Matriser la SSI pour les systmes industriels

La cyberscurit des systmes industriels

Table des matires

Avant-propos Objectifs du guide 1Contexte et enjeux de la cyberscurit des systmes industriels
1.1 Mythes et ralits des SI industriels 5 7 9 9

1.1.1 - Ralits des systmes dinformation de gestion et des systmes dinformation industriels 9 1.1.2 1.2 1.2.1 1.2.2 1.2.3 1.2.4 Quelques mythes concernant les systmes dinformation industriels Les enjeux de la cyberscurit des systmes industriels Gnralits sur les attaques Les ngligences humaines Vulnrabilits des systmes dinformation industriels Les impacts potentiels sur les systmes industriels 10 12 12 12 13 13 15 15 15 16 16 17 17 18 18 19 19 19 20 21 22 23 25 27 35 37

22.1 2.2 2.2.1 2.2.2 2.2.3 2.2.4 2.2.5 2.2.6 2.2.7 2.3 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 -

Mthode de dploiement de la SSI

Rappel du rle de la SSI Les grands principes de la SSI Sensibilisation des personnels Cartographie des installations et analyse de risque Prvention : concept de la dfense en profondeur Surveillance des installations et dtection des incidents Traitement des incidents, chane dalerte Veille sur les menaces et les vulnrabilits Les plans de reprise et de continuit dactivit (PRA / PCA /DRP) Une approche globale et structure Une volont tous les niveaux (engagement de la direction) Prise en compte de la SSI dans les projets Prise en compte de la SSI dans les AMDEC / HAZOP Prise en compte de la SSI dans la maintenance Prise en compte de la SSI dans les achats

Annexe A : Vulnrabilits frquemment rencontres Annexe B : Bonnes pratiques (check-list) Annexe C : Sigles et acronymes Annexe D : Rfrences bibliographiques

La cyberscurit des systmes industriels

AVANT-PROPOS
Alors quelle faisait, il y a encore peu, figure de science rserve quelques experts, la scurit des systmes dinformation a merg ces dernires annes vers une prise de conscience gnrale. Le Livre blanc sur la dfense et la scurit nationale tablissait en 2008 que la cyberscurit tait un enjeu majeur des quinze annes venir, et mettait dj en exergue limprieuse ncessit de protger les systmes dimportance vitale. Depuis le Livre blanc, une prise de conscience a bien eu lieu, mme si elle sest faite marche force, au rythme des attaques et des incidents subis par les pays les plus dvelopps. Indisponibilit massive du rseau, attaques contre des systmes dinformation gouvernementaux, espionnage dentreprises stratgiques, oprations de dstabilisation et pannes en tous genres ont malheureusement occup lactualit des trois dernires annes. Les systmes industriels, mme lorsquils ne sont pas connects Internet, sont exposs ces risques. Le ver Stuxnet, apparu en 2010, est la preuve tangible que nos pires craintes dattaques sur des installations sensibles peuvent se raliser. En 2009 un adolescent ingnieux et inconscient a fait drailler via Internet un tramway en Pologne, dmontrant la vulnrabilit du systme daiguillage. On pourrait galement parler de rupture de pipeline ou encore de pollution des eaux... Ce ne sont malheureusement pas les exemples qui manquent. Les systmes industriels sont donc tout autant concerns, et probablement mme davantage, que les autres systmes dinformation par les enjeux de la cyberscurit. Le dfi est l : comme lensemble de la socit, les industries ont bien souvent intgr le numrique au fil de leau et sans stratgie initiale, des systmes htrognes sinterconnectant avec comme soucis majeurs la productivit, lefficacit et la sret mais rarement la scurit... Faut-il relever ce dfi ? La question ne se pose pas tant les enjeux sont considrables ! Ce serait comme se demander si on peut se passer de contrle daccs physique aux installations sensibles, ou de mesures sanitaires pour protger ses salaris, les citoyens et lenvironnement. Les industries ont un atout pour la scurit de leurs systmes dinformation : elles ont une forte culture de la sret de fonctionnement de leurs installations, et disposent le plus souvent en interne de comptences en matire de cyberscurit pour leurs systmes bureautiques. Il faut dsormais que ces deux cultures se rencontrent et que les forces sunissent pour protger convenablement les systmes industriels. Il revient aux directions gnrales den prendre la dcision, de mandater formellement un coordinateur SSI pour renforcer la scurit des systmes industriels et de lui en donner les moyens matriels, financiers, organisationnels et humains. Le guide sur la cyberscurit des systmes industriels publi par lAgence nationale de la scurit des systmes dinformation est fait pour accompagner les entreprises dans cette dmarche. Il vous est prsent ici dans sa premire version publique. Il est destin voluer avec les usages, mais aussi avec vos contributions et retours dexprience. Il saccompagne dun cas pratique destin illustrer des situations prsentant des risques pour les entreprises et en exposer leur traitement. Enfin, ce guide ne sadresse pas uniquement aux industries ; son contenu sapplique galement sans que cette liste soit exhaustive aux data centers, aux smartgrids, aux systmes de La cyberscurit des systmes industriels 5

