

Every business encounters third parties on a daily basis – such as consultants, contractors, suppliers and providers. It is imperative that the information shared with these parties, on and off site, is restricted to an appropriate level. 18.16 per cent of businesses surveyed responded that they believed their current third party providers were responsible, actively or passively, for their cyber attacks.

For example, the US retail giant Target had a considerable breach in 2013 when the personal identifiable information (PII) and credit card details of customers were stolen. The multi-staged hack began with Target”s heating, ventilating and air conditioning supplier, who, it would seem, had access to Target’s network. Credentials were stolen from the US vendor using common malware implemented through an e-mail phishing campaign. This was the hackers’ way in.

La morale de l'histoire est que pour développer des systèmes sécurisés, les entreprises doivent mettre en œuvre des mesures techniques, conceptuelles et organisationnelles afin de prévenir différents types de menaces pour la sécurité.

Par où commencer

In a manufacturing context, typical security incidents include infection by malware, unauthorised use, manipulation of data, espionage and denial of service – the latter being an attempt to make a machine or network resource unavailable for its intended users.

La défense contre ce type de menace nécessite plus que de simples investissements dans de nouveaux logiciels ou dans l’embauche d’un responsable de la sécurité de l’information (RSSI), bien que ces mesures soient un bon début. Les changements doivent être mis en œuvre à partir de la base. Avant de prendre les devants, certaines mesures doivent être prises avant toute autre chose.

To evaluate properly the likely threats, system owners must first assess the weak points of that system – including the human element. In an automated environment, this may reveal a scenario in which a property of the whole is considered beneficial from an automation perspective, but detrimental from security one.

Par exemple, un périphérique distant qui est libre d'accéder à un automate programmable (PLC) sans authentification économise du temps dans un processus automatisé. Cependant, du point de vue de la sécurité, il s’agit d’un point faible. Il est nécessaire d'identifier ces faiblesses afin d'accéder aux risques et de prendre les mesures qui s'imposent.

Les fabricants et les entreprises industrielles doivent accorder une attention particulière à trois domaines essentiels. Le premier concerne les points faibles dus à une implémentation inappropriée d’équipements ou de logiciels. Cela pourrait être un appareil défectueux ou une partie de la programmation.

L’essor de l’interconnectivité et de l’Internet des objets permet à toutes les usines de communiquer en utilisant un protocole commun, générant une grande quantité de données. Cela nous amène au deuxième domaine sur lequel les entreprises devraient se concentrer: sécuriser le flux de données en masse afin que les pirates ne puissent pas l'exploiter.

Finally, weak points often arise due to organisational measures, or lack thereof. For example, it is important to ensure that the CISO”s team update operating systems, web browsers and applications whenever necessary. This negates the worry of using a product that has known flaws, which a developer has corrected in a later version. You should implement a corporate policy dedicated to updating software to solve this problem.

Overall, it is essential that, during an initial security assessment, the team identify, group and isolate the critical information belonging to the business so that the CISO”s team can properly protect it. This should be the main priority for any company concerned with its cyber security.

Protection du réseau

L'un des moyens les plus efficaces de protéger les systèmes de production automatisés est la protection des cellules. Cette forme de défense est particulièrement efficace contre un certain nombre de menaces différentes, y compris les attaques de type «homme au milieu», permettant à l’attaquant de surveiller, modifier et injecter des messages dans un système de communication.

Cell protection employs a security integrated component that supervises access to an automated cell. This is often referred to as a doorman, because it plays the same role as its human namesake by deciding who can and who can”t come in. The most common device used for this purpose is an industrial Ethernet communications processor that integrates a firewall and virtual private network (VPN), filtering out attacks and keeping the network connection secure.

La protection des cellules empêche également l'accès et le contrôle non autorisés, les attaques par déni de service et les menaces en ligne via le réseau du bureau.

However, it is important that risk assessments and security measures don”t focus solely on automated systems. Staff, suppliers and third party providers should also come under scrutiny.

Sécurité via l'éducation

Part of the current problem is that the topic of cyber security isn”t being elevated to a board level discussion in most companies despite the damaging consequences of security breaches including loss of production, reduced product quality and safety threats to both humans and machines.

La plupart des gouvernements ont créé ou sont en train de créer des réglementations en matière de cybersécurité qui imposent des conditions pour la protection et l'utilisation des informations personnelles. Les entreprises qui ne protègent pas suffisamment les informations sensibles sont passibles de sanctions financières. Malgré cela, certaines entreprises restent ignorantes.

Les réglementations sont particulièrement répandues en Europe et devraient servir d'exemple à ce que les pays qui n'ont pas encore de législation devraient s'attendre dans un proche avenir. Les États-Unis appliquent également des règles de conformité obligatoires aux entreprises qui protègent les informations personnelles.

Au début de 2104, les États-Unis ont mis en place un cadre d'amélioration de l'infrastructure de cybersécurité: un ensemble de normes du secteur et de meilleures pratiques visant à aider les organisations à gérer les risques de cybersécurité. Toutefois, ces mesures ont été vivement critiquées pour leur impossibilité d’aller suffisamment loin, en particulier à la lumière du récent scandale très médiatisé du piratage informatique imputé à la Corée du Nord par Sony Pictures Entertainment.

Pour aider à éduquer les entreprises sur les moyens de sécuriser l'information, le gouvernement britannique a alloué jusqu'à 860 millions de livres sterling à 2016 pour mettre en place un programme national de cybersécurité. Une partie de cet agenda consiste à faire du Royaume-Uni l’un des endroits les plus sûrs pour faire des affaires en ligne. Cela intervient après la révélation que 81 pour cent des grandes entreprises et 60 pour cent des petites entreprises du Royaume-Uni ont signalé une cyber-infraction dans 2014.

