Académique Documents
Professionnel Documents
Culture Documents
Avertissement
Ce document est une tude de cas visant illustrer les deux
guides [SCADA-MTD, SCADA-MSR] publis par lANSSI en janvier 2014.
En particulier, il ne sagit pas dun document de bonnes pratiques ou de
.
recommandations pour les systmes industriels
des tunnels routiers.
Bien que les auteurs se soient attachs rendre cette tude la plus raliste
possible, certaines liberts ont t prises des fins pdagogiques par rapport
aux systmes rellement rencontrs dans les tunnels routiers.
Synthse
.
2 Contexte
10
10
13
14
3 Scnarios de menace
19
20
21
21
26
3.2.3 Vulnrabilits
28
31
31
32
32
32
4 Classication
35
4.1 chelles
36
38
38
45
46
49
50
52
52
5.2.2 Audits
52
53
53
53
54
54
56
57
Chapitre 1
.
Introduction
Le prsent document est issu des rflexions du groupe de travail sur la cyberscurit des systmes industriels pilot par lagence nationale de la scurit des systmes dinformation (ANSSI). Lobjectif des travaux de ce groupe, constitu dacteurs
du domaine des systmes automatiss de contrle des procds industriels et de
spcialistes de la scurit des systmes dinformation (SSI), est de proposer un ensemble de mesures pour amliorer le niveau de cyberscurit des systmes industriels. Les premiers travaux mens ont permis la publication en janvier 2014 de deux
guides [SCADA-MTD, SCADA-MSR] qui visent proposer une mthode de classification des systmes industriels et un ensemble de mesures pour apporter un niveau
de scurit adquat en fonction de la criticit de ces systmes.
Le but du prsent document est dillustrer la mthode de classification dcrite dans le
guide [SCADA-MTD], en lappliquant au cadre de la scurisation dun tunnel routier.
Il sagit de la premire partie de cette tude de cas, qui en contient deux.
En accord avec lobjectif affich par le groupe de travail, cette analyse porte exclusivement sur les aspects de cyberscurit, et certains liens qui peuvent tre fait avec
la sret de fonctionnement, mais cette dernire est suppose traite par ailleurs.
Dans le dtail, le chapitre 2 prsente les hypothses de ltude de cas avec une
description de louvrage et des diffrents acteurs conomiques impliqus.
Le chapitre 3 numre de manire approfondie les diffrentes menaces qui psent
sur les systmes industriels dans ce type de contexte et les rapprochements quil est
possible de faire entre les analyses de risque menes au titre de la sret de fonctionnement et de la cyberscurit.
Le chapitre 4 dcrit le raisonnement complet menant la classification des fonctions.
La dmarche sappuie sur des chelles dfinies par loprateur et sur les rsultats de
lanalyse de risque de sret de fonctionnement. Les relations entre les diffrentes
fonctions portes par les systmes industriels du tunnel sont galement analyses en
dtail.
Le chapitre 5 dcrit quant lui les regroupements qui peuvent tre envisags entre
classes pour faciliter la mise en uvre et lexploitation du systme dinformation con-
Chapitre 2
.
Contexte
Ltude de cas porte sur la scurisation du systme dinformation industriel dun tunnel
routier fictif situ sous le mont Aigoual, sur la route reliant Meyrueis Notre Dame
de la Rouvire. Il sagit dun ouvrage neuf dans lequel des quipements de dernire
gnration pourront tre dploys suivant les besoins. Il ny a donc pas de gestion
de lexistant ou de plan de migration envisager.
2.2
2.3
Pour commencer cette tude, il convient de raliser un inventaire des diffrentes fonctions mises en place dans le cadre du systme industriel daide lexploitation du
tunnel.
2. Cette fonction recouvre notamment les systmes de type TOTEM ainsi que les chevrons dynamiques tels que dfinis dans le document du CETU sur lauto-vacuation des usagers [CETU-EVAC].
Elle ninclue pas les panneaux lumineux rglementaires dont lalimentation est permanente.
3. Tunnello a retenu pour la ventilation et le dsenfumage une stratgie transversale, en accord
avec la catgorie du tunnel [CETU-VENT]. Il dcide de plus dutiliser une extraction concentre.
4. Notamment les tlmesures, les tlsignalisations ou les tlalarmes.
5. Les automates programmables industriels (API) assurent la partie commande automatise du
systme industriel. Voir lannexe A.3 de la seconde partie de ltude pour plus de prcision.