gestion technique des btiments (GTB), de gestion technique centralise (GTC), mais aussi de nombreux systmes embarqus.

Les publications de lANSSI sont diffuses sur son site Internet : http://www.ssi.gouv.fr/publications/

Toutes remarques sur ce guide peuvent tre adresses : systemes_industriels@ssi.gouv.fr

OBJECTIFS DU GUIDE
Ce guide sattache tudier la scurit des systmes dinformation industriels. Bien que spcifiques chaque installation ils se composent le plus souvent des lments suivants : automates Programmables Industriels (API ou PLC) ;

systmes Numriques de Contrle-Commande (SNCC) ; systmes Instruments de Scurit (SIS)1 ; capteurs et actionneurs (intelligents ou non) ; bus de terrain ; logiciels de supervision et de contrle : SCADA ; logiciels de gestion de production assiste par ordinateur (GPAO, MES) ; logiciels dingnierie et de maintenance ; systmes embarqus.

Les systmes industriels utilisent aujourdhui abondamment les technologies de linformation alors quils nont pas t conus pour faire face aux menaces quelles introduisent. Les exemples de publication de vulnrabilits des systmes industriels sont aujourdhui nombreux (protocoles Modbus et OPC par exemple). Cest pourquoi il est ncessaire de les intgrer dans la rflexion gnrale sur la scurit des systmes dinformation de lentreprise2. Lobjectif de ce guide nest pas de dresser un inventaire exhaustif de recommandations ni dnumrer lensemble des composants dun systme industriel. Il propose une dmarche de sensibilisation et de mise en uvre de bonnes pratiques pour accompagner les entreprises dans le dploiement de la scurit. Il nexiste pas de solution idale ou passe-partout . Lannexe B prsente des bonnes pratiques possibles. Chaque installation prsente des particularits et des risques propres quil convient danalyser pour dployer des solutions adaptes en limitant les impacts sur lactivit mtier de lentreprise. La scurisation dune installation engendre des cots, bien souvent difficiles estimer. Les gains apports le sont galement. Nanmoins, ce processus de scurisation protge les investissements et la production de lentreprise. Cest pourquoi, il est important de dfinir les bons objectifs et de les adapter aux besoins. Paradoxalement, la sur-scurit peut provoquer des effets contraires ceux recherchs et nuire aux performances industrielles. Les sigles et acronymes utiliss dans le document sont reprise en annexe C.

1 Le terme scurit dsigne ici la scurit des biens et des personnes. Certains domaines parlent alors de sret. 2 Le syystme dinformation dentreprise regroupe lensemble des systmes dinformation dune entreprise, cest dire les systmes dinformation de gestion (systmes dinformation destins aux services et applications de bureautique, de gestion des ressources humaines, de relations clients ou encore de gestion intgre) et industriels.

