Académique Documents
Professionnel Documents
Culture Documents
Guide Securite Industrielle Version Finale-2 PDF
Guide Securite Industrielle Version Finale-2 PDF
1 Le terme scurit dsigne ici la scurit des biens et des personnes. Certains domaines parlent alors de
sret.
2 Le syystme dinformation dentreprise regroupe lensemble des systmes dinformation dune entreprise,
cest dire les systmes dinformation de gestion (systmes dinformation destins aux services et applications de
bureautique, de gestion des ressources humaines, de relations clients ou encore de gestion intgre) et industriels.
Il existe un certain nombre de mythes relatifs aux systmes dinformation industriels. Les plus
communment admis sont examins ici.
Le mythe La ralit
Les systmes dinformation industriels sont souvent
connects aux rseaux de gestion et parfois
directement Internet.
Les cls USB et les consoles de maintenance sont par
Mes rseaux industriels sont isols, ailleurs des vecteurs majeurs de propagation de virus
je suis protg. y compris sur des systmes isols.
Les besoins croissants de remonte de donnes vers
le SI de gestion rend, terme, lisolation des rseaux
industriels utopique.
Mme les solutions propritaires comportent
des composants standards, pour des raisons
Jutilise des protocoles et bases dinteroprabilit (avec le systme dexploitation
de donnes propritaires, je suis par exemple) et de moindre cot. Les solutions
protg. propritaires sont suceptibles dtre vulnrables car
elles peuvent navoir fait lobjet daucune analyse de
scurit.
Lintgration des mcanismes Les performances des composants ne sont plus un
de scurit (chiffrement, filtrage, frein au dploiement de fonctions de scurit.
authentification) est incompatible
En revanche, les difficults existent pour les systmes
avec les contraintes de temps de
temps rel.
rponse exiges.
La SSI est incompatible avec la Au contraire la SSI et la SdF se rejoignent sur de
Sret de fonctionnement (SdF). nombreux points, voir 2.3.3
Ce principe est de moins en mois employ car
trs coteux. De plus des produits de constructeurs
Les mesures de SdF comme la diffrents sappuient parfois sur les mmes
redondance htrogne protgent technologies et intgrent parfois les mmes
des attaques en disponibilit. composants matriels et logiciels. Ils contiennent
donc dans ce cas des vulnrabilits identiques.
Les ngligences ne sont pas le fruit dactions volontaires et malveillantes, mais leurs effets
peuvent tre similaires ceux des attaques. Elles peuvent crer des vulnrabilits difficiles
dtecter, qui pourront tre exploites par des attaquants ou simplement affecter la disponibilit
des systmes.
Par exemple, la modification involontaire de rglages dasservissements, ou la modification
dune alarme peut avoir des consquences dsastreuses sur la qualit des produits, services
dlivrs, lenvironnement, la sant ou la scurit des personnes.
Lutilisation dune cl USB quelle soit personnelle ou non pour transfrer des donnes
entre des systmes industriels isols, peut mener une indisponibilit des systmes si cette cl
est porteuse de virus.
Dans ces deux cas trs concrets issus dexpriences vcues, les intervenants nont pas
eu la volont de nuire. Les impacts sur les installations ont t pourtant bien rels.
Ces ngligences peuvent avoir pour cause un manque de formation du personnel et
dinformation sur les enjeux.
3 Des packages dexploit sont officiellement commercialiss comme outils SSI dans le but de dtecter des
vulnrabilits lors daudits par exemple. Ces packages peuvent bien videment aussi tre utiliss par des personnes
malveillantes.
Les vulnrabilits peuvent tre dorigines multiples et lobjet de ce guide nest pas de les
rpertorier. Quelques exemples de vulnrabilits frquemment rencontres sur les installations
industrielles sont listes en annexe A. .
Les besoins croissants de consolidation des donnes de lentreprise, de leur accs en temps
rel depuis nimporte quel point de la plante, la rduction des cots de dveloppement et de
possession ainsi que les contraintes de planning ont prcipit la convergence du domaine de
linformatique industrielle et de linformatique de gestion.