Fonctions
Indication des
sorties de secours
Ventilation
Signalisation
Appel durgence
Dtection vhicules
hors gabarit
Vido-surveillance
Dtection incendie
Contrle de la
qualit de lair
Alimentation et
distribution
lectrique
Supervision
Composants
Automate
Disjoncteurs et interrupteurs
Capteurs dtat
Automate
Moteurs des ventilateurs 6
Capteurs de vitesse de rotation
Capteurs anmomtriques
Trappes dextraction tlcommandes
Station mto extrieure pour la gestion des contrepressions
Automate
Signaux lumineux daffectation de voies
Signaux lumineux de dviation pour vhicules hors gabarit
Panneaux message variable
Barrires daccs motorises
Capteurs dtat
Bornes tlphoniques
Systme de gestion des communications
Enregistreur
Automate
Capteurs de gabarit
Systme de gestion de la vido-surveillance
Camras
Enregistreur
Centrale de dtection incendie (automate ddi)
Dtecteurs de fume
Fibro-laser
Automate
Opacimtres
Dtecteurs monoxyde de carbone et dazote.
Automate
Disjoncteurs et interrupteurs
Centrale de mesure
Capteurs dtat
Serveurs du systme de supervision
Poste de supervision
Console de vido-surveillance
2.4
Dpendances fonctionnelles
En cherchant les relations entre les fonctions, mais sans prendre en compte larchitecture physique, il est possible de dgager les dpendances suivantes :
Fonctions
Indication des
sorties de secours
Ventilation
Signalisation
Appel durgence
Dtection vhicules
hors gabarit
Vido-surveillance
Dtection incendie
Contrle de la
qualit de lair
Alimentation et
distribution
lectrique
Supervision
Dpendances
Ordres mis par la dtection incendie
Remontes de donnes vers la supervision
Ordres mis par la supervision
Ordres mis par la Dtection incendie
Remontes de donnes vers la supervision
Ordres mis par la supervision
Ordres mis par la Centrale incendie
Ordres mis par la Dtection de vhicules hors gabarit
Remontes de donnes vers la supervision
Remontes des communications vers loprateur tlphonique
Remontes de donnes vers la supervision
Remontes de donnes vers la supervision
Ordres envoys vers la signalisation
Ordres mis par la supervision
Remontes de donnes de tlmesure vers la supervision
Remontes dimages vers la supervision
Remontes de donnes vers la supervision
Ordres envoys vers lIndication des sorties de secours, la
Ventilation, la Signalisation.
Remontes de donnes vers la supervision
Ordres envoys vers la ventilation
Ordres mis par la supervision
Remontes de donnes vers la supervision
Ordres de pilotage manuel mis vers lensemble des fonctions
Remontes de donnes depuis lensemble des fonctions
Remontes des images de vido-surveillance
6. La boucle dasservissement entre le moteur et ses capteurs de vitesse est gnralement ralise
par un variateur de vitesse qui en pratique est linterlocuteur de lAPI pour les ordres comme pour
les remontes de donnes. La fonction utilise galement des capteurs anmomtriques pour mesurer
lefficacit relle de la ventilation.
Les relations entre les fonctions peuvent se rsumer ceux de la figure 2.2. Ce dernier
fait apparatre les deux sous-fonctions de la surpervision, savoir le pilotage et la
visualisation la seule fin de lisibilit du schma. Cela ne prsume en rien, ce
stade, dune segmentation de ces deux sous-fonctions par lemploi dquipements
distincts.
2.5
Au del des fonctions numres dans le paragraphe prcdent, la figure 2.3 fait
apparatre les diffrents composants logiques (modules applicatifs) qui interviennent
selon les localisations (zones) gographiques : les PCC, le tunnel et les diffrents
rseaux qui les relient.
Larchitecture prsente dans la figure 2.4 est issue de lanalyse de sret de fonctionnement, avant prise en compte de la cyberscurit. Elle prsente ainsi le primtre
du systme industriel tel quil serait dploy sans prise en compte de la cyberscurit.
Elle met en avant :
les composants et leur localisation gographique ;
les liaisons entre ces composants.
On retrouve tous les composants prsents au niveau des PCC :
les serveurs du systme de supervision industrielle en redondance pour assurer
la disponibilit des applications ;
de travail est un poste fixe prsent dans le PCC. partir de ce poste de travail, les
fonctions suivantes sont assures :
la supervision : il sagit de permettre lexploitant de surveiller lactivit du
tunnel et le cas chant de piloter certains quipements par exemple en modifiant certaines valeurs de consigne ;
ladministration et la maintenance de la solution de supervision : il sagit
de linstallation, du paramtrage et de la configuration du ou des logiciel(s)
ncessaires la supervision du tunnel ;
ladministration et la maintenance des quipements industriels : il sagit de
linstallation matrielle et logicielle, de la mise jour des composants prsents
dans le tunnel et du support informatique par lintgrateur.
La fonction de supervision est assure par Tunnello qui exploite le tunnel. Dans la suite
de cette tude, les termes dadministrateur mtier, dexploitant, et galement, par
Chapitre 3
.
Scnarios de menace
Bien que cette analyse ne soit pas une vritable analyse de risque, un panorama de la
menace reste un pr-requis toute tude de mise en place de mesures de protection,
afin de sassurer du bien fond de celles-ci.