La cyberscurit des systmes industriels

La cyberscurit des systmes industriels

1 - CONTEXTE ET ENJEUX DE LA CYBERSCURIT DES SYSTMES INSDUSTRIELS

1.1 - Mythes et ralits des SI industriels
1.1.1 - Ralits des systmes dinformation de gestion et des systmes dinformation industriels
Bien quutilisant de plus en plus des technologies standardises de linformatique classique ou conventionnelle (IT), les systmes industriels prsentent des spcificits propres aux contextes dans lesquels ils sont utiliss. Ils se diffrencient des systmes dinformation de gestion par le fait quils pilotent des installations physiques (units et chanes de production, units de distribution deau, dnergie, infrastructures routires, ferroviaires) ; certains assurent en outre des fonctions de protection des biens et des personnes ou de lenvironnement. Systmes dinformation Systmes dinformation industriels de gestion Objectif systmes des traiter des donnes piloter des installations (physique, concret), rguler des procds, acqurir et traiter des donnes contraintes mtier et contraintes contraintes mtier et temps rel , contraintes de sret de contraintes de confidentialit fonctionnement (SdF) , disponibilit 24/7 automaticiens, instrumentistes informaticiens lectrotechniciens, spcialistes en gnie du procd ateliers de production : poussire, salle serveur climatise, temprature, vibrations, bureau voire domicile lectromagntisme, produits nocifs proximit, environnement extrieur, etc. dans des entrepts, des usines, sur la voie majoritairement dans des publique, dans la campagne (stations locaux ferms (bureau, de pompage, sous-stations lectriques, domicile dans le cas du etc.), des lieux isols, en mer, dans lair tltravail) et dans lespace environ 5 ans plus de 10 ans (parfois 30 ou 40 ans) la multitude de paramtres et la analyse post incident complexit de lenvironnement limite la reproductibilit de lincident des systmes temps rel et robustes par des systmes standards ; des rapport aux conditions difficiles des systmes durcis face aux milieux industriels ; des systmes sur attaques informatiques EPROM, sans disque dur La cyberscurit des systmes industriels 9

A s p e c t s Fonctionnels Culture des intervenants Environnement physique

Localisation gographique Dure de vie Gestion incidents Composants des

Systmes dinformation Systmes dinformation industriels de gestion la grande dure de vie des installations la compatibilit des conduit une superposition des H t r o g n i t composants est une exigence vagues technologiques successives sur des composants technique (homognit et un mme site entrainant un phnomne interoprabilit). dobsolescence des matriels et logiciels.

1.1.2 - Quelques mythes concernant les systmes dinformation industriels

Il existe un certain nombre de mythes relatifs aux systmes dinformation industriels. Les plus communment admis sont examins ici. Le mythe La ralit Les systmes dinformation industriels sont souvent connects aux rseaux de gestion et parfois directement Internet. Les cls USB et les consoles de maintenance sont par Mes rseaux industriels sont isols, ailleurs des vecteurs majeurs de propagation de virus je suis protg. y compris sur des systmes isols. Les besoins croissants de remonte de donnes vers le SI de gestion rend, terme, lisolation des rseaux industriels utopique. Mme les solutions propritaires comportent des composants standards, pour des raisons Jutilise des protocoles et bases dinteroprabilit (avec le systme dexploitation de donnes propritaires, je suis par exemple) et de moindre cot. Les solutions propritaires sont suceptibles dtre vulnrables car protg. elles peuvent navoir fait lobjet daucune analyse de scurit. Lintgration des mcanismes de scurit (chiffrement, filtrage, authentification) est incompatible avec les contraintes de temps de rponse exiges. Les performances des composants ne sont plus un frein au dploiement de fonctions de scurit. En revanche, les difficults existent pour les systmes temps rel .

La SSI est incompatible avec la Au contraire la SSI et la SdF se rejoignent sur de nombreux points, voir 2.3.3 Sret de fonctionnement (SdF). Ce principe est de moins en mois employ car trs coteux. De plus des produits de constructeurs Les mesures de SdF comme la diffrents sappuient parfois sur les mmes redondance htrogne protgent technologies et intgrent parfois les mmes des attaques en disponibilit. composants matriels et logiciels. Ils contiennent donc dans ce cas des vulnrabilits identiques.

10

La cyberscurit des systmes industriels

Le mythe La SSI doit tre

La ralit proportionne aux enjeux. Elle cotera dautant moins cher si elle est prise en compte intelligemment dans les phases amont des projets. Son cot doit en thorie rester infrieur limpact maximal dune attaque, mais il est exact quil nexiste pas de mode de calcul de son retour sur investissement (ROI).

La SSI cote cher.

Une attaque peut crer un dysfonctionnement global des installations plus difficile identifier et Une attaque du SI Industriel aura plus pernicieux (sabotage industriel, ralentissement toujours moins dimpact quun de la production) quune attaque physique pouvant incident physique (vol de cbles, entrainer un temps de rtablissement trs long. incendie,), ou terroriste (explosion Les dysfonctionnements provoqus peuvent dun rservoir de stockage de ptrole devenir un facteur aggravant et provoquer une dans une raffinerie par exemple). catastrophe industrielle, humaine ou cologique (ex. inhibition dalarme de surveillance de produits dangereux sur un site SEVESO). La SSI doit tre centre sur les enjeux critiques. Elle na pas pour objet de bloquer des comportements utiles, mais de prvenir les comportements La SSI mempchera de travailler dangereux (ce qui suppose de les identifier au comme je veux. pralable). La SSI impose parfois de formaliser des mesures de contournement des modes nominaux de fonctionnement (des modes dgrads doprations).

