Livre Blanc La sécurité des systèmes d’information...

48
Livre Blanc La sécurité des systèmes d’information industriels

Transcript of Livre Blanc La sécurité des systèmes d’information...

Page 1: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

Livre BlancLa sécurité des systèmesd’information industriels

Page 2: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

2

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

Page 3: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

Avant-proposLe présent document est la propriété d’EURIWARE et ne peut être utilisé que dans le seul but pour lequel il a été transmis. Il ne peut en aucun cas être utilisé ou copié, partiellement ou en totalité, dans quelque document que ce soit, sans l’accord préalable et écrit d’EURIWARE.

Il peut naturellement être communiqué, en version papier ou électronique, à toute personne qui pourrait en avoir l’usage, avec information à EURIWARE.

La communication par EURIWARE du présent document et des informations qu’il contient ne saurait constituer et/ou conférer quelque droit de propriété intellectuelle et/ou industrielle que ce soit dont EURIWARE est titulaire.

RemerciementsLes rédacteurs de cet ouvrage, Michel Brayard et Etienne Busnel, remercient les sociétés AREVA et TOTAL et plus particulièrement messieurs Cardebat, Jeufraux, Romary et Zimmer pour leurs conseils et leur soutien tout au long de ce projet.

Révision mai 2010

Page 4: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

4

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

Page 5: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

Sommaire Quelques rappels sur la sécurité des SI 8

1.1 Caractéristiques de l’information 81.2 Référentiels et méthodologies 9

Les systèmes d’information industriels (SII) 112.1 Périmètre concerné 112.2 Evolution, tendance et historique 142.3 Besoins de sécurité et état actuel 15

Deux mondes avec des différences notables 163.1 Priorités, organisation et fournisseurs 163.2 Technologies, utilisation et gestion 18

Les bonnes pratiques 234.1 Les composantes de la sécurité pour tous les systèmes 234.2 Une déclinaison pour les SII 24

4.2.1 Démarche proposée 244.2.2 Risques et enjeux 254.2.3 Mise en oeuvre 294.2.4 Gestion opérationnelle 37

Annexes 39L’enquête sur les SII 39Les attentes les plus courantes 43Les vulnérabilités des SCADA 44

Page 6: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

6

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

IntroductionDe manière simpliste, mais surtout pragmatique et évitant tout débat avec la SURETE, la SECURITE au sens général concerne les risques que chaque activité engendre pour l’Homme, ses Biens et son Environnement. La SECURITE DES SYSTEMES D’INFORMATION s’intéresse aux pannes, aux intrusions, aux incohérences ou aux altérations qui peuvent affecter les systèmes d’information et leurs données.

Bien entendu, cette sécurité des systèmes d’information est une composante essentielle de la sécurité, mais son action est rarement directe, car le contact entre ces systèmes et l’homme, ses biens ou son environnement se fait presque toujours à travers des équipements ou dispositifs qui participent eux aussi à la sécurité.

La sécurité des systèmes d’information est devenue une thématique à part entière avec l’émergence d’Internet, des interconnexions et des risques d’accès non sollicités aux systèmes et aux informations. Cette problématique a touché les applications et systèmes bureautiques qui communiquent de plus en plus avec des applications centrales, et dont la technologie« grand public » universelle attire les tentations et les malveillances.

Historiquement, ces technologies bureautiques ainsi que les applications centrales concernées relèvent des DSI et ces DSI ont mis en place et déployé des parades de plus en plus efficaces pour protéger ces systèmes dits « de gestion ».

Il existe, dans les entreprises, d’autres systèmes informatiques liés à la production et à la gestion des « utilités ». Ce sont les Systèmes d’Information « Industriels » : les SII. Ils sont dans les usines ou dans les salles techniques des bâtiments, et sont souvent connus seulement par les responsables de production, les services généraux et les agents de maintenance.

Page 7: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

7

Avec l’évolution des technologies, les systèmes industriels« ressemblent » de plus en plus aux systèmes de gestion et on pourrait penser y appliquer les mêmes solutions que celles mises en œuvre sur les SI de gestion. Ce serait oublier que les SII possèdent des spécificités non négligeables. De plus, et c’est là un point MAJEUR de ce livre blanc, la Technologie n’est qu’une des composantes de la sécurité. D’autres aspects, tels que l’organisation, les accès, l’exploitation ou la maintenance doivent également être pris en compte dans une réflexion globale. Ce sont des composants essentiels pour que les visions des DSI et des responsables de production convergent.

Avec près de 400 ingénieurs et techniciens œuvrant depuis plus de 15 ans dans ce domaine, EURIWARE a acquis une expérience incomparable dans tout le périmètre des SII, quel que soit leur type, et dans presque tous les domaines d’application. EURIWARE a vécu l’émergence des besoins en matière de sécurité des SII chez ses clients et a apporté les réponses appropriées aux problèmes soulevés.

La démarche proposée donnera aux entreprises des pistes pour adresser les composantes d’une politique de sécurité efficace et mettra en lumière les éléments récurrents à traiter pour une bonne sécurité des SII.

Il ne faut cependant pas chercher dans ce livre des éléments exhaustifs pour résoudre tous les problèmes. Il convient d’une part d’être bien conscient de la grande diversité des solutions et fournisseurs de SII, et d’autre part de reconnaître que, dans les différents secteurs de l’industrie, les niveaux de sécurité requis pour les SII sont très variables d’un secteur à l’autre : certains répondent à de très hautes exigences sécuritaires (le spatial, l’aéronautique, le nucléaire et la santé).

Page 8: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

8

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

Quelques rappels sur la sécurité des SI

Tout d’abord, quelques rappels sur les concepts de la sécurité des systèmes d’information afin de faciliter la compréhension des différences entre l’approche des systèmes d’information industriels et celle des systèmes d’information « de gestion ».

Signalons que ce livre blanc n’intègre pas les contraintes réglementaires liées aux systèmes classifiés de défense ou d’impor tance vitale même si des approches et des pra t iques proposées sont également appl icables à ces environnements. Il nous semble malgré tout utile de signaler l ’exis tence d’une réglementation interministér iel le trai tant de la sécurité des systèmes industriels dits « d’impor tance vitale » : l’IGI 6600/SGDN/PSE/PPS du 26 septembre 2008.

1.1 Caractéristiques de l’informationLa sécurité des « systèmes d’information » - ensemble des moyens techniques, organisationnels, juridiques et humains mis en place - repose principalement sur les quatre critères de sensibilité rappelés ci-après :

D – Disponibilité : c’est la garantie pour que les informations ou services soient accessibles et utilisables dans des conditions spécifiées de temps,

C – Confidentialité : c’est la garantie que l’accès aux informations et services considérés ne soit pas possible sans autorisation,

I – Intégrité : c’est la garantie que les informations ou services considérés ne soient pas modifiés de manière indue,

P – Preuve (ou Traçabilité, ou encore Imputabilité) : c’est la garantie de disposer des éléments qui apportent la preuve des traitements ou autres événements relatifs aux informations ou services considérés.

Page 9: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

Conformité

Politiquede sécurité

OrganisationnelStratégique

Organisation de lagestion de la sécurité

des systèmes d'information

Gestion des biens et actifs

Gestion desopérations et descommunications

Acquisition,développement etmaintenance de

systèmes

Gestionde la

continuitéd'activité

Gestiondes incidentsde sécurité

Contrôlesd'accès

Sécurité physique et environnementale

Sécuritédes personnels

Opérationnel

9

1.2 Référentiels et méthodologiesPlusieurs normes, méthodologies et bonnes pratiques en matière de sécurité des systèmes d’information, existent.

L’ISO a entrepris un vaste effort de rationalisation des travaux existants donnant naissance à la série des ISO 27000 : ainsi, issue de la norme BS 7799 du British Standard Institute datant du début des années 1990, la norme internationale ISO 27002 formalise le périmètre global sur lequel doit s’appliquer ou se décliner la sécurité des systèmes d’information. Cette norme peut être représentée comme suit :

Mais d’autres approches existent également parmi lesquellesnous citerons :

La norme ISO 15408, datant de 1999, qui, plutôt tournée vers les industriels du secteur informatique, propose des critères communs d’évaluation de la sécurité des technologies de l’information (Common Criteria - CC - for Information Technology Security Evaluation).

Page 10: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

10

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), méthode établie par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information – ex DCSSI) pour identifier les besoins de sécurité d’un système d’information, se présente sous la forme d’une brochure et d’un logiciel gratuits.

La méthode MEHARI (Méthode Harmonisée d’Analyse de Risques), proposée par le CLUSIF (Club de la Sécurité des Systèmes d’Information Français) est destinée à permettre l’évaluation des risques, mais également le contrôle et la gestion de la sécurité du système d’information.

Le référentiel de gouvernance et d’audit des SI COBIT (Control Objectives for Business and Related Technology), publié en 1996 par l’ISACA (Information Systems Audit and Control Association), contient, dans ses 34 objecti fs de contrôle, un objectif couvrant une bonne partie des domaines de l’ISO 27002, mais en s’intéressant à beaucoup plus de critères de sensibilité de l’information (Efficacité, Efficience, Confidentialité, Intégrité, Disponibilité, Conformité et Fiabilité).

Dans le contexte spécifique des SII, des normes liées aux métiers ont également formalisé la prise en compte de la sécurité des SI. On peut notamment citer :

NERC-CIP : norme américaine concernant le secteur de l’énergie,

CNPI : recommandations de l’organisme britannique en charge des infrastructures nationales critiques,

API 1164 (American Petroleum Institute) et AGA 12 (American Gaz Institute) : normes de sécurisation des SCADA (systèmes de contrôle - commande, cf paragraphe suivant) mis en œuvre par des sociétés pétrolières ou gazières,

ISA 99 (ex ISA SP 99) : norme relative à la Cyber-sécurité des systèmes de contrôle promue par l’ISA (International Society of Automation), association regroupant les professionnels de l’automatisation et de la supervision des procédés industriels.

Page 11: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

11

Les systèmes d’information industriels (SII)

Fonctions centrales : finance, commerce, comptabilité

ERP d’entreprise, Bureautique, Info-centre

Pilotage : GPAO, GMAO, Ordonnancement

LIMS, métrologie

Superviseurs : élaboration des ordres

Calculateur de process, CFAO, transitique

Régulation et automatismes

Capteur, actionneur intelligentMédia de communication

Informatique de gestion

Gestionindustrielle

Procédé

N 4

N 3

N 2

N 1

(N0)

OUModèle CIM ISA-95.00

Level 4

Level 3

Level 2

Level 1

Level 0

Business Planning & LogisticsPlants Product Scheduling.