Pour raliser ce panorama, il est bon de se rappeler que cette analyse nest pas faite
de faon isole. Un dossier de scurit a en effet t constitu pour louverture du
tunnel en exploitation, dossier pour lequel une tude de sret de fonctionnement a
t faite 1 . Bien que cette dernire ne soit pas suffisante pour mener directement les
travaux de renforcement de la cyberscurit, elle constitue une base de dpart quil
ne faut pas sous-estimer.
Il est rappel que les missions du tunnel sont :
permettre le transit de vhicules de lentre la sortie du tunnel ;
assurer la scurit des usagers et du personnel en fonctionnement nominal ;
assurer la scurit des usagers et du personnel en cas dincendie ou de prsence
de gaz.
De mme, on rapellera les dfinitions suivantes pour viter tout malentendu 2 :
La cyberscurit , ou scurit des systmes dinformation, traite de la protection
en disponibilit, intgrit ou confidentialit des donnes stockes, traites ou
transmises.
La sret de fonctionnement vise sassurer que le systme industriel est apte
accomplir des fonctions dans des conditions dfinies. La sret de fonctionnement traite en particulier les proprits de fiabilit, maintenabilit, disponibilite et scurit (FMDS). La scurit est entendu ici au sens des biens et des
personnes.
1. Les deux tudes peuvent aussi tre menes simultanment en fonction de la maturit des intervenants.
2. Voir le glossaire de la mthode de classification [SCADA-MTD] pour les dfinitions compltes
de ces deux notions telles que retenues pour la prsente tude de cas.
La mauvaise localisation de lincendie peut dclencher une ventilation localise inadapte. De ce fait, le courant dair cr attise le feu au lieu de le
contenir. De plus, les fumes saccumulent en quantit trop importante
certains endroits et ralentissent lvacuation et lintervention des secours.
Traitement dune information Incendie en absence dincendie
Le dclenchement intempestif dune alerte incendie peut mobiliser inutilement des moyens et des personnels.
Lindisponibilit du tunnel se prolongera au del de la leve de doute,
afin de prendre en compte les ractions potentiellement incontrles des
usagers ainsi que le retour de ceux ayant quitt leur vhicules.
3.2
Les lments dcrits dans la section prcdente, ainsi que ceux en provenance du
travail quivalent sur les autres groupes dvnements redouts (prsence de gaz
par exemple) permettent dinitier le panorama des menaces potentielles sur le systme industriel, avec les listes des vnements redouts, des vulnrabilits ainsi que
des impacts. Ces listes sont ensuite compltes par une rflexion plus axe sur les
spcificits de la cyberscurit.
Au niveau du tunnel
Scnarios de menace
Accs non autoris au poste de travail.
Compromission du poste de travail.
Accs non autoris au serveur de supervision.
Compromission du serveur de supervision.
Accs non autoris au rseau du PCC.
Accs non autoris aux automates (API).
Accs non autoris aux rseaux de terrain.
Compromission des automates.
Compromission des consoles IHM 3 .
Compromission des capteurs / actionneurs.
Les impacts
La compromission des donnes de mtrologie a pour rsultat une vision fausse de
la ralit, que ce soit au niveau des oprateurs ou des automates.
Il peut ds lors en dcouler une absence de raction approprie, telle que labsence
de dclenchement du dsenfumage en cas dincendie, ou, linverse, des dcisions
inappropries telles que des dclenchements dalarmes intempestives. Loprateur
peut aussi croire quune raction automatique a bien eu lieu alors quil nen est rien.
Plus gnralement, lvnement peut sapparenter une perte de contrle distance
du tunnel par les oprateurs dautant plus grave quelle peut passer inaperue.
Lvnement peut galement engendrer une altration de la journalisation de ltat
du systme ou une diffusion de fausses vidos destination des crans de supervision
masquant des actions malveillantes.
Concernant cet vnement redout, les ordres reus par les quipements du systme
industriel ont t altrs par lattaquant. Ils ne correspondent donc plus ncessairement aux instructions donnes par les oprateurs.
Les scnarios de menace pouvant conduire cet vnement redout
Localisation
Au niveau du PCC
Au niveau du tunnel
Scnarios de menace
Accs non autoris au poste de travail.
Compromission du poste de travail.
Accs non autoris au serveur de supervision.
Compromission du serveur de supervision.
Accs non autoris au rseau du PCC.
Accs non autoris aux automates (API).
Compromission des automates.
Accs non autoris aux consoles IHM.
Compromission des consoles IHM.
Accs non autoris aux rseaux de terrain.
Accs non autoris aux capteurs / actionneurs.
Compromission des capteurs / actionneurs.
Les impacts
Les impacts dune modification des consignes de pilotage sont trs significatifs.
