Analyse de risques en cybersécurité industrielle

Cybersécurité Industrielle - Patrice Bock

Analyse de risques en cybersécurité industrielle

Présentation faite à l’EPSI Lyon en oct. 2011

(merci de solliciter l’auteur via la rubrique “Contact” du blog http://securid.novaclic.com pour toute ré-utilisation du contenu, qui n’est pas

libre de droits)

Ordre du jour

• L’environnement contrôle commande– Le modèle d’architecture générale – les couches– Les menaces et vulnérabilités spécifiques– L’accidentologie

• Les modèles pertinents d’analyse de risques– Les limites des approches du type ISO 27005

• EBIOS, MEHARI

– Le besoin d’approches pragmatiques• Inspirées par IEC 61508 et ISO 31000

– Exemple de méthodologie adaptée

• Conclusion– Où l’actualité confirme le besoin de pragmatisme



Partie 1 : l’environnement contrôle commande et ses spécificités


L’environnement contrôle commande (C-C)

• Les caractéristiques de chaque couche ISA

GPAO (‘MES’) : ordonnancement, stocks, suivi de production, nomenclature…

Terminaux ou SCADAs centralisés : Windows, IP (gestion données OPC), différents serveurs redondés, alertes, rafraichissement à la seconde

Automates, systèmes numériques de contrôle commande : boucles de contrôle, niveau de sécurité, protocoles spécifiques IP/Ethernet (DNP3, modbus…), temps réel

Capteurs (sondes…) et actuateurs (valves, moteurs…) – contrôlés via bus série, TOR, signaux analogiques, voire IP

Extrait de « LA CYBER-SECURITE DES SYSTEMES DE CONTROLE-COMMANDE », RAPPORT D’EVALUATION M3958 X 10 Publié par l’ EXERA, Date Novembre 2010


La boucle de contrôle commande

• Boucle standard (10-100 millisecondes) basée sur un automate programmable (‘controller’)

Automate programmable industriel

Capteurs physiques

Signaux de contrôle

Equipement piloté avec flux de matière en entrée et en sortie

Pilotages local et distant

Extrait de NIST SP 800-82, Guide to Industrial Control Systems (ICS) Security


Menaces et vulnérabilités

• L’analyse « standard » des spécificités C-C– Par « DICP »

• En gestion, C prioritaire• Dans l’industrie, D prioritaire (mais…)

– Par liste de points de comparaisons• Nombreuses sources : NIST, Euriware, DHS, CLUSIF etc…• Exemple :

– Systèmes de production « quasi-temps réel » (1 sec.)– Durée de vie des systèmes (facteur 10)– Mots de passe complexes vs disponibilité terminaux en urgence– Antivirus et mises à jour sur systèmes 24/7– Profil des personnels, nombre d’intervenants externes– Sécurité des logiciels SCADA (et automates)

• Une analyse trop théorique, peu opérationnelle– Nécessité de changer de référentiel


The Repository of Industrial Security Incidentswww.securityincidents.org

Latest incidents Incident type evolution

Accidentologie et évolution

Augmentation de la complexité, interconnexion de systèmes

Augmentation de la cybercriminalité (x3)

Mise en œuvre de mesures anti malveillants ?

Communication du DHS jeudi 29 septembre : le CERT ICS a annoncé avoir traité en 2010 116 requêtes d’assistance suite à des tentatives d’intrusion sur les systèmes industriels, et déjà 342 à date (i.e. fin septembre 2011) :

Communication de l’ANSSI lors des assises de la sécurité 2011 : l’ANSSI constate un saut quantitatif des attaques, notamment à but de vol d’information, dans les organismes d’état et les OIV.

Détails disponibles sur le blog http://securid.novaclic.com


Partie 2 : les modèles pertinents d’analyse de risque

Les limites de l’approche 27005• Le principe général

– Définition du périmètre– Liste des actifs informationnels à protéger

• Utilisation d’une échelle de criticité DIC pour priorités– Analyse des menaces, estimation du risque– Décision pour chaque risque (mitiger, assurer, éviter…)– Liste des mesures de protection à mettre en œuvre

• Le problème du contexte industriel– Peu de ressources disponibles + besoin de sensibilisation– De très nombreux actifs, de très nombreux risques

