Académique Documents
Professionnel Documents
Culture Documents
RISQUES ET SÉCURITÉ
DE LA CONNEXION
Cycle « Sécurité des usages numériques »
DES SYSTÈMES
Travaux de la 4e promotion (2013-2014)
INDUSTRIELS SUR
INTERNET
en partenariat avec le
DÉCEMBRE 2014
L’Institut national des hautes études de la sécurité et de la justice publie chaque
année des rapports et études sur les champs de la sécurité et à la justice.
L’
information est désormais au cœur des actifs immatériels des
organisations et constitue un élément clé de leur performance.
L’entrée dans le monde numérique a par ailleurs conféré
aux systèmes d’information une dimension incontournable du
développement de l’économie. La « sécurité des usages numériques »
représente donc un enjeu majeur pour la pérennité et la compétitivité
des entreprises et des administrations. C’est pourquoi, dès 2010,
l’Institut national de hautes études de la sécurité et de la justice
(INHESJ) et le CIGREF (Réseau de Grandes Entreprises) ont convenu
de mettre en place un cycle de formation sur les problématiques
et les enjeux liés à la sécurité numérique à destination des cadres
d’entreprises des secteurs privé et public.
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 3
Les AUTEURS
Sommaire
PRÉAMBULE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
INTRODUCTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 5
PRÉAMBULE
Miser sur la diversité des compétences pour répondre à des menaces
protéiformes.
8 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 1 LES SYSTÈMES INDUSTRIELS
Historique
Jusqu’en 1940, les premiers systèmes de pilotage connectés étaient des
systèmes de contrôle dans les systèmes industriels. Ils étaient destinés à opérer
des équipements localisés dans des sites distants. Toutefois, à cette époque,
il était nécessaire d’avoir du personnel sur chacun des sites ou bien d’envoyer
une équipe pour opérer l’équipement. Les premiers essais de ces systèmes
industriels ont débuté par l’utilisation d’une paire de lignes entre les sites distants.
Chaque ligne opérait une seule pièce de l’équipement. Cette solution s’est
avérée très onéreuse mais justifiée par le besoin d’être opérée très fréquemment
ou afin de rétablir le service rapidement.
Puis les Relay/Tone system ont vu le jour ; comme des systèmes relais qui
créaient des pulsations envoyées au travers d’un canal de communication
jusqu’au site distant.
Dans les années 1960, les premiers systèmes industriels voient le jour en tant
que système d’exploitation électronique d’entrée / sortie, avec des transmissions
entre une station maître et une station distante. La station « maître » avait pour
but de recevoir des données à travers un réseau de télémétrie et de stocker les
données sur les ordinateurs centraux.
En 1965 pour la première fois, un ordinateur a été utilisé comme station maître,
capable d’avoir des fonctions en temps réel. Tel était le cas des processeurs
PRODAC et GETAC construits par GE et Westinghouse.
Progressivement les ordinateurs ont commencé à être dotés de fonctions de
scanning de données, du monitoring de données et des statuts, de changements
des alertes puis de données des connexions périodiques.
La plupart des systèmes industriels américains fonctionnaient alors avec une
base de scanning permanent avec l’ordinateur maître ; ce dernier envoie alors
les requêtes, les sites distants, eux, uniquement des réponses. En Europe, on
retrouve les premiers systèmes dans lesquels le site distant continue à envoyer
des données sans que le site central envoie des requêtes ; ceci grâce à un
canal qui permettait d’envoyer et de recevoir en même temps.
Ce n’est que dans les années 1970 que les systèmes de contrôle distribués
(DCS) ont été développés pour contrôler différents sous-systèmes éloignés ;
dans les années 1980, avec le développement du micro-ordinateur, le contrôle
de processus a pu être réparti entre les sites distants.
Puis il y a eu un développement des activités DEC utilisant des contrôleurs
logiques programmables (PLC) ; ils avaient la capacité de contrôler les sites
sans prendre la direction d’un maître.
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 9
LES SYSTÈMES INDUSTRIELS Chapitre 1
Dans les années 1990, les systèmes industriels avaient des capacités de
DCS et étaient adaptés en fonction de certaines caractéristiques de contrôle
propriétaires construits par le concepteur. Internet étant utilisé davantage
comme un outil de communication, les systèmes de télémesure utilisaient alors
des logiciels automatisés avec certains portails de téléchargement des
informations ou de contrôle de processus.
L’Ingénierie des systèmes industriels concerne aujourd’hui des processus
de contrôle, mais aussi la mesure, la prévision, la facturation, l’analyse et la
planification.
Les systèmes industriels actuels doivent répondre à un tout nouveau niveau
d’automatisation de contrôle avec un interfaçage aux équipements obsolètes,
tout en restant suffisamment souple pour s’adapter à l’évolution des technologies
d’information.
Les exigences des systèmes industriels relèvent aujourd’hui des mises à niveau
et mises à jour des versions des systèmes ; il faut alors donner la priorité à la
connaissance des composants du système avant de décider quelle interface
mettre en place ou quel matériel est nécessaire pour une application particulière.
