Académique Documents
Professionnel Documents
Culture Documents
Juillet 2022
Direction Centrale Digitalisation et Système d’information 1
Direction Sécurité Systèmes d’Information
Référentiel cyber-sécurité des systèmes informatique industriels SONATRACH
SOMMAIRE
AVANT-PROPOS ................................................................................................................................ 6
MESURES TECHNIQUES......................................................................................................... 7
5. PROTECTION D’ACCES......................................................................................................... 28
MESURES ORGANISATIONNELLES............................................................................... 36
11.1. Vulnérabilités......................................................................................................................................................... 48
ANNEXES .......................................................................................................................................... 62
Avant-Propos
Les systèmes informatiques industriels ont connu une augmentation exponentielle des cyberattaques
au cours de ces dernières années, elles exploitent des vulnérabilités qui représentent des menaces
permanentes au bon fonctionnement de ces systèmes. Pour pallier aux éventuelles vulnérabilités
existantes et faire face aux cyber-menaces, la SONATRACH doit mettre en place une stratégie de
cyber-sécurité industrielle qui préconise les pratiques de cyberdéfense et accroît le niveau de cyber-
sécurité au sein de l’Ecosystème Informatique Industriel à l’échelle entreprise.
La stratégie de cyberdéfense ne s’arrête pas à la vision d'une sécurisation des systèmes informatiques
industriels uniquement, mais elle adopte une vision de « Défense en profondeur » cette vision revient
à sécuriser chaque sous-ensemble de l’écosystème informatique industriel.
La vision de « Défense en profondeur » définie des mesures de cyber-sécurité qui couvrent des aspects
organisationnels ainsi que des aspects techniques en matière de procédures, de personnes et de
technologie. Ces mesures sont classées en plusieurs couches selon le « Modèle de Défense en
Profondeur » :
Mesures Organisationnelles
Protections Physiques
Protections d’Accès
Protections Réseaux
Protections Applicatifs
Mesures Techniques
Les mesures techniques permettent de minimiser les risques liés aux systèmes informatiques industriels
et d’atténuer les éventuelles vulnérabilités. La mise en œuvre de telles mesures technique permet
d’assurer la sécurité des réseaux, des équipements, des applications et des données dans l’écosystème
informatique industriel.
1.3. Sauvegarde
La sauvegarde est l’opération qui consiste à mettre en sécurité les données d’un système informatique
industriel. Ainsi la stratégie de sauvegarde et de restauration des données est un élément majeur pour
garantir la disponibilité des données en identifiant les données nécessaires à sauvegarder pour répondre
aux besoins du bon fonctionnement des systèmes et leurs restaurations en cas de besoin.
Solution sauvegarde recommandée
Mettre en place un serveur de sauvegarde (SRV-Backup) qui abrite une solution de sauvegarde et de
restauration, dédié à ces opérations.
La solution de sauvegarde doit réaliser périodiquement des sauvegardes de trois niveaux :
Sauvegarde de base : sauvegardes sur le stockage local du serveur SRV-Backup, ou sur un serveur NAS à
l‘intérieur du réseau OT (NAS-OT) accessibles que pour les utilisateurs et les applications de sauvegarde du
réseau OT avec des droits lectures/écritures. Toutes les sauvegardes de base sont faites sur ce NAS-OT ou
bien le SRV-Backup (voir Figure 3 – Annexe 1).
Sauvegarde sur bande : sauvegardes périodiques sur des Bandes magnétiques, ces bandes doivent être
étiquetées et préservées dans des armoires ignifuges, accessibles uniquement par les personnes liées aux
sauvegardes.
Sauvegarde délocalisée : sauvegardes délocalisées faites sur un serveur NAS (NAS-FAR) qui se trouve
dans un lieu géographique autre que le site industriel (voir Figure 3 – Annexe 1).
1.4. Restauration
Une sauvegarde faite n’est pas forcément valide, pour être sûre de la fiabilité des sauvegardes des tests
de restauration s’impose.
