Cas pratique

La cyberscurit des systmes industriels

Table des matires

Introduction
1 -
Le contexte
2 -
La dmarche choisie
3 -
Les constats (la visite)

11

3.1 -

Le centre dexploitation

11

3.2 -

Latelier de production

13

3.3 -

Lunit de stockage de matires dangereuses

14

3.4 -

Lunit de distribution des matires dangereuses

16

4 -

Le bilan

19

4.1 -

La premire analyse

19

4.2 -

Une rflexion globale

4.3 -

Cartographie

5
7
9

20
21

4.3.1 - Vue macroscopique des criticits

21

4.3.2 - Vue physique de la topologie du rseau

22

4.3.3 - Vue logique des installations

22

4.4 -

23

Analyse des nouveaux besoins

4.4.1 - Cas de la liaison WiFi

23

4.4.2 - Cas de la tlmaintenance

24

24

27

4.4.3 - Cas des changes SCADA /GPAO

5 -

Le plan dactions

5.1 -

Evolution de larchitecture

27

5.1.1 - Proposition darchitecture

27

5.1.2 - Proposition de la nouvelle topologie physique du rseau

30

5.2 -

Adaptation de la PSSI

31

5.3 -

volution des applications

31

5.4 -

Audits et tests dintrusion

32

Quelques mois plus tard...

Annexe A : sigles et acronymes
Annexe B : accs au SCADA depuis des postes bureautiques
Annexe C : restrictions des fonctionnalits des mdias amovibles
Annexe D : les 10 rgles pour lutilisation des SCADA
Annexe E : domaines Microsoft Windows

33
35
37
39
43
45

La cyberscurit des systmes industriels - Cas pratique

INTRODUCTION
Ce cas pratique complte le document intitul Matriser la SSI pour les systmes industriels1.
Son objectif est de prsenter des situations qui reprsentent un risque pour les entreprises et
de transmettre les recommandations adquates afin daccompagner les entreprises dans la
scurisation de leurs systmes industriels.
De nombreuses bonnes pratiques dcrites ici sont similaires celles de linformatique de
gestion2, mais leur mise en uvre est adapter aux contraintes du domaine industriel.
Les exemples et situations concrtes prsents dans ltude suivante illustrent lapplication de
la dmarche de dploiement de la SSI dans le contexte industriel. La dmarche propose ainsi
que les recommandations peuvent sappliquer quel que soit le contexte industriel mais doivent
toujours tre adaptes aux enjeux et aux risques identifis.
Ltude porte sur un site industriel existant depuis plusieurs dizaines dannes, disposant
dinstallations htrognes, dont certaines sont en phase dobsolescence. Les installations
sont pilotes par des automates industriels (API /PLC) et supervises par un ensemble de
SCADA regroup dans un centre dexploitation. Certaines de ces installations, comme les
lignes de production de latelier dassemblage, disposent de contraintes temps rel et
dautres, comme une unit de distribution de matires dangereuses, de contraintes de sret
de fonctionnement et de disponibilit.
Le site dtient une unit de stockage situe gographiquement quelques centaines de
mtres en dehors de lenceinte du site principal. Cette unit est place en amont de lunit de
distribution de matire dangereuse.
Les sigles et acronymes utiliss dans le document sont repris en annexe A.

1
2

http://www.ssi.gouv.fr/systemesindustriels
Informatique de gestion : systmes dinformation destins aux services et applications de
bureautique, de gestion des ressources humaines, de relations clients ou encore de gestion intgre.

La cyberscurit des systmes industriels - Cas pratique

La cyberscurit des systmes industriels - Cas pratique

1 - LE CONTEXTE
La direction du site demande lvolution du systme de SCADA, afin que celui-ci puisse
communiquer avec le systme dinformation de gestion dans le but damliorer les cots et
dlais de production. Les informations collectes au niveau du SCADA devront tre accessibles
lensemble des responsables du site depuis leurs postes bureautique, mais galement ceux
des autres sites de lentreprise. Enfin, en vue doptimiser les cots de fonctionnement, il est
demand dtudier les solutions de tlmaintenance.
La compagnie dispose dun service informatique (IT) responsable de linfrastructure
informatique de gestion (des systmes bureautiques, des interconnexions entre sites, de la
messagerie et des accs Internet).
Depuis plusieurs annes, et la demande de la direction de la compagnie, ce service a
dploy une politique de scurit des systmes dinformation (PSSI).
Suite des incidents rcents, la direction demande que cette PSSI soit tendue aux installations
industrielles, dont certaines sont sous la responsabilit du directeur technique, dautres sous
la responsabilit du directeur de production, et certaines directement sous la responsabilit
du directeur du site.
En effet, quelques mois auparavant, la propagation dun virus introduit par une cl USB sur
un poste SCADA avait gnr un trafic rseau important et provoqu des dysfonctionnements
sur les systmes industriels.
Par ailleurs, une entreprise de conseil qui ralisait un test dintrusion interne avait trouv deux
moyens de sintroduire sur le rseau bureautique. Le premier en injectant des commandes
SQL vers le moteur de bases de donnes du site Web Extranet et le deuxime en envoyant
des fichiers PDF pigs quelques utilisateurs. Quelques postes, ne bnficiant pas des
correctifs de scurit du lecteur PDF, ont t compromis. Les auditeurs ont essay dlargir
la compromission et didentifier les quipements vulnrables sur le rseau bureautique en
excutant une dcouverte rseau et des scans de vulnrabilits. Ils ont rapidement mis en
vidence la vulnrabilit dun ensemble dquipements, bass sur des systmes anciens, non
mis jour, et la prsence de nombreuses interfaces dadministration non protges par une
authentification. Lors de ces tests un automate sest arrt ce qui a provoqu larrt dune
chane de production pendant une demi-heure. Les quipements identifis comme vulnrables
taient en ralit des machines SCADA. Larrt de lautomate tait une consquence du
scan ralis. Les rseaux bureautiques et industriels taient connects suite une mauvaise
configuration, ce quignoraient les diffrents responsables du site.
Cette msaventure prouve la ncessit de mieux protger les systmes industriels. Elle montre
aussi que les attaques externes ne sont pas les seules menaces.
Un coordinateur, rcemment embauch, disposant dune exprience dans le domaine
informatique et ayant une culture industrielle, est nomm pour piloter ce projet. Cette fonction
recquire de la pdagogie et de la diplomatie. Le coordinateur rapportera directement la
direction du site.
Il dcouvre les installations et les contraintes mtier associes. Il se demande comment tendre
la PSSI, quil connait encore peu, des installations industrielles dont les caractristiques
semblent particulires, tout en respectant les contraintes et les habitudes de chacun. Il se rend
compte des diffrences de culture et dapproche existant entre les domaines informatiques, de
La cyberscurit des systmes industriels - Cas pratique

production et de sret de fonctionnement. Pourtant lobjectif final est pour tous de fournir les
produits et services aux clients dans les dlais prvus et au moindre cot.

La cyberscurit des systmes industriels - Cas pratique

2 - LA DMARCHE CHOISIE
La premire tape consiste comprendre les besoins mtier, inventorier les quipements et
les services. Lobjectif est de constituer une cartographie physique et logique des installations
et des flux dinformations entre les diffrents lments, puis dtablir les niveaux de criticit
de chacun.
Ce travail consquent sera ralis avec les diffrents responsables dinstallations. Certains
disposent dj dlments, par exemple dans les analyses de sret de fonctionnement
(AMDEC).
Cette cartographie permettra lors de la seconde tape dtablir une valuation des besoins de
scurit et de raliser une premire analyse des vulnrabilits de lexistant.
Dans un troisime temps, lanalyse des nouveaux besoins permettra didentifier les mesures
de scurit ncessaires (lments techniques ou organisationnels) dployer pour rduire les
carts avec lexistant ainsi que les impacts potentiels sur les installations.
Ces trois tapes sont formalises dans un plan damlioration de la scurit que le coordinateur
proposera la direction.
Il a conscience de lampleur du travail, mais aussi du poids de ses actions sur le travail
quotidien de ses collgues : Encore de nouvelles rgles suivre, il y en a dj beaucoup,
cela va encore nous compliquer le travail.
Il dcide de commencer par communiquer sur son projet, den expliquer
simplement le but et la faon doit il souhaite procder. Il organise une
prsentation aux principaux responsables et les informe de son intention de
raliser une visite des installations, pour quils relaient linformation auprs de
leurs quipes. De cette faon il pourra tablir le contact avec le personnel et faire
passer directement les messages sur lintrt de la SSI dans leur travail quotidien.
Le rle pdagogique dans sa dmarche est fondamental. Son public tant trs
proccup par la disponibilit et la sret, il insiste sur le fait que la scurit
des systmes dinformation ne va pas lencontre de la disponibilit, mais au
contraire contribue la renforcer.

