cyber ics
Cyber Physical Systems Security : la vulnérabilité cachée des capteurs
Une vulnérabilité méconnue au cœur de la protection de l’information
Dans les entreprises qui s’appuient sur des systèmes cyber‑physiques, les capteurs jouent un rôle central. Ils transforment le monde physique en données numériques. Cette fonction paraît simple. Pourtant, elle ouvre la voie à une vulnérabilité profonde : les signaux hors‑bande. Cette faille reste encore trop peu comprise, alors qu’elle touche directement la fiabilité des mesures et donc la sécurité globale.
Pourquoi les capteurs deviennent une cible stratégique
Les capteurs assurent la continuité entre l’environnement réel et les systèmes numériques. Ils alimentent les décisions critiques dans les robots industriels, les infrastructures sensibles ou les chaînes de production. Lorsque leurs mesures deviennent incorrectes, les conséquences peuvent être graves. Des incidents majeurs, comme des explosions d’usine ou des accidents impliquant des robots, ont déjà été associés à des erreurs de mesure. Ces événements rappellent que la sécurité d’un système dépend d’abord de la fiabilité de ses capteurs.
Le principe des attaques hors‑bande
Les chercheurs de l’Université du Zhejiang ont démontré que les capteurs réagissent parfois à des signaux qu’ils ne devraient pas percevoir. Un microphone, par exemple, doit enregistrer des sons audibles. Pourtant, un faisceau laser modulé peut produire une commande vocale dans ce même microphone. Ce comportement inattendu illustre parfaitement une attaque hors‑bande.
Ce type de vulnérabilité apparaît lorsque le capteur convertit un stimulus physique non prévu en signal électrique exploitable. Cette conversion résulte de limites matérielles, qu’elles soient mécaniques, thermiques, optiques ou électromagnétiques. Ainsi, un capteur peut réagir à un signal trop puissant, trop rapide ou issu d’un domaine physique totalement différent.
Deux grandes familles de vulnérabilités
Les chercheurs distinguent deux catégories.
- La première concerne les signaux hors‑plage. Le capteur reçoit un stimulus de la même nature que celui qu’il attend, mais avec une amplitude ou une fréquence qui dépasse ses capacités.
- La seconde regroupe les signaux inter‑domaines. Dans ce cas, un stimulus d’un autre domaine physique déclenche une réaction imprévue. Un signal lumineux peut provoquer une vibration thermique, qui elle‑même génère une réponse électrique. Cette chaîne de conversions rend l’attaque difficile à anticiper.Une matrice énergétique pour comprendre les attaques
Pour analyser ces vulnérabilités, les chercheurs ont construit une matrice reliant sept catégories de stimuli : acoustique, optique, mécanique, thermique, magnétique, électromagnétique et électrique. Chaque case représente une conversion possible entre deux domaines. Une attaque devient viable dès qu’un chemin mène du stimulus injecté jusqu’au signal électrique final. Cette approche permet de cartographier les menaces et de comprendre comment un signal improbable peut manipuler un capteur.
Des attaques réalistes, même en dehors des laboratoires
Certaines attaques nécessitent des conditions particulières. D’autres restent étonnamment simples à mettre en œuvre. Les chercheurs ont évalué chaque scénario selon plusieurs critères, comme la distance d’attaque, le coût du matériel ou le niveau de connaissance requis. Cette analyse montre que plusieurs attaques sont déjà exploitables dans des environnements industriels. Elle souligne aussi que les architectures actuelles, même avec des mécanismes avancés comme la fusion de capteurs ou les contrôles en boucle fermée, ne suffisent pas à éliminer totalement ces risques.
Un enjeu majeur pour la sécurité des entreprises
Les capteurs constituent aujourd’hui un point d’entrée critique. Leur rôle dans la protection de l’information dépasse largement la simple collecte de données. Une mesure manipulée peut perturber un processus industriel, tromper un système de sécurité ou masquer une intrusion. Les entreprises doivent donc intégrer ces vulnérabilités dans leurs stratégies de défense. Elles doivent aussi anticiper les futures attaques, car les combinaisons de signaux exploitables sont presque infinies.
Pour aller plus loin
Dans un environnement industriel ou COMEX, la sûreté de l’information ne se limite pas aux systèmes numériques : elle englobe aussi les capteurs, les réseaux et les infrastructures physiques. International ICS, expert reconnu en analyse et audit de sûreté de l’information, accompagne les organisations dans la détection des vulnérabilités, la prévention des fuites et la sécurisation des environnements sensibles. Contactez International ICS pour un audit complet et confidentiel de vos dispositifs de sécurité.
Vers une nouvelle génération de capteurs sécurisés
Les travaux académiques proposent un cadre unifié pour comprendre ces vulnérabilités. Cette approche aide les concepteurs à identifier les faiblesses dès la phase de conception. Elle permet aussi aux équipes de sécurité de mieux détecter les comportements anormaux. À terme, cette compréhension plus fine des conversions énergétiques pourrait conduire à des capteurs plus robustes et à des systèmes cyber‑physiques réellement résilients.
Cyberattaque : 5 mesures d'anticipation
L’importance de ces mesures de cybersécurité prioritaires est indéniable, et leur mise en place rapide peut réduire le risque d’une cyberattaque et minimiser ses effets éventuels. Cependant, pour qu’elles soient totalement efficaces, elles doivent s’intégrer dans une stratégie globale et à long terme de cybersécurité. Le département Cyber de International ICS vous présente ces mesures.