Depuis les années 2000, une transformation profonde a eu lieu : les systèmes
isolés et propriétaire sont passés à des systèmes construits sur des architectures et
structures aux technologies standard hautement interconnectés sur des réseaux
privés, voire sur internet.
Ces systèmes, conçus pour durer des dizaines d’années à une époque où
la cyber criminalité touchant les infrastructures industrielles critiques n’était pas
encore répandue, n’intégraient pas encore nativement la sécurité réseau.
Composants
des systèmes industriels
Un dispositif système industriel, utilisé comme outil de sécurité de consignation
d’appareil électrique, est généralement composé des sous-systèmes suivants :
– une interface homme-machine qui présente les données à un opérateur
humain : ce dernier peut alors superviser et commander les processus ;
– un système de supervision et de contrôle informatique faisant l’acquisition
des données des processus et envoyant des commandes (consignes) aux
processus ;
– une unité terminale distante (RTU) reliant les capteurs convertissant les
signaux en flux de données numériques et envoyant les données numériques
au système de supervision ;
– des automates programmables industriels utilisés sur le terrain pour leur
versatilité et flexibilité due à leur capacité d’être configurables ;
10 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 1 LES SYSTÈMES INDUSTRIELS
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 11
LES SYSTÈMES INDUSTRIELS Chapitre 1
Domaines d’utilisation
des systèmes industriels
Les systèmes industriels sont conçus pour soutenir les processus industriels
et surveiller et contrôler, en temps réel, un large éventail de processus et
d’opérations, tels que la distribution de gaz et électricité (classique et nucléaire),
le traitement de l’eau, le raffinage de pétrole ou le transport ferroviaire.2 (2) Définition ENISA.
12 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS
Un autre élément qui n’est pas négligeable est qu’historiquement, les systèmes
industriels étaient dévoués à la protection de la sûreté de fonctionnement (SDF),
en utilisant une analyse statistique et des techniques de redondance, ce qui
permettait de faire le traitement du risque de défaillance des équipements.
Toutefois la SDF ne couvre pas les risques et menaces des cyber-attaques
qui évoluent très rapidement. Les standards de sûreté de fonctionnement des
systèmes industriels doivent alors s’adapter pour prendre en compte la cyber-
sécurité et éviter que l’intégrité des Systèmes Instrumentés de Sécurité (SIS)
assurant la sécurité des personnes puisse être remise en cause par une attaque
informatique.
La cybercriminalité désigne les infractions pénales commises par le biais
de réseaux informatiques et de l’information électronique. Elle concerne
aussi bien les atteintes aux biens (escroquerie, contrefaçon, vol des données,
etc.) que les atteintes aux personnes (terrorisme, incitation à la haine raciale,
(3) « Global State of Information pédopornographie, etc.) ; elle se situe à la quatrième place des fraudes les
Security Survey 2013, Tendances plus rencontrées par les entreprises. Le budget cyber-sécurité représente un
et enjeux de la sécurité de
l’information » Etude Price Water- budget annuel de 60 milliards de dollars. Ce montant devrait augmenter de
houseCooper, 30 janvier 2013. 10% dans les trois à cinq années à venir.3
Depuis que l’affaire Stuxnet a dévoilé au grand public les failles des
systèmes industriels, les risques et menaces pour ces derniers deviennent une
préoccupation majeure pour les exploitants, ainsi que pour les États et les
particuliers. Si l’appréhension d’une sécurité se fait essentiellement au travers
de bonnes pratiques, il convient aussi de recenser les vulnérabilités auxquelles
l’entreprise doit faire face.
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 13
LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Chapitre 2
14 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 15
LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Chapitre 2
16 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS
Dans l’objectif de faire un état des problématiques juridiques liées aux systèmes
industriels et à leur cyber-sécurité, il est nécessaire d’envisager les dispositifs
juridiques qui n’ont pas pour l’instant fait l’objet d’une formalisation dans le droit
positif et les normes existantes (« le droit des robots » et « Security by design »). Puis,
les interactions des systèmes industriels avec les objets connectés et également
la problématique récente en droit français liée à la cyber-assurance de ces
systèmes industriels. Enfin, une présentation de l’état du droit positif aussi bien
français, qu’européen et américain est nécessaire afin de comprendre la multitude
des textes applicables et dont la mise en œuvre par les exploitants afin d’être
en conformité avec celles-ci peut s’avérer difficile, d’où l’importance du rôle des
directions juridiques au sein des entités exploitant ces systèmes industriels.
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 17
PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3
« Security by design »
Il apparaît aujourd’hui impératif de prendre en charge la sécurité des
systèmes industriels dès le stade de leur conception, c’est-à-dire dès la rédaction
du cahier des charges et de l’expression des besoins par l’utilisateur final.
Ainsi l’exploitant commanditaire du système industriel en question se doit
d’imposer ses choix, d’exiger l’utilisation des produits certifiés et de prévoir des
clauses « d’audit de fournisseurs ».
