Académique Documents
Professionnel Documents
Culture Documents
11
3.1 -
Le centre dexploitation
11
3.2 -
Latelier de production
13
3.3 -
14
3.4 -
16
4 -
Le bilan
19
4.1 -
La premire analyse
19
4.2 -
4.3 -
Cartographie
5
7
9
20
21
21
22
22
4.4 -
23
23
24
24
27
5 -
Le plan dactions
5.1 -
Evolution de larchitecture
27
27
30
5.2 -
Adaptation de la PSSI
31
5.3 -
31
5.4 -
32
33
35
37
39
43
45
INTRODUCTION
Ce cas pratique complte le document intitul Matriser la SSI pour les systmes industriels1.
Son objectif est de prsenter des situations qui reprsentent un risque pour les entreprises et
de transmettre les recommandations adquates afin daccompagner les entreprises dans la
scurisation de leurs systmes industriels.
De nombreuses bonnes pratiques dcrites ici sont similaires celles de linformatique de
gestion2, mais leur mise en uvre est adapter aux contraintes du domaine industriel.
Les exemples et situations concrtes prsents dans ltude suivante illustrent lapplication de
la dmarche de dploiement de la SSI dans le contexte industriel. La dmarche propose ainsi
que les recommandations peuvent sappliquer quel que soit le contexte industriel mais doivent
toujours tre adaptes aux enjeux et aux risques identifis.
Ltude porte sur un site industriel existant depuis plusieurs dizaines dannes, disposant
dinstallations htrognes, dont certaines sont en phase dobsolescence. Les installations
sont pilotes par des automates industriels (API /PLC) et supervises par un ensemble de
SCADA regroup dans un centre dexploitation. Certaines de ces installations, comme les
lignes de production de latelier dassemblage, disposent de contraintes temps rel et
dautres, comme une unit de distribution de matires dangereuses, de contraintes de sret
de fonctionnement et de disponibilit.
Le site dtient une unit de stockage situe gographiquement quelques centaines de
mtres en dehors de lenceinte du site principal. Cette unit est place en amont de lunit de
distribution de matire dangereuse.
Les sigles et acronymes utiliss dans le document sont repris en annexe A.
1
2
http://www.ssi.gouv.fr/systemesindustriels
Informatique de gestion : systmes dinformation destins aux services et applications de
bureautique, de gestion des ressources humaines, de relations clients ou encore de gestion intgre.
1 - LE CONTEXTE
La direction du site demande lvolution du systme de SCADA, afin que celui-ci puisse
communiquer avec le systme dinformation de gestion dans le but damliorer les cots et
dlais de production. Les informations collectes au niveau du SCADA devront tre accessibles
lensemble des responsables du site depuis leurs postes bureautique, mais galement ceux
des autres sites de lentreprise. Enfin, en vue doptimiser les cots de fonctionnement, il est
demand dtudier les solutions de tlmaintenance.
La compagnie dispose dun service informatique (IT) responsable de linfrastructure
informatique de gestion (des systmes bureautiques, des interconnexions entre sites, de la
messagerie et des accs Internet).
Depuis plusieurs annes, et la demande de la direction de la compagnie, ce service a
dploy une politique de scurit des systmes dinformation (PSSI).
Suite des incidents rcents, la direction demande que cette PSSI soit tendue aux installations
industrielles, dont certaines sont sous la responsabilit du directeur technique, dautres sous
la responsabilit du directeur de production, et certaines directement sous la responsabilit
du directeur du site.
En effet, quelques mois auparavant, la propagation dun virus introduit par une cl USB sur
un poste SCADA avait gnr un trafic rseau important et provoqu des dysfonctionnements
sur les systmes industriels.
Par ailleurs, une entreprise de conseil qui ralisait un test dintrusion interne avait trouv deux
moyens de sintroduire sur le rseau bureautique. Le premier en injectant des commandes
SQL vers le moteur de bases de donnes du site Web Extranet et le deuxime en envoyant
des fichiers PDF pigs quelques utilisateurs. Quelques postes, ne bnficiant pas des
correctifs de scurit du lecteur PDF, ont t compromis. Les auditeurs ont essay dlargir
la compromission et didentifier les quipements vulnrables sur le rseau bureautique en
excutant une dcouverte rseau et des scans de vulnrabilits. Ils ont rapidement mis en
vidence la vulnrabilit dun ensemble dquipements, bass sur des systmes anciens, non
mis jour, et la prsence de nombreuses interfaces dadministration non protges par une
authentification. Lors de ces tests un automate sest arrt ce qui a provoqu larrt dune
chane de production pendant une demi-heure. Les quipements identifis comme vulnrables
taient en ralit des machines SCADA. Larrt de lautomate tait une consquence du
scan ralis. Les rseaux bureautiques et industriels taient connects suite une mauvaise
configuration, ce quignoraient les diffrents responsables du site.