Operational Management, etc.

Manufacturing Operations Management

Dispatching Production. Detailed ProductionScheduling. Production Tracking, etc.

BatchControl

ContinuousControl

DiscreteControl

2.1 Périmètre concernéDepuis déjà longtemps, le modèle CIM1 (Computer Integrated Manufacturing) organise l’information servant dans la chaîne de production en cinq couches ou niveaux, repris par de plus récents standard comme l’ISA-95.00.

Le schéma suivant résume ce modèle :

Ce modèle est une très bonne représentation des informations uti l isées dans les chaines de production , même si certains éléments à la marge sont difficiles à intégrer (réseaux locaux, capteurs intell igents, packages ver t icaux, etc.) .

En ce qui nous concerne, nous préférons une au tre représentation, un peu plus éloignée des « modèles et standards qui séparent arbi trairement, par exemple, les superviseurs des autres constituants d’un même système.

1 Ne pas confondre avec un autre modèle aux mêmes initiales, le Common

Information Model qui permet avec une représentation UML des échanges

d’informations sur l’état et la configuration des réseaux électriques.

Page 12: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

12

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

Notre approche intègre des systèmes que les « normes » et « standards » ignorent souvent et qui sont pourtant fondamentaux pour la marche d’une installation de production ou d’une entreprise industrielle. Elle nous semble à ce titre plus représentative et plus complète.

Dans cette représentation, qui va DU PLUS PRES AU PLUS LOIN DE LA PRODUCTION proprement dite, nous préférons utiliser la notion de « type » plutôt que de « niveau », et VOLONTAIREMENT sans distinguer les différents constituants des types de systèmes.

Les systèmes de conduite (et de sécurité) Classiques (SNCC, SCADA) Hétérogènes (superviseurs + PLC) Spécifiques (pilotage magasins,

équipements d’emballage, etc.)

Les systèmes informatiques interagissantavec les systèmes de conduite

Historisation (PI, IP21, etc.) Métrologie (et détection de défauts) Conduite avancée

Les systèmes informatiques d’aide à la production Système d’ordonnancement Gestion de production et de distribution Gestion de la maintenance Gestion de la logistique

(chargement - déchargement, circuits) Gestion de laboratoire (LIMS)

Les systèmes de sécurité site(type « Services généraux »)

Gestion Technique Centralisée (GTC) Sécurité incendie Consignations des équipements Contrôle d’accés du personnel

(clefs et badges)

Level 3

Level 2

Level 1

Level 0

Level 4Business Planning & Logistics

Plants Product Scheduling.Operational Management, etc.

Manufacturing Operations Management

Dispatching Production. Detailed ProductionScheduling. Production Tracking, etc.

ProductionCapability

Information

(What isavailablefor use)

ProductDefinition

Information

(How tomake aproduct)

ProductionSchedule

(What tomake and

use)

ProductionPerformance

(What wasmade and

used)

Enterprise InformationPlant Product Scheduling,

Operational Management, etc.

ManufacturingControl InformationArea Supervision, Production

Planning, Production Tracking, etc.

BatchControl

ContinuousControl

DiscreteControl

Couvertspar ISA 95

Non couvertspar ISA 95

DU

PLU

S P

S A

U P

LUS

LOIN

DE

LA P

RO

DU

CTIO

N

TYPE 3

AUTRES

TYPE 2

TYPE 1

Page 13: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

13

A titre d’exemple, les différents systèmes concernés sont :

Type 1 : les systèmes sont directement en liaison avec le procédé de fabrication, par l’intermédiaire des capteurs et des actionneurs et peu importe qu’ils soient aux niveaux 0, 1, 2, voire 3 de ISA 95. Ce sont des systèmes :

De conduites classiques (SNCC) De conduites hétérogènes (superviseurs + PLC) De conduites spécifiques (pilotage magasins, équipements d’emballage, etc.)

De contrôle et de mesure à base de PC (permanents ou temporaires – aides au diagnostic)

Type 2 : les systèmes ne sont pas en liaison directe avec le procédé, mais interagissent avec les systèmes de Type 1. On y trouve, par exemple les dispositifs :

D’historisation De métrologie et détection de défauts De conduite avancée

Type 3 : les systèmes ne sont presque jamais reliés directement à la production, mais ils sont indispensables aux activités de production :

Systèmes d’ordonnancement Gestion de production et de distribution Gestion de la maintenance Gestion de la logistique (chargement – déchargement, circuits) Gestion de laboratoire (LIMS)

Cette décomposition en trois types, inclut aussi les composants tels que les systèmes embarqués ou les lecteurs de codes à barres ou de RFID qui participent aux opérations de production ou de livraison de produits.

Cette représentation est également applicable à d’autres types de systèmes d’information pilotant :

les grandes infrastructures des utilités (réseaux, électricité, gaz, eau, etc.)

les grandes infrastructures de transport (train, métro, tramway, aéroports, autoroutes, tunnels, etc.)

Page 14: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

14

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

Cependant, d’autres systèmes sont inclassables selon les modèles CIM ou ISA 95, car ils n’ont rien à voir avec la fabrication, bien qu’agissant pourtant sur des équipements réputés industriels. Ils constituent le type « AUTRES ». On les trouve bien sûr dans les usines, mais aussi, et c’est au moins aussi important, dans les datacenters, les bureaux et les sièges. Ce sont tous les systèmes que nous qualifions de type « services généraux », en particulier les systèmes qui servent à la surveillance des bâtiments, aux utilités des salles de machine, à l’accès des personnels et des visiteurs. Ils sont indispensables à l’activité de la société, au même titre que la bureautique, les applications de paye et de facturation, mais ils sont rarement visibles de la DSI.

2.2 Evolution, tendance et historiquePour reprendre la définition de Wikipedia : « Le directeur des systèmes d’information (DSI) d’une organisation est responsable de l’ensemble des composants matériels (postes de travail, serveurs, équipements de réseau, systèmes de stockage, de sauvegarde et d’impression, etc.) et logiciels du système d’information, ainsi que du choix et de l’exploitation des services de télécommunications mis en œuvre ».

Comme mentionné dans l’introduction, les DSI se sont jusqu’à il y a peu surtout consacré aux applications « métiers » : les ERP, les réseaux d’entreprise, la bureautique.

Ces chantiers sont lancés et plutôt bien maîtrisés ; par ailleurs la tendance est à un système d’information intégré et global pour l’entreprise (incluant tous les systèmes d’information). Les DSI voient donc, de plus en plus, arriver dans leur périmètre de responsabili té ces nouveaux systèmes que sont les SII.

Autre facteur favorisant le rapprochement évoqué précédemment, la « standardisation » des matériels et des systèmes d’exploitation fait que techniquement la DSI peut ou pense pouvoir mieux maîtriser l’infrastructure des SII. Parallèlement, les personnes en charge des SII ont l’impression de moins en moins les maîtriser compte tenu de la rapidité d’évolution et du changement de « philosophie ».

Page 15: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

50

40

30

20

10

0

15

2.3 Besoins de sécurité et état actuelUn retour d’expérience d’une cinquantaine d’industriels dans les 5 dernières années converge avec les conclusions d’études externes disponibles : il montre que la prise de conscience de la problématique sécurité existe au niveau des personnes en charge des systèmes d’information industriels, que le besoin existe, mais que la situation actuelle n’y répond pas de façon satisfaisante.

Ce constat est illustré par les deux schémas suivants qui montrent l’impor tance de la sécurité des SII… et son niveau d’at teinte, même si les chiffres sont à utiliser avec beaucoup de prudence.

Quelle est l’importance de la sécurité de l’informatique dans vos sites de production ?

Non sensible

Sensible

Important

Vital

Quel est le niveau actuel de cette sécurité ?

Non satisfaisant

Partiel

Bon

Très bon

Pour 90% des industriels, la sécurité des SII est un enjeu important, voire critique, mais seuls 45% estiment être parvenus à un niveau plutôt bon.

Cependant, même si la prise de conscience est présente, de nombreuses différences entre les SII et les SI de gestion font que ce qui a été mis en oeuvre sur ces derniers n’est pas directement reproductible en l’état sur les SII.

30% 40%

20%10%

Page 16: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

SI Industriels

SI Industriels SI Gestion

SI Gestion

16

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

Deux mondes avec des différences notables

Les SI industriels ont en premier lieu un besoin de disponibil i té af in de ne pas interrompre la production ou la marche de l’entreprise : l’impact d’interruptions pouvant être fort non seulement sur l’arrêt de production (ou sa remise en marche) mais aussi sur l’utilisation des « utilités » (bureaux, sièges). Des considérations de sûreté et de protection des personnes sont également à l’origine de cette priorité.

L’ordre de priorité couramment retenu est le suivant :

Les SI industriels, par leur histoire et leur fonction initiale, sont souvent

rat tachés à la production, mais leur sécurité, souvent liée aux équipements, est

en général du ressort de plusieurs fonctions de l’entreprise (services généraux, direction de la

production, etc.). Les résultats de l’enquête interne précédemment citée illustrent cette diversité :

Même si la structure d’accueil est identifiée comme étant souvent la production, la responsabilité des systèmes informatiques et de leur sécurité est variable et diffuse : département technique, HQSE, opérations, exploitation, maintenance, services généraux ; elle est en tout cas mal connue.

Parce que la sécurité est venue de l’omniprésence de l’informatique, d’ Internet et des interconnexions, des virus et des attaques, la sécurité de l’informatique de gestion est le plus souvent gérée par la DSI.

Le graphique suivant issud’une étude récente duCIGREF le montrebien :

Les priorités des SI de gestion sont souvent différentes. Compte tenu des données traitées, un

des premiers besoin de sécurité exprimés concerne la confidentialité des données.

L’ordre de priorité perçu est souvent le suivant :

80

70

60

50

40

30

20

10

00%0%0% 3% 6%

18%

76%

Direction des risques Direction

financièreDirection de l’auditet ducontrôle

Direction des systèmes d’information

Direction métier

Direction générale

Autre

10%

20%

15%

15%

15%

25% HQSE Risques DSI Production Pas de responsable Autres

3.1 Priorités, organisation et fournisseursPlusieurs points distinguent les SII et les systèmes d’information « de gestion » sur l’approche et les caractéristiques générales.