Les rseaux Ethernet sont dsormais employs dans les systmes industriels jusque dans le
domaine des bus de terrain. Ils offrent de nouvelles fonctionnalits comme la mutualisation
des infrastructures rseau et la possibilit dutiliser les couches IP (pour la tlmaintenance
par exemple).
Les outils de dveloppement, de maintenance et tlmaintenance sont aujourdhui
entirement dvelopps sur des briques gnriques issues de linformatique de gestion
(plateforme .Net, Java par exemple).
La standardisation des systmes et les nouvelles fonctionnalits ont apport aux systmes
industriels les vulnrabilits du monde de linformatique de gestion. Les systmes dits
propritaires, souvent pauvres en mcanismes de scurit, ne sont pas pour autant labri de
vulnrabilits pouvant tre exploites par des attaquants motivs et organiss.
Alors que le monde de linformatique de gestion parvient corriger rgulirement les
vulnrabilits, notamment par lapplication de correctifs publis par les constructeurs et les
diteurs de logiciels, le monde industriel, de par ses contraintes de disponibilit et de
sret, ne peut pas adopter les mmes protections. Cette diffrence de ractivit face aux
vulnrabilits publiques est un des principaux risques des systmes dinformation industriels.
Le manque de formation des intervenants, les diffrences de cultures ou le manque de prise
de conscience des risques lis la SSI peuvent constituer une autre vulnrabilit majeure.
De nombreux incidents sur les systmes industriels surviennent chaque anne, mais peu sont
mdiatiss, comme lincident de centrale nuclaire au Royaume-Uni li Conficker, lincident
li au ver Slammer aux USA, ou en 2010 la propagation gnralise du ver Stuxnet4. Leurs
impacts peuvent tre analyss selon diffrents axes, prsents ci-dessous:
4 Stuxnet est un code malveillant visant les systmes industriels. Il exploite de multiples vulnrabilits prsentent
dans le systme dexploitation Microsoft Windows et le progiciel de SCADA WinCC de Siemens. Le code malveillant
modifie le programme excut par certains automates industriels de la gamme Simatic S7 de Siemens. Les modifications
ralises peuvent conduire au ralentissement de la production mais aussi la destruction physique des installations
pilotes par lautomate.
Lobjectif de la SSI est dtudier les vulnrabilits des systmes (matriel, logiciel, procdures,
aspects humains) afin de dployer des mesures pour les limiter et permettre dassurer la
continuit des fonctions mtier un niveau acceptable.
Souvent perue comme une contrainte, une SSI bien pense contribue au contraire
amliorer la robustesse des installations et la productivit des entreprises.
Comme lindique le Rfrentiel gnral de scurit (RGS)5, elle repose sur quatre piliers
indispensables au bon fonctionnement des systmes industriels:
la disponibilit : dans un contexte de forte productivit, la dgradation de la
disponibilit se traduit directement en perte financire et insatisfaction des clients (retards
de livraison, augmentation des cots de production, arrts de production) ;
lintgrit : son respect certifie que les produits et services fournis sont
conformes aux exigences des clients ou aux exigences rglementaires. Pour les
systmes instruments de scurit assurant la protection des biens et des personnes
(commandes darrt durgence par exemple), elle est mme imprative.
Lintgrit concerne lensemble des composants des systmes industriels: les programmes
des automates, des donnes changes entre les installations, les bases de donnes des
logiciels de SCADA par exemple ;
la confidentialit : elle est parfois minimise, mais une divulgation du patrimoine
informationnel de lentreprise peut avoir un impact bien rel sur ses profits et son avenir
(perte de clients). Les systmes industriels contiennent des paramtres et des donnes
sensibles comme des recettes de fabrication, des quantits de produits utiliss, des
plans dinstallations, des plans de maintenance, des programmes PLC ou encore des
listes dadresses dquipements. Ceux-ci peuvent tre exploits par des concurrents ou
des groupes malveillants pour diriger des attaques cibles ou simplement collecter des
donnes permettant de copier le savoir-faire de lentreprise ;
la traabilit : il sagit dune exigence rglementaire dans de nombreux secteurs
dactivit (agro-alimentaire, transport, nuclaire...). Limpossibilit dapporter la preuve de
la traabilit des oprations ralises, des matires utilises ainsi que de leur origine, et
le non-respect des exigences rglementaires peuvent conduire des poursuites judiciaires
pour lentreprise.