TD5 - On distingue 4 catégories de test de restauration :
Test Restauration Valide : test de restauration effectué après la sauvegarde et périodiquement sur un
échantillon aléatoire,
Test Restauration Suffisant : test de restauration effectué après la sauvegarde,
Test Restauration Moyen : test de restauration effectué périodiquement,
Test Restauration Inexistant : test de restauration n’est pas effectué.
1.6. Archivage
Contrairement à la sauvegarde, l’archivage de données consiste à extraire les données inutilisées d’un
système pour les mettre à disposition sur un autre système ou support, libérant ainsi les ressources et
l’espace disque. L'archivage permet d’identifier et de classer les informations pour permettre une
recherche rapide en cas de nécessité technique ou réglementaire.
Politique d’archivage recommandée
La solution de sauvegarde et restauration doit réaliser périodiquement des opérations d’archivages des
données, la stratégie d’archivage doit :
o Faire deux copies d’archives des données critique, avec deux types de sauvegarde : « Sauvegarde sur
bande » et « Sauvegarde délocalisée »
o Faire une copie d’archives des données sensible avec deux types de sauvegarde : « Sauvegarde sur
bande » et « Sauvegarde délocalisée »
o Faire une copie d’archives des données importantes avec un type de sauvegarde : « Sauvegarde sur
bande »
o Effectuer des tests réguliers de restauration des archives.
2. Protections applicatifs
La protection applicative porte sur la sécurité logique des environnements, des applications comme les
durcissements configuration et les solutions de protections contre les virus et malwares.
TE8 - On définit 3 types de protocoles utilisé par le PLC dans Les réseaux de terrain :
Protocole Sécurisé : protocole TCP/IP adapté pour l’environnement industriel récent et qui est sécurisé,
Protocole Non-Sécurisé : protocole TCP/IP largement utilisé en automatisme (Modbus TCP, OPC,
BACnet/IP, …) et qui n’est pas sécurisés,
Protocole Vulnérable : protocole traditionnel (profibus, CANopen, DeviceNet, Modbus RTU, ...) et
qui n’est pas sécurisés.
4. Protection réseaux
La protection des systèmes informatiques industriels et du l’écosystème informatique industriel ne
s’arrête pas seulement à la sécurisation contre les menaces extérieures venant d’internet, des réseaux
WAN et du réseau IT. mais doit prendre en charge aussi la protection contre les menaces qui viennent
de l’intérieur du réseau OT.
TR1- On distingue 5 catégories de réseau dans l’écosystème informatique industriel :
Réseau OT : réseau industriel OT du site industriel qui comporte les équipements OT,
Réseau IT : réseau de gestion de la région/site/complexe IT, y compris les équipements-IT qui se
trouvent au sein du site industriel,
WAN-SH : réseau WAN de Sonatrach,
WAN-AST : réseau WAN des partenaires en association,
Réseau Extérieur : internet et tout autre réseau.
4.3. Segmentation
Un réseau non segmenté donne l’accès à l’ensemble des équipements du réseau OT en cas d’intrusion,
d’où la nécessité d’assurer une segmentation adéquate du réseau OT pour garantir la sécurité des
systèmes informatiques industriels.
Segmentation réseau OT recommandée
Pour avoir une sécurité plus renforcée Il faut mettre en place une segmentation du réseau OT en zones qui
est un regroupement logique et/ou physique de ressources ayant des exigences similaires en matière de
sécurité, et des conduits entre les zones qui regroupe des canaux de communication entre deux ou plusieurs
zones.
Lors de la modélisation des zones et des conduits, il faut prendre en compte que :
o Une zone peut avoir des sous-zones,
o Un conduit ne peut pas avoir de sous-conduits,
o Une zone peut avoir plusieurs conduits, les équipements au sein d'une zone utilisent un ou plusieurs
conduits pour communiquer,
o Un conduit ne peut pas traverser plus d'une zone,
o Les conduits servent à l’analyse des vulnérabilités et des risques potentiels pouvant exister au niveau
de la communication à l’intérieur d’une zone et dans les échanges entre zones,
o Les conduits se constitue de firewall, data diode ou switch pour la séparation entre les zones.
