Rapport Auditeurs CIGREF INHESJ Securite Systemes Industriels

Institut national des hautes études de la sécurité et de la justice
INHESJ TRAVAUX DES AUDITEURS
RISQUES ET SÉCURITÉ
DE LA CONNEXION
Cycle « Sécurité des usages numériques »
DES SYSTÈMES
Travaux de la 4e promotion (2013-2014)
INDUSTRIELS SUR
INTERNET
en partenariat avec le
DÉCEMBRE 2014
L’Institut national des hautes études de la sécurité et de la justice publie chaque
année des rapports et études sur les champs de la sécurité et à la justice.
Dans le cadre du cycle de spécialisation « Sécurité des usages numériques »,

les auditeurs stagiaires réalisent un travail collectif tutoré par le département
sécurité économique de l’INHESJ. Ces travaux sont effectués en toute liberté
grâce à l’indépendance dont les auteurs bénéficient au sein de l’Institut.
L’étude ci-dessous publiée est un document à vocation scientifique. Il ne

saurait être interprété comme une position officielle ou officieuse de l’Institut ou
des services de l’État. Les opinions et recommandations qui y sont exprimées
sont celles de leurs auteurs. Le document est publié sous la responsabilité
éditoriale du directeur de l’Institut.
Les études ou recherches de l’INHESJ sont accessibles sur le site de l’INHESJ.
Directeur de la publication M. Cyrille SCHOTT, directeur de l’INHESJ

AVANT-PROPOS
L’
information est désormais au cœur des actifs immatériels des
organisations et constitue un élément clé de leur performance.
L’entrée dans le monde numérique a par ailleurs conféré
aux systèmes d’information une dimension incontournable du
développement de l’économie. La « sécurité des usages numériques »
représente donc un enjeu majeur pour la pérennité et la compétitivité
des entreprises et des administrations. C’est pourquoi, dès 2010,
l’Institut national de hautes études de la sécurité et de la justice
(INHESJ) et le CIGREF (Réseau de Grandes Entreprises) ont convenu
de mettre en place un cycle de formation sur les problématiques
et les enjeux liés à la sécurité numérique à destination des cadres
d’entreprises des secteurs privé et public.
Ce cycle de spécialisation en « Sécurité des usages numériques »

se fixe pour objectif de délivrer les savoir-faire visant l’identification,
l’évaluation et la maîtrise de l’ensemble des risques et des
malveillances à tous ceux qui veulent mieux comprendre les enjeux
de la sécurité numérique au sein des entreprises.
L’Institut est heureux de présenter dans sa collection Études et

Documents les travaux des auditeurs de ce cycle réalisés sous la
supervision du Département sécurité économique de l’INHESJ. ■
Cyrille SCHOTT Pascal BUFFARD

Directeur de l’Institut national Président du CIGREF
des hautes études de la sécurité et de la justice
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 3
Les AUTEURS
Les Auteurs de ce travail intitulé « Sécurité des objets connectés » sont :

• Carolina MORALES-COLASANTE
• Véronique WADEL
• Sylvain ARNOLD
• Xavier BLANCHARD
• Bertrand LOCHET
Sous la direction de Nicolas Arpagian, directeur scientifique du cycle « Sécurité des

usages numériques ».
RISQUES ET SÉCURITÉ DE LA CONNEXION
DES SYSTÈMES INDUSTRIELS SUR INTERNET
Travaux de la 4e promotion (2013-2014)
du Cycle « Sécurité des usages numériques »
Sommaire
PRÉAMBULE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
INTRODUCTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
CHAPITRE 1 – Les systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Historique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Composants des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Les principaux objectifs et atouts des Systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Domaines d’utilisation des systèmes industriels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
CHAPITRE 2 – Les risques et menaces des systèmes industriels . . . . . . . . . . . . 13

Profil des attaquants et les objectifs de l’attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Typologie des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Typologie des menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Moyen d’accès d’une attaque au système industriel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
CHAPITRE 3 - Problématiques juridiques de la cyber-sécurité

des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
« Le droit des robots » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
« Security by design » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Les Systèmes industriels et les objets connectés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
La cyber-assurance des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Le dispositif juridique français et européen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Le rôle de la Direction juridique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
CHAPITRE 4 – Les solutions de sécurisation de la connexion

à Internet des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Le retour au déterminisme des systèmes industriels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
L’audit du code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Authentification Forte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Le chiffrement et le principe ou la chaîne de confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Protocoles spécifiques SCADA par les fabriquant des solutions « endpoint ». . . . . . . . . . . . . . . . . . . . . 28
Approche sémantique « firewall sémantique » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Amélioration de la Cyber sécurité des réseaux des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . 29
Systèmes de détection d’intrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Les « Honeypot » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Recherche et analyse de la vulnérabilité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
La vérification des journaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
La sensibilisation à la cyber-sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
La mise en œuvre des directives et guides de gestion de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
La défense en profondeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
La gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Propositions d’architecture et de process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
CONCLUSION. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Références bibliographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
PRÉAMBULE
Miser sur la diversité des compétences pour répondre à des menaces
protéiformes.
La sécurité numérique doit se concevoir sur le modèle des multiples formes

d’agressions rendues possibles par les technologies de l’information et de
la communication qui irriguent désormais les organisations économiques,
administratives ou militaires. C’est la raison pour laquelle la réflexion et la
stratégie en matière de cybersécurité doivent se concevoir en mettant à
contribution une grande variété de compétences et d’expertises : dans
les domaines industriels, techniques, informatiques, juridiques, judiciaires,
militaires, policiers et même politiques.
De ce croisement de savoir-faire émergeront les stratégies utiles à mettre

en place pour concevoir une sécurité numérique plus performante. C’est
dans cet esprit que chaque année les auditeurs du cycle « Sécurité
numérique » de l’Institut national des hautes études de la sécurité et de
la justice (INHESJ) travaillent à analyser et éclairer une problématique
qui se trouve au cœur des intérêts stratégiques des entreprises, et donc
des États. Ils ont pour mission d’expliquer les enjeux de la thématique
qui leur a été confiée, d’en présenter les mécanismes et de formuler des
réponses réalistes et concrètes pour réduire ou faire cesser l’exposition
au risque qu’elle représente. Soit une démarche résolument tournée vers
une amélioration continue de la notion de sécurité, au bénéfice du plus
grand nombre.
Vous trouverez dans ce document le fruit de leurs réflexions après une

année d’étude passée au sein de l’INHESJ à échanger entre pairs et
à rencontrer les experts et les praticiens les plus expérimentés dans le
domaine de la sécurité numérique. Ils aboutissent à chaque fois à des
recommandations opérationnelles directement transposables dans la
réalité des entreprises et des administrations.
Ce sont donc des contributions utiles à une meilleure sécurité numérique.
Éric DELBECQUE Nicolas ARPAGIAN

Chef du Département Directeur scientifique du cycle
« Sécurité économique » « Sécurité des usages numériques »
© INHESJ – Septembre 2014 – Ingérence et politique de sécurité des systèmes d’information 7

INTRODUCTION
Les systèmes industriels sont essentiels au bon fonctionnement de la nation.
À l’instar de la démarche déjà entreprise par les États-Unis, il s’agit aujourd’hui
de faire de leur cyber-sécurité une priorité stratégique, tant au niveau européen
et français qu’au niveau international.
Les dernières cyber-attaques Stuxnet 1, Spamhaus et plus récemment les vols (1) C’est le premier ver découvert
de données clients chez Orange ont alerté aussi bien les pouvoirs publics que qui espionne et reprogramme
des systèmes industriels, ce qui
les entreprises exploitant des systèmes industriels. Ces événements confirment comporte un risque élevé. Il cible
la nécessité de prendre toutes les mesures appropriées pour faire face aux spécifiquement les systèmes
SCADA utilisés pour le contrôle
risques encourus, mais aussi pour se conformer au cadre réglementaire qui se commande de procédés
met progressivement en place. industriels. Stuxnet a la capacité
de reprogrammer des automates
programmables industriels (API).
La connexion des systèmes industriels à Internet n’étant pas une nouveauté
en soi, il est cependant nécessaire d’exposer le contexte spécifique à ces
derniers (Chapitre 1) pour mieux comprendre les risques de leur connexion à
Internet (Chapitre 2) avec les problématiques et enjeux juridiques (Chapitre 3).
Et, ainsi, pouvoir présenter les différentes mesures de sécurisation de ces
systèmes industriels (Chapitre 4).
8 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 1 LES SYSTÈMES INDUSTRIELS
Historique
Jusqu’en 1940, les premiers systèmes de pilotage connectés étaient des
systèmes de contrôle dans les systèmes industriels. Ils étaient destinés à opérer
des équipements localisés dans des sites distants. Toutefois, à cette époque,
il était nécessaire d’avoir du personnel sur chacun des sites ou bien d’envoyer
une équipe pour opérer l’équipement. Les premiers essais de ces systèmes
industriels ont débuté par l’utilisation d’une paire de lignes entre les sites distants.
Chaque ligne opérait une seule pièce de l’équipement. Cette solution s’est
avérée très onéreuse mais justifiée par le besoin d’être opérée très fréquemment
ou afin de rétablir le service rapidement.
Puis les Relay/Tone system ont vu le jour ; comme des systèmes relais qui
créaient des pulsations envoyées au travers d’un canal de communication
jusqu’au site distant.
Dans les années 1960, les premiers systèmes industriels voient le jour en tant
que système d’exploitation électronique d’entrée / sortie, avec des transmissions
entre une station maître et une station distante. La station « maître » avait pour
but de recevoir des données à travers un réseau de télémétrie et de stocker les
données sur les ordinateurs centraux.
En 1965 pour la première fois, un ordinateur a été utilisé comme station maître,
capable d’avoir des fonctions en temps réel. Tel était le cas des processeurs
PRODAC et GETAC construits par GE et Westinghouse.
Progressivement les ordinateurs ont commencé à être dotés de fonctions de
scanning de données, du monitoring de données et des statuts, de changements
des alertes puis de données des connexions périodiques.
La plupart des systèmes industriels américains fonctionnaient alors avec une
base de scanning permanent avec l’ordinateur maître ; ce dernier envoie alors
les requêtes, les sites distants, eux, uniquement des réponses. En Europe, on
retrouve les premiers systèmes dans lesquels le site distant continue à envoyer
des données sans que le site central envoie des requêtes ; ceci grâce à un
canal qui permettait d’envoyer et de recevoir en même temps.
Ce n’est que dans les années 1970 que les systèmes de contrôle distribués
(DCS) ont été développés pour contrôler différents sous-systèmes éloignés ;
dans les années 1980, avec le développement du micro-ordinateur, le contrôle
de processus a pu être réparti entre les sites distants.
Puis il y a eu un développement des activités DEC utilisant des contrôleurs
logiques programmables (PLC) ; ils avaient la capacité de contrôler les sites
sans prendre la direction d’un maître.
LES SYSTÈMES INDUSTRIELS Chapitre 1
Dans les années 1990, les systèmes industriels avaient des capacités de
DCS et étaient adaptés en fonction de certaines caractéristiques de contrôle
propriétaires construits par le concepteur. Internet étant utilisé davantage
comme un outil de communication, les systèmes de télémesure utilisaient alors
des logiciels automatisés avec certains portails de téléchargement des
informations ou de contrôle de processus.
L’Ingénierie des systèmes industriels concerne aujourd’hui des processus
de contrôle, mais aussi la mesure, la prévision, la facturation, l’analyse et la
planification.
Les systèmes industriels actuels doivent répondre à un tout nouveau niveau
d’automatisation de contrôle avec un interfaçage aux équipements obsolètes,
tout en restant suffisamment souple pour s’adapter à l’évolution des technologies
d’information.
Les exigences des systèmes industriels relèvent aujourd’hui des mises à niveau
et mises à jour des versions des systèmes ; il faut alors donner la priorité à la
connaissance des composants du système avant de décider quelle interface
mettre en place ou quel matériel est nécessaire pour une application particulière.
Depuis les années 2000, une transformation profonde a eu lieu : les systèmes
isolés et propriétaire sont passés à des systèmes construits sur des architectures et
structures aux technologies standard hautement interconnectés sur des réseaux
privés, voire sur internet.
Ces systèmes, conçus pour durer des dizaines d’années à une époque où
la cyber criminalité touchant les infrastructures industrielles critiques n’était pas
encore répandue, n’intégraient pas encore nativement la sécurité réseau.
Composants
des systèmes industriels
Un dispositif système industriel, utilisé comme outil de sécurité de consignation
d’appareil électrique, est généralement composé des sous-systèmes suivants :
– une interface homme-machine qui présente les données à un opérateur
humain : ce dernier peut alors superviser et commander les processus ;
– un système de supervision et de contrôle informatique faisant l’acquisition
des données des processus et envoyant des commandes (consignes) aux
processus ;
– une unité terminale distante (RTU) reliant les capteurs convertissant les
signaux en flux de données numériques et envoyant les données numériques
au système de supervision ;
– des automates programmables industriels utilisés sur le terrain pour leur
versatilité et flexibilité due à leur capacité d’être configurables ;
Chapitre 1 LES SYSTÈMES INDUSTRIELS
– une infrastructure de communication reliant le système de supervision et