Les serveurs de supervision peuvent tre dans un tat instable, avec des arrts ou des
redmarrages intempestifs, ne permettant plus lexploitant dassurer ses fonctions
de pilotage de lactivit du tunnel de manire fiable.
Cet vnement est par ailleurs un facteur aggravant lorsquil intervient en mme
temps quune compromission des donnes de mtrologie. En effet, lexploitant ne
peut plus se fier ni aux informations quil reoit ni aux ordres quil met (se mettre
dans une position dattente scurise par exemple). Labsence de tout contrle par la
supervision peut perturber srieusement le fonctionnement des installations.
Localisation
Au niveau du PCC
Au niveau du tunnel
Scnarios de menace
Non-applicable.
Accs non autoris aux automates (API).
Compromission des automates.
Accs non autoris au poste de maintenance.
Compromission du poste de maintenance.
Utilisation du poste de maintenance comme pont de
connexion.
Perte ou vol du poste de maintenance.
Les impacts
Du fait de leur criticit, la modification des donnes stockes au sein de lautomate
est lvnement redout dont les impacts sont les plus importants.
Il nest en effet plus possible davoir confiance dans le bon fonctionnement de lautomate, notamment dans la cohrence des dcisions quil peut tre amen prendre
en raction aux informations qui lui parviennent ou dans sa capacit maintenir les
installations dans un tat stable et prdictible.
De plus, il est possible pour lattaquant de mettre en place des actions pr-programmes, se dclenchant sans lien avec la situation relle ou en les dissimulant de la
supervision par les oprateurs.
Laltration des donnes des automates peut aussi rendre les installations totalement
inoprantes ou incontrlables.
Enfin, il est frquent que les programmes au sein des automates comprennent des
limites admissibles dans les valeurs transmises aux actionneurs pour en garantir le
bon fonctionnement. Une altration de ces limitations peut entraner des actions en
dehors des zones de sret (exemple dun moteur tournant sensiblement plus vite
que ce que peut supporter ses fixations, ce qui peut entraner une destruction des
installations de ventilation).
Localisation
Au niveau du PCC
Au niveau du tunnel
Scnarios de menace
Accs non autoris au serveur de supervision.
Compromission du serveur de supervision.
Accs non autoris aux automates (API).
Compromission des automates.
Les impacts
La principale consquence dune altration des donnes dhistorique est de ne potentiellement plus tre en capacit de rpondre aux obligations de traabilit.
Si les missions du tunnel ne sont pas directement remises en cause, cette absence
dhistorique remet en cause la confiance que lon peut accorder lintgrit des
diffrents lments du systme informatique industriel. Il est ds lors difficile de reprer
les lments prcurseurs des vnements redouts ci-dessus, et toute investigation est
rendue impossible.
Au niveau du tunnel
Scnarios de menace
Accs non autoris au serveur de supervision.
Compromission du serveur de supervision.
Accs non autoris au rseau du PCC.
Accs non autoris aux rseaux de terrain.
Accs non autoris aux automates (API).
Compromission des automates.
Compromission des consoles IHM.
Accs non autoris aux capteurs / actionneurs.
Compromission des capteurs / actionneurs.
Accs non autoris au poste de maintenance.
Compromission du poste de maintenance.
Utilisation du poste de maintenance comme pont de
connexion.
Perte ou vol du poste de maintenance.
Les impacts
Les impacts de cet vnement redout sont relativement proche des deux premiers,
savoir laltration des donnes de mtrologie et celle des consignes de pilotage.
Compromission du poste
de travail
Compromission
du
serveur de supervision
Vulnrabilit
Pas de verrouillage systmatique de la session.
Pas de protection des identifiants et des mots de passe.
Faiblesse des mots de passe.
Faiblesse de la configuration.
Vulnrabilit du systme dexploitation.
Absence de vrification de linnocuit des supports
amovibles.
Navigation Internet et messagerie. 4
Utilisation inapproprie du poste de travail.
Application dune mise jour compromise.
Pas de verrouillage systmatique de la session.
Pas de protection des identifiants et des mots de passe.
Faiblesse des mots de passe.
Faiblesse de la configuration.
Accs depuis un poste de travail compromis.
Vulnrabilit du systme dexploitation.
Envoi de trames forges.
Application dune mise jour compromise.
Absence de vrification de linnocuit des supports
amovibles.
Accs direct Internet.
Vulnrabilit des quipements rseau.
Faiblesse du cloisonnement MPLS.
Accs physique aux quipements rseau.
Le tableau suivant liste les scnarios de menace possibles dans le tunnel. Le dtail
des vulnrabilits sera prcis dans la section 3.2.3.
4. Lorsque ces fonctions sont strictement ncessaires pour le poste en question. Dans le cas contraire, ils sont inclus dans les usages inappropris du poste.