• Le score « ISO » sera faible et la longueur de la liste des actions, démotivante– Les critères de criticité ne sont pas les bons

• La grille des types de données et services est inadaptée– Les mesures ne sont pas toujours pertinentes

• La lourdeur de MEHARI (basée 27005) illustre bien le problème– Par ex. l’audit comporte plusieurs milliers (Nx1000 !) questions


Le besoin d’approches pragmatiques• Les critères doivent être ceux du risque industriel

– Risque sur l’information mais aussi : l’investissement, la capacité de production, les personnes, l’environnement

• L’approche doit être cohérente et pertinente avec la sûreté de fonctionnement– Contrairement à ce qui est accepté en informatique de gestion, la cybersécurité n’est pas un silo à part– Utilisation du vocabulaire et de méthodes proches de l’industriel

• IEC 61508 (1999), dérivés (61511) et ISO 31000 (2009)– Approches partant des vulnérabilités et menaces, et utilisant des scénarios (pas de catalogue a priori des actifs à

protéger) – permettant un travail plus léger et plus « coopératif » entre fonctions– Utilisation de périmètres avec niveaux de criticité différents– IEC 61511 : pour chaque processus contrôlé (boucle contrôle + sécurité), niveau de SIL « safety integrity level »

1 à 4

• ISA 99.03 (en cours de finalisation à l’ISA)– 99.03.01 (publié) : principes, vocabulaire – 99.03.02 : modèle pour définir un niveau de criticité par zone, et en déduire le SAL « security assurance level »

requis, entre 1 et 4. Utilise les notions de « zones » et « conduits » de l’ISA 99.01.– 99.03.03 : décline le SAL (1 à 4) en mesures à mettre en œuvre (auditables) sur 7 critères

• FR1 : Access control (AC)• FR2 : Use control (UC)• FR3 : Data integrity (DI)• FR4 : Data confidentiality (DC)• FR5 : Restrict data flow (RDF)• FR6 : Timely response to event (TRE)• FR7 : Resource availability (RA)Exemples


IEC 61511

(reproduit avec l’autorisation de l’auteur)


Approche par vulnérabilités majeures

• Applicable avec les conditions suivantes :– A priori niveau élevé de vulnérabilités (cas type de l’industrie)– Besoin de sensibilisation des personnels à la sécurité– Compétences et ressources limitées nécessitant un premier cycle PDCA rapide

• Principes– Liste réduite de vulnérabilités et menaces

• Pour faire un premier exercice d’évaluation de risques en quelques heures• Nécessite des données récentes provenant de veille (plusieurs sources sont dispos.)

– Travail collaboratif• Après un premier audit léger par le facilitateur, un canevas est préparé• Le travail privilégie l’interaction et la collaboration : le personnel est impliqué

• Définition des mesures à mettre en place– Travail mené par un professionnel

• En tenant compte des contraintes de l’installation • Le professionnel s’appuie sur les compétences locales disponibles (réseaux, RHs, …)

– Présentation des mesures avec priorité, coûts et délais raisonnables• Utilisation au maximum de personnel disponible pour les mises en place• Contrainte de budget et temps pour les mesures présentées

L’objectif est d’avoir des résultats dans un temps déterministe, puis de reboucler sur la démarche



Conclusion


L’actualité confirme le besoin de retour aux bases (oct 2011)

• Des incidents majeurs alors que les moyens étaient là– SG, et l’exemple n’ayant pas suffi, UBS– Sony, et la leçon n’ayant pas suffi, Sony bis– Une multinationale piratée depuis 2 ans

• Augmentation officielle des menaces– Recrudescence x3 des attaques aux US (selon DHS)– Saut quantitatif en France selon ANSSI– Attaques (hacking interne ou externes) x3 depuis 5 ans

• La faute au non-respect des basiques– Mots de passe, mises à jour, surveillance de base des logs… (ANSSI)– Comportements, mises à jour des systèmes, mots de passe (Microsoft)– Naïveté, manque de sensibilisation : clés USB, phishing (DHS)

Conclusion : il faut décloisonner la cybersécurité, favoriser les échanges, utiliser des ressources humaines qualifiées (intelligence émotionnelle), utiliser (aussi) des méthodes simples



Questions et (j’espère) réponses


Analyse de risques en cybersécurité industrielle

Documents

Transcript of Analyse de risques en cybersécurité industrielle