Vous êtes ici :

L'intelligence artificielle et l'industrie

Interview de Laurent Hausermann

directeur général de Sentryo

<< L’I.A.ne supplante pas l’humain mais permettra d’automatiser des travaux répétitifs(…) et de mettre au point des systèmes de détection des comportements >>.

Société spécialisée dans la cybersécurité industrielle, Sentryo permet aux entreprises, d’assurer la disponibilité, la résilience et la cybersécurité de leurs systèmes industriels tout en luttant contre les cyberattaques. Son offre ICS CyberVision utilise une technologie unique de surveillance des systèmes industriels pour améliorer leur intégrité et lutter contre les cyber-incidents. 

Laurent Hausermann en est le co-fondateur et directeur général.

Réalisée par :

Date : 01/01/2017

Comment les systèmes industriels se protègent-t-ils aujourd’hui contre les menaces et attaques, internes ou externes ?

Aujourd’hui, ils ne se protègent pas, c’est aussi simple que ça ! Les systèmes industriels n’ont pas, à la base, été conçus pour lutter contre des menaces et se protéger contre des actions malveillantes. Ils ont été conçus pour se protéger contre les défaillances, c’est-à-dire contre le fait qu’un élément physique du système puisse tomber en panne, qu’une catastrophe naturelle provoque le débordement d’un réservoir, ou contre tout problème qui relève de l’erreur humaine ou d’une action non autorisée. C’est le domaine de la « sûreté de fonctionnement » qui est différent de la cybersécurité. Là où il y a un risque, on essaie de minimiser soit la probabilité du risque, soit l’impact d’un accident effectif. La cybersécurité industrielle relève d’une démarche différente : il s’agit de lutter contre une personne malveillante qui a du temps mais également des moyens financiers et la volonté pour parvenir à trouver le maillon faible qui va permettre d’attaquer le système. Malheureusement, le monde de l’industrie n’est pas assez sensibilisé aux problématiques de cybersécurité, on dénote une absence de cette culture : sécurité et cybersécurité ont tendance à s’opposer alors qu’elles devraient être complémentaires. 

Les systèmes industriels sont-ils particulièrement vulnérables et, si oui, pourquoi et comment ?

Les systèmes industriels sont vulnérables car ils n’ont pas été conçus pour faire face à des actes malveillants. De plus, la durée de vie des installations OT est souvent très longue, elles sont généralement renouvelées tous les 10 ou 15 ans. Il y a donc des vulnérabilités dues à l’obsolescence des installations qui se révèlent alors comme autant de failles s’exposant à des cybermenaces. Ces systèmes industriels sont également de plus en plus ouverts à de multiples intervenants. On note également de nombreuses vulnérabilités techniques : failles non colmatées, automates programmables non sécurisés, etc. qui augmentent le risque de cyberattaque. Enfin, les vulnérabilités des systèmes industriels sont aussi organisationnelles. En cause, l’absence de culture de la cybersécurité dans la communauté des systèmes de contrôle-commande et chez les industriels qui ont encore trop souvent tendance à penser que leurs infrastructures sont intouchables et impénétrables, mais aussi le manque de collaboration entre le monde de l’IT et de l’OT.
Autre point à prendre en compte, l’industrie fonctionne avec une logique de retour sur investissement. Lorsqu’un industriel investit dans un système, il va tout faire pour que ce dernier ait un cycle de vie le plus long possible. Cependant, une installation qui a vingt ans, à l’échelle de la cybersécurité, cela pose un vrai problème. La façon dont les systèmes sont conçus et pensés, implique qu’ils fonctionnent de manière identique pendant des années alors qu’il faudrait les mettre à jour de façon très régulière, les améliorer, les maintenir. Dans l’industrie on effectue un « maintien en condition opérationnelle ». Il faudrait suivre la même démarche dans le domaine de la cybersécurité, et introduire un « maintien dans les conditions de sécurité » pour faire en sorte que les systèmes soient mis à jour, les failles corrigées et les vulnérabilités identifiées.

