Cybersécurité des Systèmes de Contrôle Industriels -2-
Les Infrastructures critiques utilisant desSystèmes de Contrôle Industriels
Industrie nucléaire
Industrie pétrolière, chimique et pharmaceutique
Traitement et distribution d’eau
Transport et distribution d’électricité, de gaz
Centrales électriques
Infrastructures de transports (routières, ferroviaires, portuaires, aéroportuaires)
Notamment les Opérateurs d’Importance Vitale
Cybersécurité des Systèmes de Contrôle Industriels -3-
Les composants techniques d ’un SCI
Y
Acquisition Historisation Supervision
Bus numérique
ContrôleurContrôleur
Bus numériqueLiaisons point à point
RTU
Bus numérique
ContrôleurEntrées / Sorties
distribuées Sans-fil
Industriel
Système d’Information d’Entreprise
Système de Contrôle Industriel
Niveau 3Gestion
Opérationnelle
Niveau 4Système
d’information d’Entreprise
Niveau 2Supervision et
Contrôle
Niveau 1Contrôle
Commande
Contrôleur
Niveau 0Processus (capteurs & actionneurs)
Logistique (ERP)
Data Warehouse Facturation
GestionFabrication
(MES)
GestionDistribution
(DMS)
GestionCompteurs Intell.
(MDM)
Systèmes déportés
Liaisons point à point
Liaisons point à point
PC Industriel
Cybersécurité des Systèmes de Contrôle Industriels -4-
Les enjeux de la cybers écurité des SCIUne montée des risques depuis 2010� Existence de cyber-attaques de plus en plus sophist iquées
• Piratage de Google en 2010, de plusieurs ministères et grandes entreprises françaises
� Fin du mythe de l’isolation des Systèmes de Contrôl e Industriels• Intégration grandissante avec le Système d’Information• Nombreuses adhérences SI/SCI : applications de gestion des actifs, GMAO,
gestion de la chaîne logistique, calculs de coût et facturation, …• Poussée par le progrès technique et les exigences de productivité
� Vulnérabilité intrinsèque des Systèmes de Contrôle I ndustriels• Technologies hétérogènes et quelquefois anciennes• Produits industriels (matériels et logiciels) mal protégés• Mise à jour de sécurité irrégulières• Vulnérabilité des développements spécifiques
� Découverte d’opérations ciblant spécifiquement les SCI• StuxNet a ouvert la boîte de Pandore
Multiplication des obligations réglementaires liées à la sécurité� en particuliers pour les « Opérateurs d’Importance V itale »
Cybersécurité des Systèmes de Contrôle Industriels -5-
Les sp écificités de la s écurité des Systèmes de Contrôle Industriel
1. La nature et la priorité des risqueLe sabotage est le risque principal, plutôt que l’e spionnage
2. Des vulnérabilités techniques spécifiquesVulnérabilités des PLC, des RTU, des SCADA
Equipements anciens
Protocoles de communication vulnérables (Modbus/TCP , OPC, DNP3 …)
3. Des contraintes d’exploitation différentesDifficulté d’application des mesures traditionnelles (antivirus, patchs sécurité …)
Nécessité d’assurer la continuité 24/24 du fonctionne ment
4. Des mesures de protection techniques spécifiquesSegmentation et défense en profondeur
Plus de contrôle par listes blanches
Pare-feux et modules IDS métier, diodes réseau
5. Un environnement normatif complexe et évolutifISO 27019, ISA 99/CEI 62443, normes nucléaires …
Cybersécurité des Systèmes de Contrôle Industriels -6-
Mesures organisationnelles
La pyramide des processus de sécurisation
Définition de l’architecture de sécurité
Mesures de protection
Mesures de surveillance
Mesures d’atténuation Mesures d’exploitation
• Politique• Organisation
• Gestion des actifs
• Management des personnels• Sensibilisation formation• Liens avec sécurité physique
• Audits– orga,– techniques
• Analyse et gestion des risques
• Processus de remontées d’alertes
• Définition d’une échelle de degrés de sécurité
• Analyse de criticité
• Conception des zones de sécurité
• Définition des adaptations de la topologie existante
• Contrôle des flux
• Durcissement des équipements
• Protection des données
• Plans de continuité
• Auditabilité et traçabilité
• Gestion identités
• Admin. des actifs & modifs.