La cyberscurit des systmes industriels - Cas pratique

10

La cyberscurit des systmes industriels - Cas pratique

3 - LES CONSTATS (LA VISITE)

Le coordinateur accompagn par les divers responsables datelier, commence la visite du site
par le centre dexploitation o se trouve lensemble des postes SCADA et les oprateurs en
poste 24/7.

3.1 - Le centre dexploitation

Passant devant des baies de brassage rseau du centre dexploitation, il constate que les baies
de brassage pour les SCADA sont bien identifies et spares des baies de brassage de lIT
situes ct.
Pourtant, il remarque un cordon rseau partant des baies SCADA et allant vers les baies IT.
Il demande des claircissements au responsable du centre dexploitation. Ce dernier semble
gn et explique que pour certaines oprations, il est utile davoir le SCADA sur un PC
bureautique situ dans une autre pice.
Le coordinateur fait remarquer quil y a dj eu un incident suite linterconnexion des rseaux.
Le responsable explique quil sagit seulement dune machine SCADA disposant de deux
cartes rseaux (une connecte au rseau bureautique et lautre connecte au rseau SCADA).
Les rseaux ne sont pas interconnects. Le coordinateur explique que si une personne ou un
rootkit prend le contrle de cette machine il prend le contrle de tout le rseau SCADA. Les
risques sont majeurs. Les consquences seraient les mmes lors de la propagation dun virus.
Les lments du systme dinformation des gestion disposent de mesures pour
faire face aux menaces externes (antivirus, mises jour rgulires, authentification
forte...) alors que ce nest sans doute pas le cas de tous les quipements SCADA.
Une machine, non scurise, avec deux interfaces rseau offre un chemin pour des
attaques et facilite la propagation de virus.
Des solutions, reposant sur les technologies Web ou RDP par exemple,
accompagnes de mcanismes de cloisonnement rseau, offrent un accs plus
scuris au SCADA depuis des postes bureautiques (voir annexe B).
Il faut donc supprimer ce lien qui permet une compromission des installations depuis
Internet, par rebond sur le rseau bureautique.
Le coordinateur remarque galement une cl USB sur un poste. Visiblement quelquun la
oublie. Il demande pourquoi des cls USB sont utilises dans le centre dexploitation. On lui
rpond que lquipe a besoin dextraire des donnes des SCADA pour ses rapports.
Lexamen de la cl rvle quelle contient des donnes personnelles mais surtout un
virus ! Heureusement celui-ci est peu offensif, mais il faudra vrifier lensemble des machines
et nettoyer celles qui sont infectes. Le chef du centre dexploitation indique que les cls USB
sont le seul moyen dextraire des donnes des SCADA ou dimporter des mises jour de
fichiers de configuration par exemple.

La cyberscurit des systmes industriels - Cas pratique

11

Le coordinateur explique que sans interdire les cls USB il est possible de dsactiver
les fonctions de lancement automatique sur les mdias amovibles, fonction utilise
par de nombreux virus (voir annexe B). Il est possible de configurer les politiques de
restrictions logicielles pour nautoriser quune liste de programmes (par exemple,
ceux des SCADA et quelques utilitaires).
Il est galement possible de dployer un sas scuris pour changer les donnes et
de dsactiver les ports USB sur toutes les machines SCADA critiques. Des solutions
existent !
Les cls USB sont un des principaux vecteurs de propagation de virus. Les incidents
sont nombreux !
Le coordinateur demande comment le personnel interne et sous-traitant est sensibilis aux
enjeux de la SSI. Le responsable indique que thoriquement ils suivent une petite formation
mais quelle est plutt oriente sur la partie bureautique et quil faudrait la suivre rgulirement
pour quelle soit efficace. Le coordinateur indique que les rgles dhygine informatique pour
linformatique de gestion sont applicables au domaine industriel.
Les 10 rgles de base de la SSI pour les systmes industriels pourraient tre affiches
dans le centre dexploitation et dans les units de production. Des pictogrammes
sur le principe de ceux utiliss en sret de fonctionnement pourraient galement
tre utiliss pour signifier linterdiction des cls USB sur les installations critiques,
linterdiction de connecter un PC portable sans autorisation ou encore la ncessit
de signaler toute anomalie
De nombreuses actions et rglages des installations sont possibles depuis le centre
dexploitation. Les applications SCADA sont nombreuses et htrognes. Le coordinateur
demande ce quil se passerait si un oprateur excutait une mauvaise commande ou se
trompait dans la saisie dune valeur de rglage (saisie de 10000 tour/min pour un moteur au
lieu de 1000 par exemple).
Le responsable explique que des contrles sont prvus dans la conception des
installations pour limiter les risques derreur de la part des exploitants. Cela peut donc
aussi freiner des attaquants dclare le coordinateur.
Les fentres de saisie sont bornes dans le SCADA : un utilisateur ne peut pas saisir une
valeur en dehors des limites de fonctionnement des quipements. Ces bornes sont galement
intgres dans les automates et sont figes. Il nest pas possible de les modifier sans changer
le code source du PLC.
Par ailleurs, pour viter certaines mauvaises manipulations, lapplication SCADA demande
une confirmation avant denvoyer la tlcommande. Cela limite les risques derreur qui restent
malgr tout toujours possibles. Il faut envoyer une demande de commande (bit 0) puis
lorsque lautomate la accepte envoyer la commande (bit 1). Le responsable explique que
ce mcanisme a permis dempcher larrt dune installation lors dune intervention rcente.
Un automaticien a recharg dans lautomate des donnes qui avaient t sauvegardes.
Dans cette sauvegarde les bits de commande darrt de plusieurs installations taient activs
mais pas celui de la demande de commande. Les installations ne se sont pas arrtes et une
alarme de discordance est remonte au SCADA permettant ainsi de dtecter le problme. Le
coordinateur indique que cet exemple montre que parfois des mcanismes simples permettent
12

La cyberscurit des systmes industriels - Cas pratique

dviter des problmes. Cette mesure serait inefficace contre un attaquant disposant dune
parfaite connaissance du systme mais peut permettre de dtecter de nombreuses autres
attaques moins sophistiques.

3.2 - Latelier de production

Pendant sa visite, le coordinateur aperoit un poste de travail situ dans un recoin de latelier
de production. A cot de ce poste, un intrimaire du service de nettoyage est en train de
passer un coup de chiffon. Il demande au responsable de latelier quoi sert ce poste. Celuici lui rpond quil sagit dun poste de SCADA dport utilis par les chefs dquipe et les
techniciens de maintenance.
En sapprochant, il constate que lapplication SCADA est dmarre avec un login
Maintenance . Le chef datelier explique quil y a eu une maintenance la veille sur une
ligne de production qui sest termine tard et que le technicien a probablement oubli de se
dconnecter.
Le coordinateur fait remarquer que, du coup, nimporte qui peut utiliser lapplication comme
lintrimaire qui travaillait dans le secteur. Ne serait-il pas judicieux dintgrer dans lapplication
un mcanisme de verrouillage automatique aprs un certain dlai dinactivit ?
Le responsable indique que cela naurait que peu deffet car les logins sont gnriques,
attribus une quipe et donc connus par de nombreuses personnes.
Le coordinateur explique quil serait tout de mme judicieux de prvoir une
dconnexion automatique de ce poste isol et de limiter les fonctionnalits de
tlcommandes ou modification de paramtres pour ces logins gnriques. Mais
surtout il faut dplacer ce poste dans un endroit plus visible de latelier, dans des
zones couvertes par le systme de vido-protection par exemple.
Dautres pistes sont tudier car tous les employs disposent dun badge pour
accder physiquement aux locaux et certainement dun compte informatique pour
la bureautique. Ces systmes pourraient tre utiliss par lapplication de SCADA
la place des logins gnriques qui sont souvent une facilit historique.
Le responsable de latelier rpond que ces pistes sont intressantes et sont appronfondir.
Le coordinateur rencontre un technicien qui utilise un cran tactile situ sur la toute nouvelle
chane dassemblage. Le technicien est ravi, car depuis cet cran tactile, il dispose des
mmes fonctionnalits que depuis les postes SCADA, tout en tant physiquement devant son
installation.
Il peut lutiliser pour modifier un ensemble de paramtres de procds (process), visualiser
des courbes, excuter des commandes. Le technicien explique quil peut forcer certains modes
de marche, inhiber des capteurs, forcer des valeurs, ce quil ne pouvait pas faire depuis le
SCADA. Trs intress et trs curieux, le coordinateur demande comment cet cran tactile est
connect linstallation.
Le technicien pense que lcran tactile est connect sur lautomate pilotant la chane de
production. Il ouvre le compartiment courant faible de la chane et montre lautomate. Cet
automate est connect sur un commutateur Ethernet visiblement intgr dans un backbone
La cyberscurit des systmes industriels - Cas pratique

