Points clés
- Les mesures de sécurité standard — antivirus, firewall périmétrique, correctifs réguliers — sont insuffisantes pour protéger les environnements critiques.
- Les adversaires ciblant les infrastructures critiques utilisent des techniques avancées conçues pour contourner les défenses conventionnelles.
- Stuxnet a démontré qu'un environnement air-gapped peut être compromis via des vecteurs physiques et des exploits zero-day.
- Triton/TRISIS (2017) a ciblé les systèmes de sécurité instrumentée d'une installation pétrolière saoudienne, visant une conséquence physique potentiellement catastrophique.
- NIST SP 800-82 et IEC 62443 définissent les niveaux de protection renforcée requis pour les environnements OT/ICS critiques.
La protection des environnements critiques ne peut pas reposer sur les mêmes mesures que celles appliquées aux systèmes bureautiques. Les adversaires qui ciblent les infrastructures critiques — étatiques, para-étatiques ou criminels organisés — ont développé des capacités offensives spécifiquement conçues pour contourner les défenses conventionnelles. Face à ces adversaires, un antivirus et un firewall périmétrique constituent une protection insuffisante.
Cette réalité doit informer les décisions d'investissement de la direction. Protéger différemment les environnements critiques implique des architectures spécifiques, des niveaux de surveillance renforcés, des processus de gestion du changement plus stricts et des capacités de réponse aux incidents adaptées aux contraintes de disponibilité de ces environnements.
Les limites des défenses conventionnelles
Les outils de sécurité conventionnels présentent plusieurs limites dans les environnements critiques. Les antivirus basés sur des signatures ne détectent pas les maliciels sur mesure développés pour une cible spécifique. Les firewalls périmètriques ne protègent pas contre les attaques initiées depuis l'intérieur du réseau ou via des connexions légitimes (VPN, téléassistance, mise à jour logicielle). Les scanners de vulnérabilités ne peuvent pas être utilisés agressivement sur des systèmes OT sans risquer de provoquer l'arrêt du processus contrôlé.
Ces limites appellent des mesures complémentaires : détection comportementale plutôt que par signature, segmentation réseau stricte, liste blanche applicative (application whitelisting), intégrité des fichiers système (FIM), et capacités de détection spécifiques aux protocoles industriels (Modbus, DNP3, OPC-UA).
Les exigences spécifiques des environnements OT/ICS
Les environnements de contrôle industriel présentent des contraintes qui rendent la sécurité conventionnelle inapplicable directement. La disponibilité prime sur la confidentialité — on ne peut pas redémarrer un réacteur ou arrêter une chaîne de production pour appliquer un patch. Les systèmes propriétaires de nombreux constructeurs ne supportent pas l'installation d'agents de sécurité tiers. Les cycles de vie des équipements industriels dépassent souvent 15 à 20 ans, exposant des systèmes obsolètes qui ne peuvent être remplacés immédiatement.
IEC 62443 définit quatre Security Levels pour les systèmes industriels, chacun correspondant à un niveau de sophistication de la menace à contrer. NIST SP 800-82 Rev. 3 (2023) fournit des recommandations actualisées pour les architectures de sécurité ICS/SCADA/OT, incluant la détection réseau passive comme substitut aux outils actifs incompatibles avec les environnements opérationnels.
Triton/TRISIS : l'attaque contre les systèmes de sécurité
En 2017, une installation pétrochimique en Arabie Saoudite a été ciblée par Triton (également nommé TRISIS ou HatMan), un maliciel conçu spécifiquement pour compromettre les systèmes de sécurité instrumentée (SIS) Triconex de Schneider Electric. Ces systèmes sont chargés de déclencher l'arrêt d'urgence en cas de condition dangereuse. L'objectif de l'attaquant n'était pas de voler des données mais de neutraliser les systèmes de sécurité pour provoquer un accident industriel potentiellement catastrophique. L'incident a été découvert après qu'un bug dans le maliciel a déclenché un arrêt non planifié, alertant les opérateurs.
Stuxnet a démontré qu'un environnement théoriquement air-gapped peut être compromis. Conçu pour cibler les centrifugeuses d'enrichissement d'uranium iraniennes, Stuxnet a utilisé quatre vulnérabilités zero-day Windows et s'est propagé via des clés USB pour atteindre des systèmes déconnectés d'Internet. Une fois en place, il a modifié subtilement les paramètres des centrifugeuses tout en affichant des données normales aux opérateurs. Stuxnet a détruit environ 1 000 centrifugeuses sur 18 mois sans que les opérateurs ne détectent l'anomalie.
Industroyer, attribué au groupe Sandworm (GRU), est le premier maliciel conçu spécifiquement pour attaquer des infrastructures électriques. Il implémente nativement les protocoles de communication industriels IEC 60870-5-101, IEC 60870-5-104, IEC 61850 et OPC DA. Déployé contre le réseau électrique ukrainien en décembre 2016, il a provoqué une coupure d'une heure à Kiev. Sa capacité à parler directement les protocoles industriels le rendait indétectable par les outils de sécurité IT conventionnels.
Singapore Power Group a développé, en collaboration avec la CSA Singapore et l'IMDA, une architecture de sécurité spécifique pour ses infrastructures OT incluant une segmentation stricte des réseaux de contrôle, un SIEM dédié aux événements OT, et des capacités de détection passive des protocoles industriels. Ce programme, présenté comme référence lors de plusieurs forums ICS-CERT, illustre l'approche sectorielle adaptée aux contraintes de disponibilité des infrastructures critiques.