Under the programme, the Government has developed a cyber essentials scheme to give companies a clear goal to aim for. This will allow businesses to protect themselves against the most common cyber security threats but also advertise that they meet this standard. For more information about the scheme, go à www.gov.uk/government/publications/cyber-essentials-scheme-overview.

En outre, une brochure intitulée «Dix étapes pour la cybersécurité» est à la disposition de toute personne souhaitant obtenir des conseils sur les risques actuels et les méthodes de prévention. La littérature décrit les éléments importants lors de la création d’une stratégie de sécurité centrée sur l’entreprise, tels que les régimes de gestion des risques, la configuration sécurisée, la sécurité du réseau, les privilèges des utilisateurs, la formation et la sensibilisation, la gestion des incidents, la prévention des programmes malveillants, la surveillance et l’accès domestique ou mobile. Le livret de sécurité peut être téléchargé en allant à www.gov.uk/government/publications/cyber-risk-management-a-board-level-responsibility.

Les entreprises qui souhaitent en savoir plus sur les moyens d’augmenter leurs niveaux de sécurité peuvent également accéder à un document de référence utile de l’agence de normalisation industrielle PROFIUBUS & PROFINET International (PI).

The Security Guideline for PROFINET was originally developed in 2006 and later revised at the end of 2013. It specifies ideas and concepts regarding how and which security measures should be implemented. It also contains a list of commonly used security acronyms and offers a series of proven best practices, such as the cell protection concept mentioned earlier. PROFINET”s guide can be downloaded by going to http://goo.gl/yT7rKW.

The information is out there for companies seeking advice regarding cyber security. However, from the statistics provided by PWC”s survey, it would appear that industrial product companies are already leading the way.

Industrie

Dans l’ensemble, les cybermenaces augmentent et pourtant, les budgets consacrés à la sécurité de l’information semblent diminuer avec 2014. Le marché des produits industriels est l'exception car il a créé des budgets pour se protéger.

According to the PWC security survey, this sector, more than all other surveyed – power and utilities, healthcare, retail and consumer, technology and financial services – appears to understand rising security risks. Moreover, it”s investing accordingly.

Information security budgets for industrial products companies have soared more than 150 per cent in the past two years. In 2014, information security spending represented 6.9 per cent of PWC survey respondents” total IT budget, the highest of any sector surveyed. However, in 2014, security incidents in the sector also increased six fold. So perhaps even a 150% increase is not enough.

Cet investissement a eu pour résultat des améliorations notables des processus et des technologies de sécurité, ainsi que des initiatives de formation. Cependant, il reste encore beaucoup à faire.

Restez en sécurité

Les grandes tendances telles que l'industrie 4.0, l'internet des objets et le big data ont poussé l'automatisation industrielle à un tout autre niveau en créant des lignes de production plus efficaces et sophistiquées. L’industrie intègre ses lignes de fabrication aux couches informatiques et la pyramide d’automatisation industrielle traditionnelle s’effondre en raison du besoin d’une production plus rapide, moins chère et plus efficace. Cependant, ces gains ont un prix: une plus grande ouverture, une interconnectivité et une dépendance sont de plus en plus vulnérables.

There is a definite need for more training when it comes to cyber security, both at the top and bottom of the manufacturing ladder. Too often businesses slip into common pitfalls – believing they are either untouchable or not a target.

Si la majorité des cyberattaques dans 2014 ont été commises par les employés actuels de la société touchée, combien d’entre elles ont-elles été commises sciemment? Ou étaient-ils le résultat d'une personne ne comprenant pas entièrement que ses actions pourraient conduire à des violations de la sécurité?

Understanding that you don”t have to be a desirable target for hackers and that cyber threats can be the result of non-malicious, poor judgement from one employee is key to understanding the risks.

Même si la direction implémente sans réserve une cyber-sécurité dédiée, il suffit d'un périphérique infecté par un logiciel malveillant branché sur le réseau pour provoquer des perturbations. Nous ne pouvons pas prévenir les accidents, mais il est possible de les gérer en inculquant des connaissances aux employés et en mettant en place des dispositifs et des procédures de surveillance fiables en cas d'attaque.

La formation à la sécurité ne devrait pas se limiter à un séminaire unique pour le personnel et à une mise à niveau initiale des systèmes. La maintenance des correctifs et les mises à jour doivent être effectuées au fur et à mesure de la révélation des vulnérabilités ou de la sortie du nouveau logiciel. La haute direction doit mettre en œuvre des politiques rigoureuses de maintenance et de surveillance. La sécurité est une préoccupation constante et en constante évolution et ne peut pas être résolue rapidement.

Risk assessments need to be undertaken for suppliers, providers and contractors and restrictions on information should be put in place. Again, this can”t simply be an initial appraisal. Unified procedures should be written up and followed when dealing with any third party that requires a certain level of information from a business.

Avec un investissement financier et une attention appropriée portée à l'infrastructure et aux procédures de cybersécurité, une entreprise sera prête en cas d'attaque externe malveillante.

Sinon, une entreprise ne fait pas que subir une perte de production et des pénalités financières; il y a aussi une perte de réputation et un danger potentiel pour les machines et les humains.

Industrie de process Informer

Laisser un commentaire

Votre adresse email ne sera pas publié. Les champs obligatoires sont marqués *

Ce site utilise Akismet pour réduire les spams. Découvrez comment vos données de commentaire sont traitées.