La transformation numérique de la chaîne logistique permet d’améliorer sa compétitivité, d’optimiser ses performances et de réduire son empreinte énergétique. Portée par les innovations technologiques de l’industrie 4.0, la supply chain est de plus en plus automatisée et connectée. Alors que la supply chain devient une cible privilégiée des cybercriminels, l’introduction de ces technologies innovantes augmente la surface d’attaque. Aussi il devient indispensable de prendre en compte la menace cyber dans la gestion des risques sur la supply chain. Les entrepôts, maillons clé d’une chaîne logistique, sont souvent mal protégés. Les démarches de sécurisation sont trop rares. Les industriels ne savent pas comment aborder le sujet. Le RSSI d’un grand groupe Français de distribution a décidé de faire réaliser un audit à des fins de prise de conscience des équipes de l’entité logistique.
La Red Team d’Advens en charge du test d’intrusion a réussi à détourner l’usage des AGV en moins d’une heure.
Le test d’intrusion (pentest) est un moyen efficace pour évaluer le niveau de sécurités des installations et d’identifier les chantiers de sécurisation à mettre en place. La Red Team d’Advens a été missionnée pour effectuer un pentest consistant à simuler le sabotage d’un entrepôt réfrigéré en mettant l’accent sur les risques métiers critiques. L’objectif pour le RSSI de ce grand groupe de distribution était de sensibiliser les membres de l’entité logistique en montrant qu’un attaquant pourrait prendre la main sur des systèmes industriels de l’entrepôt.
Témoignage du RSSI groupe
Le test d’intrusion réalisé par Advens a été le point de départ du chantier de sécurisation de nos entrepôts. Il a permis de démontrer aux équipes que les pires scénarios redoutés, comme le contrôle de la chaîne du froid pour un entrepôt réfrigéré, pouvaient être facilement réalisés par des cyberattaquants. Mais sensibiliser les équipes métier aux risques cyber n’est pas suffisant, il est nécessaire de les accompagner tout au long de la démarche de sécurisation. Il est indispensable de prendre en compte les aspects budgétaires car les métiers sont focalisés sur la performance et la productivité. Les solutions mises en place ne doivent pas être vues comme une contrainte, elles doivent apporter un bénéfice pour le métier. Par exemple, permettre au métier de trouver un intérêt avec l’amélioration de performance industrielle et en même temps de récupérer des informations cyber au travers de la mise en place de cette solution.
La première cible de l’audit consistait à détourner l’usage des chariots à guidage automatique (AGV). Un accès Wifi mal protégé utilisant le protocole WEP et un mot de passe faible, ont permis de s’introduire sur le réseau de l’entrepôt depuis le parking extérieur de l’établissement. De nombreux équipements industriels étaient connectés sur ce réseau : automates programmables (PLC), étiqueteuses, postes de supervision et plusieurs équipements sous Linux. Les pentesters ont porté leur attention sur les machines Linux, système d’exploitation que l’on retrouve communément sur les AGV. Un service SSH mal protégé par un identifiant et mot de passe faible a permis de prendre rapidement la main en tant que root sur les AGV, récupérant ainsi un contrôle total de ces équipements. Le premier objectif était atteint en moins d’une heure avec la possibilité de modifier à volonté la trajectoire des AGV. La compromission du système de sûreté des chariots n’a pas été entreprise pour limiter tout risque sur des systèmes en production. Mais il est très probable qu’il était possible de désactiver les mesures de protections périmétriques et de créer des situations dangereuses et potentiellement accidentogènes.
La seconde cible de l’audit consistait à prendre en main à distance le système de contrôle de la chaîne du froid de l’entrepôt. Le système de contrôle de la chaîne de froid n’étant pas accessible sur le réseau de l’entrepôt, il a été nécessaire d’envisager une intrusion physique. Après une phase d’observation, un auditeur de la Red Team a profité de la visite de l’entrepôt par une équipe d’intérimaires pour se greffer à ce groupe et s’introduire dans le bâtiment. La visite a permis d’établir une cartographie physique de l’entrepôt et d’identifier le local technique dans lequel le poste de supervision de la chaîne du froid était placé. L’intrusion dans ce local technique a été possible en se faisant passer pour une personne de l’équipe informatique qui devait intervenir sur la machine. Le célèbre post-it collé sur l’écran indiquant le mot de passe a permis d’accéder sans trop d’efforts à la machine, qui n’avait en effet pas d’accès réseau. La mise en place d’un accès persistant à distance a été réalisé par l’installation d’un point d’accès 4G sur un port USB non protégé de la machine. Il ne restait plus qu’à l’auditeur Red Team de profiter de son accès distant à la machine pour exécuter le code malveillant permettant la connexion vers le serveur de contrôle et ainsi compromettre la machine, permettant la prise de contrôle à distance de la chaîne du froid de l’entrepôt.
La mission Red Team a permis de proposer une liste de recommandations afin de renforcer la sécurité de l’installation industrielle. Parmi ces recommandations :
Le pentest a mis en évidence que la cybersécurité est indispensable à la mise en œuvre de l’Industrie 4.0. L’augmentation de la connectivité des équipements industriels ne peut se faire sans la prise en compte du risque cyber. Cette mission a démontré l’intérêt du test d’intrusion pour identifier efficacement les vulnérabilités de la chaîne logistique. L’objectif du RSSI a été pleinement atteint, avec la prise de conscience du risque cyber par les équipes de l’entrepôt et l’identification des axes de sécurisation de la chaîne logistique.
L’audit Red Team a mis en évidence que la cybersécurité est indispensable à la mise en œuvre de l’Industrie 4.0. L’augmentation de la connectivité des équipements industriels ne peut se faire sans la prise en compte du risque Cyber. Cette mission a démontré l’intérêt de démarrer la démarche par une évaluation « terrain » du niveau de sécurité. L’objectif du RSSI a été pleinement atteint. Dans un tel cas de figure, le prochain challenge est l’animation dans la durée de la démarche Cyber sur ce nouveau périmètre, nécessitant sponsor, budget et relais dans les équipes.