• Mise en place infra. surveillance
• Supervision 24/24 • Intervention sur incidents• Forensique
• Veille et adaptation permanente des règles de détection
����
���� ���� ����
����
����
Cybersécurité des Systèmes de Contrôle Industriels -7-
Retours d ’exp érience
SécuritédesSCI
Organisation et management de la
sécurité
Architecture de systèmes de contrôle
Normes de sécuritéindustrielle
Réseaux et leurs infrastructures
Hacker éthique
Gestion de production industrielle
Des équipes pluridisciplinaires
Cybersécurité des Systèmes de Contrôle Industriels -8-
Retours d ’exp érience
Développement de nouveaux systèmes
Sécurisation des systèmes existants par étapes successives
Maintien encondition de sécurité
• Etudes de risque du système industriel
• Conception d’architectures industrielles sécurisées
• Elaboration de plans de sécurisation et de plans de progrès
• Projets de déploiement de la sécurisation
• Réalisation et mise en service de systèmes industriels sécurisés
• Amélioration continue de la sécurité du système industriel
Etudes
• Conseil en gouvernance de la sécurité industrielle
• Surveillance 24/24 et interventions sur incident
• Audits organisationnels,techniques (tests de
pénétration)
Etape 1
Etape 2
Processus d’amélioration continue
Etape N
• Administration de sécurité• (mises à jour, vulnérabilités,
veille techno.)
Une longue marche
Cybersécurité des Systèmes de Contrôle Industriels -9-
Quelques règles d ’or
Ne pas penser la tâche comme une extension ou un cas particulier de la sécurité du SI
S’entourer d’une équipe pluridisciplinaire
S’assurer de l’adhésion de l’exploitant
Commencer par les fondamentaux� Mesures organisationnelles, architecture, hygiène i nformatique
Approfondir avec le concours de spécialistes� Méthodologie adaptées au contexte industriel pour l es analyses
des risques � Conseils à l’orientation dans la jungle des standard s � Approche systématique à la segmentation en zones de sécurité
Cybersécurité des Systèmes de Contrôle Industriels -10-
Méthodologie
Développement de nouveaux systèmes
Sécurisation de systèmes existants
Maintien encondition de sécurité
• Etudes de risque du système industriel
• Conception d’architectures industrielles sécurisées
• Elaboration de plans de sécurisation et de plans de progrès
• Projets de déploiement de la sécurisation
• Réalisation et mise en service de systèmes industriels sécurisés
• Amélioration continue de la sécurité du système industriel
Etudes
• Conseil en gouvernance de la sécurité industrielle
• Surveillance 24/24 et interventions sur incident
• Audits organisationnels,techniques (tests de
pénétration)
• Administration de sécurité• (mises à jour, vulnérabilités,
veille techno.)
Etape 1
Etape 2
Processus d’amélioration continue
Etape N
Cybersécurité des Systèmes de Contrôle Industriels -11-
Mise en place d ’équipes pluridisciplinaires
SécuritédesSCI
Organisation et management de la
sécurité
Architecture de systèmes de contrôle
Normes de sécuritéindustrielle
Réseaux et leurs infrastructures
Hacker éthique
Gestion de production industrielle
Cybersécurité des Systèmes de Contrôle Industriels -13-
Les mesures organisationnelles
Exemples de contrôles organisationnels
Gestion des risques
Mise en place d’un SMSII
• Différents cadres de référence disponibles– Famille ISO 27k (générique)– ISA 99/62443 (spécifique indus.)
• … et qui sont en train de converger• Mesures de contrôle et d’audit
Gestion des risques
• Permet de prioriser les actions– Sécuriser en premier les systèmes les plus
sensibles – Optimiser l’utilisation du budget sécurité
• Peut amener à supprimer des fonctions vulnérables dont le besoin métier n’est pas ou plus justifié
• Peut devenir une obligation réglementaire pour les OIV
• Différentes méthodes ou cadres normatifs– ISO 27005 -> EBIOS
• Mise en place d’indicateurs et de tableaux de bord
Exemples de contrôles organisationnels
• Le site tient-il un inventaire de ses actifs et est-il àjour ?
• Y a-t-il une cartographie des réseaux et est-elle àjour ?
• Y a-t-il un processus cohérent pour clôturer les comptes et droits d’accès des employés lorsqu’ils quittent l’organisation ?
• Y a-t-il une liste à jour des personnels sous-traitants et de leurs droits d’accès ?
• Existe-t-il un catalogue des règles appliquées sur les pare-feux et comment les configurations sont-elles vérifiées ?
• Les procédures de sauvegarde sont-elles en place, sont-elles testées régulièrement ?
• Existe-t-il une politique de gestion des média amovibles, des PC de maintenance ?