18 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 19
PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3
La cyber-assurance
des systèmes industriels
Sur les 12 risques majeurs menaçant les entreprises, le cyber-risque occupe
la troisième position. La cyber menace évoluant, des solutions d’assurances
tendent à se développer. La France est cependant en retard sur ce point.
Il est nécessaire pour l’entreprise candidate à l’assurance, afin d’obtenir
un « scoring », d’associer un expert technique à l’assureur. Il réalisera un état
de la maturité organisationnelle de l’entreprise versus l’analyse et le contrôle
opérationnel des cyber-risques. L’assureur devra donc faire la transformation de
l’analyse en probabilité de l’apparition du cyber-risque et déterminer l’impact
sur le patrimoine du client : matériel, production, immatériel.
Aux États-Unis et au Royaume-Uni, plus de 30 % des entreprises ont déjà
souscrit à une police de cyber-risques. Après les récentes attaques chez Sony
ou Target, selon Ponemon, le coût moyen d’une donnée volée est de 145 UD.
L’atteinte à l’image est incluse dans cette évaluation.
Les offres actuelles dans le marché français proposent des garanties couvrant
tous les aspects des cyber-risques à savoir la responsabilité civile, les mesures
palliatives, la gestion de la crise, la communication, les dommages intérêts dus
aux clients et la perte d’exploitation entre autres. En revanche, le terrorisme est
systématiquement exclut.
20 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 21
PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3
22 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 23
PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3
24 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 4 LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET
Le retour au déterminisme
des systèmes industriels
La principale solution pour augmenter la cyber-sécurité des systèmes industriels
est de renforcer le déterminisme afin que les fonctions de bases du système
industriel ne soient pas détournées.
À défaut de bloquer la versatilité de la fonction TRU (Terminal Unique “capteur/
actionneur”), il faut asservir l’élément dans un environnement de contrôle en
imposant le déterminisme de la fonction. Aujourd’hui, tous les éléments des
systèmes industriels sont installés sur les systèmes polyvalents : OS, Windows,
Linux, etc.
Il serait intéressant de créer une liste blanche fonctionnelle propre à l’actionneur
afin de limiter l’actionneur au strict usage de l’implantation du système industriel
sans permettre l’ouverture à d’autres capacités fonctionnelles potentielles.
Par exemple, à partir du système polyvalent, une image du système nominal peut
être faite ; tout ce qui n’est pas concordant (ex : .exe, .bat, etc.) serait bloqué.
Historiquement, le déterminisme était intrinsèque aux systèmes industriels
(mécanique, logique câblées et électronique analogique). Afin de réduire les
coûts et les délais de développement pour la livraison des systèmes industriels,
le fabriquant prend des fonctions polyvalentes déjà existantes pour les adapter
(ex. : OS, Windows); ce phénomène favorise cependant le détournement
de la fonction principale induisant ainsi le risque de malveillance. Il existe un
compromis qui se met en place : l’ASIC, des composants électroniques « hard »
contenant des fonctions programmables qui ne peuvent plus être changés une
fois programmés.
Certes la mise en place d’une politique de sécurité déterministe peut apparaître
à court terme très coûteuse et longue à mettre en œuvre mais sur le moyen
terme voire le long terme, celle-ci est nécessaire et peut en effet contribuer à la
réduction des coûts et des risques.
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 25
LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET Chapitre 4
L’audit du code
Le code source des programmes pour les systèmes industriels doit être revu
par une entreprise indépendante au fabricant ou par l’ANSSI, par exemple, qui
fournira un label, ex. : stone soft, wallix, etc. À titre d’exemple cet audit de code
prendre en compte tous les cas d’une condition, c’est-à-dire quand une valeur
va de 0 à 10, et reprendre ainsi distinctement chaque valeur et s’assurer que
les 10 valeurs soient opérationnelles. Si l’une d’elles est défaillante, le système
proposé devra être rejeté dans sa globalité.
Authentification forte
Afin de réduire l’usurpation d’identité et s’assurer de la réalité d’une commande
reçue, la mise en place d’une authentification forte est une solution simple et
efficace. L’authentification forte implique celle de l’utilisateur ou du matériel
avec deux facteurs distingués en quatre familles :
– le savoir : password ou une question et une réponse ;
– être : biométrique (avec trace (digital) ; sans trace (œil, iris)) ;
– possédé : clé d’identification, certificat, ou un device (clé) ;
– faire : signature (vitesse de saisie clavier).
Total de 14 méthodes d’authentification double facteurs conformes aux directives PCI-DSS et FFIEC
26 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 4 LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET
Le chiffrement et le principe
ou la chaîne de confiance
L’utilisation du chiffrement de la communication des systèmes industriels se
présente en deux versions :
– version symétrique : ssl simple d’utilisation et demande moins de ressources
pour chiffrer/déchiffrer ;
– Version asymétrique : ipsec plus dur à compromettre
De même dans le chiffrement il faut tenir compte de la clef fournie par une PKI
de l’entreprise. Cette PKI interne permet de générer des certificats de trois ordres
pour trois rôles différents :
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 27
LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET Chapitre 4
Le principe de confiance
ou la chaîne de confiance
Dans le but de maîtriser l’utilisation des certificats utilisés pour le chiffrement, il
est nécessaire de connaître la façon dont ils sont fabriqués.