Cette msaventure prouve la ncessit de mieux protger les systmes industriels. Elle montre
aussi que les attaques externes ne sont pas les seules menaces.
Un coordinateur, rcemment embauch, disposant dune exprience dans le domaine
informatique et ayant une culture industrielle, est nomm pour piloter ce projet. Cette fonction
recquire de la pdagogie et de la diplomatie. Le coordinateur rapportera directement la
direction du site.
Il dcouvre les installations et les contraintes mtier associes. Il se demande comment tendre
la PSSI, quil connait encore peu, des installations industrielles dont les caractristiques
semblent particulires, tout en respectant les contraintes et les habitudes de chacun. Il se rend
compte des diffrences de culture et dapproche existant entre les domaines informatiques, de
La cyberscurit des systmes industriels - Cas pratique
production et de sret de fonctionnement. Pourtant lobjectif final est pour tous de fournir les
produits et services aux clients dans les dlais prvus et au moindre cot.
2 - LA DMARCHE CHOISIE
La premire tape consiste comprendre les besoins mtier, inventorier les quipements et
les services. Lobjectif est de constituer une cartographie physique et logique des installations
et des flux dinformations entre les diffrents lments, puis dtablir les niveaux de criticit
de chacun.
Ce travail consquent sera ralis avec les diffrents responsables dinstallations. Certains
disposent dj dlments, par exemple dans les analyses de sret de fonctionnement
(AMDEC).
Cette cartographie permettra lors de la seconde tape dtablir une valuation des besoins de
scurit et de raliser une premire analyse des vulnrabilits de lexistant.
Dans un troisime temps, lanalyse des nouveaux besoins permettra didentifier les mesures
de scurit ncessaires (lments techniques ou organisationnels) dployer pour rduire les
carts avec lexistant ainsi que les impacts potentiels sur les installations.
Ces trois tapes sont formalises dans un plan damlioration de la scurit que le coordinateur
proposera la direction.
Il a conscience de lampleur du travail, mais aussi du poids de ses actions sur le travail
quotidien de ses collgues : Encore de nouvelles rgles suivre, il y en a dj beaucoup,
cela va encore nous compliquer le travail.
Il dcide de commencer par communiquer sur son projet, den expliquer
simplement le but et la faon doit il souhaite procder. Il organise une
prsentation aux principaux responsables et les informe de son intention de
raliser une visite des installations, pour quils relaient linformation auprs de
leurs quipes. De cette faon il pourra tablir le contact avec le personnel et faire
passer directement les messages sur lintrt de la SSI dans leur travail quotidien.
Le rle pdagogique dans sa dmarche est fondamental. Son public tant trs
proccup par la disponibilit et la sret, il insiste sur le fait que la scurit
des systmes dinformation ne va pas lencontre de la disponibilit, mais au
contraire contribue la renforcer.
10
11
Le coordinateur explique que sans interdire les cls USB il est possible de dsactiver
les fonctions de lancement automatique sur les mdias amovibles, fonction utilise
par de nombreux virus (voir annexe B). Il est possible de configurer les politiques de
restrictions logicielles pour nautoriser quune liste de programmes (par exemple,
ceux des SCADA et quelques utilitaires).
Il est galement possible de dployer un sas scuris pour changer les donnes et
de dsactiver les ports USB sur toutes les machines SCADA critiques. Des solutions
existent !
Les cls USB sont un des principaux vecteurs de propagation de virus. Les incidents
sont nombreux !
Le coordinateur demande comment le personnel interne et sous-traitant est sensibilis aux
enjeux de la SSI. Le responsable indique que thoriquement ils suivent une petite formation
mais quelle est plutt oriente sur la partie bureautique et quil faudrait la suivre rgulirement
pour quelle soit efficace. Le coordinateur indique que les rgles dhygine informatique pour
linformatique de gestion sont applicables au domaine industriel.