Le réseau OT doit être segmenté en zones et conduits (voir Figure 3 – Annexe 1) comme suit :
o Zone DMZ-OT : regroupe les équipements qui se trouve que dans la DMZ,
o Zone partage OT-IT : regroupe les serveurs partages et réplicas de données au réseau IT,
o Zone Accès Internet : regroupe les serveurs CSI qui accède à internet.
o Zone d’Accès Extérieur : regroupe serveurs qui accède à l’extérieurs,
o Zone Réseau Sans-fil OT : regroupe les connexions sans-fil du réseau OT,
o Zone ICS : chaque ICS doit être dans une zone distincte,
o Zone serveurs CSI : regroupe les serveurs communs a toute la solution cyber-sécurité,
o Zone Postes de travail OT : regroupe les PCs qui se connectent au réseau OT.
Eventuellement pour chaque système informatique industriel on définit des sous zones :
o Sous-Zone Réseau de supervision : Pour surveiller les automates et systèmes ICS, et détection
d’anomalie comme HMI, station d’ingénierie
o Sous-Zone PLC : réseau d’administration des automates.
o Sous-Zone Réseau de terrain : qui relient les entrées/sorties déportées aux automates.
o Sous-Zone Serveur : qui regroupe les serveurs du SII comme le serveur Historian local.
5. Protection d’accès
La gestion des accès logique a pour objectif de mettre en place un ensemble d’outils et de procédures
permettant de renforcer la sécurité et le contrôle d’accès au diffèrent systèmes et équipements.
TC3 - On distingue 4 catégories de politique de mise à jour des logiciels Microsoft depuis le réseau OT :
Mise à Jour Microsoft Sécurisée : conforme à la politique de mise à jour des logiciels Microsoft,
Mise à Jour Microsoft Moyenne : partialement conforme à la politique de mise à jour des logiciels
Microsoft,
Mise à Jour Microsoft Non-Sécurisé : non conforme à la politique de mise à jour des logiciels
Microsoft,
Mise à Jour Microsoft Inexistante : mise à jour des logiciels Microsoft inexistante.
TC9 - On distingue 3 catégories de prises réseau existante dans les sites industriels :
Prises Réseau Industriels : prises réseau connectés au réseau OT,
Prises Réseau Informatiques : prises réseau connectés existantes dans le site industriel qui se
connectent au réseau IT,
Prises Réseau Non-Utilisées : prises réseau ne se connectent à aucun réseau.
TC10 - On distingue 3 catégories de connexion des équipements aux prises réseau prises :
Connexion au Réseau OT : les équipements du réseau OT sont connectés aux prises réseau industriels
Connexion au Réseau IT : les équipements du réseau OT sont connectés aux prises réseau
informatiques
Connexion Simultanée : les équipements du réseau OT sont connectés simultanément aux prises des
deux réseaux industriels et informatiques
Politique de raccordement des prises réseau industriel recommandée
Les systèmes informatiques industriels et équipements OT ne doivent jamais avoir une connexion au réseau
IT ni une connexion simultanée.
Les prises réseau industriels ne doivent pas être accessibles dans les lieux publics,
Les prises réseau non-utilisées doivent être désactivées.
La connexion au réseau OT des équipements nomades laptop et smartphone est strictement interdite.
6. Protections physiques
La sécurité physique traite les aspects de la sécurité relative à l’emplacement physique et les contrôles
d’accès des équipements, elle influe directement sur la sécurité de ces équipements.
Mesures Organisationnelles
En plus des mesures techniques nécessaires pour sécuriser les systèmes informatiques industriels, il est
essentiel aussi de prévoir des mesures organisationnelles qui définies des exigences organisationnelles pour
but d’accroitre la sécurité de l’écosystème informatique industriel. La mise en œuvre de telles mesures
organisationnelles permet d’assurer plusieurs aspects de sécurité humains et procédurales.