Afin d’avoir confiance dans les clés utilisées, il est parfois nécessaire de
posséder le même outil de fabrication de ces clés. Une analogie peut être faite
avec les clés de la maison : en cas de prêt de ces clés à quelqu’un comment être
sûr que cette personne n’a pas fait un double ? En cas de doute et d’absence
de confiance dans la personne, un changement de serrure s’impose. Ainsi, ce
même raisonnement est applicable pour les clés utilisées pour le chiffrement.
Les schémas présentés ci-dessous illustrent un arbre qui permet d’ordonner
tous les certificats et la chaîne de confiance ou le principe de confiance comme
étant le parcours des certificats de confiance jusqu’à la racine de l’arbre
de confiance.
28 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 4 LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 29
LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET Chapitre 4
Approche sémantique
« firewall sémantique »
Il existe plusieurs langages de programmation des automates programmables.
Ces langages sont tous gérés par la norme IEC 1131-3, qui spécifie la syntaxe,
la sémantique et l’affichage des langages de programmation suivants :
– logique à relais (LADDER)
– graphcet (SFC)
– bloc fonction (FBD)
– texte structuré (ST)
– liste d’instruction (IL)
Il n’est pas nécessaire de supporter tous ces langages pour être conforme
à la norme. L’avantage et les objectifs de ce standard sont de faire cohabiter
différents types de langages de programmation dans un même processeur.
L’utilisateur choisi donc celui approprié en fonction de ses préférences et en
fonction de la nature de la tâche à programmer. Ainsi, l’utilisation du Graphcet,
par exemple, est plus appropriée aux systèmes séquentiels tandis que les Blocs
Fonction sont plus utilisés dans les process. Le LADDER, qui est le plus connu de
tous, est utilisé pour la gestion des systèmes discrets.
30 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 4 LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET
Identification de toutes Il convient de faire une analyse systématique pour chaque type de connexion ci-après le réseau local
les connexions réseaux : interne et les réseaux étendus, y compris les réseaux métiers : l’Internet ; les périphériques à réseau sans
fil, y compris les liaisons Satellite ; les modems, RNIS ou connexions Adsl ; les liaisons aux partenaires
commerciaux, fournisseurs, ou les organismes de réglementation.
Débranchez les connexions inutiles Afin d’assurer le plus haut degré de sécurité des systèmes industriels, le réseau doit être isolé le plus
du réseau : possible des autres connexions réseau. Des stratégies telles que l’utilisation de zones démilitarisées (DMZ)
et le stockage de données peuvent faciliter le transfert sécurisé de données du réseau du système industriel
vers des réseaux métiers. Toutefois, ces stratégies doivent être conçues et mises en œuvre de façon à éviter
l’introduction des risques supplémentaires résultant d’une mauvaise configuration.
Évaluer et renforcer la sécurité Il est nécessaire de compléter le point 2 par des tests d’intrusion et de vulnérabilité de toutes les connexions
de toutes les connexions restantes restantes afin d’évaluer le degré de protection de ces connexions. Le résultat associé aux processus
au réseau : de gestion du risque fournissent les bases d’une stratégie de protection robuste pour l’ensemble des
connexions du réseau.. C’est à ce niveau qu’il apparaît essentiel de mettre en place des pare-feu, des
systèmes de détection d’intrusion (IDS) et d’autres mesures de sécurité appropriées pour chaque point
d’entrée. La gestion de l’organisation doit comprendre et accepter la responsabilité des risques liés à toute
connexion au réseau.
Durcissement du système industriel Un service ou une fonctionnalité sur un réseau d’un système industriel ne doit demeurer, à moins qu’une
en supprimant ou en désactivant les évaluation approfondie des risques et des conséquences ait été effectuée et démontre les avantages
services inutiles : du service ou de la fonctionnalité en question, et que ces derniers l’emportent largement face au risque
d’exploitation d’une vulnérabilité.
Protéger son système au-delà Les protocoles propriétaires « obscurs » fournissent très peu de sécurité, il ne faut pas s’en contenter.
des protocoles propriétaires :
pour s’assurer une protection des
systèmes.
Mettre en œuvre les fonctions Les propriétaires de systèmes industriels doivent obtenir de leur fournisseur la mise en œuvre de fonctions
de sécurité fournies par les de sécurité sous la forme de tâches, sur les produits comme sur les mises à niveau. La préoccupation de
fournisseurs de périphériques et de la sécurité doit être impérativement prise en compte, de la conception des équipements et systèmes ainsi
systèmes : que dans leur fabrication.