Les priorités concernant les besoins de sécurité des Systèmes d’Information sont souvent différentes.

En termes d’organisation, le rattachement de la responsabilité de la sécurité des systèmes est également très différent entre les deux mondes.

1. Disponibilité2. Intégrité

3. Preuve4. Confidentialité

1. Confidentialité2. Intégrité

3. Preuve4. Disponibilité

Page 17: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

Les SI industriels sont souvent caractérisés par une forte expertise de l’éditeur ou du constructeur sur le métier lui-même. Cela se traduit souvent par des formats, technologies, protocoles,… propriétaires. L’exper tise nécessaire pour comprendre et « détourner » ces systèmes est donc peu répandue et directement liée à l’éditeur ou au constructeur. Autre conséquence : ces systèmes sont peu connus et faiblement diffusés, quelques milliers tout au plus pour les plus connus (Honeywell, Invensys, Yokogawa, Siemens, Schneider, Emerson, etc.).

Autre point de différence notable, la durée de vie des SII est liée à celle des chaînes de production ou des bâtiments. La durée de vie de ces systèmes peut aller de 5 à 25 ans.

Fonctionnellement, ces systèmes sont conçus pour fonctionner de manière autonome, avec peu de liaisons avec le monde extérieur. Ils sont très rarement administrés ou supervisés de l’extérieur. Ils ne peuvent ou ne doivent pas dépendre de

téléchargements. L’installation ou les mises à jour se font souvent à partir de supports

numériques.

A l’inverse, les SI de gestion se sont largement homogénéisés et leur large

diffusion, notamment au-delà du monde de l’entreprise vers la sphère personnelle,

fait que la connaissance voire l’expertise sur ces systèmes sont largement répandues et

diffusées (notamment par Internet). Les failles et les attaques sont de ce fait plus critiques et en même temps plus intéressantes pour les « pirates » dans la mesure où elles touchent potentiellement un nombre très élevé de systèmes.

Les évolutions technologiques, la standardisation et la volonté des éditeurs et des constructeurs font que les SI de gestion ont généralement une durée de vie de 2 à 5 ans.

Les systèmes d’information de gestion sont au jou r d ’hu i to t a l e m e n t in te rc o nn e c té s . L’ex terna l isa t ion de la super v is ion e t de l’administration est une pratique qui existe et qui se répand. La diffusion des mises à jour voire des installations se fait de plus en plus via des téléchargements afin d’accélérer leur diffusion et de faciliter leur utilisation.

Les éditeurs et constructeurs majeurs des SI de gestion sont internationaux et ne connaissent que rarement les clients finaux et l’utilisation qu’ils font de leurs systèmes. Par ailleurs, les problématiques adressées sont très générales et les éditeurs/constructeurs ne maîtrisent pas les spécificités des clients qui sont généralement laissées aux intégrateurs.

Les éditeurs et constructeurs ont également des caractéristiques particulières.

Concernant les systèmes eux-mêmes, un certain nombre de caractéristiques différencie largement les deux mondes.

SI Industriels SI Gestion

Les SNCC (Systèmes Numériques de Contrôle Commande) gèrent des données

« d’instrumentation » (capteurs et actionneurs). De ce fait, les fournisseurs travaillent chez tous

les industriels du même métier et connaissent l’instrumentation aussi bien que leurs clients.

Compte tenu de la faible diffusion des outils, le monde de l’industriel est très fermé : la réputation

se partage et le domaine de confiance inclut souvent le fournisseur.

17

Page 18: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

18

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

3.2 Technologies, utilisation et gestion

L’utilisation et l’approche concernant les postes de travailet les serveurs sont différentes.

La sécurisation des composants du SII est souvent hétérogène et très variable d’un poste de travail ou d’un serveur à l’autre, sans justification particulière. Ainsi, on peut constater sur des machines de niveau de criticité identique, des niveaux de sécurité très différents (verrouillage de poste, authentification nécessaire, redondance ou matériel de secours, etc.).

La sécurisation des postes de travail et des serveurs est récente. Un apport des SI de gestion est le point d’accès unique sur le réseau de l’entreprise. Ce dispositif, encore peu répandu, permet de mettre à jour les antivirus maintenant courants dans les SII avec des mises à jour que les fournisseurs valident et rendent accessibles dans le cadre d’un contrat de maintenance.

C’est beaucoup moins vrai pour les correctifs de sécurité, qui eux, sont plus rarement validés sur les sites des fournisseurs.

Le verrouillage des postes de travail est un moyen rarement mis en œuvre dans la mesure où les opérateurs, souvent externes par ailleurs, doivent pouvoir intervenir rapidement sur les postes de travail. Par ailleurs, d’un point de vue métier, la nécessité de déverrouiller un écran juste pour pouvoir consulter une valeur est difficile à justifier.

L’identification et l’authentification des utilisateurs sont peu appliquées dans la mesure où la rotation des équipes et des intervenants est souvent incompatible avec les contraintes d’une authentification minimale.

En complément de l’absence de mots de passe évoquée précédemment, lorsque des mots de passe sont utilisés, ils sont soit « simples » (pour des problématiques de mémorisation), soit laissés à leur valeur par défaut. Il faut également

mentionner le fait que les systèmes notamment « anciens » n’acceptent pas toujours

des mots de passe complexes ou de taille suffisante.

Globalement, la mise en œuvre de moyens de sécurisation sur le SI de

gestion, aidée par l’automatisation est relativement homogène et se déploie sur

l’ensemble des composants. La cohérence de la sécurisation n’est cependant pas toujours

simple à assurer, par exemple pour les postes des utilisateurs nomades.

La sécurisation des postes de travail passe par la mise en œuvre de différents moyens. De façon quasi systématique, un antivirus est installé. En complément, des pare-feux personnels, desanti-malware, des anti-spam, du SSO, etc. sont installés. Ces composants, pour la plupar t, nécessitent des mises à jour régulières afin de ne pas dégrader le niveau de sécurité qu’ils apportent.

Les correctifs de sécurité sont des points clés dans la sécurisation des postes de travail. Le délai de mise en œuvre dépend de la criticité et de la politique de sécurité de l’entreprise. Il doit dans tous les cas être le résultat d’une étude de risques.

A u t r e p o i n t « c l a s s i q u e » c o n c e r n a n t l’implémentation d’une politique de sécurité, le verrouillage des matériels et des logiciels en cas d’inactivité durant une cer taine période est également largement répandu sur les systèmes d’information de gestion.

L’authentification est réalisée de façon quasi systématique sur les SI de gestion. Ce point est facilité par la mise en œuvre de systèmes d’authentification centralisée (Annuaires – Active Directory Microsoft, LDAP, Novell, etc.).

Les mots de passe font généralement l’objet de directives de type « politique de sécurité » qui imposent une taille et une complexité minimales. Des contrô les techniques peuvent ê tre ajoutés afin d’imposer ces contraintes et les utilisateurs sont généralement sensibilisés à l’importance de ces contraintes.

SI Industriels SI Gestion

Page 19: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

19

L’installation des systèmes est généralement réalisée en utilisant les options par défaut proposées par l’éditeur ou le constructeur. Cela a pour conséquence de laisser des vulnérabilités et des services inutiles qui peuvent être vecteurs d’incidents, d’attaques ou de dysfonctionnements.

Malgré un besoin de disponibili té for t, les mécanismes proposés par les technologies« standard » sont rarement mis en œuvre sur les SII, même si des mécanismes propriétaires existent.

L’environnement dans lequel sont utilisés les matériels des SII est également particulier : il s’agit d’environnements industriels avec une qualité d’air, une température, des conditions d’hygrométrie, des rayonnements électromagnétiques souvent incompatibles avec l’utilisation de composants des systèmes de gestion, pourtant souvent faite.

Par ailleurs, si les matériels implantés à la conception des installations sont conformes à l’environnement, des risques supplémentaires apparaissent souvent

en exploitation, liés à la présence de conduites de fluides, à la présence de graisses, de poussières,

et au partage des accès physiques et des responsabilités avec d’autres acteurs

voire des prestataires externes.

De même que précédemment, les politiques de sécurité définies dans

les entreprises intègrent en général des principes visant à proposer des configurations

standard personnalisées afin de présenter un niveau minimal de sécurité.

Les technologies actuelles permet tent de prendre en compte un besoin de disponibilité qui augmente, mais aussi de limiter la per te de données en cas d’incident. Le par tage de charge, la réplication à chaud, les sauvegardes, les bascules sont autant de moyens techniques qui, associés aux procédures et à l’organisation adéquates, permettent de répondre à la plupart des besoins de disponibilité et de « non-perte » de données.

L’env ironnement du SI de gest ion es t en général conforme aux recommandations des constructeurs : « salle blanche » pour les serveurs et bureaux pour les postes de travail. Les risques liés à l’environnement sont limités : détection d’incendie, contrôle d’hygrométrie, filtre anti -poussière, etc. Les accès physiques sont contrôlés aussi bien sur les salles serveurs que sur les postes de travail. Sur ce dernier point, la sensibilisation des utilisateurs vise à expliquer l’objectif et à les faire adhérer à l’exigence et à les faire comprendre la contrainte.ce dernier point, la sensibilisation des utilisateurs vise à expliquer l’objectif et à les faire adhérer à l’exigence et à les faire comprendre la contrainte.

Les SI de gestion s’appuient de façon massive sur l’interconnexion de réseau aussi bien entre les entités de l’entreprise qu’avec le monde extérieur (partenaires, clients, fournisseurs, Internet, etc.).

Ces interconnexions permettent d’optimiser et de donner plus de valeur ajoutée aux systèmes d’information. Elles exposent également de ce fait

le SI de l’entreprise à de nouveaux risques qu’il faut prendre en compte.

Comme mentionné précédemment, les systèmes d’information industriels

sont au départ prévus pour fonctionner de façon autonome. De ce fai t, les SII

sont souvent cloisonnés physiquement sur des réseaux spécif iques. Cependant, les

interconnexions et la remontée d’information notamment vers les systèmes de gestion, imposent de plus en plus d’abandonner le cloisonnement physique sans pour autant prendre en compte les risques induits.

L’accès au système et au réseau sont également vus et mis en œuvre de façon très différente dans les deux mondes.