Les 10 rgles de base de la SSI pour les systmes industriels pourraient tre affiches
dans le centre dexploitation et dans les units de production. Des pictogrammes
sur le principe de ceux utiliss en sret de fonctionnement pourraient galement
tre utiliss pour signifier linterdiction des cls USB sur les installations critiques,
linterdiction de connecter un PC portable sans autorisation ou encore la ncessit
de signaler toute anomalie
De nombreuses actions et rglages des installations sont possibles depuis le centre
dexploitation. Les applications SCADA sont nombreuses et htrognes. Le coordinateur
demande ce quil se passerait si un oprateur excutait une mauvaise commande ou se
trompait dans la saisie dune valeur de rglage (saisie de 10000 tour/min pour un moteur au
lieu de 1000 par exemple).
Le responsable explique que des contrles sont prvus dans la conception des
installations pour limiter les risques derreur de la part des exploitants. Cela peut donc
aussi freiner des attaquants dclare le coordinateur.
Les fentres de saisie sont bornes dans le SCADA : un utilisateur ne peut pas saisir une
valeur en dehors des limites de fonctionnement des quipements. Ces bornes sont galement
intgres dans les automates et sont figes. Il nest pas possible de les modifier sans changer
le code source du PLC.
Par ailleurs, pour viter certaines mauvaises manipulations, lapplication SCADA demande
une confirmation avant denvoyer la tlcommande. Cela limite les risques derreur qui restent
malgr tout toujours possibles. Il faut envoyer une demande de commande (bit 0) puis
lorsque lautomate la accepte envoyer la commande (bit 1). Le responsable explique que
ce mcanisme a permis dempcher larrt dune installation lors dune intervention rcente.
Un automaticien a recharg dans lautomate des donnes qui avaient t sauvegardes.
Dans cette sauvegarde les bits de commande darrt de plusieurs installations taient activs
mais pas celui de la demande de commande. Les installations ne se sont pas arrtes et une
alarme de discordance est remonte au SCADA permettant ainsi de dtecter le problme. Le
coordinateur indique que cet exemple montre que parfois des mcanismes simples permettent
12
dviter des problmes. Cette mesure serait inefficace contre un attaquant disposant dune
parfaite connaissance du systme mais peut permettre de dtecter de nombreuses autres
attaques moins sophistiques.
13
en fibre optique. Un deuxime cble de cuivre part du commutateur et arrive jusqu lcran
tactile. Pour rsumer, dans la configuration actuelle lcran tactile et lautomate sont
accessibles depuis le rseau bureautique !
Cet cran tactile (OP) ressemble fortement un PC, physiquement plus robuste,
avec un systme dexploitation standard. Il prsente certainement des vulnrabilits
facilement exploitables dont il faudra tenir compte dans les mises jour et les
politiques daccs. Il peut tre utile de raliser des tests dintrusion depuis ce type
dquipement. LOP dispose de ports USB : que se passe-t-il par exemple si lon
branche un clavier ? Est-ce que cela donne accs des fonctions systmes ou la
liste des programmes installs sur lOP par exemple ?
Le coordinateur demande comment le centre dexploitation est inform de lutilisation de
modes de marche particuliers. Le technicien rpond quen gnral il appelle les oprateurs
pour les informer car ces informations ne remontent pas au centre dexploitation.
Le responsable de latelier explique que cette ligne dassemblage rcente est bien plus rapide
que les anciennes. En revanche elle sarrte plus souvent et ncessite des rglages plus
prcis et plus frquents que les anciennes. Cest pourquoi, afin de ne pas polluer le centre
dexploitation, toutes les informations ne remontent pas sur le SCADA.
Le coordinateur explique quau contraire plus de traabilit et de remont
dinformation sur le SCADA pourrait aider identifier les dysfonctionnements et
dtecter des comportements anormaux. Les logiciels et systmes actuels sont
capables de grer de grandes quantits de donnes. Les espaces de stockage ne
sont plus une contrainte majeure.
Le coordinateur indique quil tait surpris de voir dans le centre dexploitation une application
SCADA pour latelier A et B et une autre pour latelier C. Le responsable explique quil aimerait
bien avoir une application unique pour les trois et surtout le mme niveau de fonctionnalits.
Cela faciliterait la corrlation des donnes de production. Mais les automates de latelier A
et B dialoguent avec le SCADA via des protocoles spcifiques non supports par les autres
constructeurs et les nouveaux SCADA.