Quels sont les enjeux de la cybersécurité pour le système de production ?

En cas d’arrêt du système et de la chaîne de production, l’impact économique est important

Les attaques sur les systèmes industriels se développent, se diversifient et peuvent avoir de graves conséquences sur l’outil de production, la production en elle-même, voire, dans certains cas, sur le personnel et le public. La modification des configurations nominales des installations peut provoquer des dégradations physiques avec le plus souvent des conséquences matérielles, et demain peut-être humaines. En cas d’arrêt du système et de la chaîne de production, l’impact économique est important. On pense forcément au système ferroviaire, à l’énergie, à la distribution d’eau, parce que si ces systèmes s’arrêtent, c’est toute la société qui s’arrête. En cas de prise de contrôle d’un automate ou d’un robot, l’impact peut être la mise en danger du personnel ou la pollution du site industriel et de son environnement. Les risques de cyberattaques sont nombreux et leurs impacts multiples et considérables.

Ces enjeux devraient amener les industriels à se poser les questions du coût d’un arrêt de leur production et de la possibilité d’accident graves ou mortel sur leur installation ?

Certains industriels savent précisément évaluer ces risques et leurs impacts. Chez Sentryo, nous avons un client qui exploite des plateformes pétrolières et qui sait que chaque journée de production représente plusieurs millions de dollars de pétrole extraits. En cas d’arrêt de son système par une attaque informatique, les pertes de l’entreprise seraient colossales !

Les anti-virus et pare-feux traditionnels sont-ils obsolètes ou en voie d’obsolescence et l’I.A. est-elle plus efficace dans le contexte d’une menace de plus en plus logicielle ?

Ce n’est pas tant que la menace soit plus logicielle, c’est qu’elle est  beaucoup plus sophistiquée et réplicable à l’infini. Les anti-virus et les pare-feux, ce sont des dispositifs traditionnels de sécurité communs qu’on trouve dans beaucoup d’environnements. Prenons l’exemple d’une maison : c’est un peu comme mettre des fenêtres et des portes à une maison. Est-ce qu’on peut s’en passer ? Évidemment non, car si on n’a pas de portes à sa maison, on ne contrôle pas qui y entre et qui en sort. Mais est-ce que ces protections suffisent à dissuader un cambrioleur motivé ? Non. 

Les anti-virus et pare-feux traditionnels sont-ils obsolètes ou en voie d’obsolescence et l’I.A. est-elle plus efficace dans le contexte d’une menace de plus en plus logicielle ?

Il faut comprendre que la menace est de plus en plus réplicable

Ce n’est pas tant que la menace soit plus logicielle, c’est qu’elle est  beaucoup plus sophistiquée et réplicable à l’infini. Les anti-virus et les pare-feux, ce sont des dispositifs traditionnels de sécurité communs qu’on trouve dans beaucoup d’environnements. Prenons l’exemple d’une maison : c’est un peu comme mettre des fenêtres et des portes à une maison. Est-ce qu’on peut s’en passer ? Évidemment non, car si on n’a pas de portes à sa maison, on ne contrôle pas qui y entre et qui en sort. Mais est-ce que ces protections suffisent à dissuader un cambrioleur motivé ? Non. 

Il faut comprendre que la menace est de plus en plus réplicable. En effet,  il est très facile pour quelqu’un de mal intentionné de reproduire des attaques informatiques pour les mener contre une nouvelle cible. Dans l’informatique, il est facile de récupérer un virus, sans pour autant le comprendre complètement, et de le retourner contre une autre cible. C’est ce qui fait que les protections traditionnelles sont souvent obsolètes. Dans ce contexte, il faut plus d’intelligence pour détecter les menaces. C’est pourquoi l’Intelligence Artificielle est de plus en plus utilisée dans les systèmes de cybersécurité. Elle intervient à deux niveaux : d’abord pour ajouter des critères plus fins et précis en vue d’une meilleure analyse des problèmes, ensuite pour faire le tri dans d’énormes volumes de données. Les opérateurs humains sauraient surement faire les mêmes analyses mais il faudrait un temps considérable pour trier toutes les data et reconnaître “l’aiguille dans la botte de foin”.  Ainsi avec l’I.A, “les pupitreurs” disparaissent et sont remplacés par des analystes plus compétents et mieux formés. Il analyse 0,1% des événements de sécurité, ceux qui sont significatifs. L’I.A.ne supplante pas l’humain mais permettra d’automatiser des travaux répétitifs.