Une partie importante des incidents est lie une mconnaissance par les intervenants des
risques sur linstallation. Leur sensibilisation aux rgles dhygine informatique contribue
rduire les vulnrabilits et les opportunits dattaques6. La sensibilisation doit tre rgulire
car les risques voluent en permanence.
Il est illusoire de vouloir plaquer une dmarche scurit sur un SI industriel sans une
comprhension pralable du besoin mtier quil sert. Il est donc important de dterminer:
les objectifs mtier (production, distribution, protection des biens et des personnes)
et les services assurs; les impacts en cas dinterruption de service;
les fonctions indispensables latteinte des objectifs, et en particulier:
leurs niveaux dimplication et de criticit dans la ralisation des services,
systmes qui les portent,
si ces systmes sont centraliss, distribus, accessibles distance, etc. ;
Un inventaire des installations matrielles, des systmes et des applications critiques est
un pr-requis incontournable la mise en place de la scurit des SI dans les installations
industrielles. Cet inventaire est la premire tape de lanalyse des risques, qui permettra de
dfinir les diffrents niveaux de criticit, de sret, de disponibilit ou dintgrit attendues
pour les lments cartographis.
Tout projet doit en effet comprendre une analyse de risque afin didentifier les lments
sensibles du systme, leurs besoins et les objectifs de scurit face aux menaces retenues.
Ces objectifs sont alors dclins en exigences de scurit, qui porteront sur le systme lui-
mme (robustesse intrinsque), sur son environnement de conception, de construction et
dexploitation. Ces exigences sont ensuite traduites en mesures techniques, physiques, et
organisationnelles.
Clairement formalises dans une cible de scurit elles forment la rfrence scurit du
systme.
Les principes de lanalyse de risque en SSI ne diffrent pas de ceux de la sret de
fonctionnement mme si les terminologies employes peuvent ne pas tre identiques.
Il existe plusieurs mthodes danalyse de risque. LANSSI propose la mthode EBIOS7.
Les conclusions de lanalyse de risque aboutissent la dfinition des mesures de scurit
adquates, dont les efforts sont proportionns aux enjeux et adapts aux besoins rels. Celles-
ci peuvent tre techniques mais aussi organisationnelles.
Dtecter un incident est une action majeure dont limportance est souvent sous-estime.
Dans un environnement industriel, il peut tre complexe, voire impossible, de dployer
certaines barrires de protection sans impacter les fonctions mtier. Les contre-mesures
devraient inclure des mcanismes de dtection et de surveillance des installations. Leur
fonctionnement est transparent et ainsi ne perturbe pas les fonctions mtier.
Ces mesures nempcheront pas un incident mais permettront de le dtecter et den
limiter autant que possible les effets.
Plus un incident sera dtect tt, plus il sera possible de mettre en place des mesures pour en
rduire et confiner les effets comme par exemple:
isoler physiquement les installations en cas dattaque virale pour limiter les risques de
propagation;
arrter une installation avant sa dgradation si des donnes de configuration ne sont
La SSI ne se traite pas dans lurgence, de faon ponctuelle ou isole. Il sagit dune dmarche
qui se planifie et qui demande la participation de ressources et comptences multiples ainsi
quun engagement fort au plus au niveau de la hirarchie.
