[Réponse expert] Quels enjeux de cybersécurité et de protection des données pour les MES hébergés sur le cloud ?

SOMMAIRE

• Vulnérabilités spécifiques aux MES dans le cloud
• Menaces émergentes et risques
• Mesures de sécurité essentielles
• Conformité réglementaire
• Glossaire

L’adoption croissante des Manufacturing Execution Systems (MES) dans le cloud offre aux entreprises industrielles une plus forte flexibilité et scalabilité, mais soulève également des défis importants en matière de cybersécurité et de protection des données.

Ces enjeux, s’ils ne sont pas correctement appréhendés, peuvent compromettre l’intégrité des systèmes de production, la confidentialité des données sensibles et la conformité réglementaire.

Vulnérabilités spécifiques aux MES dans le cloud

L’hébergement des systèmes MES dans le cloud expose ces systèmes à un éventail de menaces plus large que les déploiements traditionnels sur site. Parmi les vulnérabilités spécifiques, différentes peuvent être répertoriées :

Accès non autorisé

L’accès aux données et aux fonctionnalités du MES via Internet augmente le risque d’accès non autorisé par des acteurs malveillants. Des mots de passe faibles, des configurations de sécurité inadéquates ou des failles dans les applications peuvent être exploités pour compromettre le système.

La mise en œuvre de l’authentification multifactorielle (MFA), combinant plusieurs facteurs d’authentification tels que les mots de passe, les jetons matériels ou la biométrie, renforce la sécurité en exigeant une vérification supplémentaire de l’identité de l’utilisateur.

Attaques par déni de service (DDoS)

Les solutions MES hébergées sur le cloud sont susceptibles d’être la cible d’attaques DDoS, qui visent à saturer les ressources du système et à le rendre indisponible pour les utilisateurs légitimes. Ces attaques peuvent perturber les opérations de production et entraîner des pertes financières importantes. 

L’installation de solutions de protection contre les attaques DDoS, telles que les pare-feu applicatifs Web (WAF) et les réseaux de diffusion de contenu (CDN), peut atténuer ce risque en filtrant le trafic malveillant et en répartissant la charge sur plusieurs serveurs.

Vulnérabilités liées à la virtualisation

Les données de production, les informations sur les processus et les données sensibles relatives aux clients sont stockées et traitées dans le cloud, ce qui les rend vulnérables au vol, à la modification ou à la suppression par des acteurs malveillants.

Les environnements virtualisés utilisés dans le cloud computing présentent des vulnérabilités spécifiques, telles que l’évasion de machine virtuelle (VM escape) et les attaques par canal auxiliaire. L’évasion de machine virtuelle se produit lorsqu’un attaquant parvient à s’échapper d’une machine virtuelle et à accéder à l’hyperviseur ou à d’autres machines virtuelles sur le même hôte physique. Les attaques par canal auxiliaire exploitent les canaux de communication cachés entre les machines virtuelles pour voler des informations ou perturber leur fonctionnement. 

La mise en place de solutions de sécurité avancées pour les environnements virtualisés, telles que la micro-segmentation et l’analyse du comportement des machines virtuelles, peut contribuer à atténuer ces risques.

Manque de contrôle sur l’infrastructure

L’externalisation de l’infrastructure informatique vers un fournisseur de services cloud implique une perte de contrôle direct sur les mesures de sécurité physique et logique mises en œuvre pour protéger les données. La confiance accordée au fournisseur est donc essentielle. Il est important de choisir un fournisseur de services cloud qui offre des garanties de sécurité solides et qui respecte les normes et réglementations en vigueur, telles que ISO 27001 et SOC 2.

Menaces émergentes et risques

L’évolution rapide des technologies et des méthodes d’attaque complexifie la gestion des risques de cybersécurité pour les MES dans le cloud. Parmi les principales menaces émergentes, on peut citer :

Attaques par ransomware

Les attaques par ransomware, qui consistent à chiffrer les données et à exiger une rançon pour leur restitution, représentent une menace croissante pour les systèmes industriels. La dépendance des outils MES à l’égard des données en temps réel rend les entreprises particulièrement vulnérables à ce type d’attaque. 

L’adoption de solutions de sauvegarde et de restauration robustes, ainsi que la sensibilisation des employés aux risques liés aux e-mails de phishing et aux pièces jointes malveillantes, peuvent contribuer à atténuer ce risque.

Exploitation des vulnérabilités des objets connectés

L’intégration des MES avec l’Internet des objets (IoT) augmente la surface d’attaque potentielle. Les objets connectés, souvent mal sécurisés, peuvent servir de point d’entrée pour les attaquants cherchant à accéder au réseau et aux systèmes critiques. 

L’adoption de mesures de sécurité spécifiques pour les objets connectés, telles que l’authentification des appareils, le chiffrement des communications et la mise à jour régulière des micrologiciels, est essentielle pour réduire ce risque.

Attaques ciblant l’intelligence artificielle

L’utilisation croissante de l’intelligence artificielle (IA) dans les MES introduit de nouveaux vecteurs d’attaque. Les attaquants peuvent chercher à manipuler les algorithmes d’IA, à empoisonner les données d’apprentissage ou à exploiter les vulnérabilités des modèles d’IA pour perturber les opérations ou voler des informations sensibles. 

La mise en œuvre de techniques de sécurité pour l’IA, telles que l’apprentissage automatique robuste, la détection des anomalies et l’explicabilité de l’IA, peut contribuer à atténuer ces risques.

