En 2020, les mises à jour de la suite logiciel Orion de la société Solarwinds se trouvaient

compromises par un logiciel malveillant.

En juillet 2024, une panne informatique mondiale compromettait des milliers de systèmes

Windows, après chargement de mises à jour défectueuses en provenance de l’éditeur

américain d’antivirus Crowdstrike.

Rien faire n’est pas la solution

Dans l’industrie, il est fréquent d’entendre dire « tant que ça marche, on ne répare pas ». Cette règle s'applique notamment aux systèmes de contrôle et automatisés industriels (IACS) et autres systèmes critiques, dont l'ordre de priorité de la cybersécurité est inversé par rapport à l'informatique classique : la disponibilité d'un système prime sur son intégrité et sa confidentialité.

Il est vrai que mettre à jour un système critique engendre un risque : l'installation de correctifs logiciels peut introduire un bug et donc déstabiliser un système qui fonctionne. Ou plus simplement encore, la mise hors ligne d'un système pour des travaux de maintenance peut être inacceptable, même pour un temps limité.

Cependant, une faille logicielle peut engendrer, si elle n’est pas traitée, un risque de compromission plus grand que celui associé à l'installation du correctif de cette même vulnérabilité. Dans ce cas, les propriétaires d'actifs, le personnel responsable de tels systèmes, ont besoin d'un cadre directif pour décider des mises à jour à effectuer et de la façon d’y procéder. C'est l’objet de la partie 2-3 de la série de standards ISA/IEC 62443 sur la cybersécurité des systèmes industriels. Ce standard, ayant le statut de « rapport technique », a été publié en 2015. Il traite de la gestion de correctifs en formulant des recommandations aux fournisseurs d'IACS et aux propriétaires d'actifs et en standardisant un format de publication.

Les principes de l’ISA/IEC 62443-2-3

L'installation de correctifs logiciels est nécessaire mais pose un risque. Le vrai problème vient du fait que les IACS dépendent de logiciels commerciaux tiers, issus du domaine de l'IT (par exemple : les systèmes d'exploitation, les moteurs de base de données, etc.), qui sont mis à jour par leur éditeurs dans des conditions qui échappent totalement à leurs utilisateurs finaux. Ces logiciels ne peuvent notamment pas être testés par leurs développeurs quant à leurs effets secondaires sur des systèmes aussi complexes que les IACS.

Par conséquent, il revient aux fournisseurs d’IACS de s’assurer que leurs produits ou systèmes sont compatibles avec les correctifs logiciels et de communiquer les résultats à leurs clients. L’ISA/IEC 62443-2-3 fixe des exigences mais, comme toute norme, ne donne pas d'obligation sur la rigueur ou l'étendue des tests à effectuer pour y répondre. Les fournisseurs peuvent par exemple vérifier que des configurations-types ne sont pas affectées dans leur fonctionnement par le correctif. Ils publient ensuite quels correctifs ont été testés, sur quels produits, avec quel résultat (validé, échoué, non-applicable), sous le format VPC (Vendor Patch Compatibility) défini dans la norme. Ce format peut être traité par ordinateur et ensuite intégré à des systèmes de gestion automatique des actifs.

Une fois publiés, ces résultats peuvent être récupérés par les responsables des IACS (les propriétaires d’actifs ou « asset owners » au sens de l’ISA/IEC 62443) qui prennent ensuite la décision d'installer ou non les correctifs. Il est recommandé qu'ils fassent leurs propres tests de compatibilité sur un environnement semblable à leur environnement de production, pour s'assurer que tout fonctionne, mais les résultats donnés par le fournisseur d'IACS constituent déjà un premier filtre sur quels correctifs appliquer.

En organisant la coopération entre les fournisseurs d’IACS et les propriétaires d'actifs, la norme ISA/IEC 62443-2-3 permet d’atteindre un équilibre entre les risques associés à l'installation de correctifs et ceux générés par les vulnérabilités qu'ils corrigent, contribuant ainsi à un meilleur cadre de cybersécurité dans les systèmes industriels.

Mateo Mongour, futur ingénieur diplômé de CY Tech (Pau), explique comment l’ISA/IEC 62443-2-3 permet d’aborder la question des mises à jour logicielles dans le cas des systèmes d’automatisme et de contrôle industriel (IACS).