Fixer des objectifs adapts aux enjeux, dfinir une stratgie, sensibiliser et former les personnels
sont autant de tches qui incombent la direction. La dmarche peut tre progressive,
ralise en plusieurs phases dans le temps en adressant les lments du plus simple au plus
complexe, du plus vident ou moins vident mais elle doit tre globale. Elle peut sappuyer
sur les standards de la scurit des systmes dinformation existants, en prenant en compte les
contraintes spcifiques aux systmes industriels.
Les systmes dinformation industriels doivent tre intgrs dans les politiques de scurit des
systmes dinformation de lentreprise, comme tout autre systme dinformation et ceci, ds
lorigine du projet. Les problmatiques de scurit ne sont pas spcifiques ce domaine, mais
la mise en uvre des solutions demande ce quelles soient ajustes au contexte industriel.
Bien souvent, les organisations ne favorisent pas le rapprochement du monde de linformatique
classique de celui des systmes industriels. Cest pourquoi le projet de dploiement de la
scurit sur les systmes dinformation industriels ne peut pas russir sans limplication du
management au plus haut niveau de lentreprise.
La scurit du systme doit tre envisage ds le dbut du projet, par lutilisateur final qui doit
exprimer ses besoins.
En phase de spcification:
dfinir les moyens de raliser les oprations de maintenance prventive et curative
permettant de maintenir le niveau de SSI dans la dure: modes dgrads par exemple
pour raliser des mises jour (par exemple figer les sorties automates pendant la mise
jour du firmware);
dfinir la localisation des quipements afin dassurer leur scurit physique ;
prvoir la possibilit de changer les configurations par dfaut comme les mots de passe
partir de lIHM;
exiger la non-adhrence des logiciels fournis une version prcise dune autre brique
logicielle (systme dexploitation, systme de gestion de bases de donnes, etc.) ;
dfaut, exiger que le fournisseur assure la compatibilit ascendante avec les volutions
des briques adhrentes;
intgrer des mcanismes pour faciliter la requalification dune installation suite des
modifications (ex. simulation de process, forage de valeurs, etc.) ;
exiger que le logiciels non indispensables la conduite des installations soient installs
sur dautres postes (des postes bureautique pour lire des fichiers PDF ou remplir des
feuilles de calcul par exemple).
En phase de conception:
rduire les interfaces et la complexit du systme afin de limiter lintroduction de
vulnrabilits lors de limplmentation;
slectionner les composants offrant les meilleures caractristiques pour rpondre aux
exigences de scurit (mcanismes dauthentification, sgrgation des droits, etc. );
appliquer le principe du besoin den connatre ou du moindre privilge, de la
sgrgation des droits, et maintenir un principe daccs non accord si non explicitement
autoris pour les accs au systme;
distinguer clairement les profils utilisateur et administrateur;
prvoir la gestion des exceptions (dbordement de plage de valeurs, erreurs internes
des composants) ;
prvoir des mcanismes permettant de gnraliser les changements sur un ensemble
dquipements (changements de mots de passe par exemple).
En phase dintgration:
changer les configurations par dfaut (mots de passe par exemple);
supprimer ou dsactiver les fonctions non utilises mais actives par dfaut;
penser supprimer les fonctions de dbogage comme les traces utilises pour analyser
le comportement des installations.
En phase de test:
raliser les tests fonctionnels de scurit;
drouler les tests aux limites, les tests derreur des fonctions mtier et vrifier les
exceptions;
Les incidents dorigine SSI peuvent tre la cause darrts de production ou de catastrophes
industrielles comme lont montr les exemples du chapitre 2.2.
Lintgrit dun programme automate de scurit, par exemple, est aujourdhui un enjeu aussi
bien du domaine de la SSI que du domaine de la sret. Un attaquant ou un virus qui modifie
un programme de scurit concerne les deux domaines. Stuxnet a montr que ce type de
scnario tait parfaitement crdible.