Pour le responsable de latelier, les SCADA utilisant des protocoles spcifiques
ne sont pas vulnrables. Le coordinateur explique quen ralit les systmes
propritaires ne sont pas labri. Ils sont souvent dvelopps partir de composants
standards et sexcutent sur des systmes dexploitation galement standards et
non spcifiques aux systmes industriels. Les mcanismes de scurit sont souvent
faibles. Une analyse ainsi quune tude dune volution de ce systme avec
lquipementier est ncessaire.
Il constate que les quipements de mesure de niveau des cuves (radar) de matire dangereuse
sont disposs en pleine nature, et sont facilement accessibles des personnes trangres
lentreprise. Il fait remarquer au responsable de lunit que ces niveaux pourraient tre
modifis par des personnes malintentionnes et demande quels en seraient les impacts.
Le responsable lui rpond que lindisponibilit des niveaux peut perturber le fonctionnement
des installations. Lautomate peut fermer des vannes de distribution sil dtecte un niveau trs
bas sur un rservoir par exemple. Dans le pass un dysfonctionnement sur un capteur avait
entran des comportements alatoirement aberrants sans cause apparente. Le diagnostic est
difficile car aucune information de cette unit ne remonte au centre dexploitation. Depuis les
capteurs ont t doubls pour plus de fiabilit.
Le coordinateur dclare quune protection physique des quipements loigns et
situs en extrieur semble ncessaire ainsi quun minimum de report dinformation
vers le centre dexploitation.
Le responsable de lunit indique quil existe un projet dextension qui serait une opportunit
damliorer la surveillance de linstallation. Ceci viterait aux quipes dexploitation un
nombre important de rondes pour sassurer quil ny a pas danomalie sur linstallation.
Par ailleurs, le coordinateur identifie un modem reli lautomate. Lintgrateur la install
pour intervenir distance et ainsi rduire les cots de maintenance et les dlais dintervention.
Aprs analyse, il savre que le mot de passe pour accder au programme de
lautomate est vide (ce qui est la valeur par dfaut). Ni lexploitant, ni lintgrateur
nont pens changer cette configuration. Le coordinateur indique quil est urgent de
mettre en place une politique de mot de passe pour les automates ainsi que les autres
quipements de terrain (capteurs et actionneurs par exemple).
Un attaquant scannant la plage tlphonique de lentreprise pourrait alors identifier le modem,
prendre le contrle de lautomate, modifier le programme et provoquer des dysfonctionnements
sur linstallation. Par chance, le modem de lautomate dispose dune fonction de rappel
(callback)3. Ainsi, un attaquant ne peut plus prendre la main sur lautomate, mme sil en
connaissait le mot de passe.
Le responsable explique que lintgrateur propose de connecter linterface Web de gestion de
lautomate Internet (via un VPN par exemple), ce qui lui donnerait accs des fonctions de
diagnostic plus volues.
Le coordonnateur comprend le besoin et la demande. Nanmoins, il est primordial den
valuer les risques.
3
Callback : Son principe consiste configurer un numro de maintenance; lorsque le modem est appel, il
raccroche et appelle automatiquement le numro dfini.
15
Lutilisation des services Web sur un automate peut tre des plus dangereux.
La couche Web est certainement un composant standard, non spcifique lautomate
pouvant prsenter des vulnrabilits pour lensemble de lautomate (dni de service
par exemple). Sur les systmes de gestion les services Web font rgulirement
lobjet de correctifs ce qui nest certainement pas le cas sur les automates.
Ces fonctions, souvent optionnelles, doivent tre dsactives sur les installations
critiques !
Ou Rien (TOR), sont cbles directement sur les vannes. Dans la perspective dune extension
de lunit de stockage, une connexion par bus ou WiFi est envisage. Cela offrirait plus de
souplesse pour exploiter les installations.
Les PLC communiquent avec le SCADA via un rseau Ethernet qui semble tre le mme que
celui des autres automates du site.
Le coordinateur sinterroge sur la gestion de la maintenance de ces installations. Le
responsable de lunit lui rpond que la maintenance est assure par la socit qui a mis en
service linstallation, comme pour les SCADA. Les interventions de maintenance sont plutt
rares car le systme est robuste et se limitent aux dfaillances matrielles. Elles concernent
parfois les coupleurs de communication Ethernet. Une fois rendus indisponibles, suite
une surcharge de trames par exemple, il faut redmarrer lautomate pour les rinitialiser. Le
coordinateur demande si ces surcharges ont t identifies. Le responsable rpond que non
car les intervenants nont pas ncessairement les comptences suffisantes en rseau pour
tablir un diagnostic.
