Hackfest 2024 - 16-bit Edition

Introduction (5 minutes)

Comme beaucoup d’entreprises, les manufacturiers réagissent aux menaces en sécurité de l’information. Des actions ont été portées pour solidifier les infrastructures, défendre le périmètre et sensibiliser les utilisateurs. La posture s’améliorant, de nombreux décideurs furent satisfait des résultats, car les métriques étaient bonnes pour illuminer sur quoi portait leur regard. Et jusqu’à récemment, tout semblait continuer dans le bon sens…

Et si nous avions oublié quelque chose? Oui! Cette machine en usine directement connectée à Internet existe réellement!

La surface d’attaque est réelle. Le Québec, c’est 27% des entreprises manufacturières en activité au Canada. Le Québec c’est aussi plus de 13 000 entreprises classifiées dans le domaine de la fabrication manufacturière.

Avons-nous les forces, talents et ressources nécessaires pour sécuriser nos entreprises manufacturières au Québec? Est-ce qu’un programme de sécurité de l’information pour une entreprise manufacturière est si différent d’un programme d’une autre entreprise?

Cas récents documentés (5 minutes)

o 2010 : Stuxnet – Iran – Centrale nucléaire;

o 2016 : Service électrique – Ukraine;

o 2020 : SolarWinds : Produit Orion;

o 2021 : Service de traitement des eaux, Molson Coors, producteurs de viande, Colonial Pipeline;

o 2022 : ACGO équipements agricoles, sous-traitant Toyota (Kojima) et encore le service électrique en Ukraine.

La différence dans la triade (5 minutes)

La triade traditionnelle en sécurité de l’information prône la confidentialité, l’intégrité et la disponibilité. Dans le monde des technologies opérationnelles, la disponibilité remplace la confidentialité en tête de liste. Attention, il y a parfois besoin de garder la confidentialité dans la triade pour des machines et systèmes comportant des secrets industriels. Cependant, la priorité numéro un en sécurité des technologies opérationnelles est qu’à la fin de la journée, tous et chacun reviennent sains et saufs à la maison.

C’est pourquoi la disponibilité des systèmes qui assure la protection des travailleurs en dans une usine est cruciale. C’est pourquoi aussi l’intégrité des systèmes TO doit être protégée avec des contrôles adaptés à cette réalité.

Au-delà du traditionnel « Arrange-toi pour que ça fonctionne! » des années passés, la nouvelle réalité des attaques croissantes, des risques pour les humains et des arrêts de production majeurs, fait en sorte qu’il faut accentuer le focus sur la cybersécurité en entreprise manufacturière.

Personnellement, j’opte pour faire de la place à la santé et sécurité, processus bien établi en entreprise (parfois!) pour venir se substituer à la confidentialité.

Les cadres de contrôles (5 minutes)

PURDUE

Norme internationale de la Commission Électrotechnique Internationale (CEI)4 (ISA/IEC 62443)

NIST800-82

CAN/DGSI 105:2002

Un cadre de référence est la base pour démarrer à structurer un programme en cybersécurité pour les technologies opérationnelles. Cependant, et si tout ce que l’on a appris dans les dernières années en faisant de la sécurité des technologies de l’information était justement une bonne base?

C’est une question de gros bon sens.

Comparatifs entre TI et TO (15 minutes)

Contrôles Réalité TO Observations

EDR/Antivirus : Oui, mais… Il faut se rappeler l’importance de la disponibilité. Un antivirus peut ralentir une machine et donc altérer la production voire mettre un humain en danger. Il faut opter pour un outil optimisé pour les TO.

MFA : Oui, mais… L’environnement industriel est souvent en mode 24/7 et le MFA est un irritant pour les gens responsables des TO. Il faut accompagner ces gens, les comprendre et leur expliquer l’importance de ce contrôle.

Comptes à hauts privilèges : Oui! Tout comme le dernier contrôle, choisir une technologie de voûte de mots de passe ou PAM qui va venir simplifier la vie de ces personnes tout en augmentant le facteur sécurité.

Accès à distance : Ouch! Le monde manufacturier est riche de fournisseurs de toutes sortes qui sont axés sur le principe du : « Il faut que ça fonctionne! » (Ex. Shrew VPN) Il faut gérer aussi le lot de solutions différentes, dresser une liste de solutions approuvées, analyser les risques et fournir une solution maison fiable et sécurité.

Gestion des tiers : Bonne pratique! Souvent lié au contrôle des accès à distance, il faut contrôler nos tiers en usine. Souvent les contrôles physiques sont manquant pour bien protéger le périmètre physique et les machines industrielles font peu de télétravail! Il faut aussi analyser le risque de tiers avec nos fournisseurs, valider qui accède réellement à nos machines, s’assurer que la sécurité de leur équipement de travail soit équivalent ou mieux que nos équipements et s’assurer de bien tout documenter avec une annexe de cybersécurité dans les contrats légaux.