13

en fibre optique. Un deuxime cble de cuivre part du commutateur et arrive jusqu lcran
tactile. Pour rsumer, dans la configuration actuelle lcran tactile et lautomate sont
accessibles depuis le rseau bureautique !
Cet cran tactile (OP) ressemble fortement un PC, physiquement plus robuste,
avec un systme dexploitation standard. Il prsente certainement des vulnrabilits
facilement exploitables dont il faudra tenir compte dans les mises jour et les
politiques daccs. Il peut tre utile de raliser des tests dintrusion depuis ce type
dquipement. LOP dispose de ports USB : que se passe-t-il par exemple si lon
branche un clavier ? Est-ce que cela donne accs des fonctions systmes ou la
liste des programmes installs sur lOP par exemple ?
Le coordinateur demande comment le centre dexploitation est inform de lutilisation de
modes de marche particuliers. Le technicien rpond quen gnral il appelle les oprateurs
pour les informer car ces informations ne remontent pas au centre dexploitation.
Le responsable de latelier explique que cette ligne dassemblage rcente est bien plus rapide
que les anciennes. En revanche elle sarrte plus souvent et ncessite des rglages plus
prcis et plus frquents que les anciennes. Cest pourquoi, afin de ne pas polluer le centre
dexploitation, toutes les informations ne remontent pas sur le SCADA.
Le coordinateur explique quau contraire plus de traabilit et de remont
dinformation sur le SCADA pourrait aider identifier les dysfonctionnements et
dtecter des comportements anormaux. Les logiciels et systmes actuels sont
capables de grer de grandes quantits de donnes. Les espaces de stockage ne
sont plus une contrainte majeure.
Le coordinateur indique quil tait surpris de voir dans le centre dexploitation une application
SCADA pour latelier A et B et une autre pour latelier C. Le responsable explique quil aimerait
bien avoir une application unique pour les trois et surtout le mme niveau de fonctionnalits.
Cela faciliterait la corrlation des donnes de production. Mais les automates de latelier A
et B dialoguent avec le SCADA via des protocoles spcifiques non supports par les autres
constructeurs et les nouveaux SCADA.
Pour le responsable de latelier, les SCADA utilisant des protocoles spcifiques
ne sont pas vulnrables. Le coordinateur explique quen ralit les systmes
propritaires ne sont pas labri. Ils sont souvent dvelopps partir de composants
standards et sexcutent sur des systmes dexploitation galement standards et
non spcifiques aux systmes industriels. Les mcanismes de scurit sont souvent
faibles. Une analyse ainsi quune tude dune volution de ce systme avec
lquipementier est ncessaire.

3.3 - Lunit de stockage de matires dangereuses

Le coordinateur poursuit sa visite sur lunit de stockage des matires dangereuses. Celle-ci
est situe quelques centaines de mettre du btiment de production, en dehors de lenceinte
principale du site.
14

La cyberscurit des systmes industriels - Cas pratique

Il constate que les quipements de mesure de niveau des cuves (radar) de matire dangereuse
sont disposs en pleine nature, et sont facilement accessibles des personnes trangres
lentreprise. Il fait remarquer au responsable de lunit que ces niveaux pourraient tre
modifis par des personnes malintentionnes et demande quels en seraient les impacts.
Le responsable lui rpond que lindisponibilit des niveaux peut perturber le fonctionnement
des installations. Lautomate peut fermer des vannes de distribution sil dtecte un niveau trs
bas sur un rservoir par exemple. Dans le pass un dysfonctionnement sur un capteur avait
entran des comportements alatoirement aberrants sans cause apparente. Le diagnostic est
difficile car aucune information de cette unit ne remonte au centre dexploitation. Depuis les
capteurs ont t doubls pour plus de fiabilit.
Le coordinateur dclare quune protection physique des quipements loigns et
situs en extrieur semble ncessaire ainsi quun minimum de report dinformation
vers le centre dexploitation.
Le responsable de lunit indique quil existe un projet dextension qui serait une opportunit
damliorer la surveillance de linstallation. Ceci viterait aux quipes dexploitation un
nombre important de rondes pour sassurer quil ny a pas danomalie sur linstallation.
Par ailleurs, le coordinateur identifie un modem reli lautomate. Lintgrateur la install
pour intervenir distance et ainsi rduire les cots de maintenance et les dlais dintervention.
Aprs analyse, il savre que le mot de passe pour accder au programme de
lautomate est vide (ce qui est la valeur par dfaut). Ni lexploitant, ni lintgrateur
nont pens changer cette configuration. Le coordinateur indique quil est urgent de
mettre en place une politique de mot de passe pour les automates ainsi que les autres
quipements de terrain (capteurs et actionneurs par exemple).
Un attaquant scannant la plage tlphonique de lentreprise pourrait alors identifier le modem,
prendre le contrle de lautomate, modifier le programme et provoquer des dysfonctionnements
sur linstallation. Par chance, le modem de lautomate dispose dune fonction de rappel
(callback)3. Ainsi, un attaquant ne peut plus prendre la main sur lautomate, mme sil en
connaissait le mot de passe.
Le responsable explique que lintgrateur propose de connecter linterface Web de gestion de
lautomate Internet (via un VPN par exemple), ce qui lui donnerait accs des fonctions de
diagnostic plus volues.
Le coordonnateur comprend le besoin et la demande. Nanmoins, il est primordial den
valuer les risques.

3
Callback : Son principe consiste configurer un numro de maintenance; lorsque le modem est appel, il
raccroche et appelle automatiquement le numro dfini.

La cyberscurit des systmes industriels - Cas pratique

15

Lutilisation des services Web sur un automate peut tre des plus dangereux.
La couche Web est certainement un composant standard, non spcifique lautomate
pouvant prsenter des vulnrabilits pour lensemble de lautomate (dni de service
par exemple). Sur les systmes de gestion les services Web font rgulirement
lobjet de correctifs ce qui nest certainement pas le cas sur les automates.
Ces fonctions, souvent optionnelles, doivent tre dsactives sur les installations
critiques !

3.4 - Lunit de distribution des matires dangereuses

Dans lunit ddie la distribution de matires dangereuses le coordinateur aperoit
plusieurs postes de SCADA.
Ne ressemblant pas ceux quil a vus jusqu maintenant. Le responsable de lunit lui
explique que dans cette unit le SCADA est maintenu par la socit qui la intgr. Elle
intervient leur demande en cas de panne sur les postes et il lui est arriv de les remplacer.
Le coordinateur est surpris et demande pourquoi ce service nest pas assur par les quipes
de lIT. tant sur le site ils pourraient agir plus vite et surtout fournir du matriel standard
certainement moins coteux.
Le responsable explique quhistoriquement les SCADA de cette unit ntaient pas dans le
primtre de linformatique de gestion. De plus les besoins particuliers des applications
(logiciels spcifiques, OS obsoltes...) ntaient pas compatibles avec les standards IT.
Les PC, standard de linformatique classique, ne supportent pas les environnements industriels
et sont quips de logiciels antivirus qui entrent en conflit avec les applications. De plus il est
ncessaire davoir des droits administrateur pour utiliser ces applications.
Le coordinateur explique quil comprend cette problmatique dincompatibilit
des applications avec les configurations durcies fournies par lIT. Mais ces
postes sont des vulnrabilits pouvant stendre tous les SCADA. Les logiciels
antivirus ne sont peut tre pas supports par ces anciennes applications, de mme
que les mises jour des OS mais il existe certainement des contres mesures. Il faut
tudier les solutions avec lIT et lintgrateur. A minima il est ncessaire de mettre
en place des journaux dvnements, de surveiller ces machines et dfinir un mode
de fonctionnement avec lIT afin quils apportent leur expertise sans interagir avec
les mtiers de lentreprise.
Le coordinateur souhaite quon lui explique le processus de distribution de matires
dangereuses et comment lensemble est pilot.
La distribution est entirement automatique, en fonction des besoins sur les chanes de
production. Linstallation demandant une forte disponibilit est pilote par trois automates
haute disponibilit.
Le coordinateur demande sil existe un lien avec lunit de stockage. Le responsable rpond
que la majorit des asservissements sont indpendants. Il existe tout de mme un lien, puisque,
en cas de fuite, linstallation de distribution se met larrt et envoie un ordre de stop lunit
de stockage qui ferme des vannes de scurit. Les informations de dtection de fuite, Tout
16