Cette tendance va se poursuivre. Des recherches intéressantes portent sur l’« interactive learning » : vous donnez les données brutes à un système I.A qui vous montre en retour les anomalies (“tout ce qui est bizarre”), et qui vous les montre en grappes ; alors, vous lui dites que telle ou telle grappe vous semble la plus intéressante et là, il refait les calculs sur la grappe en question pour « zoomer » à l’intérieur. Il s’agit d’une collaboration interactive avec l’analyste. Les systèmes en question expliquent beaucoup mieux pourquoi ils signalent tel ou tel problème. Mais ce ne sont pas des « boîtes noires » ; ils suggèrent tel problème à l’opérateur qui a ensuite des éléments pour fonder sa décision, tout en ayant lui-même sa propre expertise et sa propre intuition. 

Les pirates peuvent-ils attaquer les systèmes d’I.A. dédiés à la cybersécurité ?

On a vu apparaître des recherches en I.A. dédiées au hacking

Oui, probablement. Les gens qui mettent en place les systèmes de sécurité essaient eux-mêmes, en premier lieu, d’en tester les limites. Nos produits sont, par exemple, évalués par des sociétés tierces qui font cela. Un vrai hacker fait cela pour s’auto-évaluer. Il y a aussi des I.A. offensives. On a vu apparaître des recherches en I.A. dédiées au hacking, pour créer des I.A. hackers : l’ordinateur apprend des mécanismes pour pouvoir attaquer tout seul, pour trouver des vecteurs d’attaque que les humains n’auraient pas trouvés. 

Les attaques les plus connues sont celles qui ont visé les centrales électriques ukrainiennes, les centrifugeuses nucléaires iraniennes et le rançongiciel #Wannacry, sans oublier NotPetya. À chaque fois, c’est un employé qui a ouvert la porte au logiciel malveillant. L’I.A. détecte-t-elle et peut-elle stopper les comportements humains inappropriés ?

De nombreuses startup qui œuvrent dans la cybersécurité sont dans une posture de détection mais pas forcément de blocage

Oui, l’I.A. permet de mettre au point des systèmes de détection des comportements. Elle va ainsi apprendre les interactions soit d’une machine avec une autre machine, soit d’un utilisateur avec une machine. Sentryo surveille les réseaux machines to machines. D’autres sociétés ont des produits et services appliqués à l’interaction avec les utilisateurs, ce qui va permettre de détecter des anomalies dans les traces de connexion de certaines personnes, des actions qu’elles ne devraient pas faire, etc. Il y a aussi beaucoup d’applications qui s’appuient sur l’I.A. pour détecter des opérations improbables comme des utilisations frauduleuses de cartes bancaires. Cela permet d’intervenir avant que tout problème se généralise.

On me dit : « votre solution ne bloque pas les attaques ! » Et c’est vrai. De nombreuses startup qui œuvrent dans la cybersécurité sont dans une posture de détection mais pas forcément de blocage, parce que bloquer, quand on n’est pas sûr à 100%, c’est compliqué. Pour prendre un vocabulaire médical, il est beaucoup plus important de détecter les « patients zéro » à l’intérieur du système, ceux qui sont les premiers vecteurs d’infection. 

Quels sont les enjeux de souveraineté nationale, notamment pour notre système productif, que soulève l’I.A. appliquée à la cybersécurité ?

Les technologies « cyber » doivent être vues comme des technologies avec un énorme potentiel de marché mais avec des cycles longs, un peu comme dans la « biotech ».