Cybersécurité des Systèmes de Contrôle Industriels -14-
La définition de l’architecture de s écurité
Zone de sécurité� Ensemble physique ou logique d’équipements partage ant les mêmes
contraintes de sécurité� Dotée de frontières identifiées� Avec une politique de sécurité adaptée
Conduit� Chemin pour les flux logiques entre deux zones� Concentre les fonctions de sécurité permettant de re lier de façon sûre deux
zones de niveaux de sécurité différents� Permet de concentrer les activités de surveillance aux points critiques
ConduitConduit
ISA 99/CEI 62443 : la segmentation comme approche d e la sécurisation
ZoneSupervision
ZoneSupervision
ZoneContrôle-Commande
ZoneContrôle-Commande
Cybersécurité des Systèmes de Contrôle Industriels -15-
La segmentation comme approche de la s écurisation
Exemple de segmentation d’un système en zones et conduits
Acquisition
Système de gestion du
procédé
Système d’entreprise
Atelier A
Logistique (GPAO)
DataMining
Gestion Fabrication(MES)
Historisation
Routeur
Routeur
Routeur
SCADA A
Zone SA
Zone CA
Bus numérique
Process A Zone PA
Acquisition
Atelier BRouteur
SCADA B
Zone SB
Zone CB
Autom. B
Contrôleur
Process B Zone PB
Routeur
Liaisons point à point Sans-fil
Industriel
Zone EM
Zone EC
Routeur
Capteurs extérieurs
Contrôleur
Maintenance
Connexions externes
Conduit G/S
Conduit S/SA-SB
Zone G
Zone S
Autom. A
PC industriel
Cybersécurité des Systèmes de Contrôle Industriels -16-
Les mesures de protection techniques
Durcissement des équipements
• Protection des accès physiques– Verrouillage des ports USB et autres lecteurs (ex :
DVD) inutilisés– Protection physique des automates
• Durcissement des serveurs et des postes– Durcissement des OS– Politiques de mises à jour (patchs) de sécurité– Protections antivirale dans la mesure du possible– Autorisation des exécutables par listes blanches – Détection d’intrusion machine (HIDS)
• Durcissement des équipements industriels– Désactivation des fonctions inutilisées (ex.:
serveurs Web de maintenance)– Modification / vérification des mots de passe– Durcissement logiciel des communications (ex.:
verrouillage par adresse MAC)
Protection des données
• Protection des données en écriture• Chiffrement des données sensibles• Dispositifs de sauvegarde et de fiabilisation
Contrôle des flux
• Séparation logique des flux• VLAN, VPN
• Filtrage des flux réseaux• Pare-feux traditionnels
• Filtrage des protocoles applicatifs– Basé sur l’examen du contenu des messages– Nécessite des produits spécialisés capable de
filtrer les protocoles de communication industriels (Modbus/TCP, OPC, OPC UA …)
– IPS et IDS spécialisés• Diodes réseau
– Dispositifs techniquement très sécurisés, mais avec des contraintes de mise en œuvre et des inconvénients importants
– A réserver à la protection des dispositifs très critiques (exemple : automates de sûreté)
• Politique de sécurité des flux externes– Equipements distants (RTU)– Instrumentation extérieure (météo, radiologie)– Connexions entrantes externes (ex : services
de maintenance)
Cybersécurité des Systèmes de Contrôle Industriels -17-
Les mesures d ’atténuation des risques
Plans de continuité d’activité
• Mise en place d’une gestion des actifs centralisée
• Dispositions organisationnelles de secours
• Vérification des procédures– … de gestion de configuration– … de restauration des équipements individuels– … de restauration globale du système
• Protection de l’intégrité des données de restauration
Auditabilité et traçabilité
• Stockage des évènements – Évènements des équipements réseau– Évènements serveurs et postes de travail– Évènements sondes IDS et IPS si applicable
• Protection des dispositifs d’archivage– Durcissement logiciel– Redondance– Eventuellement signature et chiffrement
Cybersécurité des Systèmes de Contrôle Industriels -18-
Les mesures d’exploitation
Gestion des identités
• Administration des utilisateurs– Création / désactivation / suppression de comptes– Gestion des groupes et des profils– Modification des permissions
• Politique de gestion des mots de passe
Administration des actifs et gestion des modifications
• Gestion centralisée des actifs et gestion de la configuration du système
• Gestion des vulnérabilités et des niveaux de patchs
• Politique d’application des correctifs de sécurité
• Gestion des modifications
Cybersécurité des Systèmes de Contrôle Industriels -19-
Les mesures de surveillance
Mise en place d’une infrastructure de surveillance
• Centralisation des évènements • Outils d’analyse et de recoupement • Instrumentation des points sensibles (IDS)• En complément des évènements remontés
en standard par les équipements
Veille technique
• Outils de veille sur l’état des menaces• Adaptation permanente
– Des règles de détection– Des règles de filtrage
Surveillance 24/24
• Mise en place d‘une organisation de gestion opérationnelle
• Surveillance 24/24 en centre opérationnel de sécurité
• Articulation avec équipes d’exploitation opérationnelle
Intervention sur incident
• Equipes d’intervention familières des contraintes d’exploitation opérationnelle
• Mise en place de SLA• Capacités en forensique
Top Related