La cyberscurit des systmes industriels - Cas pratique

Ou Rien (TOR), sont cbles directement sur les vannes. Dans la perspective dune extension
de lunit de stockage, une connexion par bus ou WiFi est envisage. Cela offrirait plus de
souplesse pour exploiter les installations.
Les PLC communiquent avec le SCADA via un rseau Ethernet qui semble tre le mme que
celui des autres automates du site.
Le coordinateur sinterroge sur la gestion de la maintenance de ces installations. Le
responsable de lunit lui rpond que la maintenance est assure par la socit qui a mis en
service linstallation, comme pour les SCADA. Les interventions de maintenance sont plutt
rares car le systme est robuste et se limitent aux dfaillances matrielles. Elles concernent
parfois les coupleurs de communication Ethernet. Une fois rendus indisponibles, suite
une surcharge de trames par exemple, il faut redmarrer lautomate pour les rinitialiser. Le
coordinateur demande si ces surcharges ont t identifies. Le responsable rpond que non
car les intervenants nont pas ncessairement les comptences suffisantes en rseau pour
tablir un diagnostic.
Le coordinateur explique quil serait ncessaire de configurer des outils danalyse
et de monitoring sur le rseau. Ils peuvent tre simples dployer et totalement
transparents pour les installations. Ils permettront de dtecter des vnements,
dempcher des incidents ou simplement de fournir des lments pour analyser des
comportements qui ont aujourdhui un impact sur le procd (process).
Un canal de diagnostic complmentaire au SCADA est ncessaire pour dtecter des
incidents par exemple dans le cas o le SCADA serait compromis. La gnralisation
de lutilisation des protocoles Syslog et SNMP (v3) dans les quipements industriels
permet de crer ce deuxime canal pour dtecter des dfaillances systmes sur
les composants et les applications.
Le coordinateur demande comment se droulent les interventions. Le responsable rpond
quen gnral, un technicien de la socit se dplace, connecte sa console sur lautomate,
ou sur le rseau, ralise un diagnostic et corrige le problme. Le coordinateur sinquite de
savoir si cette connexion donne aussi accs aux autres automates du site et si les accs aux
PLC sont protgs par des mots de passe par exemple. Le responsable ne sait pas, il faudra
demander lintgrateur.
Lintgrateur indiquera quaucun mot de passe nest configur dans les automates. Cela
simplifie les interventions. De plus, ces automates, comme le SCADA sont bien connects
sur le mme rseau Ethernet que celui sur lequel sont connects les autres automates du site.
Le coordinateur conclut que pour des interventions trs ponctuelles et peu frquentes
des intervenants extrieurs se connectent sur le rseau SCADA avec leurs propres
outils et disposent dun accs tous les automates du site puisquaucun mot de
passe nest configur. Il sagit dune vulnrabilit majeure. Ces interventions doivent
tre encadres par des procdures, les accs aux automates limits et protgs par
des mots de passe et surtout les consoles de maintenance doivent tre maitrises et
mises disposition des intervenants en cas de ncessit.
Laccs physique aux automates, bus de terrain, SCADA et autres quipements doit
tre limit autant que possible.

La cyberscurit des systmes industriels - Cas pratique

17

18

La cyberscurit des systmes industriels - Cas pratique

4 - LE BILAN
4.1 - La premire analyse
Une fois son tour des installations termin, le coordinateur dresse rapidement et dans le
dsordre un premier bilan :
les utilisateurs commes les responsables ont trs bien collabors. Nanmoins, le
coordinateur a ressenti que sa prsence pouvait parfois contrarier du fait de sa mise en
exergue de vulnrabilits ;

les systmes sont htrognes et ne sont pas tous grs de la mme faon ;

le niveau de matrise des installations est plutt faible. Beaucoup dlments reposent
uniquement sur les intgrateurs voire sur les personnes ayant particip la mise en service
initiale des installations il y a plusieurs dizaines dannes ;

pour leurs besoins qui semblent lgitimes, les utilisateurs emploient des moyens peu
scuriss qui crs des vulnrabilits ;

les diverses personnes rencontres sont volontaires, mais le turnover et les intrimaires
sont nombreux ;

il est assez facile pour nimporte qui de se connecter sur le SCADA (sessions ouvertes
sur les postes avec des niveaux daccs importants) ;

les protections physiques sont incompltes ;

il nexiste pas de notion de cloisonnement. Tous les lments semblent tre sur le mme
rseau, quel que soit leur niveau de criticit et leurs fonctionnalits. Larrt de lautomate
lors des tests dintrusion confirme la ncessit de mettre en uvre au plus vite une solution
de filtrage entre les rseaux et de limiter les accs ;

la cration dun processus de veille sur les vulnrabilits est indispensable (abonnement
aux CERTs, suivi du site des constructeurs, contrat avec des socits spcialises dans cette
activit

il manque une procdure ( afficher dans le centre dexploitation par exemple)

concernant le traitement des incidents ainsi que la chane dalerte activer

de mme il semble intressant dafficher en vidence les 10 rgles d hygine

informatique dutilisation des systmes industriels (cf. annexe D) ;

il est ncessaire de prvoir un cursus de sensibilisation spcifique aux systmes

industriels.

4.2 - Une rflexion globale

Globalement, le coordinateur a essay de comprendre les problmatiques des utilisateurs et
de faire preuve de pdagogie. Nanmoins, cela nest pas suffisant. Les contraintes mtier sont
importantes. Il doit montrer aux utilisateurs que la SSI apporte des solutions et les rassurer
nouveau : les mesures seront prises en commun et niront pas lencontre des objectifs mtier.
Si certaines actions lui viennent rapidement lesprit et semblent simples raliser comme
le cloisonnement des rseaux ou encore la dfinition dune politique de gestion des mdias
La cyberscurit des systmes industriels - Cas pratique

19

amovibles, les contraintes de certains ateliers ainsi que lobsolescence de certaines installations
demandent une analyse plus globale. Celles-ci impliquent plusieurs domaines dexpertise et
lobligent adapter la dmarche quil avait envisage en trois tapes.
En particulier, les besoins dvolution des SCADA des ateliers A et B ou encore de lautomatisme
de lunit de stockage et de distribution de matires dangereuses semblent plus complexes.
Dans cette dernire unit, des aspects pour la protection des biens et des personnes (safety)
sont en jeu. Une approche commune avec les experts du domaine de la sret est ncessaire.
Par ailleurs la question des sauvegardes et de la documentation na pas t aborde. Il est
prvu de laborder, de mme que dautres thmes transverses lors de la runion de dbriefing
que le coordinateur veut organiser avec les diffrents responsables concerns par le sujet.

4.3 - Cartographie
La premire tape de sa dmarche est inchange. Il tablit une cartographie des installations
suivant diffrentes vues qui lui permettront didentifier les points faibles et les axes damliorations
possibles. Les tudes AMDEC disponibles ont dj clairement dfini les niveaux de criticit des
installations, ce qui permet dtablir rapidement une premire cartographie des systmes.

4.3.1 - Vue macroscopique des criticits

Pour mmoire : liens vers lexterieur

Site principal

Site satellite

Centre dexploitation

IT
- MES
- OA (bureautique)
- Infra Corporate

- Serveurs SCADA
- Stations SCADA
- Stations dingnierie

Hors scope

24/7
Flux SCADA

- Stations SCADA
- PLC
- Ecrans tactiles

Process

Process

Atelier 1

- Station SCADA
- PLC
- Ecrans tactiles

Atelier 2

Haute Dispo
- Stations SCADA
- PLC
- Ecrans tactiles

Process

Temps Rel

Atelier 3

Process

- Stations SCADA
- Serveurs CADA
- PLC

Process + Safety

Flux process

Safety

- PLC

Asservissement cbls
Unit Distribution
produits dangereux

Unit Stockage
produits dangereux

Safety

Futurs Flux

Fig. 1 - Cartographie macroscopique des installations en fonction des criticits

Les flux en pointills sont les demandes dvolutions.

Les installations situes dans le quartier Haute Disponibilit ont un impact fort sur la
production en cas darrt. Latelier dassemblage quil a visit se trouve dans ce quartier.
20

La cyberscurit des systmes industriels - Cas pratique

Linstallation de distribution de matire dangereuse situe dans la zone safety impacte

galement fortement la production en cas darrt. Elle doit assurer une haute disponibilit
mais la priorit est donne aux fonctions safety.
Le centre dexploitation est considr comme stratgique car il permet de visualiser ltat des
installations et de sassurer que toutes fonctionnent correctement. Un niveau de disponibilit
lev est demand mme sil est possible darrter les installations de SCADA pendant
quelques minutes sans quil y ait un impact significatif sur le bon fonctionnement du site. La
procdure en cas de perte totale du SCADA dans le centre dexploitation pendant plus de 15
minutes, comme cela est arriv dans le pass suite une panne rseau, entrane sur dcision
du responsable de la sret lvacuation du btiment de production.