contrôle aux éléments terminaux ;
– divers instruments d’analyse.
À titre d’exemple, le schéma ci-dessous expose les différents composants d’un
système industriel.
Les principaux objectifs

et atouts des Systèmes industriels
Les systèmes industriels ont pour principaux objectifs :
– de concentrer les données, déporter ou centraliser le pilotage du procédé ;
– d’apporter une vision temps réel des états permettant aux opérateurs de
réagir et de décider rapidement ;
– D’apporter les premiers outils d’analyses nécessaires aux contrôles des
équipements concernés (historiques, courbes, pareto, alarmes, login).
Pour parvenir à atteindre ces objectifs, les systèmes industriels sont dotés
d’un certain nombre d’atouts, notamment :
– des outils de graphisme afin de représenter les procédés concernés ;
– des « moteurs » d’animation permettant de définir les différents choix de
dynamismes des objets graphiques ;
LES SYSTÈMES INDUSTRIELS Chapitre 1
– la gestion de la base de données en temps réel, parfois propriétaire ; en

leur attribuant des propriétés, il est possible de définir des variables typées
internes ou en liaison avec le système de contrôle commande ;
– des traitements internes initiés par des déclencheurs multiples (temporels,
changement d’état, équation combinatoire, ouverture d’une fenêtre…) ; ils
permettent d’appliquer des premiers niveaux de traitement informatique plus
ou moins évolués ;
– une gestion de la sécurité pour un contrôle des accès applicatifs est
généralement proposée ;
– certains superviseurs intègrent également les possibilités de s’interfacer avec
une base de données relationnelle.
Domaines d’utilisation
Les systèmes industriels sont conçus pour soutenir les processus industriels
et surveiller et contrôler, en temps réel, un large éventail de processus et
d’opérations, tels que la distribution de gaz et électricité (classique et nucléaire),
le traitement de l’eau, le raffinage de pétrole ou le transport ferroviaire.2 (2) Définition ENISA.
Ces systèmes industriels sont utilisés également dans la distribution, la chimie

et dans certaines installations expérimentales tels que la fusion nucléaire, le
transport des produits chimiques, la recherche et les études scientifiques et
industrielles, les accès aux bâtiments, le contrôle du chauffage et la ventilation
des ascenseurs ou du refroidissement des data centers.
Parmi les exploitants des systèmes industriels, il y a les Opérateurs à Importance
Vitale (OIV). Ces derniers sont définis en France par le Code de la Défense
dans ses articles R1332-1 et R1332-2 comme étant « les opérateurs publics ou
privés, exploitant des établissements ou utilisant des installations et ouvrages,
dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel
de guerre ou économique, la sécurité ou la survie de la nation ou de mettre
gravement en cause la santé ou la vie de la population ». Ces OIV constituent
une liste de 200 opérateurs dont 100 sont des entreprises privées.
Les infrastructures vitales du pays sont concernées par de nouveaux risques :
les cyber-risques. Ces derniers menacent le fonctionnement dont dépendent les
infrastructures vitales du pays. En effet, la mise en œuvre systématique du principe
de sécurité « de base » des systèmes d’information, tels que la surveillance du
système, la notification des incidents ou la réalisation régulière d’audits ne
sont pas systématiquement mis en œuvre. De ce fait, et au regard de la cyber-
menace grandissante, les instances nationales et européennes ont décidé de
renforcer le régime qui leur est applicable.
Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS
Un autre élément qui n’est pas négligeable est qu’historiquement, les systèmes
industriels étaient dévoués à la protection de la sûreté de fonctionnement (SDF),
en utilisant une analyse statistique et des techniques de redondance, ce qui
permettait de faire le traitement du risque de défaillance des équipements.
Toutefois la SDF ne couvre pas les risques et menaces des cyber-attaques
qui évoluent très rapidement. Les standards de sûreté de fonctionnement des
systèmes industriels doivent alors s’adapter pour prendre en compte la cyber-
sécurité et éviter que l’intégrité des Systèmes Instrumentés de Sécurité (SIS)
assurant la sécurité des personnes puisse être remise en cause par une attaque
informatique.
La cybercriminalité désigne les infractions pénales commises par le biais
de réseaux informatiques et de l’information électronique. Elle concerne
aussi bien les atteintes aux biens (escroquerie, contrefaçon, vol des données,
etc.) que les atteintes aux personnes (terrorisme, incitation à la haine raciale,
(3) « Global State of Information pédopornographie, etc.) ; elle se situe à la quatrième place des fraudes les
Security Survey 2013, Tendances plus rencontrées par les entreprises. Le budget cyber-sécurité représente un
et enjeux de la sécurité de
l’information » Etude Price Water- budget annuel de 60 milliards de dollars. Ce montant devrait augmenter de
houseCooper, 30 janvier 2013. 10% dans les trois à cinq années à venir.3
Chapitre 2 LES RISQUES ET MENACES

DES SYSTÈMES INDUSTRIELS
Depuis que l’affaire Stuxnet a dévoilé au grand public les failles des
systèmes industriels, les risques et menaces pour ces derniers deviennent une
préoccupation majeure pour les exploitants, ainsi que pour les États et les
particuliers. Si l’appréhension d’une sécurité se fait essentiellement au travers
de bonnes pratiques, il convient aussi de recenser les vulnérabilités auxquelles
l’entreprise doit faire face.
Profil des attaquants

et les objectifs de l’attaque
Les auteurs ou les cyber-attaquants ont des profils divers, notamment le hacker
isolé, le salarié mécontent, les réseaux organisés, les cellules de renseignement. Ils
ont une multitude des motivations, tels que le défi informatique, le vol de données
à des fins lucratives, le hackeractivisme, l’espionnage à des fins économiques ou
industrielles, etc.) (cf. figures 1 et 2).
LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Chapitre 2
Figure – Typologie des attaquants attaquant
%/-1! ,;%"%%0; !//5/0:)

!.0! !/ +**;!/ !0 +*+/0*0 (S!4%/0!*! !
%*0!..1,0%+*/ !/!.2%! !
.!/01.0%+* ! +**;!/
!/ +*/;-1!*!/ #.2!/
((*0 !/ +))#!/ %..;
!),/ !.;,+*/!J 0!),/ S!//!*!)<)! !//5/0:
S..<0 !0.!0. / "+*0%+**!)!*0!*V0!),
+110.!/0!),/ S..<0*!
! ;)..#! !/ +*/;-1!*!/ *#!.!1/!
;-1%,!)!*0/!0'O1, 7 14
$1 %!*/!014,!./+**!/M
/!*! !$%"".!)!*0 !/ .*/)%//%+* !/ +**;!
+**;!/ +),+/*0/!02!./(S!40;.
!/0/ S%*0.1/%+**+* !/ 0!/0/ S%*0.1/%+* *+*
.;#1(%!./ (
1(01.! !/!*0.!,.%/!/M
(
#.* /+%* +%0(!1.<0.!
/!*! !/1 %0/ ! S;0%!*0,/+*/% ;.;/
/;1.%0;M
1.;! !2%! !/
(*S5,/ !.!),(!)!
;-1%,!)!*0/+),+/*0(! ;-1%,!)!*0/J!/ !.*%!./
/5/0:)!M 1.;!/ !2%!M
21(*;.%(%0; !/.;/!14 S10%(%/0 %+* !/+**!4%+*
!0 !/;-1%,!)!*0/14-1!(/ ,(0!"+.)!/2! !/21(*
(!/5/0:)! !/0+**!0;M

Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS
Les cyber-attaques peuvent provenir de :

– l’intérieur de l’entreprise exploitant le système industriel (menaces internes
du fait de comportements inadaptés des personnels à l’usage des nouvelles
technologies ou d’une malveillance et du fait d’un défaut de gouvernance
augmenté, par exemple, par l’admission et gestion du BYOD et des
connexions WI-FI).
– l’extérieur de l’entreprise : hacktivisme, APT.
Typologie des risques

La typologie de ces risques est résumée dans le tableau ci-dessous.
& & "%

0! &
&-
&
( & "%

&
0&0# .
0 '"%0

&-
1&2-
0'
0'&&.
&& & 0#0

/ # !!.

& &&
& 0!&"%.
0&

0 .&
& '& &
"%.

0& && & .
& &
& 0" #
& &- $%
"% & .
&&&!
0 ! &#
&!
3 && .
"% &
LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Chapitre 2
Typologie des menaces

Les menaces sur les systèmes industriels proviennent aussi bien de phénomènes
naturels, d’actes malveillants et d’accidents, que de procédures irrégulières ou
de défaillances techniques.
Historiquement, ces menaces ne concernaient que les éléments internes
au système industriel en question, notamment les membres du personnel,
l’organisation des exploitants d’installations ou du personnel support technique.
D’autres exemples de menace sur les systèmes industriels sont :
– des vers autonomes qui cherchent au hasard des chemins de propagation ;
– (DDoS) virus (dont les chevaux de Troie) ;
– le terrorisme ;
– les perturbations des services publics ;
– le bruit sur les lignes électriques ;
– les interférences électromagnétiques (EMI) et de fréquences radio (RFT) ;
– la fermeture de l’usine pour l’entretien et démarrage après l’entretien (de
nombreux événements néfastes se produisent pendant l’arrêt et le démarrage) ;
– la mauvaise application de correctifs logiciels ;
– l’interdépendance avec les autres réseaux et les éléments de support
technique.
Moyen d’accès d’une attaque

au système industriel
Aujourd’hui tous les systèmes industriels sont connectés à Internet, aux différents
réseaux d’entreprise, aux réseaux publics commutés de téléphone, aux satellites
et aux systèmes de communication sans fil (Wifi, WiMax). Ainsi, les moyens
d’accès au réseau de contrôle du système industriel les plus communs sont :
– les connexions Internet,
– les réseaux métiers ou réseau d’entreprise,
– les connexions à d’autres réseaux qui contiennent des vulnérabilités,
– les réseaux privés virtuels compromis (VPN),
– les connexions par Backdoor à travers les modems d’accès à distance,
– les connexions sans fil non sécurisés découverts par les utilisateurs de
portables,
– les ports informatiques ouverts, tels que les ports UDP ou TCP qui ne sont pas
protégés ou ouverts inutilement,
– l’authentification faible dans les protocoles et les composants des systèmes
industriels,
– l’hameçonnage de maintenance (maintenance hooks) ou de portes
dérobées (trap doors), qui sont des moyens de contourner les contrôles de
sécurité au cours du développement du système industriel,
– les attaques par débordement de tampon sur les serveurs de contrôle du système
industriel, accessibles par les automates et les interfaces homme-machine.
Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS
Après avoir eu accès au système industriel, l’attaquant cherche à tout prix

à obtenir un certain niveau de contrôle de ses composants, en fonction des
protections associées à chaque composant, à la visibilité de l’attaquant et
aux capacités et intentions de ce dernier.
La réalisation d’une ou plusieurs cyber-menaces au sein d’un système industriel
peut donc avoir des conséquences telles que la divulgation des données
sensibles, des dommages matériels aux biens et aux personnes, des risques de
santé publique et l’atteinte à l’image et à la réputation. C’est pour cette raison
que les problématiques juridiques de la cyber-sécurité des systèmes industriels
doivent être prises très au sérieux.
Chapitre 3 PROBLÉMATIQUES JURIDIQUES