Le coordinateur explique quil serait ncessaire de configurer des outils danalyse
et de monitoring sur le rseau. Ils peuvent tre simples dployer et totalement
transparents pour les installations. Ils permettront de dtecter des vnements,
dempcher des incidents ou simplement de fournir des lments pour analyser des
comportements qui ont aujourdhui un impact sur le procd (process).
Un canal de diagnostic complmentaire au SCADA est ncessaire pour dtecter des
incidents par exemple dans le cas o le SCADA serait compromis. La gnralisation
de lutilisation des protocoles Syslog et SNMP (v3) dans les quipements industriels
permet de crer ce deuxime canal pour dtecter des dfaillances systmes sur
les composants et les applications.
Le coordinateur demande comment se droulent les interventions. Le responsable rpond
quen gnral, un technicien de la socit se dplace, connecte sa console sur lautomate,
ou sur le rseau, ralise un diagnostic et corrige le problme. Le coordinateur sinquite de
savoir si cette connexion donne aussi accs aux autres automates du site et si les accs aux
PLC sont protgs par des mots de passe par exemple. Le responsable ne sait pas, il faudra
demander lintgrateur.
Lintgrateur indiquera quaucun mot de passe nest configur dans les automates. Cela
simplifie les interventions. De plus, ces automates, comme le SCADA sont bien connects
sur le mme rseau Ethernet que celui sur lequel sont connects les autres automates du site.
Le coordinateur conclut que pour des interventions trs ponctuelles et peu frquentes
des intervenants extrieurs se connectent sur le rseau SCADA avec leurs propres
outils et disposent dun accs tous les automates du site puisquaucun mot de
passe nest configur. Il sagit dune vulnrabilit majeure. Ces interventions doivent
tre encadres par des procdures, les accs aux automates limits et protgs par
des mots de passe et surtout les consoles de maintenance doivent tre maitrises et
mises disposition des intervenants en cas de ncessit.
Laccs physique aux automates, bus de terrain, SCADA et autres quipements doit
tre limit autant que possible.
17
18
4 - LE BILAN
4.1 - La premire analyse
Une fois son tour des installations termin, le coordinateur dresse rapidement et dans le
dsordre un premier bilan :
les utilisateurs commes les responsables ont trs bien collabors. Nanmoins, le
coordinateur a ressenti que sa prsence pouvait parfois contrarier du fait de sa mise en
exergue de vulnrabilits ;
les systmes sont htrognes et ne sont pas tous grs de la mme faon ;
le niveau de matrise des installations est plutt faible. Beaucoup dlments reposent
uniquement sur les intgrateurs voire sur les personnes ayant particip la mise en service
initiale des installations il y a plusieurs dizaines dannes ;
pour leurs besoins qui semblent lgitimes, les utilisateurs emploient des moyens peu
scuriss qui crs des vulnrabilits ;
les diverses personnes rencontres sont volontaires, mais le turnover et les intrimaires
sont nombreux ;
il est assez facile pour nimporte qui de se connecter sur le SCADA (sessions ouvertes
sur les postes avec des niveaux daccs importants) ;
il nexiste pas de notion de cloisonnement. Tous les lments semblent tre sur le mme
rseau, quel que soit leur niveau de criticit et leurs fonctionnalits. Larrt de lautomate
lors des tests dintrusion confirme la ncessit de mettre en uvre au plus vite une solution
de filtrage entre les rseaux et de limiter les accs ;
la cration dun processus de veille sur les vulnrabilits est indispensable (abonnement
aux CERTs, suivi du site des constructeurs, contrat avec des socits spcialises dans cette
activit
19
amovibles, les contraintes de certains ateliers ainsi que lobsolescence de certaines installations
demandent une analyse plus globale. Celles-ci impliquent plusieurs domaines dexpertise et
lobligent adapter la dmarche quil avait envisage en trois tapes.
En particulier, les besoins dvolution des SCADA des ateliers A et B ou encore de lautomatisme
de lunit de stockage et de distribution de matires dangereuses semblent plus complexes.
Dans cette dernire unit, des aspects pour la protection des biens et des personnes (safety)
sont en jeu. Une approche commune avec les experts du domaine de la sret est ncessaire.
