Intégration de la cybersécurité aux systèmes de conduite industriels

Méthodes et pratiques

Cybersécurité des Systèmes de Contrôle Industriels -2-

Les Infrastructures critiques utilisant desSystèmes de Contrôle Industriels

Industrie nucléaire

Industrie pétrolière, chimique et pharmaceutique

Traitement et distribution d’eau

Transport et distribution d’électricité, de gaz

Centrales électriques

Infrastructures de transports (routières, ferroviaires, portuaires, aéroportuaires)

Notamment les Opérateurs d’Importance Vitale

Cybersécurité des Systèmes de Contrôle Industriels -3-

Les composants techniques d ’un SCI

Y

Acquisition Historisation Supervision

Bus numérique

ContrôleurContrôleur

Bus numériqueLiaisons point à point

RTU

Bus numérique

ContrôleurEntrées / Sorties

distribuées Sans-fil

Industriel

Système d’Information d’Entreprise

Système de Contrôle Industriel

Niveau 3Gestion

Opérationnelle

Niveau 4Système

d’information d’Entreprise

Niveau 2Supervision et

Contrôle

Niveau 1Contrôle

Commande

Contrôleur

Niveau 0Processus (capteurs & actionneurs)

Logistique (ERP)

Data Warehouse Facturation

GestionFabrication

(MES)

GestionDistribution

(DMS)

GestionCompteurs Intell.

(MDM)

Systèmes déportés

Liaisons point à point

Liaisons point à point

PC Industriel

Cybersécurité des Systèmes de Contrôle Industriels -4-

Les enjeux de la cybers écurité des SCIUne montée des risques depuis 2010� Existence de cyber-attaques de plus en plus sophist iquées

• Piratage de Google en 2010, de plusieurs ministères et grandes entreprises françaises

� Fin du mythe de l’isolation des Systèmes de Contrôl e Industriels• Intégration grandissante avec le Système d’Information• Nombreuses adhérences SI/SCI : applications de gestion des actifs, GMAO,

gestion de la chaîne logistique, calculs de coût et facturation, …• Poussée par le progrès technique et les exigences de productivité

� Vulnérabilité intrinsèque des Systèmes de Contrôle I ndustriels• Technologies hétérogènes et quelquefois anciennes• Produits industriels (matériels et logiciels) mal protégés• Mise à jour de sécurité irrégulières• Vulnérabilité des développements spécifiques

� Découverte d’opérations ciblant spécifiquement les SCI• StuxNet a ouvert la boîte de Pandore

Multiplication des obligations réglementaires liées à la sécurité� en particuliers pour les « Opérateurs d’Importance V itale »

Cybersécurité des Systèmes de Contrôle Industriels -5-

Les sp écificités de la s écurité des Systèmes de Contrôle Industriel

1. La nature et la priorité des risqueLe sabotage est le risque principal, plutôt que l’e spionnage

2. Des vulnérabilités techniques spécifiquesVulnérabilités des PLC, des RTU, des SCADA

Equipements anciens

Protocoles de communication vulnérables (Modbus/TCP , OPC, DNP3 …)

3. Des contraintes d’exploitation différentesDifficulté d’application des mesures traditionnelles (antivirus, patchs sécurité …)

Nécessité d’assurer la continuité 24/24 du fonctionne ment

4. Des mesures de protection techniques spécifiquesSegmentation et défense en profondeur

Plus de contrôle par listes blanches

Pare-feux et modules IDS métier, diodes réseau

5. Un environnement normatif complexe et évolutifISO 27019, ISA 99/CEI 62443, normes nucléaires …

Cybersécurité des Systèmes de Contrôle Industriels -6-

Mesures organisationnelles

La pyramide des processus de sécurisation

Définition de l’architecture de sécurité

Mesures de protection

Mesures de surveillance

Mesures d’atténuation Mesures d’exploitation

• Politique• Organisation

• Gestion des actifs

• Management des personnels• Sensibilisation formation• Liens avec sécurité physique

• Audits– orga,– techniques

• Analyse et gestion des risques

• Processus de remontées d’alertes

• Définition d’une échelle de degrés de sécurité

• Analyse de criticité

• Conception des zones de sécurité

• Définition des adaptations de la topologie existante

• Contrôle des flux

• Durcissement des équipements

• Protection des données

• Plans de continuité

• Auditabilité et traçabilité

• Gestion identités

• Admin. des actifs & modifs.