Inventaire des actifs et surveillance : Oui! En théorie! Si c’est difficile au niveau TI, imaginez au niveau TO. Le but principal ici est d’identifier les machines présentes sur le réseau TO et identifier avec quoi elles communiquent normalement. Des outils technologiques spécialisés pour les TO sont disponibles sur le marché. Ensuite, il faut valider ou interdire ce qui est anormal.Il y a aussi la segmentation réseau qui est une pratique fort recommandée pour isoler les réseaux et se protéger des attaques de type EST-OUEST. Facile à dire pour une usine neuve. Périple épique pour une usine établie.

Gestion des vulnérabilités : Oui, mais… “Don’t fix it if it’s not broken…”
Les vulnérabilités sont forts difficiles à aborder dans un environnement 24/7. Et parfois, le correctif peut venir briser le procédé industriel en place et le vendeur ne supporte plus cette solution… et ça c’est si le vendeur existe encore. Il faut corriger les vulnérabilités, si possible, et si ce n’est pas possible, mettre en place un contrôle compensatoire efficace.

Tests d’intrusion : Peut-être… Ce qui est vraiment difficile pour les tests d’intrusion en TO, c’est de trouver un environnement de test ou de « staging » pour y arriver.

Protection des données / encryption : Le risque? Est-ce que l’on encrypte ou on protège? Ça dépend du risque et la confidentialité des données. Dans bien des cas, si ce n’est qu’une série de données sans valeur (ex. taux d’humidité d’un produit) pourquoi nuire à la disponibilité et l’intégrité?

Sensibilisation et formation : Culturel As-tu cliqué sur le dernier courriel de simulation d’hameçonnage? La réponse est souvent « Non » ou bien « J’ai une boîte courriel? »

Copies de sauvegardes : Oui! Un des meilleurs contrôle pour le monde TO! Prendre des copies de sauvegardes de configurations des machines TO et surtout… ne pas les conserver sur le serveur en production. Une copie hors ligne s.v.p.!

Réponse aux incidents : Oui! Pratiquement identique à la technologie de l’information! Préparer des plans d’incidents sur les menaces courantes, les tenir à jour et se pratiquer (Table Top) annuellement.

Résilience d’affaires : Ouvrir les yeux… et les oreilles! Qu’est qui est le plus important au niveau BIA pour un directeur d’usine? Son courriel ou bien ses lignes téléphoniques? La réponse est parfois surprenante!

Conseils (10 minutes)

*Ouvrir le dialogue

Tout comme la sécurité des technologies de l’information, la sécurité des technologies opérationnelles est une question de culture. Engagez le dialogue entre les professionnels TI et TO. Dans un monde où la continuité des opérations est le nerf de la guerre, « Money talks » et c’est en chiffrant le coût d’un arrêt de production ou d’un bris de machine que l’on peut parfois toucher l’imaginaire des dirigeants et experts de technologies opérationnelles. Cependant, priorisez la VIE HUMAINE et collaborez stratégiquement avec le département de santé et sécurité en usine, s’il existe. La sécurité physique, souvent négligée, est à examiner avec sérieux. N’hésitez pas à vous entourer des experts dans ce domaine.

*Structurer en parralèlle

Vous n’avez pas commencé ou bien vous êtes au début de votre programme en sécurité de l’information? Pensez à intégrer dès maintenant les technologies opérationnelles dans vos plans en sécurité de l’information. Il sera possible de réduire certains coûts, mais surtout de bâtir une culture encore plus solide en sécurité de l’information adapté à la réalité manufacturière.

*Définir le flot d'information idéal

Est-ce que le réseau IT devrait communiquer avec le réseau OT ou vice versa? Est-ce que le réseau OT devrait parler directement à Internet? Définissez sans tarder les limites et comment les systèmes vont communiquer. Par exemple, vous pouvez définir que le réseau TO ne lira jamais de données du réseau TI, mais qu’il sera autorisé à pousser des données sur le réseau TI pour les besoins d’analyse de l’entreprise. Chaque entreprise doit définir, comprendre et cartographier le flot d’information qui lui convient.

*Développer des compétences

Retournez dans le passé où l’expertise en cybersécurité était rare. Certain dirons qu’elle est encore rare… et ils ont raisons. Et maintenant, il manque de talents spécialisés en sécurité des technologies opérationnelles et surtout au Québec. Il existe des certifications telles que ISA 62443 Cybersecurity Expert Series et SANS Institute (GICSP, GRID, CGIP) et je ne peux pas vous en parler, car je n’ai aucune de ces certifications! Il n’y a pas de secret, il faut prendre le temps de comprendre, poser des questions et ne pas avoir de se tromper… dans la mesure où aucune vie humaine n’est en danger.

*Établir une stratégie

Osez établir votre stratégie et avoir un plan. Ce n’est pas possible de rattraper plusieurs années de cybersécurité en une seule année et mettre à place, à la perfection, tous les contrôles de sécurité. À moins d’avoir un budget et des ressources illimités, et même là, il faut y mettre autant de diligence et d’ardeur que lors de l’implantation des contrôles et cadres en technologie de l’information.
Et surtout! Ne jamais oublier de comprendre les risques propres aux technologies industrielles et s’ajuster constamment