SI Industriels SI Gestion

Page 20: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

20

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

La priorité étant à la disponibilité du système, le filtrage des flux entre le réseau industriel et le réseau « de gestion » est rarement mis en œuvre. De même, l’utilisation de cloisonnements de type VLAN fait rarement partie des dispositifs implémentés par défaut par les exploitants des réseaux industriels. Cependant, les flux étant souvent mal connus (notamment du fait du caractère propriétaire des systèmes) et rarement conçus pour être filtrés, la mise en œuvre d’un tel filtrage est souvent complexe.

Compte tenu de la durée de vie des SI industriels (cf. point évoqué précédemment), les technologies utilisées dans les SI industriels sont rarement les dernières. A titre d’exemple, les protocoles réseau utilisés dans les SI industriels sont récemment IP : des protocoles plus anciens voire propriétaires sont également utilisés. De ce fait, les outils de protection classiques proposés par les éditeurs et constructeurs peuvent être difficiles à mettre en œuvre, voire être inopérants.

L’optimisation de l’architecture en termes de routage notamment est souvent mal maîtrisée des exploitants. Les réseaux sont donc souvent installés de façon basique,« à plat ». Le manque fréquent de maîtrise induit également une installation des composants réseau par défaut (avec par exemple des comptes d’administration protégés par les mots de passe initiaux des constructeurs et éditeurs, des services offerts inutiles, un niveau de sécurité minimal : utilisation de Telnet/HTTP au lieu de SSH pour l’administration, etc.).

Les accès distants sur les réseaux industriels sont une pratique courante pour permettre aux éditeurs et constructeurs de pouvoir assurer la maintenance des composants du SII. La sécurité de ces accès est souvent limitée à des autorisations ponctuelles en cas d’incident, suivie d’une fermeture manuelle après résolution. Ces

accès se faisant pour certains directement sur les postes de commande, le risque induit et son

impact peuvent être très importants.

C o m p t e t e n u d e s r i s q u e s décrits précédemment, le besoin de

cloisonnement est important dans les SI de gestion. Par ailleurs, afin d’optimiser la gestion,

la virtualisation via des techniques de type VLAN et VPN a été largement développée et permet de

répondre à ces besoins de sécurité.

De nombreuses solutions permettent d’améliorer la sécurité des réseaux. Elles permettent une sécurisation à différents niveaux :

• Protection, filtrage, cloisonnement (Firewall, contrôle d’accès réseau – NAC)

• Détection d’incidents, de tentatives d’intrusion (détection/prévention d’intrusion – IDS/IPS, analyse de comportement réseau – NBA)

• Mise en œuvre de politique de protection de l’information (protection contre la fuite de données – DLP).

L’optimisation des réseaux est également une préoccupation impor tante, aussi bien pour des raisons de performances que de sécurité. Le cloisonnement des systèmes en fonction de rattachement « métier », des performances at tendues, etc. est aujourd’hui une pratique répandue. La sécurisation des réseaux passe également par la définition de politiques de sécurité dédiées au réseau, qui définissent le niveau minimal de sécurité attendu à travers des configurations requises.

Les accès distants sur les SI de gestion sont limités au strict minimum et sécurisés via des mécanismes de type authentification forte. Les maintenances et supports sont rarement réalisés par les éditeurs/constructeurs directement sur les systèmes, mais plutôt via les exploitants, ou au travers d’un point d’accès unique sur le réseau de l’entreprise, heureusement de plus en plus utilisé aussi pour les SII.

SI Industriels SI Gestion

Page 21: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

21

Les procédures, organisation, démarche et méthodologie concernant la gestion de systèmes d’information diffèrent également entre les SII et les SI de gestion.

SI Industriels SI Gestion

L e c â b l a g e r é s e a u e s t généralement traité de la même façon que le câblage électrique, souvent par les mêmes personnes. Les contraintes de documentation et de gestion de câblage sont souvent insuffisamment prises en compte et très souvent, la gestion courante des réseaux étant confiée à des personnes ne possédant pas toujours les compétences requises, l’ajout ou la modification de câblage devient complexe et se traite souvent en ajoutant de nouveaux câbles.

Compte tenu des points évoqués précédemment et des contraintes liées à l’environnement, les réseaux sans f i l (WiFi notamment) ont é té une so lu t ion que les indus tr ie ls ont rapidement adoptée. Les technologies ayant permis de résoudre une partie des problèmes d’environnements électromagnétiques, les avantages en matière de simplicité de mise

en œuvre et de déploiement ont largement primé sur les problèmes de sécurité que ces

réseaux pouvaient soulever.

Le câblage réseau est suivi par les exploitants et l’optimisation du câblage

est recherchée, aussi bien en phase de conception que par la suite, notamment à

travers la mise en place de VLAN. L’architecture et les schémas de câblage sont en général

documentés et tenus à jour par les personnels en charge des aspects réseau (internes ou externes).C e s b o n n e s p r a t i q u e s , q u i e n g l o b e n t l’établissement des flux d’échange, ne demandent qu‘à être plus suivies pour les SII.

Dans les environnements de bureautique et de gestion, si les réseaux sans fils présentaient des avantages indéniables en termes de câblage, les problèmes de sécurité et de périmètre ont largement freiné le développement de cet te technologie dans les SI de gestion.Les dernières avancées en matière de sécurité et la mise en œuvre de systèmes d’authentification centralisée permettent aujourd’hui d’envisager ces technologies avec un niveau de sécurité suffisant pour répondre aux exigences d’une majorité de SI de gestion.

L’externalisation fait aujourd’hui par t ie in tégrante des so lu t ions envisagées par les DSI concernant la gestion des SI. La formalisation des processus (ITIL) et des niveaux de service associés permet de rationaliser et d’objectiver l’externalisation et, si celle-ci reste plus développée dans les pays anglo-saxons, son extension y compris en France est une réalité.

L’optimisation de la gestion des systèmes d’in format ion passe par l ’au tomat isa t ion d’un cer tain nombre de tâches, notamment concernant le déploiement. La « masterisation » et le « packaging » sont aujourd’hui des activités

« classiques » au sein d’une DSI. De même, les mises à jour de nombreux outils ou logiciels

sont réalisées automatiquement (antivirus, systèmes d’exploitation, navigateur,

clients d’applications métier, etc.).

L a g e s t i o n d e s s y s t è m e s d’information industriels fait rarement

appel à l’externalisation. Les compétences nécessaires sont en général très proches

des métiers de l’entreprise et, compte tenu des besoins de disponibilité, le partage des

responsabilités est complexe à formaliser.

L’automatisation est également peu utilisée dans la gestion des systèmes d’information industriels, à cause partiellement d’un manque de connaissance des personnes en charge, v ra i semblab lement d ’un manque de confiance dans la fiabilité et la sûreté de ces mécanismes et plus certainement à cause des spécificités des systèmes propriétaires.

Page 22: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

22

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

La gestion des changements fait l’objet d’un processus dif férent de celui des SI de gestion. Les périodes permettant de réaliser des mises à jour de système d’information sont moins fréquentes et la validation par l’éditeur ou le constructeur, indispensable avant la mise en production.

La super v is ion réal isée sur les systèmes d’information industriels est en général minimale et ne permet pas toujours de détecter les dysfonctionnements et encore moins de les anticiper. La gestion de capacité est encore moins répandue.

Les compétences permet tant d’assurer la gestion des SII sont souvent limitées et pas toujours sensibilisées à la sécurité, aux dernières technologies et à l’optimisation des SI. Ce constat s’applique également aux utilisateurs qui ne sont formés qu’à l’utilisation du SII. Ils ont rarement une culture et une connaissance des systèmes d’information et sont encore moins sensibilisés à l’importance de leur sécurisation.

Enf in, i l faut également soul igner que la documentation relative aux SII est souvent insuffisante : les schémas réseau, l’architecture, les flux, les procédures d’exploitation, etc. sont rarement formalisés et mis à jour.

Tout ceci va à l’encontre d’un mode de MCO exigeant qui devrait s’appliquer aux SII qui sont par nature « mission critical » puisque toute interruption de service entraîne une perte de production.

La ges t ion des changements (notamment les correctifs de sécurité

évoqués précédemment) est réalisée avec des contraintes de validation, de sûreté et

d’indisponibilités moindres. Cela permet plus de réactivité et de ce fait, un meilleur niveau de

sécurité.

La supervision est un processus d’autant plus important qu’au-delà de permettre la détection de dysfonctionnements voire d’incidents, il est également, en cas d’externalisation, l’indicateur de mesure de la disponibilité.

Les compétences des exploitants sont en général de bon niveau (l’externalisation apporte souvent un bon niveau de compétence), et souvent plus « courantes » donc plus faciles à trouver. Par ailleurs, la sensibilisation des utilisateurs à la sécurité des systèmes d’information fait partie des axes importants d’une politique de sécurité, qui, même si elle est rarement mise en œuvre de façon complète, fait l’objet d’efforts notables de la part des responsables de la sécurité des SI.

La documentation, même si elle est souvent perfectible, est généralement formalisée a minima pour décrire l’architecture, les flux, les procédures d’exploitation, etc. L’intégration de progiciels ou le développement d’applications par des prestataires intègrent généralement un niveau de documentation minimal.

SI Industriels SI Gestion

Page 23: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

23

4.1 Les composantes de la sécurité pour tous les systèmes

Ce paragraphe décrit l’approche proposée afin de réconcilier les deux mondes, de prendre ce qu’ils ont de meilleur tout en gardant à l’esprit leurs contraintes spécifiques.

La sécurité recouvre de nombreux domaines et la norme ISO 27001 ajoute la notion de progrès continu. La représentation suivante permet de s’inscrire dans une démarche permettant de prendre en compte la sécurité y compris des systèmes d’information industriels, tout en restant en cohérence avec la norme.

Quelle que soit l’activité de l’entreprise et le périmètre sur lequel on cherche à améliorer la sécurité, et que ce soit pour la sécurité des systèmes informatiques ou de façon plus large la sécurité de l’information, la démarche doit comprendre toutes les composantes du triptyque de la figure suivante :

Les bonnes pratiques

Politique de sécurité

RISQUES MISE EN œUvRE

GEStIoNoPéRatIoNNELLE

Classification(processus et informations)

• Identification des risques

• Continuité Métier (PCM)

• Reprise d’Activité (PRA)

• Sécurité Projet (PSP)

• Plan d’actions

• Organisation opérationnelle

• Rôles et missions

• Architectures

• SensibilisationFormation

Référe

ntiels

Procédure

s

Guides

Tableaux de bord

indicateurs

• Évaluations croisées• Conseil

• Audits Vérifications• Expertise

• Centre de gestion

Page 24: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

24

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

4.2 Une déclinaison pour les SIICe paragraphe a pour objectif de donner des exemples de mise en œuvre de différents points du schéma précédent, exemples tirés de l’expérience d’EURIWARE.