Par ailleurs la question des sauvegardes et de la documentation na pas t aborde. Il est
prvu de laborder, de mme que dautres thmes transverses lors de la runion de dbriefing
que le coordinateur veut organiser avec les diffrents responsables concerns par le sujet.
4.3 - Cartographie
La premire tape de sa dmarche est inchange. Il tablit une cartographie des installations
suivant diffrentes vues qui lui permettront didentifier les points faibles et les axes damliorations
possibles. Les tudes AMDEC disponibles ont dj clairement dfini les niveaux de criticit des
installations, ce qui permet dtablir rapidement une premire cartographie des systmes.
Site principal
Site satellite
Centre dexploitation
IT
- MES
- OA (bureautique)
- Infra Corporate
- Serveurs SCADA
- Stations SCADA
- Stations dingnierie
Hors scope
24/7
Flux SCADA
- Stations SCADA
- PLC
- Ecrans tactiles
Process
Process
Atelier 1
- Station SCADA
- PLC
- Ecrans tactiles
Atelier 2
Haute Dispo
- Stations SCADA
- PLC
- Ecrans tactiles
Process
Temps Rel
Atelier 3
Process
- Stations SCADA
- Serveurs CADA
- PLC
Process + Safety
Flux process
Safety
- PLC
Asservissement cbls
Unit Distribution
produits dangereux
Unit Stockage
produits dangereux
Safety
Futurs Flux
La topologie du rseau nest pas cohrente et semble peu robuste. Elle a suivi les volutions
des ateliers mais na pas t pense de faon globale.
Certains quipements sont raccords sur des commutateurs placs dans des baies de
brassage alors que dautres sont raccords sur des hub disposs directement dans les armoires
lectriques.
La cyberscurit des systmes industriels - Cas pratique
21
Une panne sur un hub de la ligne n4 entrane la perte du SCADA de latelier B et de lunit
de distribution de matires dangereuses.
Toujours avec le support des quipes de lIT et en collaboration avec les diffrents responsables
datelier il tablit la topologie logique des installations.
23
24
CPU : Central Process Unit. Il sagit de la partie de lautomate contenant le processeur et le programme
25
26
5 - LE PLAN DACTION
5.1 - Evolution de larchitecture
Toujours avec les personnes de lIT, il travaille sur une volution de la topologie qui permettra
la fois de rduire les vulnrabilits en cloisonnant les rseaux et dintgrer les nouveaux
besoins en essayant danticiper les futurs :
laccs depuis des PC de bureau aux IHM des SCADA ;
le lien entre les bases de donnes des SCADA et les applications de GPAO de
lentreprise ;
potentiellement la tlmaintenance.
Ces points seront de plus tudier avec les personnes en charge de la suret des installations.
Dautant plus que des amliorations sur la protection physique des quipements sont prvoir.
27
flux LDAP, kerberos, autre services dinfra en sortie vers zone Corp en fonction des
besoins des applications.
flux LDAP, kerberos, autre services dinfra en sortie vers QUARTIER INFRA CORP en
fonction des besoins des applications.
flux permettant laccs au SCADA depuis les postes bureautiques (voir annexe B) :
attention, les risques lis cette rgle doivent tre clairement identifis et accepts en
connaissance de cause;
Dans les versions actuelles du protocole OPC les flux peuvent tre complexes grer. Ils
sappuient sur les composants DCOM qui utilisent des ports allous dynamiquement dans une
plage donne. Les flux peuvent tre bidirectionnels. Dans ce cas les risques lis cette rgle
doivent tre clairement identifis et accepts en connaissance de cause.
Les ILOT PLC:
flux pour les protocoles de communication PLC en entre depuis QUARTIER SERVERS
SCADA;
flux SysLog et SNMP en sortie vers QUARTIER SCADA Corp et QUARTIER SERVEURS
SCADA ;
flux NTP (pour la synchronisation des horloges) en sortie vers QUARTIER SERVEURS
SCADA.
28
flux pour ladministration (HTTPS, SNMP, SSH) en sortie vers VLAN ADMIN RESEAU;
flux pour ladministration des serveurs et des applications (RDP par exemple en sortie
vers QUARTIER SERVEURS SCADA.
5
La gestion des domaines peut se rvler complexe et tre source de vulnrabilits importantes si elle est mal
maitrise. Lannexe C fournit quelques explications complmentaires sur les architectures de domaines.