Les recherches académiques dans le domaine de l’I.A. sont globalement insuffisantes. Il n’y a pas assez de start-ups dans ce domaine et le système technico-économique français n’est pas assez développé là-dessus.

Cela tend à se développer mais je pense que le milieu académique français a tendance à chercher des solutions absolues, – ce sur quoi on est très fort en France, ce sont les aspects mathématiques, et en matière de cybersécurité on cherche à mettre en place un système qui est sûr dans l’absolu –, la démarche n’est pas assez empirique. Ensuite, les chercheurs dans ce domaine n’appliquent surement pas assez leurs recherches, ce qui les rend non transférables à des industriels ou des entrepreneurs. 

Le pays qui fait figure de référence dans le monde en matière de cybersécurité, c’est Israël, parce que vous y trouvez des labos publics et privés qui sont plus appliqués que les labos français. Les gens qui font de la recherche appliquée, qui dépendent soit d’Universités soit du Ministère de la Défense israélien, peuvent partir créer des boîtes avec le résultat de leurs recherches, ce qui est rendu compliqué en France par le système de licence, brevet, etc. En Israël, le système encourage les gens à créer des entreprises, à exploiter ces recherches-là et à essaimer le plus possible. En support, il y a de l’argent pour financer ces technologies, avec du financement culturellement adapté à la cybersécurité car ces projets impliquent des délais très longs. Les technologies « cyber » doivent être vues comme des technologies avec un énorme potentiel de marché mais avec des cycles longs, un peu comme dans la « biotech ».

Aujourd’hui, en France, nous ne sommes pas dans ce cycle vertueux. Il faut le développer dans une logique de souveraineté nationale, afin de maîtriser la chaîne complète. Sans cela, la France comptera uniquement de toutes petites structures qui vivoteront parce qu’elles n’ont pas eu les moyens de se développer.

Les grandes entreprises françaises ont aussi un rôle à jouer. Trop souvent, la grande entreprise regarde la start-up comme une petite boîte qui détient une technologie très intéressante mais qui ne sera peut-être plus là dans 3 ans, dont le produit n’est peut-être pas complètement fini au sens où l’entend la grande entreprise – le cœur de la technologie est là mais, pour l’intégrer dans tout le système de la grande entreprise, il faut plein de fonctionnalités complémentaires qui n’existent pas - si bien que le manager de la grande entreprise voit autant de risques que d’opportunités à travailler avec une start-up. La “grosse boîte” fait de petits tests à droite, à gauche, alors qu’elle a un rôle de « déclencheur » en investissant quelques centaines de milliers d’euros. Ces premières références permettraient aux entrepreneurs via des investisseurs privés pour lever des fonds plus importants et se développer davantage à l’international. Ce cycle, qui existe bien dans des pays leaders comme Israël, n’existe pas encore en France.

Comment l’I.A. appliquée à la cybersécurité peut-elle impacter l’ensemble du système productif, dans un avenir plus ou moins proche ?

Dans un monde plus numérique et plus connecté, la cybersécurité doit être intégrée de façon intrinsèque à toutes les nouvelles technologies. Dit autrement, vous ne pouvez pas déléguer la production à des robots, la conduite de votre voiture à une I.A., tirer partie des technologies IoT ou de la fabrication additive etc., s’il n’y a pas un minimum de confiance dans ces systèmes. La « promesse » de confort, de facilité, d’originalité ou de personnalisation, d’efficacité énergétique, de moindre impact sur l’environnement, ne peut être tenue que s’il y ces systèmes sont sécurisés et dignes de confiance. Donc, il faut des technologies de sécurité, déployées selon deux grands axes : d’abord au moment de la conception du système – technologies de cryptographie, d’identification, de design sécurisé…ensuite tout au long du cycle de vie dans une logique d’amélioration continue, de surveillance, de correction des failles connues. Sans cesse remettre l’ouvrage sur le métier.