Labsence de SSI ou un niveau de SSI insuffisant peut donc tre la cause potentielle de mode
Les analyses de type AMDEC, FMEA ou HAZOP sont bien souvent complexes raliser et
demandent du temps. Impliquer des comptences en informatique de gestion et en SSI dans
les quipes ralisant ces travaux sera bien plus efficace quun travail autonome et non concert
o chacun dispose de la vision de son sujet, mais pas de la vision densemble.
La SSI des installations industrielles doit tre prise en compte lors de la rdaction des plans
de maintenance. Ces derniers doivent intgrer les oprations ncessaires pour maintenir le
niveau de scurit des systmes dans la dure:
dfinir les oprations de maintenance propres la SSI qui sont ncessaires au maintien
en conditions oprationnelles (MCO) et au maintien en conditions de scurit (MCS) :
en particulier, lintgration des correctifs proposs par lquipementier doit tre prvue;
intgrer dans les oprations de maintenance prventive mtier (maintenance lectrique,
mcanique par exemple) les oprations de SSI quil nest pas possible de raliser lorsque
linstallation est en fonctionnement.
Lorsquune chane de production est larrt, par exemple pour une maintenance mcanique
ou des contrles rglementaires, il peut tre opportun dappliquer les correctifs sur les
12 AMDEC : Analyse des Modes de Dfaillance, de leurs Effets et de leurs Criticit ou FMECA en anglais
(Failure Modes, Effects and Criticality Analysis). Outils danalyse de risque de suret de fonctionnement et de gestion de
la qualit.
13 HAZOP: HAZard and OPerability study. Mthode danalyse des risques utilise dans le domaine de la suret
de fonctionnement
Les exigences de scurit sur le systme achet doivent faire lobjet dune tude et tre
clairement formalises (dans une cible de scurit ou dans le CCTP15) et intgres dans les
dossiers dappels doffres comme le sont les exigences fonctionnelles, de performance, de
qualit, denvironnement, de sret ou encore de respect des rglementations en vigueur.
Elles concernent le systme faisant lobjet de la consultation mais aussi la gestion du projet
lui-mme (formation voire habilitation des installateurs), en incluant les phases oprationnelles
et de maintenance. Il convient donc de:
vrifier dans les rponses appel doffres la couverture des exigences scurit inscrites
dans la consultation;
tablir les clauses concernant la maintenance de lquipement:
demander les plans de maintenance ncessaires pour maintenir linstallation en
condition oprationnelle et de scurit,
dfinir les processus de traitement des incidents et de fourniture de correctifs de
scurit: qui prend linitiative, qui dploie, sous quels dlais, qui fait les tests de bon
fonctionnement et comment, etc. ;
prciser les clauses concernant les conditions dintervention des sous-traitants:
prciser les conditions de support et dintervention sur site: la tlmaintenance est-
elle accepte (si oui quelle condition)? le prestataire peut-il partir du site avec un
quipement dfectueux et sa configuration? les intervenants peuvent-ils utiliser leurs
propres outils?
les intervenants doivent-ils disposer de qualifications particulires?
dterminer les clauses juridiques intgrer dans les contrats;
dfinir les conditions de proprit des codes sources et des paramtres:
qui est propritaire des diffrents codes source?
les sous-traitants peuvent-ils disposer des codes source en dehors du site?
dfinir le statut des paramtrages spcifiques linstallation; qui les maintient? qui
les sauvegarde? qui est autoris les modifier?
Pour plus dinformation sur les recommandations en matire de sous-traitance, consultez le
guide de lexternalisation publi par lANSSI16.
+ logo Naxitis
propos de lANSSI
LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre le 7 juillet
2009 sous la forme dun service comptence nationale.
En vertu du dcret n2009-834 du 7 juillet 2009 modifi par le dcret n2011-170 du 11
fvrier 2011, lagence assure la mission dautorit nationale en matire de dfense et de
scurit des systmes dinformation. Elle est rattache au Secrtaire gnral de la dfense et
de la scurit nationale, sous lautorit du Premier ministre.
Pour en savoir plus sur lANSSI et ses missions, rendez-vous sur www.ssi.gouv.fr.