Scnario de menace
Accs non autoris aux
rseaux de terrain
Accs non autoris aux
automates (API)
Vulnrabilit
Accs physique aux quipements rseau.
Accs physique au cblage rseau.
Vulnrabilit des quipements rseau.
Utilisation dun compte par dfaut.
Pas de verrouillage systmatique de la session.
Pas de protection des identifiants et des mots de passe.
Faiblesse des mots de passe.
Faiblesse de la configuration.
Vulnrabilit des automates.
Envois de trames forges.
Accs depuis un poste compromis.
Mise jour diffuse par le constructeur ou lintgrateur
et comportant des erreurs.
Mise jour compromise diffuse par un attaquant se
faisant passer pour lintgrateur.
Mise jour compromise diffuse par un attaquant ayant
accs au rseau.
Mise jour compromise diffuse suite la compromission du poste de maintenance.
Utilisation dun compte par dfaut.
Pas de verrouillage systmatique de la session.
Pas de protection des identifiants et des mots de passe.
Faiblesse des mots de passe. 5
Vulnrabilit du programme des consoles IHM.
Envoi de trames forges.
Mise jour diffuse par le constructeur ou lintgrateur
et comportant des erreurs.
Mise jour compromise diffuse par un attaquant se
faisant passer pour lintgrateur.
Mise jour compromise diffuse par un attaquant ayant
accs au rseau.
Mise jour compromise diffuse suite la compromission du poste de maintenance.
Pas de protection des identifiants et des mots de passe. 6
Vulnrabilit des automates.
Envoi de trames forges.
Accs physique.
Scnario de menace
Compromission des capteurs / actionneurs
Compromission du poste
de maintenance
Utilisation du poste de
maintenance
comme
pont de connexion
Perte ou vol du poste de
maintenance
Vulnrabilit
Mise jour diffuse par le constructeur ou lintgrateur
et comportant des erreurs.
Mise jour compromise diffuse par un attaquant se
faisant passer pour lintgrateur.
Mise jour compromise diffuse par un attaquant ayant
accs au rseau.
Mise jour compromise diffuse suite la compromission du poste de maintenance.
Pas de verrouillage systmatique de la session.
Pas de protection des identifiants et des mots de passe.
Faiblesse des mots de passe.
Vulnrabilit du systme dexploitation.
Absence de vrification de linnocuit des supports
amovibles.
Vrification antivirale insuffisante sur la messagerie.
Navigation internet.
Utilisation inapproprie du poste de travail.
Faiblesse de la configuration.
Application dune mise jour compromise.
Double connexion (par exemple, utilisation dune cl
3G tout en tant connect aux installations du tunnel).
Une mauvaise configuration peut rendre les installations du tunnel directement accessibles depuis Internet.
Ngligence.
Agression.
Acte volontaire de lexploitant ou de lintgrateur.
3.2.3 Vulnrabilits
Le tableau ci-dessous liste les vulnrabilits pouvant men un accs non-autoris.
Vulnrabilit
Pas de verrouillage systmatique de la session
Description
Un utilisateur exploitant ou intgrateur a laiss sa session ouverte. De manire similaire, il ny a pas de fermeture automatique de session aprs un laps de temps,
laissant la possibilit quiconque dutiliser la session.
6. La complexit du mot de passe doit tre adapte la sensibilit du systme industriel, tout en
prenant en compte lenvironnement et lutilisabilit de ce type de console.
Vulnrabilit
Pas de protection des
identifiants et des mots de
passe
Faiblesse de la configuration.
Vulnrabilit du systme
dexploitation
Description
Ces informations utilisateur sont, par exemple, inscrites
sur un tableau ou un cahier ou tout autre support accessible par une personne non autorise. De manire
similaire, les lments dauthentification des utilisateurs
ne sont pas stocks de manire scurise.
La politique de gestion du mot de passe nest pas assez forte pour imposer des mots de passe dont la complexit est suffisante.
Les protocoles utiliss ne permettent pas de protection des changes, que ce soit en confidentialit ou
en intgrit, permettant une interception ou une modification des flux. Cela peut concerner par exemple les
changes entre serveur de supervision et poste de travail, ou entre PCC principal et secondaire.
La configuration du poste ou de lquipement ne correspond pas aux bonnes pratiques (absence de pare-feu
local, poste en AutoLogin ) et rend de fait le poste
inutilement sensible aux attaques.
Une vulnrabilit peut tre dcouverte au niveau du
systme dexploitation donnant la possibilit un attaquant daccder et de compromettre le systme de
supervision.
La probabilit dune perte ou dun vol est sensiblement
plus importante pour un poste de travail nomade que
pour un ordinateur de bureau. Ce point est par ailleurs
aggrav lorsque le poste est partag et nest pas affect un lieu ou une personne : il est en effet possible
que la disparition du poste passe inaperue, laissant un
temps plus important lattaquant pour rcuprer les
donnes sensibles ou les accs pr-configurs certains quipements quil pourrait contenir.