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 31
LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET Chapitre 4
Mettre en place des contrôles Lorsque des portes dérobées ou des connexions de fournisseurs existent dans les systèmes industriels,
rigoureux sur tout support utilisé l’authentification forte doit être mise en œuvre pour assurer la sécurité des communications. Modems
comme porte dérobée dans le sans fil et réseaux filaires utilisés pour les communications et la maintenance représentent une vulnérabilité
réseau du système industriel : majeure sur le réseau du système industriel et des sites distants.
Mettre en place des systèmes Pour s’assurer de pouvoir lutter contre les cyber-attaques, une stratégie de détection des intrusions, avec
internes et externes de détection alerte aux administrateurs, ainsi qu’un suivi de l’activité du réseau malveillant provenant de sources internes
d’intrusion et établir un suivi de ou externes sont impératifs. La surveillance du système est essentielle 24 heures sur 24 heures et peut être
l’incident 24 heures par jour : facilement mise en place grâce à une notification sur un téléphone mobile. En outre, des procédures de
réponses aux incidents doivent apporter une réponse efficace à toute attaque. Il faut également compléter
cette action par l’activation de la journalisation de l’ensemble des systèmes afin de détecter toute activité
suspecte dès que possible.
Effectuer des audits techniques :
Mener des enquêtes de sécurité Identifier et évaluer toute source d’information, y compris les câbles distants (téléphone, réseau informatique,
physique du site central et des sites fibre optique, etc.) qui pourraient être exploitées, les liaisons radio et micro-ondes qui sont exploitables; les
distants connectés au réseau terminaux informatiques qui pourraient être accessibles et les points locaux d’accès sans fil de réseau. La
du système industriel afin sécurité du site doit être suffisante pour détecter ou empêcher l’accès non autorisé.
d’évaluer leur sécurité :
Identifier et évaluer les attaques il est conseillé de constituer une «red team» pour répondre à ce besoin.
possibles :
Rôles et responsabilités il convient de définir clairement dans l’organisation le rôle et la responsabilité de chaque gestionnaire,
en cyber-sécurité administrateur système et utilisateurs.
Niveaux de protection Pour tout système qui remplit des fonctions critiques ou qui contient des informations sensibles, il convient
supplémentaires : de documenter l’architecture du réseau et d’identifier les systèmes qui requièrent des niveaux de protection
supplémentaire.
Gestion des risques : Il est nécessaire de mettre en place un processus de gestion des risques rigoureux et continu.
Stratégie de protection Mettre en place un principe fondamental qui doit faire partie intégrante de toute stratégie de protection
de réseau basé sur le principe du réseau assure une défense en profondeur. Celle-ci est à considérer au début de la phase de conception
de la défense en profondeur : du processus de développement et être prise en compte dans toutes les décisions techniques concernant
le réseau. En outre, chaque couche doit être protégée contre d’autres systèmes de la même couche. Par
exemple, pour se protéger contre la menace interne, il faut empêcher les utilisateurs d’accéder à d’autres
ressources que celles strictement nécessaires pour s’acquitter de leurs fonctions.
Cyber-sécurité : Il convient d’identifier clairement les exigences en matière de cyber sécurité afin d’apporter toutes les
actions préventives nécessaires.
Les processus de gestion Mettre en place la gestion de la configuration permet de couvrir les configurations matérielles.
de configuration
32 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 4 LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 33
LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET Chapitre 4
34 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 4 LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET
Les « Honeypot »
Une nouvelle approche de la sécurité des systèmes d’information, qui a été
appliquée aux systèmes d’information, est le pot de miel (Honeypot). Le pot de
miel, leurre à haute interaction au sein d’un système d’information, est utilisé pour
attirer un pirate loin des ressources critiques. Le pot de miel est contrôlé. Il est là
pour surveiller et obtenir des informations sur les attaquants du réseau.
Lance SPITZNER, président du projet Honeynet, définit un pot de miel comme
« une ressource de système d’information dont la valeur réside dans l’utilisation
non autorisée ou illicite de cette ressource ». Le projet Honeynet est un organisme
de recherche à but non lucratif composé de professionnels de la sécurité et de
bénévoles voués à la promotion de l’état de l’art en matière de sécurité des
systèmes d’information.
Les pots de miel (honeypot) sont actuellement explorés pour une utilisation
dans la protection des systèmes industriels. Une organisation qui fait usage
des pots de miel doit être prudente face aux conséquences juridiques et aux
responsabilités subjacentes. En effet, l’exploitant du système industriel est
passible de poursuites en raison de la violation du droit à la vie privée lors de
la surveillance des activités des salariés ; de même lorsqu’un pot de miel d’une
organisation est utilisé pour attaquer les ordinateurs d’une autre organisation,
des poursuites en raison du stockage des informations obtenues de manière
illicite ou volées peuvent être engagées.
Un des problèmes avec la simulation des systèmes industriels est que,
contrairement aux systèmes informatiques, il n’existe pas une grande base de
données de vulnérabilités ou d’avis de sécurité à partir de laquelle il est possible
de construire des scénarios réalistes d’attaques possibles, ni d’interpréter les
conséquences de ces dernières.