4.3.2 - Vue physique de la topologie du rseau

Une analyse plus approfondie de la topologie du rseau est ncessaire pour comprendre
comment sont connects les diffrents quipements. Actuellement la situation nest pas trs
claire. Il ralise ce travail avec des personnels du service IT habitus ce type dexercice et
obtient la topologie suivante.

Fig. 2 - Vue physique de la topologie du rseau industriel

La topologie du rseau nest pas cohrente et semble peu robuste. Elle a suivi les volutions
des ateliers mais na pas t pense de faon globale.
Certains quipements sont raccords sur des commutateurs placs dans des baies de
brassage alors que dautres sont raccords sur des hub disposs directement dans les armoires
lectriques.
La cyberscurit des systmes industriels - Cas pratique

21

Une panne sur un hub de la ligne n4 entrane la perte du SCADA de latelier B et de lunit
de distribution de matires dangereuses.
Toujours avec le support des quipes de lIT et en collaboration avec les diffrents responsables
datelier il tablit la topologie logique des installations.

4.3.3 - Vue logique des installations

Fig. 3 - Vue logique des installations sur le rseau industriel

Le coordinateur indique sur le schma les vulnrabilits recenses :

1. compromission possible depuis le rseau bureautique pouvant stendre vers le rseau
industriel et rciproquement
2. systmes obsoltes non maintenus, logiciels de configuration et de dveloppement
installs sur les postes permettant la modification des applications
3. login gnrique, poste facilement accessible
4. machines et systmes standards sans mises jour, peu de traabilit des actions
ralises
5. serveur dans zones techniques, pas de mise jour, peu de maitrise de la configuration,
non uniforme avec les autres serveurs
6. tous les quipements sont connects sur le mme rseau sans aucune distinction
de niveau de criticit. Un incident sur le rseau rend indisponible lensemble du centre
dexploitation et peut impacter les automates
22

La cyberscurit des systmes industriels - Cas pratique

7. console appartenant un sous-traitant, pas de maitrise de sa configuration, risque

dintroduction de virus
8. pas de mot de passe pour accder au programme automates ou sa configuration
9. pas de contrle daccs physique, peu de maitrise sur les configurations
Cette cartographie permet de positionner rapidement les principales vulnrabilits et de les
expliquer aux utilisateurs. Le coordinateur sen servira comme un document pdagogique
pour expliquer aux divers responsables les risques.

4.4 - Analyse des nouveaux besoins

4.4.1 - Cas de la liaison WiFi
Le projet dextension prvoit la mise en place dune connexion WiFi entre les automates de
lunit de stockage et lunit de distribution. La pose dune fibre optique serait complexe et
coteuse du fait de la configuration physique du site.
Les solutions WiFi ne sont pas les solutions prconises pour des installations
sensibles. Les risques par rapport aux liaisons filaires sont plus importants
que ce soit en termes de disponibilit (brouillage facile) ou dintgrit des
installations en amont (point daccs physique facile).
La porte du Wifi est souvent sous estime. Les technologies actuelles
permettent de capter les signaux Wifi sur des distances importantes (plusieurs
centaines de mtres voire plusieurs kilomtres suivant les configurations). Le
Wifi est parfois utilis lorsque la pose de fibre optique ou dautre mdia est
complexe voir impossible.
Il est important danalyser les risques quapporte ce type de solution et de
mettre en place les mesures pour les limiter.
Les tudes menes avec les personnes en charge de la sret ont indiqu que pour assurer la
protection des biens et de personnes la perte de la liaison informatique entre les automates
de lunit de stockage et de distribution devra entraner la fermeture des vannes de scurit de
lunit de stockage (principe de scurit positive).
Les risques SSI identifis sur cette liaison sont la perturbation de la liaison (dfaillance
matrielle ou brouillage des ondes) et lintrusion sur les installations suite une vulnrabilit
exploite dans les quipements.
La perturbation de liaison nimpactera par les fonctions safety.
La configuration dun pare-feu derrire le point daccs serait un plus mais les automates
utiliseront un protocole de niveau 2 (trames Ethernet) et pour des questions de maintenance,
le filtrage sur adresse MAC nest pas souhait. La principale protection rside dans le
chiffrement du protocole WPA2 et dans la configuration des clients et AP WiFi. Une mauvaise
implmentation du protocole entrainera de nombreuses vulnrabilits.
Le cloisonnement de linstallation de distribution de matire dangereuse par rapport
aux autres installations est fondamental pour viter tout risque dextension lensemble
La cyberscurit des systmes industriels - Cas pratique

23

du site dune ventuelle compromission par le WiFi.

Lanalyse des flux et des connexions sur les quipements ainsi que la veille sur les vulnrabilits
potentielles des quipements Wifi sont dautant plus essentiels que la seule protection repose
sur le protocole WPA2.
Les solutions de pare-feu applicatif ainsi que linstallation dun serveur Radius sont ltude
pour renforcer le niveau de scurit.

4.4.2 - Cas de la tlmaintenance

Bien que la nouvelle topologie le permette, la tlmaintenance sur les automates de sret via
un accs au service Web des CPU4 nest absolument pas envisageable.
Les dfaillances sur les installations dautomatisme sont dorigine matrielle dans la majorit
des cas comme le montrent les analyses AMDEC ralises dans le pass et les retours
dexprience. Ces dfaillances ncessitent une intervention physique sur linstallation pour
la remise en service. Les pannes lies un bogue de programmation sont rduites et
ncessitent aprs intervention une requalification de linstallation. Sur les installations critiques,
les modifications mme mineures sont soumises un processus de validation qui ne peut se
drouler distance.
Cest pour cela que les processus de rception des installations imposent de raliser des tests
densemble sur site, parfois trs lourds, afin de sassurer quil ne reste plus danomalies.
Ltude de scurit ralise conclut que la tlmaintenance sur les installations
critique nest pas acceptable compte tenu des risques (difficult dtablir des canaux
scuriss jusquaux installations de procds, difficult de garantir lidentit de la
personne se connectant, complexit pour dfinir les limites de responsabilit en cas
dincident...). En revanche il est possible de dployer une solution de tldiagnostic.
Le coordinateur avait expliqu quil tait ncessaire de dployer des outils
danalyse et de diagnostic. Ceux-ci permettront de centraliser sur un poste situ
dans le centre dexploitation les vnements des SCADA et PLC. Ces informations
pourront tre accessibles via une DMZ pour les quipes de tlmaintenance qui
pourront qualifier lincident et organiser plus efficacement lintervention si besoin.

4.4.3 - Cas des changes SCADA /GPAO

Les changes avec le systme de GPAO peuvent se raliser par diffrents protocoles comme
OPC ou SLQ par exemple. Lapplication SCADA peut crire des donnes dans le systme de
GPAO ou rciproquement. Il est galement possible dutiliser un serveur repository plac
sur une DMZ entre les rseaux ICS et GPAO ce qui serait une solution encore plus scurise.
La solution SQL conviendrait mieux aux quipes IT bien quelle ne soit pas plus scurise que
la solution OPC. Cependant les quipes IT connaissent les problmatiques associes comme
les injections de code, les lvations de privilges et connaissent dj les contre-mesures
4
excut.

24

CPU : Central Process Unit. Il sagit de la partie de lautomate contenant le processeur et le programme

La cyberscurit des systmes industriels - Cas pratique

appliquer alors quelles ne maitrisent pas la solution OPC.

Le coordinateur explique quen gnral plus les protocoles sont standards et
utiliss par une majorit de personnes plus il est facile de les matriser et de trouver
des comptences sur le sujet. Les vulnrabilits sont galement identifies plus
rapidement et les correctifs rapidement disponibles.

La cyberscurit des systmes industriels - Cas pratique

25

26

La cyberscurit des systmes industriels - Cas pratique

5 - LE PLAN DACTION
5.1 - Evolution de larchitecture
Toujours avec les personnes de lIT, il travaille sur une volution de la topologie qui permettra
la fois de rduire les vulnrabilits en cloisonnant les rseaux et dintgrer les nouveaux
besoins en essayant danticiper les futurs :
laccs depuis des PC de bureau aux IHM des SCADA ;
le lien entre les bases de donnes des SCADA et les applications de GPAO de
lentreprise ;

la remonte des informations de la zone de stockage vers le centre dexploitation ;

le dploiement dune liaison informatique pour les asservissements des futures

installations entre la zone de stockage et la zone de distribution des produits dangereux ;

potentiellement la tlmaintenance.

