Les PME et les risques de la sous-traitance industrielle à ...
Analyse de risques en cybersécurité industrielle
-
Upload
patrice-bock -
Category
Documents
-
view
2.632 -
download
6
description
Transcript of Analyse de risques en cybersécurité industrielle
Cybersécurité Industrielle - Patrice Bock
Analyse de risques en cybersécurité industrielle
Présentation faite à l’EPSI Lyon en oct. 2011
(merci de solliciter l’auteur via la rubrique “Contact” du blog http://securid.novaclic.com pour toute ré-utilisation du contenu, qui n’est pas
libre de droits)
Page 2
Ordre du jour
• L’environnement contrôle commande– Le modèle d’architecture générale – les couches– Les menaces et vulnérabilités spécifiques– L’accidentologie
• Les modèles pertinents d’analyse de risques– Les limites des approches du type ISO 27005
• EBIOS, MEHARI
– Le besoin d’approches pragmatiques• Inspirées par IEC 61508 et ISO 31000
– Exemple de méthodologie adaptée
• Conclusion– Où l’actualité confirme le besoin de pragmatisme
Cybersécurité Industrielle - Patrice Bock
Analyse de risques en cybersécurité industrielle
Partie 1 : l’environnement contrôle commande et ses spécificités
Cybersécurité Industrielle - Patrice Bock
Page 4
L’environnement contrôle commande (C-C)
• Les caractéristiques de chaque couche ISA
GPAO (‘MES’) : ordonnancement, stocks, suivi de production, nomenclature…
Terminaux ou SCADAs centralisés : Windows, IP (gestion données OPC), différents serveurs redondés, alertes, rafraichissement à la seconde
Automates, systèmes numériques de contrôle commande : boucles de contrôle, niveau de sécurité, protocoles spécifiques IP/Ethernet (DNP3, modbus…), temps réel
Capteurs (sondes…) et actuateurs (valves, moteurs…) – contrôlés via bus série, TOR, signaux analogiques, voire IP
Extrait de « LA CYBER-SECURITE DES SYSTEMES DE CONTROLE-COMMANDE », RAPPORT D’EVALUATION M3958 X 10 Publié par l’ EXERA, Date Novembre 2010
Cybersécurité Industrielle - Patrice Bock
Page 5
La boucle de contrôle commande
• Boucle standard (10-100 millisecondes) basée sur un automate programmable (‘controller’)
Automate programmable industriel
Capteurs physiques
Signaux de contrôle
Equipement piloté avec flux de matière en entrée et en sortie
Pilotages local et distant
Extrait de NIST SP 800-82, Guide to Industrial Control Systems (ICS) Security
Cybersécurité Industrielle - Patrice Bock
Page 6
Menaces et vulnérabilités
• L’analyse « standard » des spécificités C-C– Par « DICP »
• En gestion, C prioritaire• Dans l’industrie, D prioritaire (mais…)
– Par liste de points de comparaisons• Nombreuses sources : NIST, Euriware, DHS, CLUSIF etc…• Exemple :
– Systèmes de production « quasi-temps réel » (1 sec.)– Durée de vie des systèmes (facteur 10)– Mots de passe complexes vs disponibilité terminaux en urgence– Antivirus et mises à jour sur systèmes 24/7– Profil des personnels, nombre d’intervenants externes– Sécurité des logiciels SCADA (et automates)
• Une analyse trop théorique, peu opérationnelle– Nécessité de changer de référentiel
Cybersécurité Industrielle - Patrice Bock
The Repository of Industrial Security Incidentswww.securityincidents.org
Latest incidents Incident type evolution
Accidentologie et évolution
Augmentation de la complexité, interconnexion de systèmes
Augmentation de la cybercriminalité (x3)
Mise en œuvre de mesures anti malveillants ?
Communication du DHS jeudi 29 septembre : le CERT ICS a annoncé avoir traité en 2010 116 requêtes d’assistance suite à des tentatives d’intrusion sur les systèmes industriels, et déjà 342 à date (i.e. fin septembre 2011) :
Communication de l’ANSSI lors des assises de la sécurité 2011 : l’ANSSI constate un saut quantitatif des attaques, notamment à but de vol d’information, dans les organismes d’état et les OIV.