7. Organisation et responsabilités
L’organisation joue un rôle essentiel dans la cyber-sécurité informatique industrielle, elle se traduit par la
définition des rôles et des responsabilités en matière de cyber-sécurité à tous les niveaux de l’entreprise,
cela permettra une meilleure prise en charge de la cyber-sécurité au sein de l’écosystème informatique
industriel.
Intervenant sur les Systèmes ICS : coordonnées des intervenants sur les systèmes ICS (structure,
département, nom, prénom, numéro, ...),
Interfaces : les interfaces existantes entre les systèmes,
Normes : les normes adoptées au niveau des sites,
Protocoles : les protocoles utilisés au niveau des sites industriels,
Local Technique et Salle Machines : zones d’emplacements des équipements.
8.2. Inventaire
L’inventaire pertinent des informations recensées permet d’établir une cartographie complète des
équipements et des intervenants existants au sein de l’écosystème informatique industriel.
OE2- On distingue 4 catégories d’inventaire :
Inventaire Basique : équipements ICS, Responsables des Systèmes ICS et intervenants sur les systèmes
ICS,
Inventaire Réseau : architectures réseau OT, équipement réseau
Inventaire Détaillé : protocoles, local technique et salle machines,
Inventaire Additif : normes et interfaces, et autre.
8.3. Cartographie
La cartographie complète est essentielle pour permettre d'avoir connaissance de l'ensemble des composants
dans l’écosystème informatique industriel et permet d'obtenir une meilleure lisibilité afin d’assurer une
bonne orientation lors des actions de sécurisation.
OE3- On distingue 5 catégories de cartographie :
Cartographie Complète : inventaire basic, réseau, détaillé et additif,
Cartographie Générale : inventaire basic, réseau, détaillé,
Cartographie Partielle : inventaire basic, réseau,
Cartographie Basique : inventaire basic,
Cartographie Inexistante : pas inventaire.
10.1. Incidents
Un incident est tout événement qui ne fait pas partie du fonctionnement standard d'un service et qui cause,
ou peut causer, une interruption ou une diminution de la qualité de ce service.
OI1 - On distingue 5 types d’incidents liées à la gravité d’occurrences des risques :
Incident Minime : incident avec une gravité minime,
Incident Mineur : incident avec une gravité mineure,
Incident Sérieux : incident avec une gravité sérieuse,
Incident Majeur : incident avec une Gravité majeure,
Incident Critique : incident avec une gravité critique.
11.1. Vulnérabilités
La vulnérabilité est une faiblesse du système qui le rend sensible à une menace. Ces vulnérabilités pourront
être exploités par un attaquant afin qu’il porte atteinte à l’intégrité, la confidentialité et la disponibilité des
systèmes informatiques industriels et qui peut nuire à leurs bons fonctionnements.
12.Formation
La formation des différents profils cyber-sécurité qui interviennent sur les équipements de la cyber-sécurité
informatique industriels, est un élément indispensable pour assurer un niveau adéquat de cyberdéfense afin
de faire face à les menaces et les vulnérabilités liées aux cyber-attaque et cyber-sécurité.
12.2. Objectifs
OF5 - On distingue 2 catégories d’objectif de Cyber-sécurité :
Objectif Quantitatif : objectif à atteindre par le plan de formation mesuré en nombre de personnes à former,
Objectif Qualitatif : objectif à atteindre par le plan de formation mesuré en niveaux de compétence pour les
personnes formées.
OF8 - On distingue 3 catégories de réalisation des objectifs du plan de formation central par la région :
Objectifs du Plan de Formation Entreprise Réalisé : les objectifs quantitatifs et qualitatifs fixés pour la
région dans le plan de formation entreprise sont réalisés,
Objectifs du Plan de Formation Entreprise Insuffisant : les objectifs quantitatifs ou qualitatifs fixés pour
la région dans le plan de formation entreprise sont réalisés,
Objectifs du Plan de Formation Entreprise Non-Réalisé : les objectifs quantitatifs et qualitatifs fixés pour
la région dans le plan de formation entreprise sont pas réalisés.