Les constructeurs et diteurs peuvent mettre en place un
ou plusieurs comptes par dfaut pour faciliter la prise en
main, laissant quiconque ayant la documentation un
accs avec les autorisations accordes ces comptes.
Vulnrabilit
Accs depuis un poste
compromis
Accs physique
quipements
aux
Description
Un utilisateur na pas conscience que son poste a t
compromis et accde un autre quipement (serveur
de supervision, API, etc.). Lattaquant lorigine de la
compromission peut rcuprer les identifiants et mots
de passe utiliss ou profiter de la connexion tablie.
Labsence de limitation dans laccs physique aux
quipements (postes de travail, capteurs, actionneurs,
etc.) laisse la possibilit nimporte qui dy apporter
des modifications (pigeage, modification de la configuration, etc.).
Labsence de limitation dans laccs physique aux
quipements rseaux du PCC ou du tunnel la possibilit
nimporte qui de modifier les connexions existantes ou
de connecter un quipement extrieur.
Description
En labsence de restriction sur lusage des supports
amovibles, un utilisateur peut involontairement importer puis transporter un maliciel dun poste un
autre.
Outre les supports amovibles classiques, limport et la
transmission peuvent aussi se faire via un tlphone
quil connecte sur le port USB de son poste pour le
recharger.
Utilisation inapproprie
du poste de travail
Vulnrabilit
Manque de vrification
des mises jour
3.3
Description
Un utilisateur rcupre une mise jour et la dploie
sur lquipement concern. Labsence de vrification ne
permet pas de sassurer que la mise jour correspond
bien celle diffuse par le constructeur ou lintgrateur.
Un utilisateur na pas conscience que son poste a t
compromis et accde un autre quipement (serveur
de supervision, API, etc.). La connexion est alors utilise
pour propager le maliciel lorigine de la compromission.
Dans le cadre dune action de communication, lentreprise dcrit avec trop de prcision les quipements et
leur mise en uvre. Lattaquant na plus qu sinformer
sur les vulnrabilits des quipements en question pour
mener son attaque.
3.4
Chapitre 4
.
Classification
Daprs la mthodologie formalise par le groupe de travail, il convient, une fois la
liste des fonctions principales tablie (cf. la section 2.3), de raliser la classification
de ces dernires suivant leur besoin en termes de cyberscurit.
Il est rappel que pour les systmes industriels la mthode propose trois classes
numrotes de 1 3, par ordre croissant de criticit, dont les couvertures sont :
Classe 1 : le risque et limpact dune attaque sont faibles ;
Classe 2 : le risque ou limpact dune attaque est significatif ;
Classe 3 : le risque ou limpact dune attaque est critique.
La classification est ralise en fonction de la vraisemblance et de limpact dune
attaque.
Limpact dune attaque est mesur suivant des chelles qui peuvent tre suivant les cas
normaliss ou propres lentreprise, suivant son niveau de rsilience et les risques
quelle estime acceptable. Ces chelles sont gnralement valides par la direction
en amont des analyses de risques et valables pour lensemble des projets. La section
4.1 prsente les chelles retenues par Tunnello.
La vraisemblance quant- elle repose sur les critres suivants :
E lexposition, qui reflte les niveaux de fonctionnalit et de connectivit ;
A le niveau de lattaquant ;
I le niveau daccessibilit du systme industriel par les intervenants.
La vraisemblance sobtient alors avec la formule suivante :
A+I 2
V =E+
2
4.1 chelles
Au vu de ses obligations et de ses besoins, la socit Tunnello a arrt une chelle de
gravit de 1 5, reposant sur les chelles dimpact telles quindiques ci-dessous :
Impacts
humains
Impacts
nanciers
Niveau
Qualicatif
Insignifiant
Mineur
3
4
5
Modr
Majeur
Catastrophique
Niveau
Qualicatif
Insignifiant
Mineur
Modr
Majeur
Catastrophique
Description
des
consquences
Accident dclar sans arrt ni
traitement mdical.
Accident dclar avec arrt ou
traitement mdical.
Invalidit permanente.
Un dcs.
Plusieurs dcs.