4.2.1. DémArche propoSéeLes composantes de la sécurité et le triptyque du § 4.1 s’appliquent aussi aux SII. La démarche suggérée est donc la même :

Un travail initial sur les « Risques et Enjeux », pour que chaque métier identifie ses risques et envisage de manière spécifique les moyens de prévention… et de protection. Ce travail fondamental débouche naturellement sur une classification des processus, des informations et des systèmes qui les supportent.

Une fois que ce que l’on doit protéger est cerné, il faut passer à la « Mise en œuvre » de la démarche : définir les plans d’actions, identifier et désigner les personnes en charge, bien cibler leur mission et l’encadrer avec les éléments de base d’un référentiel minimum, constitué de procédures et de guides d’application, sensibiliser et former les personnels (la règle des 80-20 n’est pas loin d’être encore valable et la majorité des problèmes - et donc des solutions - sont relatifs au comportement humain), mettre en place les moyens techniques.

Et quand tout ceci est prêt ou légèrement en parallèle, la phase de « Gestion opérationnelle » peut se dérouler, avec des services de conseil ou d’expertise pour progresser dans les cas sensibles, des évaluations ou audits, moins pour sanctionner que pour faire progresser l’ensemble, et un centre de gestion opérationnelle pour l’administration, l’exploitation et la supervision de la sécurité.

Page 25: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

25

4.2.2. LeS rISQueS et enjeux4.2.2.1 Risques, classification et caractérisation des systèmesLa stratégie est simple : les moyens et les mesures de sécurité sont appliqués aux éléments à protéger, processus, applications et ressources, en fonction :

• De leur valeur • De leur sensiblité (ou de la criticité des atteintes

éventuelles) aux critères classiques de la sécurité des systèmes d’information

La « classification » est évaluée selon les quatre critères :• Disponibilité• Intégrité• Confidentialité• Preuve (ou Traçabilité ou Imputabilité)

La « sensibilité » ou « criticité » est attribuée par les responsables de domaines d’activité métier et les chefs de projets métier, avec l’aide de la fonction sécurité. La préconisation consiste à commencer, de manière pragmatique, par les processus, ressources et données clés représentant des enjeux majeurs.

Cer taines démarches proposent des niveaux de classification variables en fonction des critères (EBIOS par exemple).

Notre expérience nous amène à proposer une évaluation de la sensibilité sur quatre niveaux :

• Niveau 1 – « Non sensible » : dommage nul ou non significatif • Niveau 2 – « Sensible » : dommage perceptible, mais limité (effet court)• Niveau 3 – « Essentiel » : dommage grave (effet de plusieurs mois)• Niveau 4 – « Vital » : dommage extrêmement grave, donc inacceptable (effet définitif)

Page 26: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

26

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

A titre d’exemple, le résultat de la classification peut alorsressembler pour un site industriel au tableau suivant :

UUSINE XYZ NIVEAUX DE QUALIFICATION

FONCTION INFORMATIQUE D C I P

INFORMATIQUE DE GESTION USINE

FI Finances 1 1 1 2HR Ressources Humaines 1 3 2 2MA Maintenance 2 1 1 1

INFORMATIQUE DE PILOTAGE USINE

HIB Bases Historique et Intermédiaire 2 1 2 2DA Aide à la décision 1 1 1 1QC Contrôle qualité 2 2 2 2

CONTRÔLE ET SUPERVISION PROCEDE

ISS Système instrumenté de sécurité 3 2 3 3CS Système de conduite 2 1 3 2AC Contrôle avancé 1 1 1 1II Instrumentation intelligente 1 1 1 1FGD Détection feu et gaz 4 2 3 3

4 : Vital / 3 : Essentiel / 2 : Sensible / 1 : Non sensible

L’élaboration de la classification se heurte à certains écueils :

• Comment faire admettre à certaines personnes que ce qu’elles font, ou que les informations qu’elles manipulent, n’est pas aussi sensible que ce qu’elles imaginent ?

• Comment convaincre un responsable d’une unité de production que l’arrêt de son unité pendant plusieurs jours n’est pas important pour la société si une autre unité peut assurer pendant ce temps la continuité du métier de l’entreprise ?

• Comment faire converger des avis différents entre plusieurs sites ou plusieurs équipes sur la sensibilité d’un même système ou d’une même information ?

Page 27: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

27

Une bonne démarche serait de procéder en deux temps :• Tout d’abord établir ce qu’on peut appeler une « échelle des valeurs »,

c’est à dire un classement des processus et des activités en fonction des impacts qu’aurait pour l’entreprise leur dysfonctionnement.

• Ensuite, et ensuite seulement, descendre dans les composants participant à l’activité ou au processus pour établir la « classification des systèmes », de leurs informations et de leurs ressources, comme dans l’exemple ci-dessus.

Il est fondamental de ne pas oublier que :• L’objectif premier de la sécurité est de limiter les conséquences et

d’éviter l’occurrence de situations très graves voire vitales,• Seuls les dysfonctionnements essentiels sont à prendre en compte,

sans essayer de recenser tous les dysfonctionnements possibles : se limiter en pratique, pour une activité, à quelques dysfonctionnements critiques, généralement entre 3 et 5,

• Ce sont donc les responsables de l’activité qu’il faut impliquerdans la démarche,

• La décomposition des activités et des processus en systèmes pour en établir la classification doit être faite avec une granularité homogène : de même qu’une quinzaine de « métiers » peuvent représenter toute une entreprise, une dizaine de fonctions de SII peuvent représenter l’ensemble de l’informatique industrielle, à condition de savoir amener les interlocuteurs à un consensus fonction de leur domaine.

4.2.2.2. Prévention et précaution (PCM et PRA)Plan de Continuité Métier (PCM) et Plan de Reprise d’Activité (PRA) sont deux des constituants d’un plan de secours.

Mais quelques éclairages sont utiles pour préciser ces notions et les décliner dans le domaine des SII.

Tout d’abord, le plan de secours : c’est lui qui décrit les moyens (internes et externes) et les procédures à mettre en œuvre pour réduire à un niveau de gravité décidé les conséquences d’un dommage relatif aux informations ou ressources informatiques.

Page 28: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

28

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

Dans cette définition, le terme « décidé » est peut-être la clef, car il indique l’importance de l’échelle de valeurs et de la classification qui ont été établies au préalable.

Quant aux moyens, il faut bien comprendre qu’ils ont plusieurs caractéristiques :• Tout d’abord, ils englobent toutes les composantes de la sécurité, c’est-

à-dire les aspects techniques bien sûrs, mais aussi organisationnels et humains ou sociaux,

• Ensuite, ils sont par nature :- Préventifs, sous la forme d’actions en prévention de la défaillance,- Détectifs, pour améliorer la réactivité et limiter les impacts,- Palliatifs, sous la forme d’actions en protection sur les conséquences de la défaillance.

Les moyens préventifs sont là pour réduire la probabilité d’occurrence de la défaillance et diminuer la gravité des risques : ce ne sont que des optimisations du fonctionnement normal, analogues aux actions à entreprendre dans la phase de mise en œuvre.

Les moyens palliatifs sont constitués des PCM et des PRA, pour les risques dont les conséquences ne sont pas admissibles :• Le Plan de Continuité Métier (PCM), c’est le plan qui décrit les opérations

à mener, avec quels moyens (y compris les opérations manuelles), en cas de dysfonctionnement du SI, pour assurer la continuité des activités de l’entreprise,

• Le Plan de Reprise d’Activité (PRA), c’est le plan qui décrit les responsabilités et les opérations à mener pour continuer d’assurer les services des SI ou pour mettre en œuvre des ressources de remplacement, pour revenir ensuite aux conditions normales.

La différence est de taille et n’est pas neutre quant aux impacts sur la sécurité des SII.

Si le PRA n’est pas fondamentalement différent entre un SI de gestion et un SII – encore que les marches dégradées, les systèmes de rechange ou de secours n’ont pas toujours été pensés ni surtout maintenus et mis à jour avec la même exhaustivité que dans les systèmes de gestion – le PCM lui est de nature assez différente :

Page 29: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

29

• D’abord, un SII ne touche pas toute l’ entreprise comme un système de gestion ou un réseau bureautique : la défaillance d’un SII a forcément des conséquences sur un périmètre limité à la fonction de production qu’il contrôle, même si celle-ci peut être critique pour l’entreprise,

• Ensuite, chaque SII est relatif soit à des services généraux que l’on peut souvent facilement secourir, par exemple avec quelques moyens humains supplémentaires, soit à un équipement de production ou de fabrication qui lui-même, tombe quelquefois en panne. Dans un certain nombre de cas, l’entreprise admet la panne d’un équipement de production sans mettre en oeuvre de PCM pour la pallier. On peut alors considérer qu’un PCM n’est pas non plus indispensable pour pallier la défaillance du SII qui le pilote, à moins que l’échelle de valeurs ou la classification des SII n’ait été faite à la légère.

4.2.3. mISe en œuvreLa mise en œuvre se traduit à dif férents niveaux : organisation et procédures, sensibilisation, moyens techniques. Le plus souvent, cette mise en œuvre déborde le domaine de la sécurité des SII et traite globalement de la sécurité de l’information.

4.2.3.1. RéférentielLe système de management par référentiel est naturel, dans une société d’une certaine taille : la définition de plans d’actions par analyse de risques généralisée prendrait beaucoup trop de temps.

Le management par référentiel consiste à définir un ensemble de règles et à piloter la mise en œuvre des actions pour assurer le respect de ces règles.

Les règles, elles-mêmes, peuvent résulter :• D’ une approche classique (« top down ») partant des lois, règlements,

normes et tex tes internes, d’une analyse a priori des enjeux (classification des processus, informations et ressources) et d’une identification des risques et de leurs conséquences : c’est une approche cartésienne… qui plait aux Directions.