13.Sensibilisation
En plus les mesures techniques qui protègent les systèmes informatiques industriels, il est impératif d’avoir
une réelle stratégie de sensibilisation liée au facteur humain qui vise à accroitre la conscience des risques
et menaces relatifs aux négligences ou les méconnaissances des intervenants.
OS6 – On distingue 3 catégories de type de rôle de la région dans l’exécution des actions de type :
Exécuter : la région doit exécuter ce type d’action, et faire un Feedback à l’entité central par rapport au
résultat de l’exécution de l’action,
Participer : la région doit participer dans l’exécution ce type d’action, un Feedback à l’entité central n’est
pas nécessaire,
Réaliser : la région doit réaliser ce type d’action, et faire des Feedbacks à l’entité central par rapport à la
réalisation de l’action.
14.Contrôle de conformité.
Le contrôle de conformité consiste à s’assurer du respect des mesures de sécurité techniques et
organisationnelles décrits dans ce document, et dégage les risques liés au non-respect de ces mesures.
Indice de cyber-sécurité Site : la note obtenu suivant le barème de conformité pour un site industriel,
Indice de Cyber-Sécurité Région : la moyenne des notes obtenu suivant le barème de conformité pour tous
les sites industriels de la Région,
Indice de Cyber-Sécurité Activité : la moyenne des notes obtenu suivant le barème de conformité pour tous
les Régions de l’Activités,
Indice de Cyber-Sécurité Entreprise : la moyenne des notes obtenu suivant le barème de conformité pour
tous Activités de l’entreprise.
14.3. Conformité
En générale la conformité peut avoir deux valeurs conforme ou non-conforme, la conformité adoptée dans
ce document varie suivant la note obtenu suivant le barème de conformité sur 1000 points, même la
conformité par couche de défense aura une valeur sur 100 pour les mesures techniques et 40 sur les mesures
organisationnelles. Ainsi il permet de mesurer le degré de conformité pour chaque site industriel.
16.Projet cyber-sécurité
L’objectif principal d’un projet de cyber-sécurité est de protéger l’écosystème informatique industriel
notamment les systèmes informatiques industriels et les données, en mettant en place une solution cyber-
sécurité qui permet de faire faces aux cyber-menaces et minimiser les risques d’attaque, en se mettant en
conformité avec la politique de cyber-sécurité de SONATRACH.
ANNEXES
Contrat de Contrat de maintenance et Contrat de Maintenance et Support Valide (30) Prestataire de Constructeur (10)
maintenance et support/ maintenance
Contrat de Maintenance et Support Non-Valide (5) /10 Prestataire Certifié (10)
support 40
/40 Prestataire Non-Certifié (0)
Contrat Inexistant (0)
Solution de cyber-sécurité Complète (20)
Solutions de cyber-sécurité Solution de cyber-sécurité Partielle (8)
/20 Solution de cyber-sécurité Non-Conforme (5)
Projet cyber- Solution de cyber-sécurité Inexistante (0)
sécurité
Procédures de lancement Procédures de lancement Valide (10)
/40
d’un projet cyber-sécurité Procédures de lancement Insuffisant (4)
/10 Procédures de lancement Non-Valide (0)
Procédures de réalisation Procédures de réalisation Valide (10)
d’un projet cyber-sécurité Procédures de réalisation Non-Valide (4)
/10 Procédures de réalisation Inexistante (0)
Norme/Standard Description
ISA/IEC 62443 Une série de normes multi-industries définissant les méthodes et techniques de
protection cyber classées et qui s'applique à toutes les parties prenantes
ISO/IEC 27005 Décrit les grandes lignes de la gestion des risques. Elle est conçue pour aider à
la mise en place de la sécurité de l'information basée sur une approche de
gestion des risques.
NIST 800-61 Norme qui décrit la gestion des incidents cyber sécurité IT .