Description
des
consquences
Accident nentranant aucun
travail de remise en tat
Accident
entranant
des
travaux de remise en tat
limits
Dtrioration majeure du tunnel dont la remise en tat
reprsente plus de 5% du prix
de construction du tunnel
Dtrioration majeure du tunnel dont la remise en tat
reprsente plus de 15% du prix
de construction du tunnel
Dtrioration majeure du tunnel dont la remise en tat
reprsente plus de 40% du prix
de construction du tunnel
Niveau
Qualicatif
Insignifiant
Mineur
Modr
Majeur
Catastrophique
Impacts
en
disponibilit
Description
des
consquences
Accident entranant une perturbation sur un seul sens de
circulation
Accident provoquant la fermeture dun sens de circulation ou perturbant les deux
sens de circulation (circulation
alterne par exemple) pendant plusieurs heures
Dtrioration mineure du
tunnel reprsentant plusieurs
jours dindisponibilit pour
rparation
Dtrioration majeure du tunnel reprsentant plus dun
mois dindisponibilit pour rparation
Dtrioration majeure du tunnel reprsentant plus de 6
mois dindisponibilit pour rparation
Il est noter que pour simplifier son tude, Tunnello a dcid dinclure les impacts
juridiques et dimage, au sein de limpact financier qui couvre galement les pertes
dexploitation : du fait de son activit, ces derniers se prsenteront surtout sous la
forme de dommages et intrts ou de perte dactivit.
Tunnello estime galement que les impacts en disponibilit de niveau mineur et modr ne sappliquent quen cas dimpact sur les priodes de pointe (priode de fort
transit durant les vacances scolaires), le contournement par la route historique (qui
reprsente une augmentation de trajet de 30 minutes) tant jug acceptable le reste
de lanne.
Tunnello a par ailleurs dcid de prendre les mmes chelles dfinissant les niveaux
de vraisemblance, dattaquant et dintervenant que celles donnes en exemple dans
le guide [SCADA-MTD], celles-ci tant juges adaptes la situation.
4.2
Hypothses de ltude
4.3
Cette analyse sappuie en grande partie sur lanalyse des risques et des menaces
prsente dans le chapitre 3. Dans un premier temps, elle est mene sur les fonctions isoles, cest--dire sans prendre en compte les dpendances dcrites dans la
section 2.4, qui seront prises en compte par la suite.
Dtection incendie
La dtection incendie est une fonction de sret de fonctionnement particulirement
critique puisquelle est charge de dclencher certaines actions rflexes et de lever
des alertes sur incident destination du poste de contrle/commande.
Lanalyse donne ainsi une fonctionnalit de 2 et une connectivit de 4. tant donnes
les hypothses sur les intervenants et les attaquants, on en dduit une exposition de
4, et une vraisemblance de 6.
Lanalyse AMDEC de la fonction (section 3.1) permet par ailleurs Tunnello de quantifier limpact dun ventuel dysfonctionnement de la fonction un niveau catastrophique (5).
On obtient ainsi une fonction de classe 3.
Ventilation
La ventilation du tunnel est une fonction vitale tant en mode nominal que suite
un incident. Il sagit en effet, dans le premier cas, dviter laccumulation de gaz
dchappement (toxiques pour les personnes) et, dans le deuxime cas, dvacuer
les fumes (mais sans attiser les flammes dun incendie).
La ventilation fonctionne donc la fois en mode rflexe et sur pilotage du poste de
contrle/commande, qui la supervise.
Signalisation
Cette fonction correspond la fois aux panneaux message variable et aux divers
signaux (signaux lumineux daffectation de voies, barrires daccs motorises, etc.)
qui peuvent tre utiliss dans le tunnel. Ces signaux sont essentiellement pilots par
le poste de contrle/commande.
Lanalyse donne donc une fonctionnalit de 2 et une connectivit de 4. tant donnes
les hypothses sur les intervenants et les attaquants, on en dduit une exposition de
4, et une vraisemblance de 6.
Leur dysfonctionnement peut entraner un accident mais les conducteurs devant rester
matres de leurs vhicules, limpact est considr comme modr (3).
On obtient ainsi une fonction de classe 2.
Vido-surveillance
La vido-surveillance permet aux oprateurs du poste de contrle/commande de
suivre ltat du trafic laide de camras situes lintrieur du tunnel.
Lanalyse donne donc une fonctionnalit de 2 et une connectivit de 4. tant donnes
les hypothses sur les intervenants et les attaquants, on en dduit une exposition de
4, et une vraisemblance de 6.
La vido-surveillance tant essentiellement utilise comme une aide lexploitation
du tunnel en complment des autres fonctions, un dysfonctionnement est considr
comme ayant un impact de 1.
On obtient ainsi une fonction de classe 1.
4.4
4.5
Classication nale
Fonctions
Vido surveillance
Rseau dappel durgence
Dtection des vhicules hors gabarit
Signalisation
Alimentation et distribution lectrique
Indication des sorties de secours
Ventilation
Dtection incendie
Contrle de la qualit de lair
Chapitre 5
.
Tout C3
C1+C2, C3
C1, C2+C3
Commentaires
Ce regroupement correspond une application directe de
la classification issue du chapitre prcdent. Les mesures
sont ainsi appliques en segmentant larchitecture par
classe, pour nappliquer que les mesures ncessaires
chaque classe.