Page 30: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

30

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

• D’une approche consensuelle (« bottom-up ») partant de la connaissance du « terrain » et d’une analyse des pratiques usuelles en les confrontant (analyse de risques à l’appui) avec les normes et règlements existants : c’est un peu un « code de bonnes pratiques »… qui rencontre souvent un accueil plus favorable des acteurs.

Quelques fois très détaillé sur plus de 100 pages, le référentiel est souvent organisé en Directives et Recommandations ; il peut atteindre 300 ou 400 règles et donc être finalement peu utilisable.

Constituant la totalité de la doctrine de sécurité ou en étant extrait, il est quelquefois réduit à quelques éléments simples, de l’ordre d’une dizaine ou d’une vingtaine de règles : il est alors compréhensible et applicable, mais se limite souvent aux conditions minimales pour un raccordement au réseau global de l’entreprise et est donc insuffisant.

Notre expérience nous conduit à préférer un référentiel constituéde deux volets :

1. Un volet « Procédures », ensemble de règles à respecter compte tenu de la sensibilité de l’information ; il nous semble oppor tun… et important :

• D’organiser les règles de manière logique, soit en respectant la structure d’une norme sur laquelle on s’appuie, soit encore mieux en suivant le cycle de vie de l’information : depuis sa création jusqu’à sa destruction (phases de création, diffusion, gestion, conservation, ainsi que les étapes de chacune de ces phases),

• De n’aborder l’aspect technique ou technologique de la mise en œuvre d’une règle que si l’on est sûr que la technologie spécifiée est disponible et comprise d’une part, et d’autre part si cette technologie est homogène pour toutes les entités qui doivent respecter la règle : par exemple la conservation d’un document confidentiel (niveau 3 « Essentiel ») ne peut pas être traitée de la même manière dans une entreprise dont certains services ont des bureaux individuels fermant à clef tandis que d’autres sont en espaces paysagés.

Page 31: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

31

Cela peut donner par exemple des règles de ce type :

DIFFUSION TRANSMISSIONLimitée aux personnes figurant dans la liste de

diffusion

Une liste de diffusion accompagne obligatoire-

ment le document

Ou encore :

GESTION DUPLICATION

Possible, sous la responsabilité

du détenteurL’émetteur doit être

averti

2. Un volet « guides ». Guides de classification ou encore Guides « métiers » ; chacun adresse un des métiers de l’entreprise, soit une quinzaine pour couvrir toutes les composantes d’un grand Groupe, des achats aux ressources humaines en passant par la gestion financière, peu concernés par les SII, mais aussi la logistique, l’exploration, la transformation de matière, la production ou même la conformité.

Chacun de ces guides est donc adapté à un domaine métier et en utilise les termes pour guider les personnes de la profession à classifier l’information qu’elles manipulent :

• Soit par référence à des types de documents (ou d’informations) créés et manipulés par les équipes du métier,

• Soit, lorsque le document (ou l’information) n’est pas répertorié ou lorsque l’échange d’information est conjoncturel (mail ou téléphone par exemple) par référence à des valeurs à protéger utilisées dans le cadre du métier.

C’est ainsi que dans les métiers de la production qui classifient quelques fois certains sous-traitants d’essentiels, on pourra dire que les informations traitant de la politique de sous-traitance sont de sensiblité N3.

Politique de sous-traitance Essentiel

De même, tous les documents de type « notes techniques sur… » sont essentiels (niveau N3) et contiennent des éléments relatifs à la valeur « savoir-faire… ».

Notes techniques sur des sujets n’entrant pas

dans le périmètre des contrats

EssentielSavoir-faire

pouvant être valorisé

Page 32: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

32

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

4.2.3.2 OrganisationDe même que le RSSI, souvent rattaché à la DSI, ne peut pas tout faire lui-même, la sécurité des SII doit être organisée. Peu importe à la limite la structure de rattachement des différents intervenants, mais il faut que les acteurs de la sécurité soient organisés en réseau. Un réseau constitué dont le maillage dépend de la structure et de la géographie de l’entreprise bien sûr, mais un réseau connu et vivant pour permettre les échanges d’informations, de problèmes et de solutions.

Qu’on les appelle responsables, référents ou correspondants, leur mission est complexe :• Etre le relais et le moteur pour toutes les entités rattachées à son périmètre,• Sensibiliser le personnel concerné de son périmètre à l’importance de

respecter les règles de protection,• Vérifier que les collaborateurs de l’entité disposent des moyens appropriés,• Coordonner l’appropriation éventuelle et l’actualisation des guides

métiers au sein de son périmètre,• Suivre la mise en application des règles de protection au sein du

périmètre de responsabilité,• Répondre aux sollicitations des collaborateurs de son périmètre… et

aussi à celles de ses homologues dans d’autres entités qui auront certainement des problèmes peut-être similaires à résoudre,

• Renseigner à intervalle fixe les indicateurs de sécurité (autoévaluation).• …

Bien entendu, les acteurs du réseau doivent être nommés par la hiérarchie, ce qui est un bon moyen pour les faire connaître et leur allouer le pourcentage de leur temps qui leur sera indispensable.

Mais plus que connus, ils doivent être reconnus dans leur périmètre par leurs collègues, comme compétents dans le domaine et disponibles. Peu importe qu’ils soient dans les équipes d’exploitation, de maintenance ou de qualité-sécurité-environnement, il leur faut surtout :• Une bonne connaissance des métiers exercés dans le périmètre de

responsabilité, afin d’être reconnus par les métiers comme interlocuteur à part entière,

• Un niveau de généraliste suffisant pour dialoguer avec les entités de soutien spécialisées concernées,

Page 33: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

33

• Une forte sensibilisation à l’importance que revêt la protection de l’information,• Une bonne pratique du travail collectif.

Quant aux qualités personnelles requises, un bon relationnel, de la capacité de persuasion, de la pédagogie, un excellent esprit d’équipe, de la rigueur et surtout beaucoup de persévérance, car même si les problèmes de sécurité des SII sont finalement assez peu nombreux après un certain temps d’effort, ils sont récurrents, de même qu’est récurrente la caractéristique humaine d’oublier les contraintes.

4.2.3.3. SensibilisationComme nous l’avons déjà remarqué, dans le domaine de la sécurité des SII, près de 80% des problèmes sont relatifs au comportement humain, d’où la persévérance demandée aux acteurs du réseau.

Cette composante « Sensibilisation/Formation » de la mise en œuvre est capitale. Quelle que soit la qualité des procédures, des guides, du réseau ou des dispositifs techniques mis en œuvre, aucun système n’est infaillible et toute efficacité est perdue si les gens eux-mêmes ne comprennent pas leur rôle et leur responsabilité dans la chaîne de la sécurité.

Il faut donc élever le niveau de sensibilisation à la sécurité. La sécurité doit occuper une place essentielle dans la vie professionnelle, à tous les niveaux de l’organisation.

C’est un véritable travail dans la durée, et l’amélioration du comportement doit accompagner l’amélioration des systèmes.

Les clefs pour la sensibilisation et la formation sont simples et peu nombreuses :

Adapter la démarche en fonction de la culture de l’entreprise et de sa maturité dans le domaine de la sécurité :• Insister par exemple sur la confidentialité lorsque des secrets de

fabrication existent,• Ne pas hésiter à faire peur par les conséquences,• Illustrer et montrer ce qui peut se produire (clef USB sur un poste de travail),• Comprendre son public (langage approprié, dire quoi faire, mais aussi pourquoi) ;

Page 34: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

34

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

Mobiliser tous les niveaux et tous les domaines :• Tous les niveaux doivent comprendre et soutenir l’effort de sécurité,• Tous les domaines de l’entreprise - RH, Formation, Juridique, HQSE,

Communications - doivent participer ;

Assurer un effort continu en n’hésitant pas à multiplier les supports• Programme d’accueil et formation sécurité de l’Information,• E-learning de base pour tous (messages, logo, écrans de veille),• Publications (journaux, affiches, revues) et présentations (évènements,

séminaires, réunions) axées sur des sujets spécifiques;

Prouver des progrès rapides• Mesurer le degré de compréhension et d’adhésion des utilisateurs,• Apporter et mettre en valeur des preuves tangibles d’amélioration pour

inciter davantage,• Évaluer les pratiques existantes et isoler des problèmes spécifiques urgents ;

Ancrer les dispositifs• Mettre à jour les programmes et publications,• Inscrire des dispositions de sécurité dans les objectifs individuels,• Utiliser des outils en ligne pour gagner du temps et obtenir des

remontées aux fins de statistique,• Obtenir la participation de tous en acceptant les suggestions de

changement en les mettant en application.

4.2.3.4. Moyens techniquesConcernant les moyens techniques, plusieurs solutions existent et doivent être étudiées en fonction de la politique de sécurité, des objectifs associés, mais également de l’existant, des orientations techniques et stratégiques du système d’information, etc.

A titre d’exemple, sont décrites ci-dessous quelques orientations rencontrées ou réalisées par EURIWARE relatives à la sécurisation de systèmes d’informations industriels.

4.2.3.4.1. Sécurité des réseaux et des fluxAu niveau du réseau, il est aujourd’hui indispensable de cloisonner les réseaux industriels et les réseaux « de gestion » avec un niveau de sécurité satisfaisant. En fonction de la maturité, de l’architecture et des compétences, cela peut s’appuyer sur des VLAN ou sur des réseaux

Page 35: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

35

physiquement cloisonnés. Il est même recommandé d’envisager le c lo isonnement du réseau industr ie l en « sous - réseaux » a f in de l imi ter les per turbat ions entre di f férents sys tèmes industr iels . L’interconnexion, quasi incontournable, entre les dif férents réseaux doit également être sécurisée au bon niveau.

Dans le cas du réseau industriel d’un de ses clients, EURIWARE a retenu à l’origine un cloisonnement physique et une interconnexion à travers un « pare-feu » permettant de limiter les possibilités de flux au strict minimum. Pour cela, les flux entre les deux zones doivent être identifiés. Ce niveau de protection, s’il est considéré comme indispensable ne semble cependant plus suffisant. Des solutions techniques permettent de détecter des anomalies, voire des intrusions au niveau du réseau (IDS/IPS/NBA) et d’autres (SIEM) permettent l’exploitation des traces générées par les équipements de sécurité afin de pouvoir les corréler et détecter au plus tôt tout incident (réseau, mais aussi système, voire application). Il faut mentionner, à ce titre, que ces applications (SIEM) permettent de prendre en compte des traces « propriétaires » (pour autant que leur syntaxe soit connue) et ainsi d’en améliorer l’exploitation et donc la supervision, y compris de systèmes industriels. Leur utilisation (pour autant qu’elle soit pertinente dans le contexte technique – les IPS/IDS réagissent difficilement aux protocoles autres que IP) doit permettre d’apporter un niveau de sécurité supérieur qui passe notamment par une meilleure capacité de détection des incidents.