Ces points seront de plus tudier avec les personnes en charge de la suret des installations.
Dautant plus que des amliorations sur la protection physique des quipements sont prvoir.

5.1.1 - Proposition darchitecture

Les travaux raliss avec les quipes IT et les divers intervenants ont abouti la proposition
darchitecture ci-dessous. Le modle durbanisation du rseau et des systmes (et sgrgation)
offre un dcoupage en zones et quartiers suivant les criticits et les fonctionnalits.

Fig. 4 - Proposition dune architecture des installations industrielles et des interconnexions

La cyberscurit des systmes industriels - Cas pratique

27

Cette architecture facilitera lintgration de futures installations et permettra dappliquer la

politique dfinie ci-dessous.
Les divers rseaux de la zone industrielle (ICS) peuvent tre raliss par des LAN ou des
VLAN. Afin dassurer un haut niveau de disponibilit, les pare-feux pourront tre dploys en
redondance.
Il est fortement recommand de crer un VLAN admin rseau contenant lensemble des
quipements rseau ICS (ce VLAN nest pas reprsent afin de ne pas surcharger le schma).
Les rgles prsentes ci-dessous fournissent des principes et sont prciser en fonction des
besoins stricts de chaque installation.
Exemple de filtrage :
QUARTIER STATION SCADA: aucun flux entrant

flux RDP et Web en sortie vers Quartier serveur SCADA;

flux WSUS en sortie vers QUARTIER INFRA CORP;

flux LDAP, kerberos, autre services dinfra en sortie vers zone Corp en fonction des
besoins des applications.

QUARTIER POSTE DEPORTES: aucun flux entrant

flux Web en sortie vers QUARTIER SCADA CORP;

flux WSUS en sortie vers QUARTIER INFRA CORP;

flux LDAP, kerberos, autre services dinfra en sortie vers QUARTIER INFRA CORP en
fonction des besoins des applications.

QUARTIER SERVEUR SCADA:

flux RDP et Web en entre depuis QUARTIER STATION SCADA;

flux permettant laccs au SCADA depuis les postes bureautiques (voir annexe B) :
attention, les risques lis cette rgle doivent tre clairement identifis et accepts en
connaissance de cause;

protocole de communication PLC en sortie vers QUARTIER PLC;

flux SQL en sortie vers le QUARTIER SCADA Corp;

flux SysLog et SNMP vers QUARTIER SCADA Corp;

flux SQL ou OPC en sortie vers ZONE MES.

Dans les versions actuelles du protocole OPC les flux peuvent tre complexes grer. Ils
sappuient sur les composants DCOM qui utilisent des ports allous dynamiquement dans une
plage donne. Les flux peuvent tre bidirectionnels. Dans ce cas les risques lis cette rgle
doivent tre clairement identifis et accepts en connaissance de cause.
Les ILOT PLC:
flux pour les protocoles de communication PLC en entre depuis QUARTIER SERVERS
SCADA;

flux SysLog et SNMP en sortie vers QUARTIER SCADA Corp et QUARTIER SERVEURS
SCADA ;

flux NTP (pour la synchronisation des horloges) en sortie vers QUARTIER SERVEURS
SCADA.

28

La cyberscurit des systmes industriels - Cas pratique

QUARTIER MAINTENANCE (ou ADMININISTRATION : aucun flux entrant

flux LDAP, kerberos, WSUS et autre services dinfra en sortie vers QUARTIER INFRA
CORP;

flux de programmation PLC en sortie vers QUARTIER PLC;

flux de programmation SCADA en sortie vers QUARTIER SERVEURS SCADA;

flux pour ladministration (HTTPS, SNMP, SSH) en sortie vers VLAN ADMIN RESEAU;

flux pour ladministration des serveurs et des applications (RDP par exemple en sortie
vers QUARTIER SERVEURS SCADA.

QUARTIER SCADA CORP:

flux SysLog et SNMP en entre depuis ZONE ICS;

flux HTTPS en entre depuis SITE Externe.

La majorit des applications SCADA fonctionnent avec un systme dexploitation Microsoft.

Il est possible dutiliser les Group Policy Object (GPO) pour dployer et grer une partie des
configurations systmes ainsi que les outils Microsoft pour dployer les mises jour. La gestion
centralise sera plus efficace que la gestion actuelle.
Les postes oprateurs et serveurs ne sont pas en nombre suffisant pour crer et grer un
domaine spcifique au SCADA. En revanche, regroups avec les machines de la zone MES/
GPAO, il deviendrait intressant de crer un domaine spcifique (domaine Production par
exemple) indpendant du domaine bureautique5. Cela suppose que les zones MES et
SCADA disposent du mme niveau de confiance. La gestion dun domaine ncessitant
des comptences spcifiques, elle sera opre par lIT.
Cette mutualisation facilitera ladministration et en particulier permettra une gestion
plus efficace des comptes utilisateur. Cela pourra permettre de rsoudre par exemple les
problmatiques de logins gnriques.

5
La gestion des domaines peut se rvler complexe et tre source de vulnrabilits importantes si elle est mal
maitrise. Lannexe C fournit quelques explications complmentaires sur les architectures de domaines.

La cyberscurit des systmes industriels - Cas pratique

29

5.1.2 - Proposition de la nouvelle topologie physique du rseau

Fig. 5 - Proposition dune nouvelle topologie physique du rseau industriel

Chaque atelier et unit sera raccord au rseau SCADA par une baie de brassage intgre
dans une boucle afin damliorer la disponibilit. Les baies de brassage seront fermes cls
et un contact sec permettra de remonter sur le SCADA une alarme en cas douverture.
Les quipements (PLC, Op, Postes SCADA) seront connects en liaison cuivre sur les
commutateurs dans les baies de brassage.
Plusieurs VLAN seront cres afin de respecter la sgrgation propose prcdemment. Le
routage entre les VLAN sera complt par un filtrage.
Linterconnexion avec le rseau bureautique sera galement ralise au travers dun pare-feu.
Cette topologie facilitera lajout de futures installations.

5.2 - Adaptation de la PSSI

Paralllement aux mesures techniques un gros chantier de mthode et de dfinition de
responsabilits pour lexploitation et la maintenance des SCADA est mettre en place
(procdures dexploitation, procdures dintervention pour les sous-traitants par exemple).
30

La cyberscurit des systmes industriels - Cas pratique

Il se pose galement la question du niveau dimplication des quipes IT qui disposent de

comptences utiles et peuvent apporter un support efficace aux utilisateurs. Ces quipes
pourront galement aider au dploiement de la PSSI en prenant bien en compte les adaptions
mtier ncessaires.
Il conviendra en effet dadapter la PSSI et plus particulirement de :
dfinir une politique pour la gestion des mdias amovibles ;
dfinir une politique de gestion des mots de passe y compris pour les comptes
gnriques (avec des restrictions), pour les automates, pour les sous-traitants ... ;

mettre en place une gestion et surtout une traabilit des volutions des applications
et de la documentation ;

dfinir une politique de monitoring (qui ?, comment ?, quoi ?) ;

dfinir une politique danalyse des journaux dvnements ;

dfinir un processus de traitement dincident ainsi quune chane dalerte ;

dfinir une politique pour la protection antivirale est plus complexe car les applications
sont sensibles. Les interactions ngatives entre lantivirus et les applications (souvent
dancienne gnration) qui nont pas t conues pour cela sont prvisibles. Le
coordinateur prfre travailler sur le durcissement des configurations pour les systmes en
production et limiter le dploiement des antivirus aux stations dingnierie et consoles de
programmation ;

dfinir une politique de sauvegarde des donnes et les procdures de restauration

associes. Cela sera ncessaire pour llaboration du DRP.

5.3 - volution des applications

Enfin des volutions des applications de SCADA sont prvoir. Certaines sont simples comme:

intgrer les dconnexions automatiques ;

amliorer la traabilit de lutilisation des modes dgrads permis par les crans
tactiles dans les ateliers de production.

En revanche fusionner les applications SCADA des units de production A et B avec lunit
C semble plus complexe. Les automates sont dancienne gnration et le protocole de
communication est propritaire.
Le fabriquant de ces automates propose depuis peu de temps des convertisseurs
de protocoles intgrant un serveur OPC. Cette solution permettrait lapplication
SCADA de lunit C de dialoguer avec les automates des units A et B sans migrer
les quipements (OPC UA) vers de nouvelles gnrations.
Ce protocole est connu pour tre vulnrable mme si des volutions intgrant
des mcanismes de scurit sont en cours. La mise en place dune politique de
filtrage ainsi que le durcissement des configurations seront des mesures temporaires
possibles en attendant ces volutions.