29
Chaque atelier et unit sera raccord au rseau SCADA par une baie de brassage intgre
dans une boucle afin damliorer la disponibilit. Les baies de brassage seront fermes cls
et un contact sec permettra de remonter sur le SCADA une alarme en cas douverture.
Les quipements (PLC, Op, Postes SCADA) seront connects en liaison cuivre sur les
commutateurs dans les baies de brassage.
Plusieurs VLAN seront cres afin de respecter la sgrgation propose prcdemment. Le
routage entre les VLAN sera complt par un filtrage.
Linterconnexion avec le rseau bureautique sera galement ralise au travers dun pare-feu.
Cette topologie facilitera lajout de futures installations.
mettre en place une gestion et surtout une traabilit des volutions des applications
et de la documentation ;
dfinir une politique pour la protection antivirale est plus complexe car les applications
sont sensibles. Les interactions ngatives entre lantivirus et les applications (souvent
dancienne gnration) qui nont pas t conues pour cela sont prvisibles. Le
coordinateur prfre travailler sur le durcissement des configurations pour les systmes en
production et limiter le dploiement des antivirus aux stations dingnierie et consoles de
programmation ;
amliorer la traabilit de lutilisation des modes dgrads permis par les crans
tactiles dans les ateliers de production.
En revanche fusionner les applications SCADA des units de production A et B avec lunit
C semble plus complexe. Les automates sont dancienne gnration et le protocole de
communication est propritaire.
Le fabriquant de ces automates propose depuis peu de temps des convertisseurs
de protocoles intgrant un serveur OPC. Cette solution permettrait lapplication
SCADA de lunit C de dialoguer avec les automates des units A et B sans migrer
les quipements (OPC UA) vers de nouvelles gnrations.
Ce protocole est connu pour tre vulnrable mme si des volutions intgrant
des mcanismes de scurit sont en cours. La mise en place dune politique de
filtrage ainsi que le durcissement des configurations seront des mesures temporaires
possibles en attendant ces volutions.
31
32
le dploiement dune solution centralise pour les mises jour des PLC, crans tactiles
et autres composants dautomatisme ;
33
des clients lgers, peuvent apporter des solutions pour amliorer la disponibilit ou
pour restaurer rapidement des configurations en cas de sinistre. Ces solutions facilitent
galement le dploiement des mises jour systme.
Lensemble de ces projets sera pilot par le coordinateur qui devient le correspondant SSI
des utilisateurs du domaine industriel. Il est garant du respect des rgles dployes et de la
cohrence des actions avec le service IT.
34
35
36
Fig. 6 - Accs aux donnes SCADA par un filtrage simple (solution fortement dconseille)1
Avantages :
Les logiciels de SCADA du commerce permettent souvent de raliser cette architecture.
Inconvnients :
- introduit des connexions entrantes dans la zone ICS ;
- une vulnrabilit dans le filtrage du pare-feu donne accs toute la zone ICS ;
- une vulnrabilit dans le serveur Interne peut conduire la prise de contrle de toute la
zone ICS.
ATTENTION : La prise de contrle du client (compromission possible si le poste se
connecte Internet, utilise une messagerie, ne dispose ni de durcissements de sa
configuration ni des bonnes mises jour) fournit un accs lgitime au serveur Web SCADA.
1
Ces protocoles intgrent peu dlments de scurit, ce qui les rend vulnrables.
37
Fig. 7 - Accs aux donnes SCADA par une zone intermdiaire : (solution fortement dconseille)1
Avantages :
Idem que la solution prcdente.
Inconvnients :
- introduit des connexions entrantes dans la zone ICS ;
- le filtrage du flux pour le pare-feu interne peut tre laxiste suivant le protocole propre
au SCADA (ports dynamiques par exemple) ;
- la prise de contrle du serveur Externe pourra permettre denvoyer des tlcommandes
vers les PLC. Si le protocole propre au SCADA est vulnrable et permet lexcution de
code arbitraire, cela fournira un accs complet la zone ICS. Les protocoles utiliss par
les SCADA nont pas t conus lorigine pour faire face des attaques informatiques et
peuvent donc tre trs vulnrables.
ATTENTION : la prise de contrle du client (compromission possible si le poste
se connexte Internet, utilise une messagerie, ne dispose ni de durcissements de
configuration ni des bonnes mises jour) fournit un accs lgitime au serveur Web SCADA.