Dans le cadre d’un autre réseau industriel, EURIWARE a mis en place une gestion des accès réseau liant statiquement les prises réseau aux adresses MAC (Ethernet) des équipements. Cela permet d’assurer que l’accès au réseau local est limité aux équipements autorisés. Ce système, s’il est dif ficilement envisageable sur des SI de gestion qui évoluent rapidement et avec un nombre de postes de travail très important, est applicable à des SI industriels compte tenu de leur évolution lente et de leur durée de vie. Il évolue actuellement vers une authentification type 802.1x pour autant que les équipements concernés sachent la gérer.

En complément, en fonction des besoins croissants d’échange entre les deux types de systèmes (systèmes industriels et systèmes de gestion), des dispositifs de type proxy, reverse proxy ou EAI permettent de contrôler les échanges et de valider leur pertinence.

Page 36: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

36

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

La télémaintenance doit faire l’objet de règles strictes et d’un circuit d’autorisation permettant de gérer le risque associé au bon niveau. Ces accès distants ne doivent pas être ouverts en permanence, mais bien être activés uniquement en cas de besoin d’intervention de l’éditeur ou du constructeur. Dans la mesure du possible, un contrôle des actions réalisées par le mainteneur est souhaitable, idéalement en « temps réel », mais à minima a posteriori en cas de problème.

4.2.3.4.2. Gestion des utilisateurs et des droitsConcernant la traçabilité et l’authentification des utilisateurs, plusieurs solutions sont envisageables. Si le besoin est limité et que le risque associé est jugé acceptable (par exemple s’il est limité par la protection physique), il est possible de ne pas protéger les accès au(x) poste(s) de travail. Dans le cas contraire, et afin de prendre en compte les contraintes des utilisateurs, on peut envisager un mot de passe par fonction, voire la mise en œuvre de moyens d’authentification « simples » à utiliser, par exemple des cartes à puce sans contact qui déverrouillent la station ou ouvrent une application lorsque l’utilisateur est suffisamment près du lecteur sans contact.

Dans le cas d’une application liée au métier industriel d’un client, EURIWARE a dû mettre en œuvre des mécanismes d’authentification forte et de signature afin de garantir la traçabilité des validations dans le cadre d’un workflow traitant d’informations sensibles.

Sur le SI industriel d’un autre client, EURIWARE a mis en œuvre un annuaire d’authentification commun permettant d’améliorer le niveau d’authentification, mais également de simplifier cette authentification pour l’utilisateur en la rendant commune à différentes applications. La difficulté réside dans le fait que les SI industriels savent rarement utiliser une authentification sur un annuaire. Cela demande des développements spécifiques ou la mise en œuvre de mécanismes complémentaires (propagation).

4.2.3.4.3. Intégrité des données et des applicationsL’intégrité du code, des traitements ou des données est également un point clé souvent plus présent dans les SI industriels que dans les SI « de gestion ». Dans le cas d’une application dont l’intégrité de traitement doit être assurée, EURIWARE a mis en œuvre une solution de signature de code permettant d’en assurer l’intégrité.

Page 37: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

37

4.2.4. GESTION OPÉRATIONNELLE4.2.4.1. Audits et vérificationLe maintien d’un niveau de sécurité cohérent avec les besoins et le contexte - et surtout homogène pour l’ensemble des SII de l’entreprise par rapport aux risques identifiés - passe par des évaluations régulières.Mais la toute première des évaluations doit consister en la vérification de l’inventaire qui doit être fait de l’ensemble des SII de l’entreprise. Les questions de base pour constituer cet inventaire, et donc aussi pour le valider, sont proposées en annexe.

Les audits ou vérifications postérieures, sur tout ou par tie de l’inventaire validé, peuvent ensuite s’appuyer sur un référentiel tel que celui proposé par la norme ISO 27002 ou la norme NERC-CIP, ou préférablement sur les procédures et guides constituant le référentiel spécifique élaboré conformément au § 4.2.3.1.

Ces audits peuvent être en partie réalisés en utilisant des outils de tests de vulnérabilités. On peut signaler à ce titre l’existence de tests spécifiques aux systèmes SCADA proposés par l’outil Nessus de Tenable Network Security (cf. en annexe la liste des vulnérabilités testées). Les outils de ce type permettent d’avoir une première idée sur les failles potentielles des systèmes industriels, qu’il convient de valider par la suite avec les experts et les éditeurs/constructeurs des systèmes.

4.2.4.2. Evaluations croisées (tableau de bord)Le meilleur tableau de bord pour évaluer le niveau de sécurité atteint sur le périmètre des SII est celui qui résulte d’une évaluation croisée émanant de plusieurs responsables dans le périmètre SII.

Cet te évaluation croisée, facilement obtenue sous la forme d’une autoévaluation suppor tée par des outils qui peuvent être s imples , permet une comparaison entre ent i tés de même nature et une mise en lumière des « bons élèves ».

Mais c’est surtout un excellent moyen pour que chacun :• S’approprie effectivement le référentiel,• S’évalue par rapport aux règles,• Mesure l’impact de ses plans d’actions,• Puisse remonter ses suggestions, afin de faire évoluer les règles.

Page 38: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

38

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

C’est égalemment une oppor tunité pour favoriser le dialogue entre les responsables de la sécurité des SII, en les poussant à échanger pour répondre à leurs interrogations, trouver éventuellement des solutions à des problèmes similaires.

4.2.4.3. Gestion des changements et vulnérabilitésLa gestion des changements (notamment concernant les correctifs de sécurité) est également un axe d’amélioration. Cependant, nous avons vu précédemment que les contraintes des SII sont fortes et que les pratiques en SI de gestion ne sont pas toujours applicables. Malgré tout, le processus de gestion des changements doit être formalisé en y incluant les correctifs de sécurité. Il doit prendre en compte la criticité et les risques associés. En complément de la fourniture de correctifs de sécurité, les éditeurs ou constructeurs concernés par une faille de sécurité proposent la plupart du temps des moyens de contournement permettant de réduire la vulnérabilité sans installer un correctif. Il est indispensable que le processus de gestion des vulnérabilités prenne en compte ces moyens de contournement comme solution « prioritaire ». En complément, des solutions (de type boîtier réseau) existent afin « d’installervirtuellement » les correctifs et de limiter la vulnérabilité à telle ou telle faille.

4.2.4.4. Centre de gestion opérationnelleLa gestion opérationnelle de la sécurité des SII s’apparente à celle des SI de gestion. Cinq fonctions majeures doivent être rendues :• « Administration et exploitation » des composants assurant la

sécurité des SII• « Super v is ion sécur i té » permet tant de détec ter des

dysfonctionnements, des attaques, des incidents de sécurité et de les traiter (utilisation possible d’outils de type SIEM décrits précédemment)

• « Gestion des vulnérabilités » visant à détecter des points de faiblesses sur les composants des SII

• « Veille sécurité » afin de suivre la publication de failles et d’anticiper des incidents potentiels

• « Gestion des identités » pour assurer que la gestion des utilisateurs et de leurs droits est cohérente avec les besoins de sécurité des SII.

Ces fonctions sont complétées en transverse par des fonctions communes, liées au reporting, à la gestion du référentiel client, à la gestion des demandes et des incidents et à la gestion des connaissances.

Page 39: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

39

L’enquête sur les SIIAvant toute mise en place d’une démarche sur la sécurité des SII, et par la suite, en régime permanent, de manière continue sous la forme par exemple d’un audit ou d’une auto-évaluation, des questions sont à se poser pour avoir une bonne vision de l’état des SII dans l’entreprise.

Parmi les questions auxquelles il faut des réponses - et hormis celles relevant des cadres de conformité juridique, technique ou normative - celles du tableau suivant sont une baseà peu près complète.

On remarquera que :• L’inventaire des systèmes est fondamental,• Certaines questions sont à adapter au contexte et à la culture de l’entreprise.

typoLogIe et InventAIre• Les équipements de production sont reliés à des systèmes de

conduite ou dispositifs de contrôle-mesure• Précisez si le site dispose de :

SNCC (Système Numérique de Contrôle Commande) ? API (Automate Programmable Industriel) ? Superviseur de type PC ? Autres systèmes de conduite (précisez leur type) ? Systèmes de contrôle, de mesure ou de diagnostic

(précisez leur type) ?• Le site utilise-t-il pour la production des systèmes informatiques

interagissant avec les systèmes de conduite, de type : Système d’historisation Système de métrologie ou de détection de défaut ? Système de conduite avancée ? Autres systèmes liés (précisez leur type) ?

• Le site utilise t- il d’autres systèmes informatiques d’aide à la production, de type : Gestion de Production ? Gestion de la Maintenance Assistée par Ordinateur? Gestion de laboratoire ? Autres ?

annexes

Page 40: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

40

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

• Le site utilise t-il des systèmes « services généraux » de type : Gestion Technique Centralisée ? Contrôle d’accès du personnel ? Sécurité incendie ? Autres ?

• Existe-t- il un inventaire des Systèmes Industriels des questions précédentes ?

• Existe-t-il un responsable de cet inventaire ?• Pour la production, le site utilise t-il des réseaux de type :

Réseau d’entreprise ? Réseau Usine ? LAN ? VLAN ? Wi-Fi Industriel ?

orgAnISAtIon DeS opérAtIonS• Le site a-t-il un Correspondant Sécurité informatique ?• Existe-t-il une coordination pour la définition et l’implémentation des

Systèmes d’Information Industriels ?• Un responsable est-il formellement identifié pour chaque Système

d’Information Industriel ?• Les exploitants des Systèmes d’Information Industriels

sont-ils rattachés : à la production ? au service informatique (IT) ? à la maintenance ? à une autre entité ?

• Le personnel chargé de la maintenance des Systèmes d’Information Industriels est-il rattaché : à la production ? au service informatique (IT) ? à la maintenance ? à une autre entité ?