La cyberscurit des systmes industriels

11

1.2 - Les enjeux de la cyberscurit des systmes industriels

1.2.1 - Gnralits sur les attaques
On distingue plusieurs types dattaques : les attaques cibles, objectif par exemple idologique ou vnal, engages par une personne ou un groupe de personnes contre une organisation dans le but de nuire, en perturbant ces processus, voire en provoquant des dgts matriels. Les attaquants sont des personnes organises disposant de moyens pour atteindre leurs objectifs. Des officines proposent sur Internet des services de cyber-attaque, ou publient des outils cls en main pour mener des attaques ( packages dexploits 3) ; les attaques challenge dont lobjectif est de dmontrer une capacit technique sintroduire dans des systmes rputs scuriss, mais dont les effets en termes de production, de scurit des biens et des personnes ou dimage de marque sont rels pour les victimes ;

certaines attaques non cibles, cherchant impacter le plus de monde possible, peuvent crer des dommages significatifs dans les entreprises (virus, campagnes de spam par exemple).

1.2.2 - Les ngligences humaines

Les ngligences ne sont pas le fruit dactions volontaires et malveillantes, mais leurs effets peuvent tre similaires ceux des attaques. Elles peuvent crer des vulnrabilits difficiles dtecter, qui pourront tre exploites par des attaquants ou simplement affecter la disponibilit des systmes. Par exemple, la modification involontaire de rglages dasservissements, ou la modification dune alarme peut avoir des consquences dsastreuses sur la qualit des produits, services dlivrs, lenvironnement, la sant ou la scurit des personnes. Lutilisation dune cl USB quelle soit personnelle ou non pour transfrer des donnes entre des systmes industriels isols, peut mener une indisponibilit des systmes si cette cl est porteuse de virus. Dans ces deux cas trs concrets issus dexpriences vcues, les intervenants nont pas eu la volont de nuire. Les impacts sur les installations ont t pourtant bien rels. Ces ngligences peuvent avoir pour cause un manque de formation du personnel et dinformation sur les enjeux.

3 Des packages dexploit sont officiellement commercialiss comme outils SSI dans le but de dtecter des vulnrabilits lors daudits par exemple. Ces packages peuvent bien videment aussi tre utiliss par des personnes malveillantes.

12

La cyberscurit des systmes industriels

1.2.3 - Vulnrabilits des systmes dinformation industriels

Les vulnrabilits peuvent tre dorigines multiples et lobjet de ce guide nest pas de les rpertorier. Quelques exemples de vulnrabilits frquemment rencontres sur les installations industrielles sont listes en annexe A. . Les besoins croissants de consolidation des donnes de lentreprise, de leur accs en temps rel depuis nimporte quel point de la plante, la rduction des cots de dveloppement et de possession ainsi que les contraintes de planning ont prcipit la convergence du domaine de linformatique industrielle et de linformatique de gestion. Les rseaux Ethernet sont dsormais employs dans les systmes industriels jusque dans le domaine des bus de terrain. Ils offrent de nouvelles fonctionnalits comme la mutualisation des infrastructures rseau et la possibilit dutiliser les couches IP (pour la tlmaintenance par exemple). Les outils de dveloppement, de maintenance et tlmaintenance sont aujourdhui entirement dvelopps sur des briques gnriques issues de linformatique de gestion (plateforme .Net, Java par exemple). La standardisation des systmes et les nouvelles fonctionnalits ont apport aux systmes industriels les vulnrabilits du monde de linformatique de gestion. Les systmes dits propritaires, souvent pauvres en mcanismes de scurit, ne sont pas pour autant labri de vulnrabilits pouvant tre exploites par des attaquants motivs et organiss. Alors que le monde de linformatique de gestion parvient corriger rgulirement les vulnrabilits, notamment par lapplication de correctifs publis par les constructeurs et les diteurs de logiciels, le monde industriel, de par ses contraintes de disponibilit et de sret, ne peut pas adopter les mmes protections. Cette diffrence de ractivit face aux vulnrabilits publiques est un des principaux risques des systmes dinformation industriels. Le manque de formation des intervenants, les diffrences de cultures ou le manque de prise de conscience des risques lis la SSI peuvent constituer une autre vulnrabilit majeure.