1
38
Ces protocoles intgrent peu dlments de scurit, ce qui les rend vulnrables.
Avantages :
Pas de connexion entrante vers la zone ICS ce qui complique les tentatives daccs
malveillants cette zone.
Inconvnients :
- peu de logiciels de SCADA du commerce permettent de raliser cette architecture. Des
dveloppements spcifiques peuvent tre ncessaires ;
- si le protocole utilis pour rpliquer les donnes vers le serveur externe prsente des
vulnrabilits il sera possible de prendre la main sur le rseau ICS.
39
Fig. 9 - Accs au donnes SCADA au travers dune diode : TRES SECURISE (solution prfre)
Avantages :
Aucune donne provenant de la zone hors ICS ne peut entrer dans la zone ICS.
Inconvnients :
Peu de logiciels de SCADA du commerce offrent aujourdhui la possibilit de raliser cette
architecture. Des dveloppements spcifiques peuvent tre ncessaires.
40
%systemroot%\Inf\Usbstor.pnf
%systemroot%\Inf\Usbstor.inf
41
le lecteur automatique . Il doit avoir la valeur activ, en spcifiant tous les lecteurs .
Les correctifs de scurit Windows doivent galement tre appliqus pour corriger les
vulnrabilits lies aux supports USB. Les stratgies de restriction logicielle peuvent galement
tre configures pour interdire lexcution de programmes depuis dautres lecteurs que les
lecteurs de disques durs.
42
43
44
Les relations dapprobation entre lensemble des domaines sont cres automatiquement
par le systme lors de leur cration. Par dfaut, elles sont bidirectionnelles.
Il existe un catalogue global pour tous les domaines ainsi quun catalogue par domaine
avec mcanismes de rplication de certains objets.
Les policies du domaines entreprise.com sappliquent implicitement aux domaines SCADA1.
entreprise.com et SCADA2.entreprise.com
Lutilisateur dun domaine peut accder aux autres domaines ds quil est authentifi sur
lun deux.
La compromission dun domaine compromet tous les autres. Exemple : la prise de contrle
de lutilisateur Admin_SCADA1 permet dexcuter des taches dadministration dans les
autres domaines.
La cyberscurit des systmes industriels - Cas pratique
45
Les relations dapprobation sont dclares manuellement par les administrateurs des
domaines. Elles peuvent tre unidirectionnelles ou bidirectionnelles.
Il existe un catalogue global indpendant par domaine.
Les policies du domaine entreprise.com ne sappliquent pas aux domaines SCADA1 et
SCADA2.
Lutilisateur dun domaine naccde aux autres domaines que si des droits lui sont explicitement
accords dans les autres domaines.
La compromission dun domaine se limite ce domaine.
ATTENTION : si lutilisateur admin_entreprise est dclar comme membre des groupes
dadministration dans les domaines SCADA, sa compromission entraine la compromission
des domaines SCADA.
46
THMES ABORDS
Connexions rseau SCADA rseau bureautique : p11, p28 et p37
Mdias amovibles : p12, p31 et p41
Sensibilisation des intervenants : p12
Conception et programmation : p12
Logins gnriques : p13
Postes isols : p13
Ecrans tactiles : p14
Traabilit : p14
Mots de passe : p15, p17 et p43
Systmes propritaires : p14 et p32
Protection physique : p15 et p17
Tlmaintenance : p15 et p24
Services Web : p16
Mises jour et antivirus : p16 et p31
Surveillance rseau : p17
Interventions de maintenance : p17
Console de programmation et protection des automates : p17
Wifi : p23
Echange de donnes entre applications SCADA GPAO : p24
OPC : p27, p28 et p32
Cloisonnement des rseaux : p22, p27
Ce guide sur la cyberscurit des systmes industriels a t ralis par lagence nationale de
la scurit des systmes dinformation (ANSSI)
+ logo Naxitis
propos de lANSSI
LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre le 7 juillet
2009 sous la forme dun service comptence nationale.
En vertu du dcret n2009-834 du 7 juillet 2009 modifi par le dcret n2011-170 du 11
fvrier 2011, lagence assure la mission dautorit nationale en matire de dfense et de
scurit des systmes dinformation. Elle est rattache au Secrtaire gnral de la dfense et
de la scurit nationale, sous lautorit du Premier ministre.
Pour en savoir plus sur lANSSI et ses missions, rendez-vous sur www.ssi.gouv.fr.