DE LA CYBER-SÉCURITÉ
DES SYSTÈMES INDUSTRIELS
Dans l’objectif de faire un état des problématiques juridiques liées aux systèmes
industriels et à leur cyber-sécurité, il est nécessaire d’envisager les dispositifs
juridiques qui n’ont pas pour l’instant fait l’objet d’une formalisation dans le droit
positif et les normes existantes (« le droit des robots » et « Security by design »). Puis,
les interactions des systèmes industriels avec les objets connectés et également
la problématique récente en droit français liée à la cyber-assurance de ces
systèmes industriels. Enfin, une présentation de l’état du droit positif aussi bien
français, qu’européen et américain est nécessaire afin de comprendre la multitude
des textes applicables et dont la mise en œuvre par les exploitants afin d’être
en conformité avec celles-ci peut s’avérer difficile, d’où l’importance du rôle des
directions juridiques au sein des entités exploitant ces systèmes industriels.
« Le droit des robots »

Un robot peut être défini comme « un appareil effectuant, grâce à un système
de commande automatique à base de micro-processeur, une tache précise pour
(4) Définition de l’ALTIF (Analyse laquelle il a été conçu dans le domaine industriel, scientifique ou domestique »4.
et traitement informatique de la
langue française).
À la différence de l’automate, le robot est doté de capteurs dont les actions sont
décidées par l’intermédiaire de son programme, en fonction de l’environnement.
Les dernières générations des systèmes industriels peuvent être considérées
comme des robots ; à ce titre, il est légitime de s’interroger sur le régime
juridique applicable.
PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3
Les dispositions juridiques existantes applicables aux fabriquants et/ou

fournisseurs des systèmes industriels concernent d’une part le droit des contrats,
à savoir l’article 1603 du Code civil. Le fabriquant et/ou fournisseur du système
industriel est fait débiteur des obligations suivantes :
– mise à disposition du système ;
– délivrance conforme ;
– garantie de jouissance paisible ;
– absence de défaut de la chose vendue.
La prise en compte des différents dispositifs de cyber-sécurité des systèmes
industriels sont donc compris aussi bien dans l’obligation de « délivrance
conforme » du système (conformité par rapport aux diverses normes et
référentiels applicables et aux attentes exprimées dans son cahier des charges)
que dans les obligations de garantie de jouissance paisible (un système industriel
avec des failles de sécurité inhérentes à celui-ci ne permet pas à son exploitant
de disposer paisiblement de ce système) et dans l’obligation d’absence de
défauts de la chose vendue.
De même, le régime de la responsabilité lié aux produits défectueux
(article 1386-1 et suivants du Code civil) peut être invoqué afin d’engager la
responsabilité délictuelle du fabriquant et/ou fournisseur. Il peut également
s’appliquer à l’exploitant du système industriel en cas d’un défaut de sécurité
(informatique) du système qui serait à l’origine d’un dommage aux personnes.
Les dispositions de la Directive 2006/42/CE du 17 mai 2006 (entrée en
application le 29 décembre 2009) relative aux machines, imposent des
exigences de sécurité.
Des réflexions sont actuellement en cours au sein des communautés des
juristes 5 sur le fait d’accorder, ou non, une personnalité juridique (avec des droits (5) Tel est le cas de Maître Alain
Bensoussan cf. l’article « Vers un
et des obligations afférentes) à ces robots qui peuvent, dans leur fonctionnement droit des robots » du 21 avril 2014
(programmés et contrôlés par un humain), prendre des initiatives. Toutefois, et Maître Murielle Cahen.
cette piste de réflexion est confrontée au fait que la jurisprudence refuse de
reconnaître la responsabilité de la machine en raison du défaut de capacité
de discernement. Ainsi est tenu pour responsable l’exploitant qui a le contrôle
du système industriel, gardien de ce dernier, en tant que personne physique
ou morale. Charge à lui, dans un tel cas, d’apporter les preuves qui écartent
sa responsabilité.
« Security by design »
Il apparaît aujourd’hui impératif de prendre en charge la sécurité des
systèmes industriels dès le stade de leur conception, c’est-à-dire dès la rédaction
du cahier des charges et de l’expression des besoins par l’utilisateur final.
Ainsi l’exploitant commanditaire du système industriel en question se doit
d’imposer ses choix, d’exiger l’utilisation des produits certifiés et de prévoir des
clauses « d’audit de fournisseurs ».
Cette préoccupation doit être également au cœur des négociations

des accords de connexion à internet, des contrats de travail des salariés
des Industries et également lors de la rédaction des Chartes d’Accès à ce
Systèmes industriels connectés à Internet.
Les entreprises administrant des systèmes industriels ne doivent nullement
négliger les avancées des technologies de l’information et de la communication.
Elles doivent intégrer dans leurs analyses des risques les risques et menaces
« involontaires » issues de l’utilisation des dispositifs mobiles, souvent mis à
disposition de l’entreprise par le salarié lui-même. Ainsi la mise en place et/ou
la mise à jour d’une charte régissant l’usage des technologies de l’information
et de la communication par les salariés et par les prestataires externes est
impérative et en tout cas fortement conseillée.
Les rédactions et négociations des contrats portant sur l’acquisition de ces
systèmes industriels connectés à Internet, impliquent d’être vigilant quant au
contenu des articles de confidentialité, sécurité et évolutivité du système,
obligations du fournisseur de conformité réglementaire, audit, responsabilité
et mise en place d’un niveau d’engagements de service (SLA) conforme aux
besoins exprimés dans le cahier des charges.
De même, compte tenu de la vitesse à laquelle évoluent et changent les
cyber-menaces, il est judicieux de ne pas négocier un contrat statique et de
prévoir la possibilité pour l’exploitant du service, en accord avec le fournisseur,
de faire évoluer les dispositions contractuelles et d’adapter ou pallier aux
conséquences de ces évolutions.
Les Systèmes industriels

et les objets connectés
Avec la disponibilité commerciale du cloud computing, les systèmes industriels
ont de plus en plus adopté les technologies de l’Internet des objets. Cette
démarche réduit considérablement les coûts d’infrastructure et augmente la facilité
d’entretien et d’intégration. En conséquence, les systèmes industriels peuvent
désormais transmettre des données en temps quasi réel et utiliser les facteurs
d’échelle autorisés par le cloud computing. Ainsi, des algorithmes de contrôle
plus complexes que ce qui pouvait être fait avec les automates programmables
industriels peuvent être mis en œuvre. En outre, l’utilisation de protocoles de
réseaux ouverts, tels que TLS inhérents à l’Internet des objets, offre un périmètre
de sécurité plus compréhensible et gérable que le mélange hétérogène de
protocoles réseau propriétaires typiques de nombreuses implémentations des
Systèmes industriels décentralisées précédentes.
La cyber-assurance
Sur les 12 risques majeurs menaçant les entreprises, le cyber-risque occupe
la troisième position. La cyber menace évoluant, des solutions d’assurances
tendent à se développer. La France est cependant en retard sur ce point.
Il est nécessaire pour l’entreprise candidate à l’assurance, afin d’obtenir
un « scoring », d’associer un expert technique à l’assureur. Il réalisera un état
de la maturité organisationnelle de l’entreprise versus l’analyse et le contrôle
opérationnel des cyber-risques. L’assureur devra donc faire la transformation de
l’analyse en probabilité de l’apparition du cyber-risque et déterminer l’impact
sur le patrimoine du client : matériel, production, immatériel.
Aux États-Unis et au Royaume-Uni, plus de 30 % des entreprises ont déjà
souscrit à une police de cyber-risques. Après les récentes attaques chez Sony
ou Target, selon Ponemon, le coût moyen d’une donnée volée est de 145 UD.
L’atteinte à l’image est incluse dans cette évaluation.
Les offres actuelles dans le marché français proposent des garanties couvrant
tous les aspects des cyber-risques à savoir la responsabilité civile, les mesures
palliatives, la gestion de la crise, la communication, les dommages intérêts dus
aux clients et la perte d’exploitation entre autres. En revanche, le terrorisme est
systématiquement exclut.
Le dispositif juridique français

et européen
Le cadre juridique français de la cyber-sécurité
(6) Tableau issu de l’article des
La France dispose d’un arsenal législatif et réglementaire complet pour Mesdames Anne Souvira et
réprimer les cyber-attaques et bien évidement ces dispositions sont applicables Miriam Quéméner « Cyber-
aux attaques des systèmes industriels. Le tableau récapitulatif ci-dessous montre sécurité et entreprises : se protéger
juridiquement et se former ». Sécurité
un aperçu de ces dispositions, jusqu’en 2012. 6 & Stratégie n°11 Décembre 2012.
De même que pour les systèmes d’information « informatiques », il est impératif

de réaliser un recensement des données sensibles de ces infrastructures
contrôlées par un système de commande et contrôle, et tout particulièrement des
données personnelles. En effet, le projet de règlement européen sur les données
personnelles, actuellement en discussion, aura vocation à s’appliquer également
à ces systèmes industriels. L’industriel « exploitant » en tant que « Responsable
du Traitement » au sens de la Loi I&L est responsable en cas de respect des
dispositions applicables. Ainsi les exploitants devront revoir leur façon de traiter
leurs priorités de protection de la confidentialité et de l’intégrité des données,
tout en gardant au premier niveau de priorité la disponibilité du système.
Les dispositions européennes et françaises

concernant la cyber-sécurité des OIV
La lutte contre la cybercriminalité étant une priorité européenne, la Commission
européenne a adopté le 07 février 2013 une proposition de directive « visant à
assurer un niveau élevé de sécurité des réseaux et de l’information de l’union ».
Cette proposition de directive a été modifiée et adoptée par le Parlement
européen le 13 mars 2014 et devrait être définitivement adoptée fin 2014.
Les principaux objectifs de la proposition de directive sont de (i) fixer les
obligations des États membres concernant la prévention et la gestion des
risques et incidents aux réseaux et systèmes informatiques, (ii) à faciliter la
coopération entre les États membres pour garantir l’harmonisation des règles
de cyber-sécurité au sein de l’Union européenne et (iii) établir des exigences
en matière de sécurité pour les acteurs du marché, notamment les « opérateurs
d’infrastructure essentielle ».
En effet, en raison de la disparité des niveaux de protection des États membres
en matière de cyber-sécurité, il s’avère impossible d’avoir une coopération et
une collaboration effective au sein de l’Union européenne et la construction
d’une cyber-protection européenne s’avère une chimère.
Parallèlement à l’initiative européenne, la France a voté la Loi de Program-
mation Militaire, le 18 décembre 2013. Elle fixe de nouvelles règles qui
complètent le dispositif présenté ci-dessus. Toutefois, les textes réglementaires
précisant la mise en œuvre de la LMP et le calendrier prévisionnel associé se
font toujours attendre. Ainsi les éléments suivants restent encore en attente :
– les décrets d’application ;
– la déclinaison par typologie d’industrie ;
– la procédure de certification/labellisation de logiciels et matériels de
sécurité compatibles pour les infrastructures critiques ;
– la procédure de certification/labellisation de prestataires habilités à
auditer les OIV ;
– définition d’un incident de sécurité afin de répondre à la section 2 de
l’article 22 qui impose la déclaration des incidents ;
– détails des calendriers d’audit et de ce qui sera exigible en 2014/2015/ et
au-delà, au regard de la loi.
Le comparatif entre les dispositions

américaines, européennes et françaises
applicables aux systèmes industriels
en matière de cyber-sécurité
Les opérateurs exploitant des systèmes industriels peuvent, dans certains
cas, être soumis aussi bien aux dispositions françaises et européennes qu’aux
dispositions américaines concernant la cyber-sécurité. De ce fait, les acteurs
soumis à ces régimes devront rester particulièrement attentifs car la conformité à
l’un de ces régimes ne signifie pas une conformité automatique à l’autre régime ;
de même, ces régimes, aux approches différentes, continueront à évoluer dans
les mois et années à venir.
Le tableau ci-après présente un comparatif des principales mesures de ces régimes.
)'(+$)'(, $