Les cybercriminels ont des motivations diverses pour lancer des cyberattaques, allant du simple vol au sabotage. Ils emploient différents moyens, tels que les logiciels malveillants, les pièges par ingénierie sociale ou le piratage de mots de passe, pour accéder illégalement aux systèmes visés.
Les cyberattaques peuvent avoir des conséquences graves, voire catastrophiques, pour une entreprise. Le coût moyen d’une atteinte à la sécurité des données est de 4 millions d'euros. Ce montant inclut les dépenses liées à la détection et à la résolution de l’incident, aux interruptions d’activité et aux pertes de chiffre d’affaires, ainsi qu’à l’impact négatif sur la réputation et l’image de marque d’une entreprise à long terme.
1/ Améliorer l’authentification sur les systèmes d’information.
Pour minimiser le risque d’une cyberattaque, il est préconisé de renforcer l’authentification des comptes les plus vulnérables, notamment ceux des administrateurs qui ont accès à toutes les ressources critiques du système d’information et ceux des individus à haut risque de l’organisation (cadres dirigeants, personnel de direction, etc.).
Il est donc fortement recommandé d’implémenter une authentification forte qui nécessite l’utilisation de deux facteurs d’authentification distincts, soit :
- un mot de passe, un schéma de déverrouillage ou une signature ;
- un dispositif matériel (carte à puce, jeton USB, carte magnétique, RFID) ou, à défaut, un autre code reçu par un autre canal (SMS, OLVID...).
Pour les administrateurs, l’activation d’une authentification renforcée doit être appliquée à tous leurs comptes : Active Directory, administration d’applications, cloud, etc.
2/ Accroître la supervision de sécurité.
Il est nécessaire d’instaurer un système de surveillance des événements enregistrés pour détecter toute compromission potentielle et intervenir rapidement. Ces événements peuvent également faciliter la compréhension d’un incident et accélérer sa résolution. En l’absence de supervision de sécurité, il est recommandé de centraliser les journaux des éléments les plus critiques du système d’information, tels que les points d’accès VPN, les bureaux virtuels, les contrôleurs de domaine et les hyperviseurs.
Il est essentiel de renforcer la vigilance des équipes de supervision en enquêtant sur les anomalies qui pourraient être négligées en temps normal. Plus précisément, dans un environnement Active Directory, les connexions inhabituelles sur les contrôleurs de domaine doivent être examinées. Les alertes dans les consoles d’antivirus et EDR concernant des serveurs sensibles doivent également être systématiquement étudiées.
Pour les organisations qui en ont la capacité, il est conseillé d’accélérer le déploiement d’outils offrant une visibilité sur l’état de sécurité des systèmes d’information, tels que Sysmon, EDR, XDR.
3/ Créer une liste hiérarchisée des services numériques
Il est essentiel d’avoir une compréhension précise de ses systèmes d’information et de leur importance pour prioriser les mesures de sécurité et réagir efficacement en cas d’incident. Il est donc recommandé aux organisations, en collaboration avec les départements concernés, de dresser un inventaire de leurs services numériques et de les classer en fonction de leur importance pour la continuité des activités de l’entreprise. Les dépendances à l’égard des fournisseurs doivent également être identifiées.
4/ Sauvegarde Hors-ligne
Il est nécessaire d’effectuer des sauvegardes régulières de toutes les données, y compris celles stockées sur les serveurs de fichiers, d’infrastructures et d’applications métier essentielles. Pour prévenir leur chiffrement, à l’instar des autres fichiers, ces sauvegardes, du moins les plus critiques, doivent être déconnectées du système d’information.
L’utilisation de solutions de stockage à froid, comme des disques durs externes ou des bandes magnétiques, permet de protéger les sauvegardes contre une infection des systèmes et de conserver les données essentielles pour la reprise d’activité.
Il est également recommandé de mettre à jour fréquemment ces sauvegardes sans jamais le faire en ligne.
5/ Veiller à la mise en place d’un dispositif de gestion de crise approprié pour faire face à une cyberattaque.
Une attaque informatique peut perturber le fonctionnement des organisations. Les services de soutien tels que la téléphonie et la messagerie, ainsi que les applications métier, peuvent être rendus inutilisables. Dans ce cas, il faut adopter un mode de fonctionnement dégradé, ce qui peut parfois signifier un retour aux méthodes traditionnelles de papier et de crayon. En général, l’attaque entraîne une interruption partielle de l’activité et, dans les cas les plus extrêmes, une interruption totale. Il est donc essentiel de définir des points de contact d’urgence, y compris avec les fournisseurs de services numériques, et de s’assurer que ces coordonnées sont disponibles en format papier.
De plus, les organisations doivent élaborer un plan de réponse aux cyberattaques, qui s’inscrit dans le cadre du dispositif de gestion de crise, si celui-ci existe. Ce plan vise à garantir la continuité de l’activité et son retour à la normale. La mise en place d’un plan de continuité informatique permet à l’organisation de maintenir son fonctionnement en cas de perturbation plus ou moins importante du système d’information. Le plan de reprise informatique, quant à lui, a pour objectif de remettre en service les systèmes d’information qui ont été défaillants. Il doit notamment prévoir la restauration des systèmes et des données.
Thomas d. C.
La rédaction International ICS.