Recherche et analyse
de la vulnérabilité
Une analyse de vulnérabilité réalisée par un organisme a pour objectif
d’évaluer la sécurité de systèmes d’information ; elle est reconnue comme
« piratage éthique ». Les analyses sont effectuées par des intervenants qui se
placent dans la position d’attaquants ; ils recueillent des informations sur un
système cible pour faciliter une attaque plus tard sur le système. Les informations
types que l’on peut recueillir par une analyse de vulnérabilité comprennent les
éléments suivants :
– les noms de domaine et les adresses IP ;
– les pare-feu et dispositifs péri métriques ;
– l’infrastructure de réseau général ;
– les systèmes de détection d’intrusion ;
– les plates-formes et protocoles ;
– les ports ouverts ;
– les logiciels non autorisés ;
– lancer des services.
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 35
LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET Chapitre 4
36 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 4 LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET
La sensibilisation
à la cyber-sécurité
Les ingénieurs de contrôle étaient traditionnellement concernés par la
conception, le développement, l’installation, l’exploitation et la maintenance de
systèmes efficaces, fiables, avec un contrôle sûr pour une variété de domaines.
Techniciens et opérateurs sont également impliqués, dans une certaine
mesure, dans ces différentes phases d’applications du système de contrôle.
Historiquement, les mesures de sécurité prédominantes étaient axées sur la
sécurité physique et une certaine sécurité technique pour se protéger contre
l’intention ou accidents malveillants.
L’utilisation de systèmes d’exploitation standards, de plates-formes matérielles,
des protocoles et les connexions aux réseaux externes exigent maintenant un
nouveau niveau de conscience pour le personnel du système de contrôle.
Un changement de paradigme dans la pensée est nécessaire pour aborder des
questions telles que les attaques via le réseau de l’entreprise de l’organisation,
les attaques via Internet, les types de menaces, les vulnérabilités du système
industriel, la réponse aux incidents, l’application des normes de sécurité, la
gestion des pare-feu, la reprise après sinistre et le risque gestion.
Afin d’accroître la sensibilisation à la sécurité, les employés (opérateurs,
mainteneurs, sous- traitants) doivent être informés et éduqués sur les problé-
matiques de la cyber-sécurité, notamment sur les aspects suivants :
– leurs responsabilités ;
– la politique de sécurité et l’organisation ;
– comment déterminer si un incident s’est produit ou se produit ;
– que faire si un incident est découvert ;
– la structure du rapport ;
– avoir la conscience générale de maintenir un environnement de sécurité
approprié.
Pour la sensibilisation à la sécurité, il est conseillé de mettre en place un plan
de formation dédié. Ce dernier n’a pas à être long ni complexe mais doit couvrir
les objectifs, les points d’action et les dates du programme, les affectations de
personnel ainsi que les moyens de mesurer les progrès du programme.
Une mesure efficace pour renforcer la sensibilisation de la sécurité consiste
à veiller à ce que toute personne qui se trouve en violation des exigences
de la politique et de sécurité de sécurité d’une organisation en assume les
conséquences. Les peines peuvent aller de l’avertissement à la révocation, selon
la gravité de la violation. En outre, des rappels standards et aide-mémoire tels
que des affiches, des bannières de connexion, des signes, des vidéos, des
bulletins d’information et autres supports sont un excellent moyen de rappeler
aux employés la nécessité d’appliquer les règles de sécurité au cours de leurs
activités quotidiennes.
Pour la sensibilisation à la sécurité, l’évaluation des connaissances acquises
par le personnel ciblé peut être obtenue par questionnaires, des interviews, des
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 37
LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET Chapitre 4
La défense en profondeur
La stratégie de défense en profondeur est nécessaire car elle favorise la
protection à plusieurs endroits, la superposition des défenses, la robustesse de
l’information, les composants de sécurité, l’application de systèmes de détection
d’intrusion et le déploiement de méthodes robustes de gestion de clés publiques.
Cette défense est construite sur trois éléments essentiels. À savoir les personnes,
la technologie et les opérations.
38 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 4 LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 39
LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET Chapitre 4
Évaluation du Risque
L’évaluation des risques d’un système industriel comprend les étapes résumées
ci-dessous :
6 &&%
7
8
&
&
9
" (
&
: &
&&
2
;
"5
5
&
&0
< &
!
= &
(
&&
>
5&
0
40 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 4 LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 41
LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET Chapitre 4
Propositions d’architecture
et de process
S’il n’est pas possible de garantir une sécurité ultime des systèmes industriels,
nous proposons quelques pistes afin de sécuriser au maximum les systèmes in-
dustriels. Celles-ci sont non exhaustives et à adapter en fonction du contexte.
42 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 4 LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET
1, 2, 3 - Avec ses accès à usage unique, l’utilisateur, toujours via Internet, et quel
que soit le device (pc personnel, tablette, Smartphone…) se connecte au SI
industriel via un accès de type portail SSL ; en l’occurrence ici, un Netscaler
est positionné dans une DMZ dédiée et ce derrière un reverse proxy afin
d’avoir une sécurisation renforcée et un accès indirect au SI.