# % &
%
&())'(*!

'()&')&%)' 2
!(! $)'&%) &'(&)()&'' ''
4!$&()&4 &'(&)()& '( )$' (& (')'()&$&*! ($&(0
'' (, () ( & !)$(( ,'! (! (!)'(&)(!
')$&)&;:$&'! '( (&$&'0) '!( (&(&* (')&(0
! (&4&''( $&*!)) ' ($)%)!)$&!'$&(
')$&)&<::::::93 '(&(! $)%)3 ! !%)'((' ' ()&
4 ((! 4&)()&('
)'(&'' ''3+)'! '
'&*'!)!$)( 0'
&')+'!)+('!()&'
&&
')&'$&* (*'( %)' (! ' $&( ( )&(
(!& '(! '%)*' ( #)*&'','(' (&)&7 8*)''! '
((&(&&',&6 %)'((! 4(&'')&'&)(! (
&'%)'7*(&' ('( ,&6 '3 &
7 '(()(
(! '
&)&)&'$('83
!&'( !!8
*!$$&'','('$!)&!)& &
'')&'('! (&"')+
(('! & '3
'&(&4)(!&( (! &(! &!&*!! (&$&('
!$( (1 ' '4 () !&(! '7 ('(')&'
(', () $( && '(& 7 !(! $&* (! (&)(! '$('8
' ('! =&(&'2 %)!((&$&'$& *'')&'$!)&*!&'&
!&4)('()&' &(83 $&($(! $&!&3
! & '0)&4 (
($!&(!&$%)1 '$!''(+$&''
)(!&(!$( ($)( $!)&4
!)')(&'
!&&$) ' '&*'4((4
&)'4 ((! & 4, !&&$)3
&&3
')(!&('!* ('$!'& '!* (&'$(& &( !&4!& ''
'$!)*!&')&'$&(( ( '&'(')&' ' ' !* (+ &4 '
" ! &' '(&)(! ' ('$&&(( & ((! '! '
! (& ('(4+&' '!)((&)&' ' ! )'! ') ( '
()&')&%)4' )('&''$&' 4 ')' )&$& &'
!)& '' (' (' $&'((&'5 (' ')&'! !&( ''&'
$&!)* (' #)*& 4
3 *' !&')
3
(*'$!(%)'
')&(3
%)((&+' ;>::::9$!)&
!(' &3
' (! '$$'3 ' ) $&'! $,'%)
$ '4(! ! ( (! 7& (48
!) '4' (?>::::9$!)&)
&*0$' $&'! !&3
' (! $!''3 ''( (! (&
( ( (! !) !
( (! 3
Les normes internationales applicables

aux systèmes industriels
À ce jour il n’existe pas de standard unique mondial, mais le NERC (North

American Electric Reliability Corporation) comme l’ANSSI ont édité des guides
de bonnes conduites.
En 2013, l’amélioration de la sécurité des réseaux et des systèmes d’information
des infrastructures critiques sont une priorité rendue nationale en France par
l’ANSSI et à l’échelle européenne par l’ENISA.
Aujourd’hui les normes européennes CEI 62443 (ISA99) prennent en compte
les systèmes de management de la sécurité des systèmes de contrôle et
d’automatismes, de normes ISO 27001 et ISO 27002.
Les versions CEI 62443-2-1(2013) définissent un modèle de système de
management de la sécurité ; il contient un catalogue de recommandations pour
la mise en place de politiques et procédures adaptées aux systèmes industriels,
avec une structure selon les 11 chapitres de l’iSO 27002.
Les autres volets de la norme prennent également en compte les exigences
« temps-réel » (priorité aux tâches de contrôle par rapport aux taches de la
sécurité) et de l’organisation du travail avec une logique qui donne la priorité aux
fonctions essentielles de ces systèmes principalement la sécurité fonctionnelle.
Aux États-Unis, le National Institute of Standards and Security (NIST) a publié
le 14 mai 2014, le référentiel américain qui est le pendant du CEI 62443-
2-1 (2013). Il s’agit du « Guide to Industrial Control Systems (ICS) Security »
référence NIST 800-82 qui remplace la précédente version de 2011.
Le rôle de la Direction Juridique

Au-delà des risques potentiels liés aux menaces, cyber, physiques et
opérationnelles, les exploitants de systèmes industriels sont tenus par une
obligation de conformité réglementaire.
Il s’agit d’un ensemble complexe car il concerne d’une part toute la
réglementation/législation applicable verticalement pour chaque type d’industrie
mais aussi les règles d’application horizontale, telles les standards internationaux,
les bonnes pratiques et les principes.
Ces textes sont cependant ambigus et convergent rarement vers un
consensus par rapport aux guides stratégiques ou tactiques d’implémentation.
Les exploitants des systèmes industriels ne sont pas certains de la façon dont
ils doivent agir afin que leur système industriel soit conforme et sécurisé ; ne
sachant pas d’avantage quels sont les principes ou règles qui leur sont réellement
applicables. Ils sont donc témoins d’une multiplication d’interprétations dues
au manque des règles définies.
Toutes ces difficultés ont une conséquence désastreuse lors de la réalisation
d’un audit qui peut s’avérer hors périmètre ou bien entraîner l’application des
pénalités ; ils peuvent aller jusqu’à la mise en cause de la responsabilité de

l’exploitant du système industriel en question.
Compte tenu de ce qui vient d’être exposé, il est donc impératif de faire une
cartographie des risques potentiels (notamment juridiques) et de les analyser puis
d’apporter toute action préventive nécessaire, le plus en amont possible. Ceci
afin de minimiser, voire d’éviter, le risque et de décharger toute responsabilité
pénale de l’exploitant en cas de défaillance ou de vulnérabilité du système.
Dans cette démarche la participation de la direction juridique ou du service
juridique de l’exploitant est indispensable.
Dans la mise en place de la cartographie des risques, une attention particulière
doit être portée au personnel de l’exploitant qui administre le système industriel.
En effet, ce personnel doit être expérimenté et avoir les pouvoirs nécessaires
pour exercer la mission d’administration (être en mesure de reconnaître les
risques auxquels s’expose l’entreprise en cas de défaillance du système ou
en cas d’indisponibilité d’une opération donnée) ; car ce personnel constitue
la première ligne de défense en cas de mise en cause pour non respect
des réglementations.
Le personnel de l’exploitant doit être en mesure de communiquer toutes les
données de disponibilité ou d’indisponibilité à la direction/service juridique.
Pour répondre à cette obligation, il est capital de tenir un registre des incidents.
En cas d’audit il est impératif d’avoir accès très rapidement à ces registres
et archives.
Les Directions Juridiques ont donc un rôle très important à jouer dans la
sensibilisation aux nouveaux risques encourus par les salariés par l’usage des
nouveaux outils de communication.
Il est impératif de suivre toutes les étapes d’identification et corrections des
risques ; ceci doit être redoublé par tous les nouveaux défis émergeants de
cyber-attaques, les changements concernant les réglementations environne-
mentales, les standards industriels, les bonnes pratiques et les procédures.
Chaque type de système industriel étant par ailleurs également soumis à des
législations et réglementations spécifiques en fonction du domaine d’activité
(type d’industrie) ; elles peuvent être extrêmement complexes à mettre en œuvre
et le suivi s’avérer très lourd.
Dans une démarche de « due diligence », les entreprises doivent faire partie
des organisations inter-entreprises de type CERT leur permettant d’échanger
des informations et ainsi recevoir les indicateurs appropriés et les documents
d’alerte. Cette information doit être analysée ; il est nécessaire d’avoir un
processus avec des réponses documentées à partir d’éléments aussi bien
internes qu’externes. Dans ce cadre, le travail conjoint avec le service juridique
permet la mise en place des procédures de réduction des risques, d’évaluation
de la sécurité des réseaux et la conclusion de contrats de réalisation de
tests d’intrusion.
Chapitre 4 LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET
Chapitre 4 LES SOLUTIONS DE

SÉCURISATION DE LA CONNEXION
À INTERNET DES SYSTÈMES INDUSTRIELS
Le présent chapitre fait une présentation sous la forme « catalogue » de

solutions de sécurisation de la connexion à Internet des systèmes industriels à
Internet. Certaines de solutions exposées ci-dessous existent déjà et d’autres sont
des propositions ou des pistes de réflexion.
Le retour au déterminisme
La principale solution pour augmenter la cyber-sécurité des systèmes industriels
est de renforcer le déterminisme afin que les fonctions de bases du système
industriel ne soient pas détournées.
À défaut de bloquer la versatilité de la fonction TRU (Terminal Unique “capteur/
actionneur”), il faut asservir l’élément dans un environnement de contrôle en
imposant le déterminisme de la fonction. Aujourd’hui, tous les éléments des
systèmes industriels sont installés sur les systèmes polyvalents : OS, Windows,
Linux, etc.
Il serait intéressant de créer une liste blanche fonctionnelle propre à l’actionneur
afin de limiter l’actionneur au strict usage de l’implantation du système industriel
sans permettre l’ouverture à d’autres capacités fonctionnelles potentielles.
Par exemple, à partir du système polyvalent, une image du système nominal peut
être faite ; tout ce qui n’est pas concordant (ex : .exe, .bat, etc.) serait bloqué.
Historiquement, le déterminisme était intrinsèque aux systèmes industriels
(mécanique, logique câblées et électronique analogique). Afin de réduire les
coûts et les délais de développement pour la livraison des systèmes industriels,
le fabriquant prend des fonctions polyvalentes déjà existantes pour les adapter
(ex. : OS, Windows); ce phénomène favorise cependant le détournement
de la fonction principale induisant ainsi le risque de malveillance. Il existe un
compromis qui se met en place : l’ASIC, des composants électroniques « hard »
contenant des fonctions programmables qui ne peuvent plus être changés une
fois programmés.
Certes la mise en place d’une politique de sécurité déterministe peut apparaître
à court terme très coûteuse et longue à mettre en œuvre mais sur le moyen
terme voire le long terme, celle-ci est nécessaire et peut en effet contribuer à la
réduction des coûts et des risques.
LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET Chapitre 4
L’audit du code
Le code source des programmes pour les systèmes industriels doit être revu
par une entreprise indépendante au fabricant ou par l’ANSSI, par exemple, qui
fournira un label, ex. : stone soft, wallix, etc. À titre d’exemple cet audit de code
prendre en compte tous les cas d’une condition, c’est-à-dire quand une valeur
va de 0 à 10, et reprendre ainsi distinctement chaque valeur et s’assurer que
les 10 valeurs soient opérationnelles. Si l’une d’elles est défaillante, le système
proposé devra être rejeté dans sa globalité.
Authentification forte
Afin de réduire l’usurpation d’identité et s’assurer de la réalité d’une commande
reçue, la mise en place d’une authentification forte est une solution simple et
efficace. L’authentification forte implique celle de l’utilisateur ou du matériel
avec deux facteurs distingués en quatre familles :
– le savoir : password ou une question et une réponse ;
– être : biométrique (avec trace (digital) ; sans trace (œil, iris)) ;
– possédé : clé d’identification, certificat, ou un device (clé) ;
– faire : signature (vitesse de saisie clavier).
Total de 14 méthodes d’authentification double facteurs conformes aux directives PCI-DSS et FFIEC
Les moyens d’authentification Sécurité vs Contrainte vs Confort d’usage
L’authentification simple ne repose que sur un seul facteur (ex. : mot de

passe) ; l’authentification forte repose sur deux facteurs ou plus. L’authentification
unique (Single Sign-On/SSO) est une méthode permettant à un utilisateur de ne
procéder qu’a une seule authentification pour accéder à plusieurs applications.
Les fonctionnalités d’identification transparentes sont les suivantes :
– identification transparente (pas de multiple demande) ;
– traçabilité des utilisateurs ;
– politique de sécurité appliquée en fonction des utilisateurs ;
– contrôle des accès aux réseaux (NAC) ;
– gestion des mouvements des utilisateurs.
Le chiffrement et le principe
ou la chaîne de confiance
L’utilisation du chiffrement de la communication des systèmes industriels se
présente en deux versions :
– version symétrique : ssl simple d’utilisation et demande moins de ressources
pour chiffrer/déchiffrer ;
– Version asymétrique : ipsec plus dur à compromettre
De même dans le chiffrement il faut tenir compte de la clef fournie par une PKI
de l’entreprise. Cette PKI interne permet de générer des certificats de trois ordres
pour trois rôles différents :
– Un certificat signature pour signer un message : permet de vérifier l’intégrité.