Détails disponibles sur le blog http://securid.novaclic.com
Analyse de risques en cybersécurité industrielle
Partie 2 : les modèles pertinents d’analyse de risque
Page 11
Les limites de l’approche 27005• Le principe général
– Définition du périmètre– Liste des actifs informationnels à protéger
• Utilisation d’une échelle de criticité DIC pour priorités– Analyse des menaces, estimation du risque– Décision pour chaque risque (mitiger, assurer, éviter…)– Liste des mesures de protection à mettre en œuvre
• Le problème du contexte industriel– Peu de ressources disponibles + besoin de sensibilisation– De très nombreux actifs, de très nombreux risques
• Le score « ISO » sera faible et la longueur de la liste des actions, démotivante– Les critères de criticité ne sont pas les bons
• La grille des types de données et services est inadaptée– Les mesures ne sont pas toujours pertinentes
• La lourdeur de MEHARI (basée 27005) illustre bien le problème– Par ex. l’audit comporte plusieurs milliers (Nx1000 !) questions
Cybersécurité Industrielle - Patrice Bock
Page 12
Le besoin d’approches pragmatiques• Les critères doivent être ceux du risque industriel
– Risque sur l’information mais aussi : l’investissement, la capacité de production, les personnes, l’environnement
• L’approche doit être cohérente et pertinente avec la sûreté de fonctionnement– Contrairement à ce qui est accepté en informatique de gestion, la cybersécurité n’est pas un silo à part– Utilisation du vocabulaire et de méthodes proches de l’industriel
• IEC 61508 (1999), dérivés (61511) et ISO 31000 (2009)– Approches partant des vulnérabilités et menaces, et utilisant des scénarios (pas de catalogue a priori des actifs à
protéger) – permettant un travail plus léger et plus « coopératif » entre fonctions– Utilisation de périmètres avec niveaux de criticité différents– IEC 61511 : pour chaque processus contrôlé (boucle contrôle + sécurité), niveau de SIL « safety integrity level »
1 à 4
• ISA 99.03 (en cours de finalisation à l’ISA)– 99.03.01 (publié) : principes, vocabulaire – 99.03.02 : modèle pour définir un niveau de criticité par zone, et en déduire le SAL « security assurance level »
requis, entre 1 et 4. Utilise les notions de « zones » et « conduits » de l’ISA 99.01.– 99.03.03 : décline le SAL (1 à 4) en mesures à mettre en œuvre (auditables) sur 7 critères
• FR1 : Access control (AC)• FR2 : Use control (UC)• FR3 : Data integrity (DI)• FR4 : Data confidentiality (DC)• FR5 : Restrict data flow (RDF)• FR6 : Timely response to event (TRE)• FR7 : Resource availability (RA)Exemples
Cybersécurité Industrielle - Patrice Bock
Page 13
IEC 61511
(reproduit avec l’autorisation de l’auteur)
Cybersécurité Industrielle - Patrice Bock
Page 16
Approche par vulnérabilités majeures
• Applicable avec les conditions suivantes :– A priori niveau élevé de vulnérabilités (cas type de l’industrie)– Besoin de sensibilisation des personnels à la sécurité– Compétences et ressources limitées nécessitant un premier cycle PDCA rapide
• Principes– Liste réduite de vulnérabilités et menaces
• Pour faire un premier exercice d’évaluation de risques en quelques heures• Nécessite des données récentes provenant de veille (plusieurs sources sont dispos.)
– Travail collaboratif• Après un premier audit léger par le facilitateur, un canevas est préparé• Le travail privilégie l’interaction et la collaboration : le personnel est impliqué
• Définition des mesures à mettre en place– Travail mené par un professionnel
• En tenant compte des contraintes de l’installation • Le professionnel s’appuie sur les compétences locales disponibles (réseaux, RHs, …)
– Présentation des mesures avec priorité, coûts et délais raisonnables• Utilisation au maximum de personnel disponible pour les mises en place• Contrainte de budget et temps pour les mesures présentées
L’objectif est d’avoir des résultats dans un temps déterministe, puis de reboucler sur la démarche
Cybersécurité Industrielle - Patrice Bock
Analyse de risques en cybersécurité industrielle
Conclusion
Cybersécurité Industrielle - Patrice Bock
Page 18
L’actualité confirme le besoin de retour aux bases (oct 2011)
• Des incidents majeurs alors que les moyens étaient là– SG, et l’exemple n’ayant pas suffi, UBS– Sony, et la leçon n’ayant pas suffi, Sony bis– Une multinationale piratée depuis 2 ans
• Augmentation officielle des menaces– Recrudescence x3 des attaques aux US (selon DHS)– Saut quantitatif en France selon ANSSI– Attaques (hacking interne ou externes) x3 depuis 5 ans
• La faute au non-respect des basiques– Mots de passe, mises à jour, surveillance de base des logs… (ANSSI)– Comportements, mises à jour des systèmes, mots de passe (Microsoft)– Naïveté, manque de sensibilisation : clés USB, phishing (DHS)
Conclusion : il faut décloisonner la cybersécurité, favoriser les échanges, utiliser des ressources humaines qualifiées (intelligence émotionnelle), utiliser (aussi) des méthodes simples
Cybersécurité Industrielle - Patrice Bock
Analyse de risques en cybersécurité industrielle
Questions et (j’espère) réponses
Cybersécurité Industrielle - Patrice Bock