4, 5 - Grâce à cette infrastructure, l’utilisateur se voit délivrer une machine
virtuelle « jetable » (pc virtuel banalisé avec les outils nécessaires qui se
régénère à chaque session) ; c’est cette machine qui se connectera aux
différents composants du système industriel.
6, 7 - Enfin, un système de gestion de comptes à privilège (type wallix), se
chargera de connecter la machine virtuelle aux infrastructures industrielles.
De ce fait, les comptes avec « pouvoirs » seront automatiquement « donnés »
sans que l’utilisateur final ne les connaisse et les actions de maintenance
pourront avoir lieu. Bien entendu tous les logs de ces actions seront
centralisés dans un système de type serveur, le log RSA inviolable, afin de
pouvoir retracer par la suite qui a fait quoi.
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 43
LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET Chapitre 4
Comme pour l’accès d’un utilisateur tiers, il n’est pas concevable que les mises
à jour Microsoft se fassent directement sur les systèmes industriels. Pour ce faire,
comme indiqué sur le document :
1 - Nous allons recevoir les patches Microsoft sur un serveur maître dans une
DMZ via l’accès internet centralisé de l’entreprise.
2, 3 – Une synchronisation des patches « validés » ou « autorisés » se fera ensuite
entre le serveur maître WSUS puis dans la DMZ dédiée aux systèmes
industriels.
4– Les mises à jours pourront donc se faire et ce exclusivement sur les patches
qui auront été validés par l’IT.
44 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 4 LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET
Dans certains cas il peut être nécessaire de mettre à jour, via un média
amovible, les systèmes industriels (MAJ des OS, des logiciels, de données de
fonctionnement) ; cela devient de plus en plus incontournable. En conséquence, il
nous parait judicieux de mettre en place un système de Kiosque de désinfection.
Comme présenté il nous parait obligatoire d’avoir une station de contrôle
des médias amovible avant leur introduction dans les systèmes industriels
(C ROM, Clef USB, Disquettes).
Pour ce faire il convient de mettre en place une machine non connectée
au réseau (mises à jour manuelles des versions logicielles, AV, etc.) ayant la
capacité de scanner tous les médias amovibles usités par le système industriel.
Si possible, y installer plusieurs AV du marché, capables de cohabiter ensemble ;
si cela ralenti en général les performances d’un système et peut être gênant
pour de la bureautique journalière, ça l’est beaucoup moins pour une station
dédiée aux analyse virales.
Une fois ceci fait, les médias peuvent être introduits sur les machines composant
le système industriel.
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 45
CONCLUSION
La cyber-sécurité doit être comprise comme étant un facteur de performance
des systèmes industriels et de réduction des coûts car elle apporte de la
rigueur et renforce la robustesse des installations. Par conséquent, elle augmente
leur productivité.
Ainsi, toutes les actions mises en place dans la recherche de la cyber-sécurité
pourront ultérieurement faciliter la gestion de l’obsolescence des infrastructures.
Le déterminisme dans la cyber-sécurité des systèmes industriels apporte de la
simplicité et de l’efficacité, comme par exemple la gestion centralisée des mots
de passe et des privilèges des utilisateurs.
C’est ainsi que la cyber-sécurité des systèmes industriels a été élevée en
cause nationale et européenne par les gouvernements, et que les agences
gouvernementales et les laboratoires nationaux allouent des fonds pour la
recherche et le développement. La coopération entre universités et secteurs
public et privé est de ce fait encouragée.
La mise en œuvre d’une politique de cyber-sécurité dans les systèmes industriels
doit absolument se fonder sur ces trois piliers :
1. les dispositifs de contrôle et prévention des risques et menaces ;
2. une action répressive qui assure l’incrimination de ces cyber-attaques ;
3. la sensibilisation et formation des personnes physiques et morales aux
questions de cyber-sécurité.
S’il n’existe à ce jour pas de solution miracle ou dédiée aux systèmes
industriels, nous pensons qu’il existe sur le marché plusieurs solutions capables
de protéger au maximum les systèmes industriels. Sans entrer dans des
préconisations de constructeurs et de solutions bien précises, il nous semble
que certains principes (concepts d’architecture) peuvent être appliqués et ce,
dans presque pour tous les types des systèmes industriels et domaines d’activités.
Ces grands principes sont les suivants :
– Pas d’accès direct à Internet pour les systèmes industriels.
– Isolation des réseaux entreprises et industriels avec des FW et des DMZ
LAN (configurés par défaut à ne rien autorisés sauf ce qui est nécessaire).
– Mise en place d’un outil de gestion des comptes à privilèges et/ou SSO
afin de ne jamais donner de droits élevés à un utilisateur.
– Logger toutes les actions.
– Toujours vérifier les médias amovibles avant leur introduction dans les systèmes.
– Dans la mesure du possible un logiciel de corrélation de log avec l’alerting
associé.
– Mise en place d’un SOC.
46 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
CONCLUSIONS
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 47
Définitions
Industrial Control System (ICS) ou Système Industriel
Ensemble de moyens informatisés et automatisés assurant le contrôle et le
pilotage des procédés « industriels ».
