Le monde du contrôle-commande intègre depuis plus de 15 ans les technologies de l’informatique et les standards liés. Ainsi les stations des opérateurs, de maintenance sont de plus en plus basés sur des matériels et systèmes d’exploitation d’origine Microsoft ou Linux.
Le coût des systèmes diminue, leurs fonctionnalités s’enrichissent et leur intégration avec le monde de la gestion de production et de maintenance se fait plus étroite. Mais cette évolution rapproche les systèmes de contrôle-commande du monde extérieur et les rend plus vulnérables à des intrusions et à des attaques de toutes natures.
L’informatique industrielle est devenue avec le temps aussi vulnérable que l’informatique de gestion, la définition d’une politique de protection implique une véritable analyse des risques encourus par l’ensemble des activités, ainsi qu’une mobilisation de l’ensemble des acteurs de l’entreprise.
L’informatique s’est largement introduite dans les systèmes de contrôle-commande :
Cette évolution est bénéfique sur le plan des fonctionnalités et des coûts d’exploitation :
Mais cela a multiplié les points d’accès potentiels aux systèmes de contrôle et il devient aujourd’hui difficile de savoir qui est autorisé à accéder à un système d’information, quand cet accès est autorisé et quelles données peuvent être rendues accessibles.
Par rapport à l’informatique de gestion, le monde du contrôle-commande n’a pas encore intégré l’ensemble des dimensions DIC dans leur approche sécurité.
Les automaticiens sont axés sur la conduite des procédés et pensent être protégés par la spécificité apparente de leurs outils et à leur fournisseur. Ils sont encore peu préoccupés par les problèmes de protection contre les intrusions ou de logiciels malveillants, …..
Les technologies IT sont ‘embarquées’ dans les systèmes de contrôle-process et sont managés par les spécialistes processus, ou par les fournisseurs industriels. Les équipes IT ne sont pas vraiment impliquées dans le design et la maintenance des systèmes de contrôle- commande.
Les équipes d’automaticiens et les informaticiens ont des langages et des cultures différents. Les spécialistes du process vont parler de fiabilité, sureté, machines, capteurs, …alors que les informaticiens parlent de disponibilité, intégrité, réseau TCP/IP, serveurs, firewall, virus, etc…
Les métiers d’automaticien ont du mal à imaginer que près de 50% des incidents de sécurité sont d’origine interne à l’entreprise (enquête du British Columbia Institute of Technology Internet Engineering Lab de juin 2008). Enfin, les managers liés aux systèmes industriels (SCADA, DCS) sont peu sensibilisés et ils ont d’autres priorités (amélioration des processus, fiabilité des équipements, …)
Les scénarios de risques sont particuliers au contrôle-commande. Les mesures de sécurité préconisées sont proches de celles connues dans la sécurité informatique des systèmes de gestion.
Néanmoins, les contraintes de mise en œuvre sont très spécifiques aux exigences de continuité et de sureté de fonctionnement des SCADA et DCS. Ainsi les mesures très standards de règle d’application des corrections (patch management), de gestion des anti-virus, de filtrage des flux demandent des précautions très particulières de mise en œuvre dans le monde des SCADA et DCS.
Les principes généraux de sécurité de l’informatique industrielle sont développés dans la norme SP-99 et les documents qui l’accompagnent (ISA-TR99.00.01, et ISA-TR99.00.02), publiés par l’association ISA (The Instrumentation, Systems and Automation Society).
Ce sont les principaux textes disponibles actuellement qui traitent de façon organisée de la sécurité de l’informatique industrielle. Ils constituent un bon point de départ pour prendre en compte de façon méthodique la problématique de la sécurisation des systèmes d’information industriels.