Ce cas est par la suite not C1, C2, C3
A linverse du regroupement prcdent, le systme dinformation est considr dans sa globalit, sans prendre en
compte la classification des fonctions. Les rgles sont ainsi
sur une architecture ne comportant pas de segmentation
lie aux classes. Les rgles applicables sont alors celles de
la classe la plus leve prsente dans le systme, soit la
classe 3 dans le cas prsent.
Ce cas est par la suite not tout C3
Le but est de drouler lensemble des rgles sur une architecture intermdiaire, regroupant deux des trois classes.
Elle regroupe donc C1 et C2 dun cot, C3 de lautre.
Ce cas est par la suite not C1+C2, C3
Comme prcdemment, le but est de drouler lensemble des rgles sur une autre architecture intermdiaire,
regroupant deux des trois classes. Cette configuration regroupe ainsi C2 et C3 dun cot et C1 de lautre.
Ce cas est par la suite not C1, C2+C3
5.2
5.2.2 Audits
Des audits sont ncessaires pour les diffrentes classes, comme cela sera prcis lors
de la dclinaison des diffrentes mesures. On peut toutefois noter que ces derniers
sont dautant plus importants que la classe concerne est leve.
De plus, un audit interne ralis par une quipe ddie ce type dactivit peut
savrer suffisant pour les infrastructures de classe 1, alors que lappel un prestataire
labellis est obligatoire pour les infrastructures de classe 3.
Maintenir la sparation lorsque cela est possible permet donc de fait de limiter les
impacts financiers et sur lexploitation, puisque les contraintes de la classe 3 ne sont
pas rpercutes sur les classes infrieures.
5.3
Choix de la conguration
Lanalyse des lments diffrenciants ci-dessus montrent que si regrouper des classes
pour rationnaliser les infrastructures peut prsenter quelques avantages tant dans
la conception que dans lexploitation de lensemble, cela prsente galement des
inconvnients.
Ainsi, le rflexe classique qui consisterait rassembler lensemble des quipements
dans une unique infrastructure de classe 3 permet effectifement de limiter le nombre
dquipements mais impose des contraintes importantes au niveau de lexploitation
des lments les moins sensibles : lobligation de ddier au site un ensemble complet
des outils de maintenance et de diagnostique pour le rseau dappel durgence ou
le suivi renforc des alertes pour cette fonction peuvent sembler sur-dimensionns.
De ce fait, Tunnello ne retient pas la configuration tout C3 .
Pour des raisons similaires, Tunnello met une prfrence pour la configuration C1,
C2+C3 la configuration C1+C2, C3 , car il lui parait un peu plus simple de
factoriser les procdures dans le premier cas que dans le second.
Lanalyse des figures 5.1 5.4 montre par ailleurs que les configurations tout C3
et C1, C2+C3 semblent, du point de vue des schmas de flux, plus simples que
les deux autres du fait de lindpendance des diffrents regroupements.
linverse, les configurations C1+C2, C3 et C1, C2, C3 font apparatre
un lien entre les deux rseaux de terrain C3 et C2 dans un sens. En effet, partir
de donnes collectes sur les capteurs du rseau de terrain C3 (notamment Dtection incendie et Contrle de la qualit de lair), certaines informations doivent tre
envoyes aux actionneurs du rseau de terrain C2 (signalisation).
Ces lments viennent donc conforter le fait dcarter la configuration C1+C2,
C3 au profit de la configuration C1, C2+C3 .
Enfin, la configuration C1, C2, C3 , qui prsente une infrastructure diffrente par
classe vite effectivement des contraintes inutiles mais prsente une architecture plus
couteuse et plus complexe maintenir en raison des deux rseaux de terrain.
Dans le cas particulier du tunnel, la sparation de C1 dun cot et C2+C3 de lautre
permet de limiter les contraintes sur les quipements de classe 2 tout en rduisant
la complexit technique et organisationnelle. Les contraintes supplmentaires appliques aux quipements de classe 2 sont relativement limites du fait de la nature
des fonctions de classe 2 et de la possibilit de mutualiser les fonctions de scurit
avec les quipements de classe 3.
Tunnello dcide donc de mettre en uvre la configuration C1, C2+C3 .
Bibliographie
.
Cette tude de cas sur la cyberscurit des systmes industriels a t ralise par
lAgence nationale de la scurit des systmes dinformation (ANSSI) avec le concours
des socits et organismes suivants :
CEA,
Schneider Electric,
Siemens,
RATP.
propos de lANSSI
LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre le
7 juillet 2009 sous la forme dun service comptence nationale.
En vertu du dcret n 2009-834 du 7 juillet 2009 modifi par le dcret n 2011-170
du 11 fvrier 2011, lagence assure la mission dautorit nationale en matire de
dfense et de scurit des systmes dinformation. Elle est rattache au Secrtaire
gnral de la dfense et de la scurit nationale, sous lautorit du Premier ministre.
Pour en savoir plus sur lANSSI et ses missions, rendez-vous sur www.ssi.gouv.fr.