– Un certificat identité pour identifier l’objet : utilisateur, system, MTU, …
– Un certificat de chiffrement pour la confidentialité. Éviter qu’un attaquant
ne puisse pas espionner les flux, car il lui est impossible de comprendre
le contenu.
Un autre intérêt d’avoir une PKI réside dans la liste de certificats révoqués
«Certificate revocation list/CRL », afin de contrôler l’usage de ces certificats et
de pouvoir les révoquer en cas de compromission : vol du système, doute.
Ainsi la mise en place de certificat sur les MTU permet d’identifier le MTU, de
chiffrer de bout en bout les communications.
Le principe de confiance
ou la chaîne de confiance
Dans le but de maîtriser l’utilisation des certificats utilisés pour le chiffrement, il
est nécessaire de connaître la façon dont ils sont fabriqués.
Afin d’avoir confiance dans les clés utilisées, il est parfois nécessaire de
posséder le même outil de fabrication de ces clés. Une analogie peut être faite
avec les clés de la maison : en cas de prêt de ces clés à quelqu’un comment être
sûr que cette personne n’a pas fait un double ? En cas de doute et d’absence
de confiance dans la personne, un changement de serrure s’impose. Ainsi, ce
même raisonnement est applicable pour les clés utilisées pour le chiffrement.
Les schémas présentés ci-dessous illustrent un arbre qui permet d’ordonner
tous les certificats et la chaîne de confiance ou le principe de confiance comme
étant le parcours des certificats de confiance jusqu’à la racine de l’arbre
de confiance.
Protocoles spécifiques SCADA

par les fabriquants des solutions
« endpoint »
Les éditeurs et fabriquants de dispositifs de sécurité informatique ont vu une
opportunité s’ouvrir à eux depuis que les exploitants des systèmes industriels
ont pris conscience de la vulnérabilité de leurs systèmes.
De nouvelles signatures et moteurs prenant en compte les protocoles des
sytèmes industriels arrivent dans le commerce afin de pourvoir être implémentés
sur ces systèmes. Les solutions « endpoint » mettent en œuvre des mécanismes
d’exclusion afin de ne pas impacter les systèmes en temps réel. Issu des services
informatiques, les analyses comportementales sont adaptées à ces nouveaux
langages. Certains fabricants de sécurité créent des partenariats avec les
fabricants industriels afin de développer des solutions spécifiques.
Ainsi, Intel Security décline une sécurité spécifique pour les systèmes industriels
en profondeur avec ses deux marques :
– McAfee sur les stations finales (IDS, anti-virus).
– STONESOFT comme élément d’interactions.
De plus, un Firewall virtuel, permet de créer simplement une ségrégation des

réseaux et embarque un moteur signature avec un développement spécifique
aux systèmes industriels.
Approche sémantique
« firewall sémantique »
Il existe plusieurs langages de programmation des automates programmables.
Ces langages sont tous gérés par la norme IEC 1131-3, qui spécifie la syntaxe,
la sémantique et l’affichage des langages de programmation suivants :
– logique à relais (LADDER)
– graphcet (SFC)
– bloc fonction (FBD)
– texte structuré (ST)
– liste d’instruction (IL)
Il n’est pas nécessaire de supporter tous ces langages pour être conforme
à la norme. L’avantage et les objectifs de ce standard sont de faire cohabiter
différents types de langages de programmation dans un même processeur.
L’utilisateur choisi donc celui approprié en fonction de ses préférences et en
fonction de la nature de la tâche à programmer. Ainsi, l’utilisation du Graphcet,
par exemple, est plus appropriée aux systèmes séquentiels tandis que les Blocs
Fonction sont plus utilisés dans les process. Le LADDER, qui est le plus connu de
tous, est utilisé pour la gestion des systèmes discrets.
Une étape supplémentaire de sécurité est de mettre en place des filtres

sémantiques en copiant le modèle du « Security operational Cente » Soc, avec
des équipes humaines qui créaient des règles de corrélation et de filtrage.
Exemple : les solutions « endpoint » doivent rester généralistes, le filtre sémantique
peut alors supprimer l’instruction « SUPPRIMER » des flux destinés aux actionneurs
qui n’ont pas à recevoir cette instruction. Les variables peuvent être bornées ou
fixées à des valeurs pour rendre plus déterministe les fonctions du MTU.
Enfin, l’amélioration du service de découverte sémantique doit permettre au
service de découverte de prendre en charge des requêtes plus complexes
incluant des contraintes comportant des valeurs numériques, ceci afin de mieux
cibler la recherche de certains services.
Amélioration de la Cyber sécurité

des réseaux des systèmes industriels
En Septembre 2002, le Département de l’Énergie des États-Unis a publié un
document intitulé « 21 mesures pour améliorer la cyber- sécurité des réseaux des
systèmes industriels » ; il fournit une liste d’actions et de procédures de sécurité
des systèmes d’information adaptés aux besoins et caractéristiques des systèmes
industriels. L’ensemble de ces mesures d’amélioration sont listées dans le
tableau ci-dessous.
Identification de toutes Il convient de faire une analyse systématique pour chaque type de connexion ci-après le réseau local
les connexions réseaux : interne et les réseaux étendus, y compris les réseaux métiers : l’Internet ; les périphériques à réseau sans
fil, y compris les liaisons Satellite ; les modems, RNIS ou connexions Adsl ; les liaisons aux partenaires
commerciaux, fournisseurs, ou les organismes de réglementation.
Débranchez les connexions inutiles Afin d’assurer le plus haut degré de sécurité des systèmes industriels, le réseau doit être isolé le plus
du réseau : possible des autres connexions réseau. Des stratégies telles que l’utilisation de zones démilitarisées (DMZ)
et le stockage de données peuvent faciliter le transfert sécurisé de données du réseau du système industriel
vers des réseaux métiers. Toutefois, ces stratégies doivent être conçues et mises en œuvre de façon à éviter
l’introduction des risques supplémentaires résultant d’une mauvaise configuration.
Évaluer et renforcer la sécurité Il est nécessaire de compléter le point 2 par des tests d’intrusion et de vulnérabilité de toutes les connexions
de toutes les connexions restantes restantes afin d’évaluer le degré de protection de ces connexions. Le résultat associé aux processus
au réseau : de gestion du risque fournissent les bases d’une stratégie de protection robuste pour l’ensemble des
connexions du réseau.. C’est à ce niveau qu’il apparaît essentiel de mettre en place des pare-feu, des
systèmes de détection d’intrusion (IDS) et d’autres mesures de sécurité appropriées pour chaque point
d’entrée. La gestion de l’organisation doit comprendre et accepter la responsabilité des risques liés à toute
connexion au réseau.
Durcissement du système industriel Un service ou une fonctionnalité sur un réseau d’un système industriel ne doit demeurer, à moins qu’une
en supprimant ou en désactivant les évaluation approfondie des risques et des conséquences ait été effectuée et démontre les avantages
services inutiles : du service ou de la fonctionnalité en question, et que ces derniers l’emportent largement face au risque
d’exploitation d’une vulnérabilité.
Protéger son système au-delà Les protocoles propriétaires « obscurs » fournissent très peu de sécurité, il ne faut pas s’en contenter.
des protocoles propriétaires :
pour s’assurer une protection des
systèmes.
Mettre en œuvre les fonctions Les propriétaires de systèmes industriels doivent obtenir de leur fournisseur la mise en œuvre de fonctions
de sécurité fournies par les de sécurité sous la forme de tâches, sur les produits comme sur les mises à niveau. La préoccupation de
fournisseurs de périphériques et de la sécurité doit être impérativement prise en compte, de la conception des équipements et systèmes ainsi
systèmes : que dans leur fabrication.
Mettre en place des contrôles Lorsque des portes dérobées ou des connexions de fournisseurs existent dans les systèmes industriels,
rigoureux sur tout support utilisé l’authentification forte doit être mise en œuvre pour assurer la sécurité des communications. Modems
comme porte dérobée dans le sans fil et réseaux filaires utilisés pour les communications et la maintenance représentent une vulnérabilité
réseau du système industriel : majeure sur le réseau du système industriel et des sites distants.
Mettre en place des systèmes Pour s’assurer de pouvoir lutter contre les cyber-attaques, une stratégie de détection des intrusions, avec
internes et externes de détection alerte aux administrateurs, ainsi qu’un suivi de l’activité du réseau malveillant provenant de sources internes
d’intrusion et établir un suivi de ou externes sont impératifs. La surveillance du système est essentielle 24 heures sur 24 heures et peut être
l’incident 24 heures par jour : facilement mise en place grâce à une notification sur un téléphone mobile. En outre, des procédures de
réponses aux incidents doivent apporter une réponse efficace à toute attaque. Il faut également compléter
cette action par l’activation de la journalisation de l’ensemble des systèmes afin de détecter toute activité
suspecte dès que possible.
Effectuer des audits techniques :
Mener des enquêtes de sécurité Identifier et évaluer toute source d’information, y compris les câbles distants (téléphone, réseau informatique,
physique du site central et des sites fibre optique, etc.) qui pourraient être exploitées, les liaisons radio et micro-ondes qui sont exploitables; les
distants connectés au réseau terminaux informatiques qui pourraient être accessibles et les points locaux d’accès sans fil de réseau. La
du système industriel afin sécurité du site doit être suffisante pour détecter ou empêcher l’accès non autorisé.
d’évaluer leur sécurité :
Identifier et évaluer les attaques il est conseillé de constituer une «red team» pour répondre à ce besoin.
possibles :
Rôles et responsabilités il convient de définir clairement dans l’organisation le rôle et la responsabilité de chaque gestionnaire,
en cyber-sécurité administrateur système et utilisateurs.
Niveaux de protection Pour tout système qui remplit des fonctions critiques ou qui contient des informations sensibles, il convient
supplémentaires : de documenter l’architecture du réseau et d’identifier les systèmes qui requièrent des niveaux de protection
supplémentaire.
Gestion des risques : Il est nécessaire de mettre en place un processus de gestion des risques rigoureux et continu.
Stratégie de protection Mettre en place un principe fondamental qui doit faire partie intégrante de toute stratégie de protection
de réseau basé sur le principe du réseau assure une défense en profondeur. Celle-ci est à considérer au début de la phase de conception
de la défense en profondeur : du processus de développement et être prise en compte dans toutes les décisions techniques concernant
le réseau. En outre, chaque couche doit être protégée contre d’autres systèmes de la même couche. Par
exemple, pour se protéger contre la menace interne, il faut empêcher les utilisateurs d’accéder à d’autres
ressources que celles strictement nécessaires pour s’acquitter de leurs fonctions.
Cyber-sécurité : Il convient d’identifier clairement les exigences en matière de cyber sécurité afin d’apporter toutes les
actions préventives nécessaires.
Les processus de gestion Mettre en place la gestion de la configuration permet de couvrir les configurations matérielles.
de configuration
Systèmes de détection d’intrusion

Un système de détection d’intrusion (IDS) comprend le matériel ou le logiciel,
ou une combinaison de ceux-ci, conçu pour surveiller et analyser les activités sur
un ordinateur hôte ou un réseau afin de déterminer si un événement malveillant
s’est produit ou est survenu.
En plus de détecter une attaque, un IDS est particulièrement utile dans la
détection des signes précurseurs à une attaque tout comme les analyses et les
sondes qui recherchent des ports ouverts ou d’autres moyens d’entrée dans un
ordinateur ou un réseau.
Les IDS sont également utiles dans la caractérisation des menaces contre des
ordinateurs ou les réseaux, car ils collectent des informations avant, pendant et
après une attaque ou tentative d’attaque. En appliquant un IDS, les données
acquises doivent être stockées et analysées dans un emplacement séparé de
l’environnement surveillé.
Typologie des IDS
1 - IDS basé sur les réseaux et sur les hôtes

Un IDS basé sur un réseau capture et évalue les paquets de messages
circulant sur un segment de réseau. Ces IDS sont généralement des dispositifs
passifs qui utilisent des capteurs pour surveiller le trafic réseau et sont conçus
pour protéger les ordinateurs hôtes. En période de trafic réseau élevé, un IDS
basé sur le réseau peut rencontrer des problèmes dans le suivi de tous les
paquets et pourrait rater une attaque qui est lancée. En outre, un IDS basé sur
le réseau ne peut pas analyser les paquets cryptés ; par conséquent il ne peut
identifier une attaque qui utilise des messages cryptés. Enfin, si un IDS peut dire
qu’une attaque est lancée, il ne peut pour autant déterminer le résultat. Ainsi, une
intervention manuelle est nécessaire pour discerner si l’attaque a réussi contre
un hôte du réseau.
Parce que ce type d’IDS réside sur un ordinateur hôte, il peut également
accéder à des informations avant qu’elles ne soient chiffrées ou après qu’elles ont
été déchiffrées ; ceci permet dans de nombreux cas de recueillir des informations
d’attaque lorsque les données sont transmises sous forme cryptée. Afin d’analyser
les attaques potentielles, un IDS basé sur l’hôte utilise les informations des journaux
système et suit des pistes de vérification du système d’exploitation.
Un sous-ensemble de type IDS basé sur l’hôte est un IDS basé sur l’application.
Il a les mêmes caractéristiques que le premier et évalue les opérations dans
une application logicielle. Par conséquent, il peut surveiller les attaques entre
l’utilisateur et l’application dès lors que les utilisateurs tentent d’accéder à des
données au-delà de leur niveau d’habilitation.
2 - IDS basé sur des signatures et sur des anomalies