Mesures de sécurité essentielles

Pour atténuer les risques de cybersécurité et protéger les données sensibles, les entreprises industrielles doivent mettre en œuvre des mesures de sécurité robustes et adaptées aux spécificités des MES hébergés sur le cloud. Voici une liste non exhaustives de mesures pouvant être déployées :

Authentification forte

La mise en place d’une authentification forte, utilisant des mots de passe complexes, l’authentification multifactorielle ou des certificats numériques, est indispensable pour limiter les risques d’accès non autorisé. Les solutions d’authentification forte doivent être intégrées aux systèmes d’identité et d’accès (IAM) pour centraliser la gestion des identités et des accès.

Contrôle d’accès granulaire

Un contrôle d’accès granulaire, basé sur les rôles et les responsabilités, doit être mis en œuvre pour limiter l’accès aux données et aux fonctionnalités du système MES aux seuls utilisateurs autorisés. Les politiques de contrôle d’accès doivent être définies et appliquées de manière cohérente pour tous les utilisateurs, y compris les employés, les sous-traitants et les partenaires.

Chiffrement des données

Le chiffrement des données, en transit et au repos, est essentiel pour protéger les informations confidentielles contre le vol et la modification. Des protocoles de chiffrement robustes et des solutions de gestion des clés de chiffrement doivent être mis en place. Par ailleurs, le chiffrement des données doit être intégré aux applications et aux bases de données du MES pour garantir une protection complète des données sensibles.

Surveillance et détection des intrusions

Des systèmes de surveillance et de détection des intrusions peuvent être mis en place pour identifier les activités suspectes et réagir rapidement aux incidents de sécurité. L’analyse des journaux d’événements, la détection des anomalies et les alertes en temps réel sont des éléments clés de ces systèmes. Les solutions de sécurité basées sur l’IA, telles que l’analyse comportementale des utilisateurs et des entités (UEBA), peuvent améliorer la détection des menaces en identifiant les activités anormales et les comportements suspects.

Mise à jour régulière des systèmes

Les systèmes d’exploitation, les applications et les logiciels du MES doivent être régulièrement mis à jour pour corriger les vulnérabilités de sécurité connues. Un processus de gestion des correctifs peut également être mis en place pour garantir que les mises à jour soient appliquées rapidement et efficacement. Les tests de vulnérabilité et les tests de pénétration doivent être effectués régulièrement pour identifier les faiblesses de sécurité et les corriger avant qu’elles ne soient exploitées par des attaquants.

Sauvegardes et restauration

Des sauvegardes régulières des données du MES doivent être effectuées et stockées dans un emplacement sécurisé, hors site. Des procédures de restauration doivent en parallèle être testées et documentées pour garantir la continuité des opérations en cas d’incident majeur. Les solutions de reprise après sinistre (DR) peuvent être mises en place pour permettre une restauration rapide des systèmes et des données en cas de panne ou de catastrophe naturelle.

Formation et sensibilisation

La formation et la sensibilisation des employés aux enjeux de cybersécurité sont essentielles pour prévenir les erreurs humaines et les comportements à risque. Des programmes de formation réguliers et des campagnes de sensibilisation peuvent être mis en place pour informer les employés sur les menaces, les bonnes pratiques et les procédures à suivre en cas d’incident. Les formations peuvent porter sur des sujets tels que la sécurité des mots de passe, la protection contre le phishing, la navigation sécurisée sur Internet et la gestion des données sensibles.

Conformité réglementaire

Au-delà des outils à déployer, les entreprises industrielles doivent se conformer aux réglementations en vigueur en matière de protection des données et de cybersécurité. Le Règlement général sur la protection des données (RGPD), la directive NIS et les normes sectorielles spécifiques, telles que le 21 CFR Part 11 pour l’industrie pharmaceutique, imposent des obligations strictes en matière de sécurité des données, de notification des violations et de responsabilité. Il est alors fortement recommandé à ces entreprises de mettre en place des programmes de conformité pour garantir le respect de ces réglementations et éviter les sanctions financières et les atteintes à la réputation.

L’adoption d’une solution MES dans le cloud offre des avantages considérables aux entreprises industrielles, mais nécessite une attention particulière aux enjeux de cybersécurité et de protection des données. L’adoption de mesures de sécurité robustes, la surveillance continue des menaces et la conformité aux réglementations en vigueur sont essentielles pour garantir l’intégrité des systèmes de production, la confidentialité des données sensibles et la confiance des clients.

Les entreprises doivent donc adopter une approche proactive de la cybersécurité, en intégrant la sécurité dès la conception des systèmes et en investissant dans les technologies et les compétences nécessaires pour protéger leurs actifs critiques.

Auteur : Sébastien Gubian, Ingénieur Commercial – Offre Digitale et Damien Chapuis, Responsable Développement Digital chez ALPA

 

Glossaire

• CDN (Content Delivery Network) : réseau de serveurs interconnectés qui accélère le chargement des pages Web pour les applications à forte densité de données.
• IA (Intelligence Artificielle) : ensemble des théories et des techniques développant des programmes informatiques complexes capables de simuler certains traits de l’intelligence humaine (raisonnement, apprentissage, etc.).
• IAM (Identity and Access Management) : infrastructure de processus métier permettant de gérer les identités électroniques ou numériques.
• IoT (Internet of Things) : réseau d’objets et de terminaux connectés équipés de capteurs, et de technologies, leur permettant de transmettre et de recevoir des données entre eux et avec d’autres systèmes.
• MES (Manufacturing Execution System) : logiciel conçu pour optimiser le processus de production par le suivi, la documentation et le contrôle de l’intégralité du cycle de production.
• UEBA (User & entity behavior analytics) :  solution de cybersécurité qui utilise des algorithmes et le machine learning pour détecter les anomalies dans le comportement des utilisateurs d’un réseau d’entreprise, mais également des routeurs, des serveurs et des terminaux de ce réseau.
• WAF (Web Application Firewall) : système protégeant le serveur d’applications Web dans le backend des multiples attaques (phishing, ransomware, attaque DDOS, malware).