IHM Interface homme machine.
SmartSystems IICS à l’échelle d’une ville, d’une région ou d’un pays.
Système instrumenté de sécurité (SIS)
Système visant à mettre le procédé en position de replis de sécurité (c’est-à-
dire un état stable ne présentant pas de risque pour l’environnement et les
personnes), lorsque le procédé s’engage dans une voie comportant un risque
réel pour le personnel et l’environnement (explosion, feu…).
RTU Remote Terminal Unit.
SNCC Système numérique de contrôle commande.
SCADA
Principal sous-groupe des systèmes industriels acronyme en anglais des
Supervisory Control and Data Acquisition et en français, des systèmes
d’acquisition et de contrôle des données sont des systèmes de supervision
permettant la centralisation des données, gestion des alarmes et l’historisation
des données provenant de différents capteurs dans une usine, une plante
ou dans d’autres endroits éloignés et les envoie ensuite ces données à un
ordinateur central qui gère ensuite les données et les contrôles.
API Automate programmable industriel ou (PLC en anglais)
Désigne des automates programmables industriels pilotant des équipements
physiques et des systèmes numériques de contrôle commande (DCS) pilotant
des processus continus.
Cyber-Sécurité
État recherché par un système d’information lui permettant de résister à
des événements issus du cyberespace susceptibles de compromettre la
disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou
transmises et des services connexes que ces systèmes offrent ou qu’ils rendent
disponibles.
Sûreté de Fonctionnement (SDF) ou FMDS
Fiabilité, maintenabilité, disponibilité et sécurité.
OTP One Time Password.
VPN Virtual Private Network.
LDAP Lightweight Directory Access Protocol.
VPN Virtual Private Network.
PIN Personal Identification Number.
48 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
DÉFINITIONS
Reverse proxy
«A reverse proxy is a type of proxy server that retrieves resources on behalf
of a client from one or more servers. These resources are then returned to the
client as though they originated from the server itself (or servers themselves).
While a forward proxy acts as an intermediary for its (usually nearby) associated
clients and returns to them resources accessible on the Internet, a reverse proxy
acts as an intermediary for its (usually nearby) associated servers and only
returns resources provided by those associated servers.» – Wikipedia.
CITRIX NETSCALER
C’est une solution qui permet la mise à disposition d’applications Web qui
accélère les performances, offre une gestion du trafic des couches 4 à 7 et
un pare-feu applicatif intégré. Aussi, CITRIX NETSCALER permet de délester
les serveurs afin d’assurer une disponibilité applicative, une sécurité renforcée
et des coûts substantiellement réduits.
DMZ
En informatique, une zone démilitarisée (ou DMZ, de l’anglais demilitarized
zone) est un sous-réseau séparé du réseau local et isolé de celui-ci et
d’Internet par un pare-feu. Ce sous-réseau contient les machines étant
susceptibles d’être accédées depuis Internet. Le pare-feu bloquera donc les
accès au réseau local pour garantir sa sécurité. Et les services susceptibles
d’être accédés depuis Internet seront situés en DMZ. En cas de compromission
d’un des services dans la DMZ, le pirate n’aura accès qu’aux machines de la
DMZ et non au réseau local. - Wikipedia
WSUS - Windows Server Update Services
Il s’agit d’un service permettant de distribuer les mises à jour de Windows et
d’autres applications Microsoft sur les différentes machines Windows d’un
parc informatique. WSUS est un serveur de mises à jour local (ou proxy de
mises à jour) qui se synchronise avec le site public Microsoft Update et permet
de contrôler la diffusion des mises à jour dans le parc. Wikipedia.
SSO – Single Sign On - L’authentification unique
(ou identification unique ; en anglais Single Sign-On : SSO) est une méthode
permettant à un utilisateur de ne procéder qu’à une seule authentification
pour accéder à plusieurs applications informatiques (ou sites web sécurisés).
Wikipedia.
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 49
Références bibliographiques
“Protecting Industrial Control Systems Recommandations for Europe and
Member States Executive Summary in French”
“Emerging legal issues in manging cyber risks for pilines” E Wolff, J Delionado,
AP Simpson R Hogfoss February 2013 vol 240 n°2
50 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
RÉFÉRENCES BIBLIOGRAPHIQUES
Thèse « Intégration des systèmes industriels : une approche flexible sur les
services sémantiques » Saïd IZZA version 23 janvier 2013
« Privacy & Cybersecurity Update » Sadden, Arps, Meagher & Flom LLP &
Affiliates June
2013
« Cyber-sécurité : il n’y a pas que la LPM dans la vie » Gérome Billois 01net.
19 février 2014.
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 51
Premier ministre
institut national
des hautes études
de la sécurité et de la justice
ÉCOLE MILITAIRE
1 place Joffre
Case 39
75700 PARIS 07 SP
Tél.: 33 (0)1 76 64 89 00 – Télécopie : 33 (0)1 76 64 89 27
www.inhesj.fr