Un IDS basé sur les signatures, ou IDS abusif comme on l’appelle parfois,
surveille l’activité du système et compare les caractéristiques de l’activité avec
celles d’attaques connues stockées dans une base de données. Parce que
ce type d’IDS fonde ses alarmes sur la correspondance à un motif d’attaque
connue, elle peut fournir des informations spécifiques sur la typologie et génère
moins de faux positifs qu’un IDS basé sur les anomalies. L’inconvénient d’un IDS
à base de signatures réside dans le fait qu’il ne puisse détecter de nouvelles
attaques, ces dernières ne sont pas encore stockées dans la base de données.
Celle-ci doit impérativement et constamment être mise à jour. En appliquant
un IDS basé sur les signatures du système industriel, la base de données
de signatures d’attaque aura des caractéristiques différentes de signatures
dans une base de données orientée informatique d’entreprise (Bureautique,...).
Ces signatures devront donc être corrélées avec les protocoles du système
industriel tels que bus de Foundation fieldbus, Modbus, Profinet, ControlNet, etc.
Un IDS basé sur l’anomalie prend des échantillons statistiques de réseau
ou des données d’exploitation hôte pour élaborer un profil des activités
normales sur un système. Lorsque ces statistiques s’écartent de la norme, elles
indiquent généralement qu’une attaque est en cours. Les statistiques utilisées
pour caractériser un comportement normal comprennent le taux d’utilisation

de la CPU et le nombre de tentatives de connexion infructueuses. Si l’un des
avantages de ce type d’IDS est la détection de nouvelles attaques, ce dernier
peut malgré tout être trompé ; en effet, certaines intrusions ne changent pas de
manière significative les paramètres mesurés, elles sont alors indétectables. De
même, un IDS basé sur l’anomalie peut générer de fausses alarmes si l’activité
légitime de l’hôte ou du réseau provoque suffisamment de changement dans les
paramètres statistiques, ce qui peut alors provoquer une alarme illégitime.
3 - IDS réponse Active

L’IDS « réponse Actif » prend une certaine forme d’action en cas d’intrusion.
Les réactions typiques disponibles sont résumées dans la liste suivante:
• explorer l’environnement et obtenir des informations supplémentaires qui
seraient pertinentes dans l’identification d’une attaque ;
• bloquer les ports et protocoles du réseau utilisés par l’attaquant présumé ;
• changer les listes d’accès au routeur et au pare-feu pour bloquer les
messages provenant de l’adresse IP de l’attaquant présumé.
4 - IDS réponse Passif

Une « réponse passive » IDS fournit des informations sur une attaque à un
responsable qui peut, par la suite, décider du bon déroulement de l’action. La
personne peut être notifiée sous la forme d’un appel vers un téléphone cellulaire
ou un téléavertisseur, un message email, une alerte sur un écran de terminal
d’ordinateur ou un message à un protocole simple de gestion de réseau (SNMP)
de la console. Les informations fournies par l’alerte peuvent comprendre les
éléments suivants :
– l’adresse IP source de l’attaque ;
– l’adresse IP de la cible de l’attaque ;
– le résultat de l’attaque ;
– l’outil ou mécanisme utilisés pour lancer l’attaque ;
– les rapports et journaux d’attaques du système et des événements pertinents.
5 - Traitement des données IDS

L’IDS peut collecter et analyser des données sur d’éventuelles intrusions sans
bloquer l’acquisition des données en cours ; il peut aussi les récupérer sous
forme de bloc après qu’un événement se soit produit. Dans le mode continu,
également connu sous le traitement en temps réel, les données sont analysées
en même temps qu’elles sont recueillies, donnant ainsi à l’utilisateur la possibilité
de prendre des mesures pendant que l’intrusion est en cours. Au lieu d’analyser
les informations IDS sous forme de bloc après qu’une intrusion ait été réalisée, est
appelé en mode « batch » ou traitement par intervalles. Dans ce cas, l’utilisateur
ne peut pas intervenir lors d’un événement. Le mode batch était commun dans
les premières implémentations IDS parce que leurs capacités ne prennent pas
en charge l’analyse et l’acquisition de données en temps réel.
Les « Honeypot »
Une nouvelle approche de la sécurité des systèmes d’information, qui a été
appliquée aux systèmes d’information, est le pot de miel (Honeypot). Le pot de
miel, leurre à haute interaction au sein d’un système d’information, est utilisé pour
attirer un pirate loin des ressources critiques. Le pot de miel est contrôlé. Il est là
pour surveiller et obtenir des informations sur les attaquants du réseau.
Lance SPITZNER, président du projet Honeynet, définit un pot de miel comme
« une ressource de système d’information dont la valeur réside dans l’utilisation
non autorisée ou illicite de cette ressource ». Le projet Honeynet est un organisme
de recherche à but non lucratif composé de professionnels de la sécurité et de
bénévoles voués à la promotion de l’état de l’art en matière de sécurité des
systèmes d’information.
Les pots de miel (honeypot) sont actuellement explorés pour une utilisation
dans la protection des systèmes industriels. Une organisation qui fait usage
des pots de miel doit être prudente face aux conséquences juridiques et aux
responsabilités subjacentes. En effet, l’exploitant du système industriel est
passible de poursuites en raison de la violation du droit à la vie privée lors de
la surveillance des activités des salariés ; de même lorsqu’un pot de miel d’une
organisation est utilisé pour attaquer les ordinateurs d’une autre organisation,
des poursuites en raison du stockage des informations obtenues de manière
illicite ou volées peuvent être engagées.
Un des problèmes avec la simulation des systèmes industriels est que,
contrairement aux systèmes informatiques, il n’existe pas une grande base de
données de vulnérabilités ou d’avis de sécurité à partir de laquelle il est possible
de construire des scénarios réalistes d’attaques possibles, ni d’interpréter les
conséquences de ces dernières.
Recherche et analyse
de la vulnérabilité
Une analyse de vulnérabilité réalisée par un organisme a pour objectif
d’évaluer la sécurité de systèmes d’information ; elle est reconnue comme
« piratage éthique ». Les analyses sont effectuées par des intervenants qui se
placent dans la position d’attaquants ; ils recueillent des informations sur un
système cible pour faciliter une attaque plus tard sur le système. Les informations
types que l’on peut recueillir par une analyse de vulnérabilité comprennent les
éléments suivants :
– les noms de domaine et les adresses IP ;
– les pare-feu et dispositifs péri métriques ;
– l’infrastructure de réseau général ;
– les systèmes de détection d’intrusion ;
– les plates-formes et protocoles ;
– les ports ouverts ;
– les logiciels non autorisés ;
– lancer des services.
Les analyses de vulnérabilité dites « amicales » doivent être effectuées par un

professionnel de la sécurité avec l’autorisation expresse du management. Même
un balayage « sympathique » avec de bonnes intentions peut potentiellement
causer des dommages par inadvertance aux fichiers et à d’autres processus
critiques fonctionnant sur le système analysé ou le réseau.
Ces actions doivent être effectuées périodiquement pour identifier les
faiblesses dans les systèmes industriels et pouvoir, y besoin, y remédier. Quelques
types d’analyses typiques sont énumérés ci-dessous :
• balayage par découverte : acquiert des informations sur les périphériques
réseau, y compris le type d’appareil, les services en cours d’exécution, le
système d’exploitation utilisé, et les ports disponibles ;
• balayage du poste de travail : recueille des données sur les configurations
des ordinateurs de l’entreprise, y compris le matériel et les logiciels, mises à
jour et correctifs de sécurité ;
• balayage du serveur : détermine la configuration du système d’exploitation
du serveur et identifie l’exécution d’applications, les versions des logiciels,
des correctifs de sécurité, comptes par défaut, les mots de passe faibles, et
les programmes non autorisés ;
• balayage de port ou de la sonde : envoie des paquets de données vers
les ports afin d’acquérir les informations sur ces derniers, y compris les TCP
et UDP utilisés, les hôtes actifs, le type de système d’exploitation et publier
la version, les services de réseau, et la capacité de connexion à distance.
La vérification des journaux

Les systèmes industriels et leurs composants de sécurité, par leur nature même,
permettent d’acquérir en continu les données du journal sur presque tous les
aspects d’une usine sous contrôle. Ces journaux sont une source d’informations
précieuses sur les opérations de l’usine, y compris des informations sur les
personnes qui tentent d’accéder au système, les données relatives aux attaques
et tentatives d’attaques, les caractérisations de scans de ports et les entrées
possibles des Back-doors dans le système industriel.
Les journaux contiennent notamment des informations relatives à la vérification
des journaux du pare-feu, d’audit de routeur, de serveur de contrôle, du serveur
Web et les journaux associés aux commutateurs de données.
Toutefois l’utilisation des journaux d’audit afin de détecter des attaques sur
les systèmes industriels, entraîne une utilisation supplémentaire de ressources
de calcul d’un serveur et peut, par conséquent affecter les performances
du serveur de contrôle et entraîner des retards dans les temps de réponse
du système industriel.
De même, parce que les fichiers journaux contiennent des informations
critiques qui sont extrêmement utiles dans l’analyse d’investigation des attaques
et tentatives d’attaques, ces fichiers doivent être protégés avec le plus haut
niveau de sécurité disponible. Certaines méthodes efficaces de protection des
fichiers journaux d’audit incluent le cryptage, une vérification d’intégrité, et des
signatures numériques.
La sensibilisation
à la cyber-sécurité
Les ingénieurs de contrôle étaient traditionnellement concernés par la
conception, le développement, l’installation, l’exploitation et la maintenance de
systèmes efficaces, fiables, avec un contrôle sûr pour une variété de domaines.
Techniciens et opérateurs sont également impliqués, dans une certaine
mesure, dans ces différentes phases d’applications du système de contrôle.
Historiquement, les mesures de sécurité prédominantes étaient axées sur la
sécurité physique et une certaine sécurité technique pour se protéger contre
l’intention ou accidents malveillants.
L’utilisation de systèmes d’exploitation standards, de plates-formes matérielles,
des protocoles et les connexions aux réseaux externes exigent maintenant un
nouveau niveau de conscience pour le personnel du système de contrôle.
Un changement de paradigme dans la pensée est nécessaire pour aborder des
questions telles que les attaques via le réseau de l’entreprise de l’organisation,
les attaques via Internet, les types de menaces, les vulnérabilités du système
industriel, la réponse aux incidents, l’application des normes de sécurité, la
gestion des pare-feu, la reprise après sinistre et le risque gestion.
Afin d’accroître la sensibilisation à la sécurité, les employés (opérateurs,
mainteneurs, sous- traitants) doivent être informés et éduqués sur les problé-
matiques de la cyber-sécurité, notamment sur les aspects suivants :
– leurs responsabilités ;
– la politique de sécurité et l’organisation ;
– comment déterminer si un incident s’est produit ou se produit ;
– que faire si un incident est découvert ;
– la structure du rapport ;
– avoir la conscience générale de maintenir un environnement de sécurité
approprié.
Pour la sensibilisation à la sécurité, il est conseillé de mettre en place un plan
de formation dédié. Ce dernier n’a pas à être long ni complexe mais doit couvrir
les objectifs, les points d’action et les dates du programme, les affectations de
personnel ainsi que les moyens de mesurer les progrès du programme.
Une mesure efficace pour renforcer la sensibilisation de la sécurité consiste
à veiller à ce que toute personne qui se trouve en violation des exigences
de la politique et de sécurité de sécurité d’une organisation en assume les
conséquences. Les peines peuvent aller de l’avertissement à la révocation, selon
la gravité de la violation. En outre, des rappels standards et aide-mémoire tels
que des affiches, des bannières de connexion, des signes, des vidéos, des
bulletins d’information et autres supports sont un excellent moyen de rappeler
aux employés la nécessité d’appliquer les règles de sécurité au cours de leurs
activités quotidiennes.
Pour la sensibilisation à la sécurité, l’évaluation des connaissances acquises
par le personnel ciblé peut être obtenue par questionnaires, des interviews, des
exercices à problèmes ou encore des séances de questions-réponses. En fait,