La cyberscurit des systmes industriels - Cas pratique

31

5.4 - Audits et tests dintrusion

Le coordinateur propose de demander une socit externe de raliser un audit ainsi que des
tests dintrusion sur linstallation une fois que lensemble des volutions auront t ralises.
Afin dviter de nouveaux impacts sur les installations lors des tests dintrusion, le protocole
daudit sera valid en amont.

32

La cyberscurit des systmes industriels - Cas pratique

QUELQUES MOIS PLUS TARD...

Pour le coordinateur le bilan des actions conduites se rvle positif.
Les utilisateurs accdent de manire plus scurise aux donnes des SCADA depuis leurs
postes bureautiques ce qui leur simplifie de nombreuses tches. La reprise et la fusion sur
une mme application des SCADA des ateliers A, B et C fournit une meilleure visibilit
des installations pour les oprateurs et les responsables datelier. Le protocole OPC utilis
pour cela comporte des vulnrabilits mais les mesures de durcissement des machines et le
cloisonnement des rseaux limitent considrablement les risques. La remonte des informations
de lunit de stockage a considrablement simplifi le travail des personnels de maintenance
et dexploitation. Les dysfonctionnements sont dtects plus rapidement.
Les rseaux process se limitent aux flux entre automates et entres /sorties dportes. La
mise en place de filtrage entre ces rseaux fournit des informations de diagnostic utiles et
a permis de dtecter de nombreux problmes de configuration dquipements (missions
de trames broadcast et multicast parasites, conflit dadresses IP...). Les temps darrt de la
nouvelle chane de production ont t rduits. Les nouveaux tests dintrusion raliss ont t
ngatifs. Les scans raliss sur le rseau bureautique puis tendus au rseau SCADA nont
pas eu dimpact sur les rseaux dautomates. Les tentatives dintrusion du rseau bureautique
depuis le rseau SCADA nont pas russi.
Comme la fait remarquer la direction du site, le plus important est sans doute que
les utilisateurs ont compris lintrt de la SSI en gnral, dans leur vie de tous les
jours mais surtout pour le domaine industriel. Ils ont compris quelle est un outil pour
la disponibilit et la sret de fonctionnement indispensable avec lutilisation des
nouvelles technologies.
Lentreprise sest rapproprie ses installations. Grce aux tudes ncessaires pour mener
ce projet les utilisateurs disposent dune meilleure connaissance des installations et des
procdures respecter. Ceci, ainsi que le tl-diagnostic, a rduit les cots de maintenance.
La SSI est un processus continu. Il reste de nombreux axes damlioration possibles. Dautres
projets sont envisags :
lanalyse des donnes statistiques (sur les capteurs, actionneurs et alarmes par exemple)
pour dtecter des comportements aberrants ;
la poursuite du dveloppement des fonctions de monitoring systme des SCADA et
PLC ;

le dploiement dune solution centralise pour les mises jour des PLC, crans tactiles
et autres composants dautomatisme ;

la cration dun plan de gestion de lobsolescence afin de progressivement remplacer

les quipements et logiciels les plus anciens et les plus vulnrables ;

la cration de plans de tests rguliers de non rgression ;

la cration dun plan daudit tabli sur la base de scnarios dattaques ou de

ngligences ;

la planification dexercices pour tester la chane dalerte et les procdures de traitement

des incidents ;

ltude de solutions de virtualisation pour les applications serveurs, qui associes

La cyberscurit des systmes industriels - Cas pratique

33

 des clients lgers, peuvent apporter des solutions pour amliorer la disponibilit ou
pour restaurer rapidement des configurations en cas de sinistre. Ces solutions facilitent
galement le dploiement des mises jour systme.
Lensemble de ces projets sera pilot par le coordinateur qui devient le correspondant SSI
des utilisateurs du domaine industriel. Il est garant du respect des rgles dployes et de la
cohrence des actions avec le service IT.

34

La cyberscurit des systmes industriels - Cas pratique

ANNEXE A : SIGLES ET ACRONYMES

ADSL
AMDEC
API
CPU
DoS
DRP
EIA
ERP
FMDS
FMEA
FAT
GSM
GPAO
GTC
GTB
HAZOP
ICS
MES
MTBF
OPC
OPC UA
OLE
P&ID
PID
PLC
RTC
RDP
SAT
SCADA
SdF
SPC
SNCC
SNMP
SIL
SOAP
SQL
SIS
VFD
WSUS

Asymmetric Digital Subscriber Line

Analyse des Modes de Dfaillance de leurs Effets et Criticits
Automate Programmable Industriel (PLC en anglais)
Central Process Unit
Denial of Service (Dni de Service)
Disaster Recovery Plan
Electrical Industry Association
Entreprise Resource Planning
Fiabilit, Maintenabilit, Disponibilit et Scurit
Failure Mode and Effects Analysis
Factory Acceptance Test
Global System for Mobile
Gestion de Production Assiste par Ordinateur
Gestion Technique Centralise (SCADA en anglais)
Gestion Technique de Btiment
HAZard & OPerability method
Industrial Control System
Manufacturing Executive System
Mean Time between Failure
OLE for Process Control
OLE for Process Control Unified Architecture
Object Linked & Embedded
Process & Instrumentation Diagram
Proportionnel Intgral Driv
Programmable Logic Controller
Rseau Telephonique Commut
Remote desktop Protocol
Site Acceptance test
Supervisory Control And Data Acquisition
Suret de Fonctionnement (= FMDS)
Statistical Process Control
Systme Numrique de Contrle Commande
Simple Network Management Protocol
Safety Integrity Level
Service Object Access Protocol
Structured Query Language
Safety Instrumented System
Variable Frequency Drive
Windows Server Update Services
La cyberscurit des systmes industriels - Cas pratique

35

36

La cyberscurit des systmes industriels - Cas pratique

ANNEXE B : ACCS AU SCADA DEPUIS DES

POSTES BUREAUTIQUES

Fig. 6 - Accs aux donnes SCADA par un filtrage simple (solution fortement dconseille)1

Avantages :
Les logiciels de SCADA du commerce permettent souvent de raliser cette architecture.

Inconvnients :
- introduit des connexions entrantes dans la zone ICS ;
- une vulnrabilit dans le filtrage du pare-feu donne accs toute la zone ICS ;
- une vulnrabilit dans le serveur Interne peut conduire la prise de contrle de toute la
zone ICS.
ATTENTION : La prise de contrle du client (compromission possible si le poste se
connecte Internet, utilise une messagerie, ne dispose ni de durcissements de sa
configuration ni des bonnes mises jour) fournit un accs lgitime au serveur Web SCADA.
1

Ces protocoles intgrent peu dlments de scurit, ce qui les rend vulnrables.

La cyberscurit des systmes industriels - Cas pratique

37

Fig. 7 - Accs aux donnes SCADA par une zone intermdiaire : (solution fortement dconseille)1

Avantages :
Idem que la solution prcdente.
Inconvnients :
- introduit des connexions entrantes dans la zone ICS ;
- le filtrage du flux pour le pare-feu interne peut tre laxiste suivant le protocole propre
au SCADA (ports dynamiques par exemple) ;
- la prise de contrle du serveur Externe pourra permettre denvoyer des tlcommandes
vers les PLC. Si le protocole propre au SCADA est vulnrable et permet lexcution de
code arbitraire, cela fournira un accs complet la zone ICS. Les protocoles utiliss par
les SCADA nont pas t conus lorigine pour faire face des attaques informatiques et
peuvent donc tre trs vulnrables.
ATTENTION : la prise de contrle du client (compromission possible si le poste
se connexte Internet, utilise une messagerie, ne dispose ni de durcissements de
configuration ni des bonnes mises jour) fournit un accs lgitime au serveur Web SCADA.
1

38

Ces protocoles intgrent peu dlments de scurit, ce qui les rend vulnrables.

La cyberscurit des systmes industriels - Cas pratique

Fig. 8 - Accs au donnes SCADA au travers dune zone dmilitarise : SECURISE

Avantages :
Pas de connexion entrante vers la zone ICS ce qui complique les tentatives daccs
malveillants cette zone.
Inconvnients :
- peu de logiciels de SCADA du commerce permettent de raliser cette architecture. Des
dveloppements spcifiques peuvent tre ncessaires ;
- si le protocole utilis pour rpliquer les donnes vers le serveur externe prsente des
vulnrabilits il sera possible de prendre la main sur le rseau ICS.