• Mise en place infra. surveillance

• Supervision 24/24 • Intervention sur incidents• Forensique

• Veille et adaptation permanente des règles de détection

����

���� ���� ����

����

����

Cybersécurité des Systèmes de Contrôle Industriels -7-

Retours d ’exp érience

SécuritédesSCI

Organisation et management de la

sécurité

Architecture de systèmes de contrôle

Normes de sécuritéindustrielle

Réseaux et leurs infrastructures

Hacker éthique

Gestion de production industrielle

Des équipes pluridisciplinaires

Cybersécurité des Systèmes de Contrôle Industriels -8-

Retours d ’exp érience

Développement de nouveaux systèmes

Sécurisation des systèmes existants par étapes successives

Maintien encondition de sécurité

• Etudes de risque du système industriel

• Conception d’architectures industrielles sécurisées

• Elaboration de plans de sécurisation et de plans de progrès

• Projets de déploiement de la sécurisation

• Réalisation et mise en service de systèmes industriels sécurisés

• Amélioration continue de la sécurité du système industriel

Etudes

• Conseil en gouvernance de la sécurité industrielle

• Surveillance 24/24 et interventions sur incident

• Audits organisationnels,techniques (tests de

pénétration)

Etape 1

Etape 2

Processus d’amélioration continue

Etape N

• Administration de sécurité• (mises à jour, vulnérabilités,

veille techno.)

Une longue marche

Cybersécurité des Systèmes de Contrôle Industriels -9-

Quelques règles d ’or

Ne pas penser la tâche comme une extension ou un cas particulier de la sécurité du SI

S’entourer d’une équipe pluridisciplinaire

S’assurer de l’adhésion de l’exploitant

Commencer par les fondamentaux� Mesures organisationnelles, architecture, hygiène i nformatique

Approfondir avec le concours de spécialistes� Méthodologie adaptées au contexte industriel pour l es analyses

des risques � Conseils à l’orientation dans la jungle des standard s � Approche systématique à la segmentation en zones de sécurité

Cybersécurité des Systèmes de Contrôle Industriels -10-

Méthodologie

Développement de nouveaux systèmes

Sécurisation de systèmes existants

Maintien encondition de sécurité

• Etudes de risque du système industriel

• Conception d’architectures industrielles sécurisées

• Elaboration de plans de sécurisation et de plans de progrès

• Projets de déploiement de la sécurisation

• Réalisation et mise en service de systèmes industriels sécurisés

• Amélioration continue de la sécurité du système industriel

Etudes

• Conseil en gouvernance de la sécurité industrielle

• Surveillance 24/24 et interventions sur incident

• Audits organisationnels,techniques (tests de

pénétration)

• Administration de sécurité• (mises à jour, vulnérabilités,

veille techno.)

Etape 1

Etape 2

Processus d’amélioration continue

Etape N

Cybersécurité des Systèmes de Contrôle Industriels -11-

Mise en place d ’équipes pluridisciplinaires

SécuritédesSCI

Organisation et management de la

sécurité

Architecture de systèmes de contrôle

Normes de sécuritéindustrielle

Réseaux et leurs infrastructures

Hacker éthique

Gestion de production industrielle

Cybersécurité des Systèmes de Contrôle Industriels -12-

Questions?

Cybersécurité des Systèmes de Contrôle Industriels -13-

Les mesures organisationnelles

Exemples de contrôles organisationnels

Gestion des risques

Mise en place d’un SMSII

• Différents cadres de référence disponibles– Famille ISO 27k (générique)– ISA 99/62443 (spécifique indus.)

• … et qui sont en train de converger• Mesures de contrôle et d’audit

Gestion des risques

• Permet de prioriser les actions– Sécuriser en premier les systèmes les plus

sensibles – Optimiser l’utilisation du budget sécurité

• Peut amener à supprimer des fonctions vulnérables dont le besoin métier n’est pas ou plus justifié

• Peut devenir une obligation réglementaire pour les OIV

• Différentes méthodes ou cadres normatifs– ISO 27005 -> EBIOS

• Mise en place d’indicateurs et de tableaux de bord

Exemples de contrôles organisationnels

• Le site tient-il un inventaire de ses actifs et est-il àjour ?

• Y a-t-il une cartographie des réseaux et est-elle àjour ?

• Y a-t-il un processus cohérent pour clôturer les comptes et droits d’accès des employés lorsqu’ils quittent l’organisation ?

• Y a-t-il une liste à jour des personnels sous-traitants et de leurs droits d’accès ?

• Existe-t-il un catalogue des règles appliquées sur les pare-feux et comment les configurations sont-elles vérifiées ?

• Les procédures de sauvegarde sont-elles en place, sont-elles testées régulièrement ?

• Existe-t-il une politique de gestion des média amovibles, des PC de maintenance ?