au sein de l’organisation, il est aisé d’obtenir une bonne indication du niveau de
la sensibilisation à la sécurité en posant au personnel concerné certaines des
questions. Les réponses ainsi fournies révéleront si la sensibilisation à la sécurité
a migré à travers l’organisation dans la mesure où les menaces de sécurité
peuvent être traitées de manière appropriée.
La mise en œuvre des directives

et guides de gestion
de la sécurité
Ce qui suit est une liste d’autres questions concernant la mise en œuvre des
contrôles de sécurité dans les systèmes industriels :
– en raison de la capacité de calcul limitée, plus de technologies de sécurité
pourrait entraîner une dégradation des performances du système et les
temps de réponse ;
– l’utilisation du chiffrement, authentification forte, contrôle de la configuration
et d’autres mesures de sécurité fortes réduisent généralement la facilité
d’utilisation des systèmes industriels ;
– la consolidation de l’industrie, la concurrence accrue et de faibles marges
dans certains secteurs réduisent leurs investissements dans la technologie ;
– une capacité de réserve minimale, par exemple dans l’industrie de la
distribution d’électricité, a donné lieu à des systèmes qui sont moins résistants
aux accidents et d’attaques ;
– la déréglementation de certaines industries les a amené à se concentrer sur
l’efficacité et le retour sur investissement plutôt sur la sécurité et la fiabilité ;
– les questions relatives aux droits de confidentialité empêchent le dépistage
et le profilage de certains membres du personnel ;
– de nombreux systèmes industriels sont plus âgés et ont été conçus avec
un minimum d’attention à la sécurité. Ils envoient généralement des
informations cryptées, souvent via une transmission sans fil, ce qui rend
l’interception plus risquée.
La défense en profondeur
La stratégie de défense en profondeur est nécessaire car elle favorise la
protection à plusieurs endroits, la superposition des défenses, la robustesse de
l’information, les composants de sécurité, l’application de systèmes de détection
d’intrusion et le déploiement de méthodes robustes de gestion de clés publiques.
Cette défense est construite sur trois éléments essentiels. À savoir les personnes,
la technologie et les opérations.
Elle comprend les étapes suivantes :

• La défense
– du réseau et de l’infrastructure ;
– de la frontière de l’enclave ;
– de l’environnement informatique ;
– des infrastructures de soutien.
• La défense en profondeur impliquant les PERSONNES
doit mettre en place :
– les politiques et les procédures d’assurance de l’information ;
– l’engagement des ressources ;
– la désignation des rôles et responsabilités ;
– la responsabilité personnelle ;
– la formation du personnel critique ;
– l’établissement de sanctions en cas de comportement non autorisé ;
– les contrôles de sécurité physique ;
– les contrôles de sécurité du personnel.
• la défense en profondeur impliquant la TECHNOLOGIE
– la politique de sécurité ;
– les principes de l’assurance de l’information ;
– les informations architectures d’assurance au niveau du système ;
– les critères de spécification pour les informations requises ;
– les informations normes d’assurance de niveau de système ;
– l’acquisition des signaux fiables, l’architecture trois-tiers, les produits validés ;
– les processus d’évaluation des risques pour les systèmes intégrés ;
– les recommandations de configuration.
• la défense en profondeur impliquant les OPÉRATIONS
– le relèvement et la reconstruction ;
– la politique de sécurité ;
– l’application de la politique de sécurité des informations ;
– les certifications et accréditations ;
– la gestion de la posture de sécurité de l’information ;
– les services de gestion des clés ;
– la réalisation d’évaluations de sécurité des systèmes ; l’évaluation de
préparation ; le suivi et la réponse aux menaces ; les détections des
attaques, d’alerte et de réponse ; la protection de l’infrastructure.
La Gestion des risques

Les concepts fondamentaux de la gestion des risques dans le domaine de la
sécurité de l’information sont bien connus et peuvent être appliqués efficacement
à la sécurité des systèmes industriels.
La gestion des risques est conçue pour réduire l’impact négatif des menaces qui
se matérialisent et exploitent les vulnérabilités inhérentes aux systèmes industriels.
La gestion des risques consiste à évaluer le risque, l’atténuation du risque, puis
d’évaluer en permanence les risques du système. Les définitions importantes

liées à la gestion des risques sont :
– risque : la probabilité qu’une menace spécifique cause des dommages à un
système industriel en exploitant la vulnérabilité interne ;
– menace : un événement qui a le potentiel d’avoir un impact négatif sur un
système industriel. La menace est dirigée contre la confidentialité, l’intégrité
ou la disponibilité d’un système industriel ;
– vulnérabilité : une faiblesse dans un système industriel qui pourrait être
exploitée par une menace ;
– sauvegarde : une contre-mesure ou de contrôle de sécurité conçue pour
réduire le risque associé à une menace ou à un groupe spécifique de
menaces ;
– impact : l’effet ou la conséquence d’une menace réalisée contre un système
industriel.
L’équation suivante est souvent utilisée pour quantifier l’impact des coûts d’une
menace réalisée : l’espérance de perte annualisé (ALE) = l’espérance de perte
par menace réalisé (SLE) x le taux d’occurrence annualisé (ARO).
Évaluation du Risque
L’évaluation des risques d’un système industriel comprend les étapes résumées
ci-dessous :

6 &&%
7
8 & &
9 " ( &
: & && 2
; "5 5 & &0
< & !
= & ( &&
> 5& 0
Processus d’atténuation des risques
Le processus d’atténuation des risques met en œuvre des contrôles de

sécurité sur une base prioritaire. La mise en œuvre des contrôles n’élimine pas
complètement le risque, mais réduit le niveau de risque à une valeur acceptable.
Les commandes peuvent être techniques, physiques ou administrative. Ce qui
reste après la mise en place du contrôle est un risque résiduel.
Au titre des différentes alternatives d’atténuation des risques, il y a le transfert

du risque, la limitation du risque ou la recherche et le développement.
Figure – L’attaque vue par l’attaquant
Figure : Réduire l’intérêt de l’attaque7
(7) Présentation de Laurent Wolf. Cycle

Sécurité Numérique INHESJ 2013-
2014.
Propositions d’architecture
et de process
S’il n’est pas possible de garantir une sécurité ultime des systèmes industriels,
nous proposons quelques pistes afin de sécuriser au maximum les systèmes in-
dustriels. Celles-ci sont non exhaustives et à adapter en fonction du contexte.
Gestion des accès externes

Comme nous l’avons déjà précisé, il n’est plus possible de « fermer »

complètement l’écho système industriel, y compris pour la télégestion et l’exploi-
tation distante. Exemple de gestion des accès externes aux systèmes industriels :
Le principe consiste à ce que l’utilisateur, qu’il soit interne ou externe, se
connecte pour une opération sur les infrastructures industrielles via un accès
internet et suive le processus suivant :
0 - En premier lieu, il s’authentifie via internet avec ses identifiants sur un système
de mot passe unique. Pour ce faire, l’utilisateur devra être dûment enregistré
avec ses informations (nom, société, numéro de gsm…) dans un système
permettant de gérer des mots de passe à usage unique. Une fois fait,
il recevra le mot de passe de connexion via SMS.
1, 2, 3 - Avec ses accès à usage unique, l’utilisateur, toujours via Internet, et quel
que soit le device (pc personnel, tablette, Smartphone…) se connecte au SI
industriel via un accès de type portail SSL ; en l’occurrence ici, un Netscaler
est positionné dans une DMZ dédiée et ce derrière un reverse proxy afin
d’avoir une sécurisation renforcée et un accès indirect au SI.
4, 5 - Grâce à cette infrastructure, l’utilisateur se voit délivrer une machine
virtuelle « jetable » (pc virtuel banalisé avec les outils nécessaires qui se
régénère à chaque session) ; c’est cette machine qui se connectera aux
différents composants du système industriel.
6, 7 - Enfin, un système de gestion de comptes à privilège (type wallix), se
chargera de connecter la machine virtuelle aux infrastructures industrielles.
De ce fait, les comptes avec « pouvoirs » seront automatiquement « donnés »
sans que l’utilisateur final ne les connaisse et les actions de maintenance
pourront avoir lieu. Bien entendu tous les logs de ces actions seront
centralisés dans un système de type serveur, le log RSA inviolable, afin de
pouvoir retracer par la suite qui a fait quoi.
Gestion des mises à jour Microsoft
Comme pour l’accès d’un utilisateur tiers, il n’est pas concevable que les mises
à jour Microsoft se fassent directement sur les systèmes industriels. Pour ce faire,
comme indiqué sur le document :
1 - Nous allons recevoir les patches Microsoft sur un serveur maître dans une
DMZ via l’accès internet centralisé de l’entreprise.
2, 3 – Une synchronisation des patches « validés » ou « autorisés » se fera ensuite
entre le serveur maître WSUS puis dans la DMZ dédiée aux systèmes
industriels.
4– Les mises à jours pourront donc se faire et ce exclusivement sur les patches
qui auront été validés par l’IT.
Gestion des accès internes

Le principe est presque le même que pour les accès via l’internet.
Cette fois, l’utilisateur utilisera une smartcard qui sera validée par le Wallix ;
il n’aura pas besoin de passer par le mécanisme de reverse proxy et Nescaler
pour accéder aux SI industriel.
Gestion des mises à jour via média amovible
Dans certains cas il peut être nécessaire de mettre à jour, via un média
amovible, les systèmes industriels (MAJ des OS, des logiciels, de données de
fonctionnement) ; cela devient de plus en plus incontournable. En conséquence, il
nous parait judicieux de mettre en place un système de Kiosque de désinfection.
Comme présenté il nous parait obligatoire d’avoir une station de contrôle
des médias amovible avant leur introduction dans les systèmes industriels
(C ROM, Clef USB, Disquettes).
Pour ce faire il convient de mettre en place une machine non connectée
au réseau (mises à jour manuelles des versions logicielles, AV, etc.) ayant la
capacité de scanner tous les médias amovibles usités par le système industriel.
Si possible, y installer plusieurs AV du marché, capables de cohabiter ensemble ;
si cela ralenti en général les performances d’un système et peut être gênant
pour de la bureautique journalière, ça l’est beaucoup moins pour une station
dédiée aux analyse virales.
Une fois ceci fait, les médias peuvent être introduits sur les machines composant
le système industriel.
CONCLUSION
La cyber-sécurité doit être comprise comme étant un facteur de performance
des systèmes industriels et de réduction des coûts car elle apporte de la
rigueur et renforce la robustesse des installations. Par conséquent, elle augmente
leur productivité.
Ainsi, toutes les actions mises en place dans la recherche de la cyber-sécurité
pourront ultérieurement faciliter la gestion de l’obsolescence des infrastructures.
Le déterminisme dans la cyber-sécurité des systèmes industriels apporte de la
simplicité et de l’efficacité, comme par exemple la gestion centralisée des mots
de passe et des privilèges des utilisateurs.
C’est ainsi que la cyber-sécurité des systèmes industriels a été élevée en
cause nationale et européenne par les gouvernements, et que les agences
gouvernementales et les laboratoires nationaux allouent des fonds pour la
recherche et le développement. La coopération entre universités et secteurs
public et privé est de ce fait encouragée.
La mise en œuvre d’une politique de cyber-sécurité dans les systèmes industriels
doit absolument se fonder sur ces trois piliers :
1. les dispositifs de contrôle et prévention des risques et menaces ;
2. une action répressive qui assure l’incrimination de ces cyber-attaques ;
3. la sensibilisation et formation des personnes physiques et morales aux
questions de cyber-sécurité.
S’il n’existe à ce jour pas de solution miracle ou dédiée aux systèmes
industriels, nous pensons qu’il existe sur le marché plusieurs solutions capables
de protéger au maximum les systèmes industriels. Sans entrer dans des
préconisations de constructeurs et de solutions bien précises, il nous semble
que certains principes (concepts d’architecture) peuvent être appliqués et ce,
dans presque pour tous les types des systèmes industriels et domaines d’activités.
Ces grands principes sont les suivants :
– Pas d’accès direct à Internet pour les systèmes industriels.
– Isolation des réseaux entreprises et industriels avec des FW et des DMZ
LAN (configurés par défaut à ne rien autorisés sauf ce qui est nécessaire).
– Mise en place d’un outil de gestion des comptes à privilèges et/ou SSO
afin de ne jamais donner de droits élevés à un utilisateur.
– Logger toutes les actions.
– Toujours vérifier les médias amovibles avant leur introduction dans les systèmes.
– Dans la mesure du possible un logiciel de corrélation de log avec l’alerting
associé.
– Mise en place d’un SOC.
CONCLUSIONS
Pour ce qui concerne le marché, nous constatons que le problème de