• Les contacts auprès des fournisseurs des Systèmes d’Information Industriels (matériel & logiciel) sont-ils bien identifiés avec toutes leurs coordonnées (nom, adresse, tél, email,...) ?

• Les réseaux industriels ou de gestion du site sont-ils administrés par des personnes identifiées ?

• Disposez-vous d’une procédure à respecter pour la connexion d’un ordinateur à un réseau industriel ?

• Disposez-vous d’une procédure à respecter pour la connexion à distance à un équipement du réseau industriel ?

Page 41: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

• Existe-t-il sur le site une procédure de traitement : des incidents de sécurité ? des non-conformités et dérogations ?

• Y a-t-il des relations opérationnelles entre le correspondant sécurité informatique et les services en charge des Systèmes d’Information Industriels ?

AccèS Aux SyStèmeS• L’accès aux Systèmes d’Information Industriels depuis un réseau

bureautique est-il possible ? pour visualiser des valeurs de fabrication ? pour transférer des paramètres ou plans de fabrication ? pour piloter directement des équipements de production ?

• Les fournisseurs se connectent- ils directement aux Systèmes d’Information Industriels ? avec leurs matériels propres ? avec des matériels mis à disposition par l’usine (PC, etc.)

moyenS De protectIon• L’accès aux Systèmes d’Information Industriels se fait-il avec des

comptes individuels attribués par une entité identifiée ?• Sur un poste de conduite en mode exploitation, est-il possible de :

verrouiller ce poste en le passant en mode « supervision » seul ? passer en mode « maintenance » pour corriger une anomalie ? passer en mode « administrateur » pour charger une mise à jour de logiciel ou de paramétrage ?

• L’accès aux périphériques de stockage (CD, USB,…) des Systèmes d’Information Industriels est-il protégé ?

• Les locaux contenant des constituants des Systèmes d’Information Industriels font-ils l’objet d’une analyse de risques pour déterminer les niveaux de protection à mettre en œuvre ?

• Les locaux contenant des constituants des Systèmes d’Information Industriels sont-ils : à accès libre ? à accès réservé au personnel de l’entreprise ? toujours occupés par du personnel ? à accès contrôlé (badge, clef,..)

• Y a-t-il des Systèmes d’Information Industriels connectés à la fois à un réseau bureautique et à d’autres réseaux ?

• Quelles sont les méthodes utilisées pour isoler les réseaux industriels : isolement physique ?

41

Page 42: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

Hubs ou switchs ? Switchs intelligents (VLAN) ou Routeurs ? Firewall ?

• Les échanges entre les Systèmes d’Information Industriels et les applications de gestion sont-ils à l’initiative des systèmes industriels ?

• Des antivirus et correctifs sont-ils mis en place et tenus à jour sur les constituants des systèmes d’information industriels ?

AnALySe De rISQueS• Un inventaire des Systèmes d’Information Industriels est-il :

établi ? accessible ? mis à jour ?

• L’inventaire des Systèmes d’Information Industriels inclut-il une classification de la criticité des systèmes ?

• Les risques sur les Systèmes d’Information Industriels ont-ils été identifiés ?

• Des mesures formalisées ont-elles été implémentées pour réduire les risques et/ou diminuer leurs conséquences : pièces de rechange ? procédures dégradées ? sauvegarde ? solution de contournement ? documentation ?

projetS et contrAtS• Des mesures relatives à la sécurité sont-elles prises dans les projets

d’installation, de modification ou de la mise en place de Systèmes d’Information Industriels ?

• Des mesures relatives à la sécurité des Systèmes d’Information Industriels sont-elles prises vis-à-vis des fournisseurs (cahier des charges, contrats, audits, etc.) ?

42

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

Page 43: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

Les attentes les plus courantesTrès fréquemment, un cer tain nombre de thèmes remontent systématiquement dans le domaine de la sécurité des SII. Nous en rappelons les plus courants dans le tableau suivant. Ces thèmes récurrents sont naturellement ceux qui sont à traiter en priorité.

orgAnISAtIon• Définition de mission pour un rôle de Correspondant de

Sécurité de Systèmes Informatiques Industriels• Mutualisation des compétences sur les systèmes « vieillissant »• Fonctionnement en « réseau » des correspondants pour le partage de

l’expérience et des problèmes

technoLogIe• Règles en matière d’antivirus et de correctifs• Préconisations d’architectures sécurisées• Règles pour la télémaintenance et le télé-accès• Règles d’intégration au standard d’infrastructure de l’entreprise

mISe à nIveAu• Règles sur la mise en place de réseaux industriels • Support pour le remplacement d’équipements obsolètes• Dispositions contractuelles uniformes pour les fournisseurs• Méthodologie d’analyse de risques

mAIntenAnce• Plans de maintenance des composants sensibles• Règles de protection des locaux techniques et des armoires• Administration centralisée des dispositifs de protection• Outil pour réaliser l’inventaire

43

Page 44: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

44

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

Les vulnérabilités des SCADANessus (pris à titre d’exemple) est un scanner de vulnérabilités proposant de tester des vulnérabilités et failles connues sur des environnements informatiques. Il intègre des tests spécifiques aux environnements SII :

• CitectSCADA ODBC Server Buffer Overflow Vulnerability• CitectSCADA Detection• Automated Solutions Modbus TCP Slave ActiveX Heap Corruption Vulnerability• LiveData Servers Multiple Vulnerabilities• Takebishi Electric DeviceXPlorer OPC Server Multiple Vulnerabilities• SISCO OSI Stack Malformed Packet Remote Denial of Service Vulnerability• Iconics DlgWrapper ActiveX Control Buffer Overflow Vulnerability• OPC HDA Server• OPC DA Server• OPC Detection• Modicon PLC Telnet Server• Modicon PLC Web Password Status• Modicon PLC Modbus Slave Mode• Modicon PLC IO Scan Status• Modicon PLC CPU Type

Page 45: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

45

• Modicon PLC HTTP Server Default Username/Password• Modicon PLC Default FTP Password• Modicon PLC Embedded HTTP Server• Modicon Modbus/TCP Programming Function Code Access• Modbus/TCP Discrete Input Access• Modbus/TCP Coil Access• Tamarack IEC 61850 Server• Sisco OSI/ICCP Stack• Sisco OSI Stack Malformed Packet Vulnerability• LiveData ICCP Server• ICCP/COTP TSAP Addressing• ICCP/COTP Protocol• DNP3 Unsolicited Messaging• DNP3 Binary Inputs Access• DNP3 Link Layer Addressing• Siemens-Telegyr ICCP Gateway• Telvent OASyS System• Siemens S7-SCL• Siemens SIMATIC PDM• National Instruments Lookout• Matrikon OPC Server for ControlLogix• Matrikon OPC Explorer• Matrikon OPC Server for Modbus• Areva/Alstom Energy Management System

Source : http://nessus.org/plugins/index.php

Page 46: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

46

Le livre blanc de la sécurité des systèmes d’information industriels - 2010

Glossaire généralAGA : American Gaz Institute

ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information – ex DCSSI

API : American Petroleum Institute

CC : Common Criteria for Information Technology Security Evaluation

CIGREF : Club Informatique des GRandes Entreprises Françaises

CIM : Common Information Model

CLUSIF : Club de la Sécurité de l’Information Français

CPNI : Center for the Protection of National Infrastructure

COBIT : Control Objectives for Information and related Technology

DLP : Data Loss Prevention/Protection

EAI : Enterprise Application Integration

EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité

GMAO : Gestion de Maintenance Assistée par Ordinateur

GPAO : Gestion de Production Assistée par Ordinateur

IDS : Intrusion Detection System

IEEE : Institute of Electrical and Electronics Engineers

IP21 : Logiciel de gestion de production « temps réel »

(Aspen Technology)

IPS : Intrusion Prevention System

ISA : Industry Standard Architecture

Page 47: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

47

ISACA : Information Systems Audit and Control Association

ISO : International Standardization Organization

ITIL : Information Technology Infrastructure Library

LDAP : Lighweight Directory Access Protocol

LIMS : Laboratory Information Management System

MEHARI : Méthode Harmonisée d’Analyse de RIsques

NAC : Network Access Control

NBA : Network Behaviour Analyzor

NERC-CIP : norme américaine concernant le secteur de l’énergie

PC : Personal Computer (poste de travail banalisé)

PCM : Plan de Continuité Métier

PI : Logiciel de gestion de données de production (OSISoft)

PLC : Programmable Logic Controller

PRA : Plan de Reprise d’Activité

RFID : Radio Frequence Identification

SCADA : Supervisory Control and Data Acquisition

SIEM : Security Information and Event Management

SNCC : Systèmes Numériques de Contrôle Commande

SSO : Single Sign-On

VLAN : Virtual Local Area Network

VPN : Virtual Private Network

Page 48: Livre Blanc La sécurité des systèmes d’information …media.surete-securite.com/Presentation/EURIWARE_LivreBlanc... · La méthode MEHARI (Méthode Harmonisée d’Analyse de

1, place des Frères Montgolfier - 78044 Guyancourt Cedex, FranceTél. : +33 (0) 1 39 48 40 00 - Fax : +33 (0) 1 39 48 40 01 - www.euriware.com ©

Rep

rodu

ctio

n et

diff

usio

n in

terd

ites

sans

aut

oris

atio

n d’

EU

RIW

AR

E -

2010

Partout dans le monde, AREVA fournit à ses clients des solutions pour produire de l’énergie sans CO2 et acheminer l’électricité. Le groupe a développé une expertise et un savoir-faire qui font de lui un acteur de référence, au coeur des grands enjeux énergétiques.

Numéro un mondial du nucléaire, AREVA propose une offre intégrée unique qui couvre toutes les étapes du cycle du combustible, la conception et la construction de réacteurs nucléaires et les services associés. Par ailleurs, le groupe développe un portefeuille d’activités dans les énergies renouvelables. AREVA est également l’un des leaders mondiauxdu transport et de la distribution de l’électricité et offre à ses clients une gamme complète de solutions pour améliorer la stabilité et l’efficacité énergétique des réseaux.

Parce que le développement durable est au coeur de la stratégie industrielle du groupe, ses 75 000 collaborateurs travaillent quotidiennement à faire d’AREVA un acteur industriel responsable, qui contribue à fournir, au plus grand nombre, une énergie toujours plus sûre, plus propre et plus économique.

www.areva.com