Cybersécurité des Systèmes de Contrôle Industriels -14-

La définition de l’architecture de s écurité

Zone de sécurité� Ensemble physique ou logique d’équipements partage ant les mêmes

contraintes de sécurité� Dotée de frontières identifiées� Avec une politique de sécurité adaptée

Conduit� Chemin pour les flux logiques entre deux zones� Concentre les fonctions de sécurité permettant de re lier de façon sûre deux

zones de niveaux de sécurité différents� Permet de concentrer les activités de surveillance aux points critiques

ConduitConduit

ISA 99/CEI 62443 : la segmentation comme approche d e la sécurisation

ZoneSupervision

ZoneSupervision

ZoneContrôle-Commande

ZoneContrôle-Commande

Cybersécurité des Systèmes de Contrôle Industriels -15-

La segmentation comme approche de la s écurisation

Exemple de segmentation d’un système en zones et conduits

Acquisition

Système de gestion du

procédé

Système d’entreprise

Atelier A

Logistique (GPAO)

DataMining

Gestion Fabrication(MES)

Historisation

Routeur

Routeur

Routeur

SCADA A

Zone SA

Zone CA

Bus numérique

Process A Zone PA

Acquisition

Atelier BRouteur

SCADA B

Zone SB

Zone CB

Autom. B

Contrôleur

Process B Zone PB

Routeur

Liaisons point à point Sans-fil

Industriel

Zone EM

Zone EC

Routeur

Capteurs extérieurs

Contrôleur

Maintenance

Connexions externes

Conduit G/S

Conduit S/SA-SB

Zone G

Zone S

Autom. A

PC industriel

Cybersécurité des Systèmes de Contrôle Industriels -16-

Les mesures de protection techniques

Durcissement des équipements

• Protection des accès physiques– Verrouillage des ports USB et autres lecteurs (ex :

DVD) inutilisés– Protection physique des automates

• Durcissement des serveurs et des postes– Durcissement des OS– Politiques de mises à jour (patchs) de sécurité– Protections antivirale dans la mesure du possible– Autorisation des exécutables par listes blanches – Détection d’intrusion machine (HIDS)

• Durcissement des équipements industriels– Désactivation des fonctions inutilisées (ex.:

serveurs Web de maintenance)– Modification / vérification des mots de passe– Durcissement logiciel des communications (ex.:

verrouillage par adresse MAC)

Protection des données

• Protection des données en écriture• Chiffrement des données sensibles• Dispositifs de sauvegarde et de fiabilisation

Contrôle des flux

• Séparation logique des flux• VLAN, VPN

• Filtrage des flux réseaux• Pare-feux traditionnels

• Filtrage des protocoles applicatifs– Basé sur l’examen du contenu des messages– Nécessite des produits spécialisés capable de

filtrer les protocoles de communication industriels (Modbus/TCP, OPC, OPC UA …)

– IPS et IDS spécialisés• Diodes réseau

– Dispositifs techniquement très sécurisés, mais avec des contraintes de mise en œuvre et des inconvénients importants

– A réserver à la protection des dispositifs très critiques (exemple : automates de sûreté)

• Politique de sécurité des flux externes– Equipements distants (RTU)– Instrumentation extérieure (météo, radiologie)– Connexions entrantes externes (ex : services

de maintenance)

Cybersécurité des Systèmes de Contrôle Industriels -17-

Les mesures d ’atténuation des risques

Plans de continuité d’activité

• Mise en place d’une gestion des actifs centralisée

• Dispositions organisationnelles de secours

• Vérification des procédures– … de gestion de configuration– … de restauration des équipements individuels– … de restauration globale du système

• Protection de l’intégrité des données de restauration

Auditabilité et traçabilité

• Stockage des évènements – Évènements des équipements réseau– Évènements serveurs et postes de travail– Évènements sondes IDS et IPS si applicable

• Protection des dispositifs d’archivage– Durcissement logiciel– Redondance– Eventuellement signature et chiffrement

Cybersécurité des Systèmes de Contrôle Industriels -18-

Les mesures d’exploitation

Gestion des identités

• Administration des utilisateurs– Création / désactivation / suppression de comptes– Gestion des groupes et des profils– Modification des permissions

• Politique de gestion des mots de passe

Administration des actifs et gestion des modifications

• Gestion centralisée des actifs et gestion de la configuration du système

• Gestion des vulnérabilités et des niveaux de patchs

• Politique d’application des correctifs de sécurité

• Gestion des modifications

Cybersécurité des Systèmes de Contrôle Industriels -19-

Les mesures de surveillance

Mise en place d’une infrastructure de surveillance

• Centralisation des évènements • Outils d’analyse et de recoupement • Instrumentation des points sensibles (IDS)• En complément des évènements remontés

en standard par les équipements

Veille technique

• Outils de veille sur l’état des menaces• Adaptation permanente

– Des règles de détection– Des règles de filtrage

Surveillance 24/24

• Mise en place d‘une organisation de gestion opérationnelle

• Surveillance 24/24 en centre opérationnel de sécurité

• Articulation avec équipes d’exploitation opérationnelle

Intervention sur incident

• Equipes d’intervention familières des contraintes d’exploitation opérationnelle

• Mise en place de SLA• Capacités en forensique