sécurisation des systèmes industriels a été remis au goût du jour entre Siemens
et McAfee Stonesoft. Le premier revoit ses systèmes industriels (SCADA) et
le second vient d’annoncer dans sa roadmap produit un Firewall qui prend
en compte les spécificités techniques des systèmes industriels (protocoles,
ports etc…).
Malgré tout cela, comme nous avons pu le constater tout au long de notre
formation à l’INHESJ, et ce quel que soit les interlocuteurs, l’un des principaux
problèmes reste et restera toujours « l’humain utilisateur » du système industriel.
En conséquence nous pensons que les premières actions à prendre en compte
sont des actions d’acculturation au risque, de sensibilisation, de formation à la
cyber-sécurité et aux bonnes pratiques à avoir pour éviter tout problème, de
surcroît dans le cadre d’un système industriel. . ■
Définitions
Industrial Control System (ICS) ou Système Industriel
Ensemble de moyens informatisés et automatisés assurant le contrôle et le
pilotage des procédés « industriels ».
IHM Interface homme machine.
SmartSystems IICS à l’échelle d’une ville, d’une région ou d’un pays.
Système instrumenté de sécurité (SIS)
Système visant à mettre le procédé en position de replis de sécurité (c’est-à-
dire un état stable ne présentant pas de risque pour l’environnement et les
personnes), lorsque le procédé s’engage dans une voie comportant un risque
réel pour le personnel et l’environnement (explosion, feu…).
RTU Remote Terminal Unit.
SNCC Système numérique de contrôle commande.
SCADA
Principal sous-groupe des systèmes industriels acronyme en anglais des
Supervisory Control and Data Acquisition et en français, des systèmes
d’acquisition et de contrôle des données sont des systèmes de supervision
permettant la centralisation des données, gestion des alarmes et l’historisation
des données provenant de différents capteurs dans une usine, une plante
ou dans d’autres endroits éloignés et les envoie ensuite ces données à un
ordinateur central qui gère ensuite les données et les contrôles.
API Automate programmable industriel ou (PLC en anglais)
Désigne des automates programmables industriels pilotant des équipements
physiques et des systèmes numériques de contrôle commande (DCS) pilotant
des processus continus.
Cyber-Sécurité
État recherché par un système d’information lui permettant de résister à
des événements issus du cyberespace susceptibles de compromettre la
disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou
transmises et des services connexes que ces systèmes offrent ou qu’ils rendent
disponibles.
Sûreté de Fonctionnement (SDF) ou FMDS
Fiabilité, maintenabilité, disponibilité et sécurité.
OTP One Time Password.
VPN Virtual Private Network.
LDAP Lightweight Directory Access Protocol.
VPN Virtual Private Network.
PIN Personal Identification Number.
DÉFINITIONS
Reverse proxy
«A reverse proxy is a type of proxy server that retrieves resources on behalf
of a client from one or more servers. These resources are then returned to the
client as though they originated from the server itself (or servers themselves).
While a forward proxy acts as an intermediary for its (usually nearby) associated
clients and returns to them resources accessible on the Internet, a reverse proxy
acts as an intermediary for its (usually nearby) associated servers and only
returns resources provided by those associated servers.» – Wikipedia.
CITRIX NETSCALER
C’est une solution qui permet la mise à disposition d’applications Web qui
accélère les performances, offre une gestion du trafic des couches 4 à 7 et
un pare-feu applicatif intégré. Aussi, CITRIX NETSCALER permet de délester
les serveurs afin d’assurer une disponibilité applicative, une sécurité renforcée
et des coûts substantiellement réduits.
DMZ
En informatique, une zone démilitarisée (ou DMZ, de l’anglais demilitarized
zone) est un sous-réseau séparé du réseau local et isolé de celui-ci et
d’Internet par un pare-feu. Ce sous-réseau contient les machines étant
susceptibles d’être accédées depuis Internet. Le pare-feu bloquera donc les
accès au réseau local pour garantir sa sécurité. Et les services susceptibles
d’être accédés depuis Internet seront situés en DMZ. En cas de compromission
d’un des services dans la DMZ, le pirate n’aura accès qu’aux machines de la
DMZ et non au réseau local. - Wikipedia
WSUS - Windows Server Update Services
Il s’agit d’un service permettant de distribuer les mises à jour de Windows et
d’autres applications Microsoft sur les différentes machines Windows d’un
parc informatique. WSUS est un serveur de mises à jour local (ou proxy de
mises à jour) qui se synchronise avec le site public Microsoft Update et permet
de contrôler la diffusion des mises à jour dans le parc. Wikipedia.
SSO – Single Sign On - L’authentification unique
(ou identification unique ; en anglais Single Sign-On : SSO) est une méthode
permettant à un utilisateur de ne procéder qu’à une seule authentification
pour accéder à plusieurs applications informatiques (ou sites web sécurisés).
Wikipedia.
Références bibliographiques
“Protecting Industrial Control Systems Recommandations for Europe and
Member States Executive Summary in French”
Article « Cyber-sécurité des installations industriels: la norme CEI 62443 (ISA-

99) progresse » ISA France Section 14 mars 2013
“SCADA Security, compliance and liability – A survival guide” Clint Bodugen

Jeff Whitney Chris Paul Septembre 2009 vol 236 n°9
“Emerging legal issues in manging cyber risks for pilines” E Wolff, J Delionado,
AP Simpson R Hogfoss February 2013 vol 240 n°2
Presentation “ISA99/IEC 62443 a solution to cyber-security issues?” ISA

Automation Conference Doha Qatar 9&1à December 2012
“Can we learn from SCADA security incidents?” ENISA Octobre 2013
« Cinq étapes importantes à la sécurisation des environnements SCADA » E.

Lemarchand, la Tribune 17 septembre 2013
« La cyber-sécurité des systèmes industriels et tertiaires » Stéphane Meynet

Sécurité & Stratégie n°11 Décembre 2012
« Cyber-sécurité et entreprises : se protéger juridiquement et se former ». Anne

Souvira et Miriam Quéméner Sécurité & Stratégie n°11 Décembre 2012
« La Cyber-sécurité des systèmes industriels ». Guide ANSSI. Janvier 2014
- « Sécurité des réseaux industriels scadastrophe ou pas ? » Hervé
Schauer Consultats.
“21 steps to improve cyber security of SCADA networks”. Department of
Energy of United States of America
« Livret Blanc sur la défense et la sécurité nationale Ministère de la Défense »
23 avril 2013
« Discours d’ouverture Assises de la Sécurité » Novembre 2013
« SCADA : ne pas connecter un système ne le protège pas » IT PRO Magazine

décembre 2013
« Livre Blanc EURIWARE »
« Livre Blanc le CXP » Septembre 2011
RÉFÉRENCES BIBLIOGRAPHIQUES
« Window of exposure… a real problem for SCADA systems? Recommandations

for Europe on SCADA patching”. ENISA. December 2013
« Securing SCADA Systèmes » Ronald L KRUTZ, Wiley, 2006
Thèse « Intégration des systèmes industriels : une approche flexible sur les
services sémantiques » Saïd IZZA version 23 janvier 2013
« Privacy & Cybersecurity Update » Sadden, Arps, Meagher & Flom LLP &
Affiliates June
2013
« Revue Lamy Droit des Affaire RLDA » n°87 Novembre 2013.
« Le droit des robots » Murielle Cahen. Avocats-online.
« Vers un droit des robots » Alain Bensoussan. www.alain-bensoussain.com 21

avril 2014
« Quelles obligations pour les OIV en matière de cyber-sécurité : exigences

européennes et françaises comparées » Village de la justice Betty Sfez, Avocat
17 avril 2014.
« Cyber-sécurité : il n’y a pas que la LPM dans la vie » Gérome Billois 01net.
19 février 2014.
Premier ministre
institut national
des hautes études
de la sécurité et de la justice
ÉCOLE MILITAIRE
1 place Joffre
Case 39
75700 PARIS 07 SP
Tél.: 33 (0)1 76 64 89 00 – Télécopie : 33 (0)1 76 64 89 27
www.inhesj.fr

Rapport Auditeurs CIGREF INHESJ Securite Systemes Industriels

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Rapport Auditeurs CIGREF INHESJ Securite Systemes Industriels

Transféré par

Droits d'auteur :

Formats disponibles

Institut national des hautes études de la sécurité et de la justice

INHESJ TRAVAUX DES AUDITEURS

Dans le cadre du cycle de spécialisation « Sécurité des usages numériques »,

L’étude ci-dessous publiée est un document à vocation scientiﬁque. Il ne

Les études ou recherches de l’INHESJ sont accessibles sur le site de l’INHESJ.

Directeur de la publication M. Cyrille SCHOTT, directeur de l’INHESJ

Ce cycle de spécialisation en « Sécurité des usages numériques »

L’Institut est heureux de présenter dans sa collection Études et

Cyrille SCHOTT Pascal BUFFARD

Les Auteurs de ce travail intitulé « Sécurité des objets connectés » sont :

Sous la direction de Nicolas Arpagian, directeur scientiﬁque du cycle « Sécurité des

CHAPITRE 1 – Les systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

CHAPITRE 2 – Les risques et menaces des systèmes industriels . . . . . . . . . . . . 13

CHAPITRE 3 - Problématiques juridiques de la cyber-sécurité

CHAPITRE 4 – Les solutions de sécurisation de la connexion

La sécurité numérique doit se concevoir sur le modèle des multiples formes

De ce croisement de savoir-faire émergeront les stratégies utiles à mettre

Vous trouverez dans ce document le fruit de leurs réﬂexions après une

Ce sont donc des contributions utiles à une meilleure sécurité numérique.

Éric DELBECQUE Nicolas ARPAGIAN

© INHESJ – Septembre 2014 – Ingérence et politique de sécurité des systèmes d’information 7

– une infrastructure de communication reliant le système de supervision et

Les principaux objectifs

– la gestion de la base de données en temps réel, parfois propriétaire ; en

Ces systèmes industriels sont utilisés également dans la distribution, la chimie

Chapitre 2 LES RISQUES ET MENACES

Proﬁl des attaquants

Figure – Typologie des attaquants attaquant

%/-1! ,;%"%%0; !//5/0:)

Les cyber-attaques peuvent provenir de :

Typologie des risques

 &  & "% 

&  & &    0#0 

   

Typologie des menaces

Moyen d’accès d’une attaque

Après avoir eu accès au système industriel, l’attaquant cherche à tout prix

Chapitre 3 PROBLÉMATIQUES JURIDIQUES

« Le droit des robots »

Les dispositions juridiques existantes applicables aux fabriquants et/ou

Cette préoccupation doit être également au cœur des négociations

Les Systèmes industriels

Le dispositif juridique français

De même que pour les systèmes d’information « informatiques », il est impératif

Les dispositions européennes et françaises

Le comparatif entre les dispositions

Le tableau ci-après présente un comparatif des principales mesures de ces régimes.

  )'(+$)'(,   $ 

Les normes internationales applicables

À ce jour il n’existe pas de standard unique mondial, mais le NERC (North

Le rôle de la Direction Juridique

pénalités ; ils peuvent aller jusqu’à la mise en cause de la responsabilité de

Chapitre 4 LES SOLUTIONS DE

Le présent chapitre fait une présentation sous la forme « catalogue » de

Les moyens d’authentiﬁcation Sécurité vs Contrainte vs Confort d’usage

L’authentiﬁcation simple ne repose que sur un seul facteur (ex. : mot de

– Un certiﬁcat signature pour signer un message : permet de vériﬁer l’intégrité.

Protocoles spéciﬁques SCADA

De plus, un Firewall virtuel, permet de créer simplement une ségrégation des

Une étape supplémentaire de sécurité est de mettre en place des ﬁltres

Amélioration de la Cyber sécurité

Systèmes de détection d’intrusion

Typologie des IDS

%/-1! ,;%"%%0; !//5/0:)

& & "%

&& & 0#0

)'(+$)'(, $