La cyberscurit des systmes industriels - Cas pratique

39

Fig. 9 - Accs au donnes SCADA au travers dune diode : TRES SECURISE (solution prfre)

Avantages :
Aucune donne provenant de la zone hors ICS ne peut entrer dans la zone ICS.
Inconvnients :
Peu de logiciels de SCADA du commerce offrent aujourdhui la possibilit de raliser cette
architecture. Des dveloppements spcifiques peuvent tre ncessaires.

40

La cyberscurit des systmes industriels - Cas pratique

ANNEXE C : RESTRICTION DES FONCTIONNALITS

LIES LEMPLOI DE MDIAS AMOVIBLES
Lusage de CD-ROM, de DVD ou de priphriques de masse USB (disque dur externe, cl
USB, PDA, tlphone, appareil photographique, lecteur MP3, etc.) est aujourdhui largement
rpandu. Ces mdias, facilement transportables et difficilement contrlables, peuvent tre
utiliss pour sortir illgitimement des donnes dun systme dinformation et constituent un
vecteur important dintroduction de codes malveillants.
Or, si les lecteurs CD et/ou DVD peuvent tre supprims (comme les lecteurs de disquettes en
leur temps), il est moins vident de se passer des connecteurs USB, ceux-ci tant aujourdhui
employs par des priphriques lgitimes tels que les claviers ou les souris.
Des mesures logiques peuvent toutefois tre mises en uvre sur le systme dexploitation
Windows afin de couvrir les menaces dintroduction de codes malveillants et de fuite
dinformation.

Blocage de la dtection des priphriques de stockage USB

Si aucun priphrique de stockage USB na t pralablement install sur le poste (action
raliser sur un master ), il suffit dattribuer lutilisateur les autorisations Refuser pour
les fichiers suivants:

%systemroot%\Inf\Usbstor.pnf

%systemroot%\Inf\Usbstor.inf

Dsactiver le pilote de gestion des priphriques de stockage USB

Pour empcher dutiliser des cls USB, il faut positionner 4 la valeur Start de la cl de registre
suivante (effectif aprs redmarrage du poste) :
HKLM\SYSTEM\CurrentControlSet\Services\UsbStor
Les claviers, souris et autres priphriques USB fonctionneront toujours. Pour plus
dinformations, se reporter au site de Microsoft1.

Blocage de lcriture sur les priphriques USB

A partir de Windows XP SP2, il est possible de connecter les priphriques USB en lecture
seule. Il faut pour cela crer ou modifier la valeur dnomme WriteProtect (de type DWORD),
en lui affectant la donne 1, dans la cl:
HKLM\System\CurrentControlSet\Control\StorageDevicePolicies

Dsactiver lexcution automatique

Les fonctionnalits autorun et autoplay peuvent tre compltement dsactives pour tous
les types de lecteurs en modifiant les stratgies de groupe. Le paramtre se trouve dans la
Configuration ordinateur, Modles dadministration, Systme et est dnomm Dsactiver
La cyberscurit des systmes industriels - Cas pratique

41

le lecteur automatique . Il doit avoir la valeur activ, en spcifiant tous les lecteurs .
Les correctifs de scurit Windows doivent galement tre appliqus pour corriger les
vulnrabilits lies aux supports USB. Les stratgies de restriction logicielle peuvent galement
tre configures pour interdire lexcution de programmes depuis dautres lecteurs que les
lecteurs de disques durs.

42

La cyberscurit des systmes industriels - Cas pratique

ANNEXE D : LES 10 RGLES POUR LUTILISATION

DES SCADA
Exemple des 10 rgles dutilisation des SCADA afficher dans le centre dexploitation et dans
les diffrentes zones du site :
1 - Verrouiller ou fermer les sessions lorsque vous quittez une station ou un cran tactile ;
2 - Ne pas prter ses identifiant /mot de passe ses collgues ;
3 - Ne pas connecter de cls USB, disques durs externes, tlphones portables ou autres
priphriques sur les machines ;
4 - Utiliser les sas pour importer ou exporter des donnes depuis ou vers lextrieur ;
5 - Ne pas sortir les consoles de programmation et de maintenance et ne pas les connecter
sur dautres rseaux que ceux des SCADA. Les stocker dans le centre dexploitation ;
6 - Ne pas conserver de donnes sur les stations et consoles de programmation. Utiliser les
espaces de stockages partags prvus cet effet ;
7 - Refermer cl les armoires PLC, compartiments courants faibles et baies de brassage
aprs les interventions ;
8 - Ne pas redmarrer un quipement dfaillant (Station SCADA, OP, PLC) sans
lintervention dun spcialiste ;
9 - Ne pas connecter dquipement non sr sur le rseau SCADA ;
10 - Signaler toute situation anormale au responsable du centre dexploitation.
En cas de doute, sadresser son responsable hirarchique.

La cyberscurit des systmes industriels - Cas pratique

43

44

La cyberscurit des systmes industriels - Cas pratique

ANNEXE E: DOMAINES MICROSOFT WINDOWS

Plusieurs architectures de domaines sont possibles. Chacune prsente des avantages et des
inconvnients. Il est important de choisir larchitecture qui respecte les exigences de scurit
et les besoins fonctionnels.
Les schmas ci-dessous prsentent les principales caractristiques de solutions couramment
rpandues.

Domaines et sous domaines (architecture fortement dconseille):

Fig 10 - Schma de principe domaines et sous domaines

Les relations dapprobation entre lensemble des domaines sont cres automatiquement
par le systme lors de leur cration. Par dfaut, elles sont bidirectionnelles.
Il existe un catalogue global pour tous les domaines ainsi quun catalogue par domaine
avec mcanismes de rplication de certains objets.
Les policies du domaines entreprise.com sappliquent implicitement aux domaines SCADA1.
entreprise.com et SCADA2.entreprise.com
Lutilisateur dun domaine peut accder aux autres domaines ds quil est authentifi sur
lun deux.
La compromission dun domaine compromet tous les autres. Exemple : la prise de contrle
de lutilisateur Admin_SCADA1 permet dexcuter des taches dadministration dans les
autres domaines.
La cyberscurit des systmes industriels - Cas pratique

45

Domaines indpendants (architecture prfre):

Fig. 11 - Schma de principe domaines indpendants

Les relations dapprobation sont dclares manuellement par les administrateurs des
domaines. Elles peuvent tre unidirectionnelles ou bidirectionnelles.
Il existe un catalogue global indpendant par domaine.
Les policies du domaine entreprise.com ne sappliquent pas aux domaines SCADA1 et
SCADA2.
Lutilisateur dun domaine naccde aux autres domaines que si des droits lui sont explicitement
accords dans les autres domaines.
La compromission dun domaine se limite ce domaine.
ATTENTION : si lutilisateur admin_entreprise est dclar comme membre des groupes
dadministration dans les domaines SCADA, sa compromission entraine la compromission
des domaines SCADA.

46

La cyberscurit des systmes industriels - Cas pratique

THMES ABORDS
Connexions rseau SCADA rseau bureautique : p11, p28 et p37
Mdias amovibles : p12, p31 et p41
Sensibilisation des intervenants : p12
Conception et programmation : p12
Logins gnriques : p13
Postes isols : p13
Ecrans tactiles : p14
Traabilit : p14
Mots de passe : p15, p17 et p43
Systmes propritaires : p14 et p32
Protection physique : p15 et p17
Tlmaintenance : p15 et p24
Services Web : p16
Mises jour et antivirus : p16 et p31
Surveillance rseau : p17
Interventions de maintenance : p17
Console de programmation et protection des automates : p17
Wifi : p23
Echange de donnes entre applications SCADA GPAO : p24
OPC : p27, p28 et p32
Cloisonnement des rseaux : p22, p27

Ce guide sur la cyberscurit des systmes industriels a t ralis par lagence nationale de
la scurit des systmes dinformation (ANSSI)

avec le concours des ministres suivants :

et des socits suivantes :

+ logo Naxitis

 propos de lANSSI
LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre le 7 juillet
2009 sous la forme dun service comptence nationale.
En vertu du dcret n2009-834 du 7 juillet 2009 modifi par le dcret n2011-170 du 11
fvrier 2011, lagence assure la mission dautorit nationale en matire de dfense et de
scurit des systmes dinformation. Elle est rattache au Secrtaire gnral de la dfense et
de la scurit nationale, sous lautorit du Premier ministre.
Pour en savoir plus sur lANSSI et ses missions, rendez-vous sur www.ssi.gouv.fr.

Version 1.0 - Juin 2012

Licence information publique librement rutilisable (LIP V1 2010.04.02)

Agence nationale de la scurit des systmes dinformation

ANSSI - 51 boulevard de la Tour-Maubourg - 75700 PARIS 07 SP
Sites internet : www.ssi.gouv.fr et www.securite-informatique.gouv.fr
Messagerie : communication [at] ssi.gouv.fr