Cybersécurité

Menaces sur les ICS

Semaine 5
Pilotage du Procédé via les réseaux

SCADA Ordres et CR via le réseau

process
=> lecture/écriture dans
des
variables de l’automate
Automates => T ~ 0.5-1s
Exécutent en continu
les programmes de
contrôle
Lecture et mise à jour via
le réseau de terrain
=> T ~ 1-10ms
Capteurs/Actionneurs
Menaces au niveau IT/SCADA

 Vol de données
SCADA
 Corruption des données dans les Bdd:
 Suppression des données
 Altération des données (même subtiles)
Automates
Exécutent en continu  Interception des flux entre SCADA et
les programmes de Automates :
contrôle  Flux descendants (ordres)
 Flux montants (compte-rendus)

 Rupture de connexion entre SCADA et

Capteurs/Actionneurs Automates
Menaces au niveau du réseau de process
et des Contrôleurs
Changement de variables dans
SCADA les automates :
 Ponctuel
 Répété (bourrage)
Changements de paramètres
Automates


d’exécution
Exécutent en continu
les programmes de Corruption de l’automate :
contrôle  Corruption du Programme
 Corruption du firmware

Déni de service de l’automate :

Capteurs/Actionneurs  Automate inaccessible
 Automate fortement ralenti
Menaces au niveau du réseau de terrain

Au niveau du réseau
SCADA
 Coupure du réseau

 Interception/Modification des données

Au niveau des capteurs et actionneurs

Automates
Exécutent en continu  Déconnexion d’un capteur (physique
les programmes de ou cyber)
contrôle
 Altération d’un capteur

 Blocage d’un capteur

Capteurs/Actionneurs  Blocage d’un actionneur

 Les vecteurs d’attaque
Réseau IT

Sur le réseau IT : Idem systèmes informatiques classiques

 Accès physique
 Connexion sur le réseau
 Clés USB
 Stations non sécurisées
 Mot de passe faible … / stations non verrouillées

 Accès depuis le réseau Internet (Virus/ver, backdoor …)

Sécurisé par une DSI

Level 4-5 Enterprise

Of fice
Entreprise Resource
Stat ions
Router Planning

Level 3 Manufacturing
Operator
Process Execut ion
Stat ions
System
 Vecteurs d’attaque
Sur le réseau OT
 Mêmes vecteurs
 Les systèmes informatiques sont généralement Hors-
DSI
 Pas maintenus (et souvent obsolètes, durée de vie ~30ans)
 Pas protégés (Antivirus, FW …)
 Gestion des mots de passe et accès non contrôlés
 Connaissance très faible du réseau
 Contraintes de temps-réel à respecter
 Prise de conscience

 Prise de conscience récente

 Croyance que le réseau OT était isolé

 Augmentation très importantes de la part de

systèmes informatisés sur le terrain
 Les capteurs/actionneurs sont devenus intelligents
 Sont branchés sur un réseau informatique

 Augmentation très forte des incidents

 Visibilité accrue depuis STUXNET (découvert en 2010)
 Voir chiffres du groupe SCADA du CLUSIF