1.2.4 - Les impacts potentiels sur les systmes industriels

De nombreux incidents sur les systmes industriels surviennent chaque anne, mais peu sont mdiatiss, comme lincident de centrale nuclaire au Royaume-Uni li Conficker, lincident li au ver Slammer aux USA, ou en 2010 la propagation gnralise du ver Stuxnet4. Leurs impacts peuvent tre analyss selon diffrents axes, prsents ci-dessous :

4 Stuxnet est un code malveillant visant les systmes industriels. Il exploite de multiples vulnrabilits prsentent dans le systme dexploitation Microsoft Windows et le progiciel de SCADA WinCC de Siemens. Le code malveillant modifie le programme excut par certains automates industriels de la gamme Simatic S7 de Siemens. Les modifications ralises peuvent conduire au ralentissement de la production mais aussi la destruction physique des installations pilotes par lautomate.

La cyberscurit des systmes industriels

13

Dommages matriels / La modification des configurations nominales des installations peut provoquer des dgradations physiques avec le plus souvent corporels des consquences matrielles mais parfois aussi humaines. Linterruption de la production gnre des manques gagner Perte de chiffre importants. daffaires La modification de paramtres de fabrication conduisant des produits non conformes gnre des cots importants. La dfaillance du systme suite une prise de contrle malveillante peut gnrer un dysfonctionnement des installations (ouverture de vannes de produits polluants) et provoquer une pollution du site et de son environnement. Un tel incident sest produit en Australie ces dernires annes. Perte de secret de fabrication, contrefaons, avantage pour la concurrence. Lindisponibilit du service comme la rupture de distribution dlectricit ou deau, ainsi que la fourniture de produits dfectueux mettant en danger le consommateur peuvent aboutir des poursuites pour les dommages occasionns ou simplement dgrader limage de lentreprise (la satisfaction du client et sa confiance).

Impact sur lenvironnement

Vol de donnes Responsabilit civile / pnale Image et notorit

Ces diffrents impacts gnrent des pertes financires lies la perte dactivit ou au versement de compensations aux victimes potentielles (clients, particuliers, collectivits territoriales, associations, tat voire Union Europenne) ainsi quune atteinte limage de lentreprise.

14

La cyberscurit des systmes industriels

2 - MTHODE DE DEPLOIEMENT DE LA SSI

2.1 - Rappel du rle de la SSI
Lobjectif de la SSI est dtudier les vulnrabilits des systmes (matriel, logiciel, procdures, aspects humains) afin de dployer des mesures pour les limiter et permettre dassurer la continuit des fonctions mtier un niveau acceptable. Souvent perue comme une contrainte, une SSI bien pense contribue au contraire amliorer la robustesse des installations et la productivit des entreprises. Comme lindique le Rfrentiel gnral de scurit (RGS)5, elle repose sur quatre piliers indispensables au bon fonctionnement des systmes industriels : la disponibilit : dans un contexte de forte productivit, la dgradation de la disponibilit se traduit directement en perte financire et insatisfaction des clients (retards de livraison, augmentation des cots de production, arrts de production) ; lintgrit : son respect certifie que les produits et services fournis sont conformes aux exigences des clients ou aux exigences rglementaires. Pour les systmes instruments de scurit assurant la protection des biens et des personnes (commandes darrt durgence par exemple), elle est mme imprative. Lintgrit concerne lensemble des composants des systmes industriels : les programmes des automates, des donnes changes entre les installations, les bases de donnes des logiciels de SCADA par exemple ;

la confidentialit : elle est parfois minimise, mais une divulgation du patrimoine informationnel de lentreprise peut avoir un impact bien rel sur ses profits et son avenir (perte de clients). Les systmes industriels contiennent des paramtres et des donnes sensibles comme des recettes de fabrication, des quantits de produits utiliss, des plans dinstallations, des plans de maintenance, des programmes PLC ou encore des listes dadresses dquipements. Ceux-ci peuvent tre exploits par des concurrents ou des groupes malveillants pour diriger des attaques cibles ou simplement collecter des donnes permettant de copier le savoir-faire de lentreprise ;

la traabilit : il sagit dune exigence rglementaire dans de nombreux secteurs dactivit (agro-alimentaire, transport, nuclaire...). Limpossibilit dapporter la preuve de la traabilit des oprations ralises, des matires utilises ainsi que de leur origine, et le non-respect des exigences rglementaires peuvent conduire des poursuites judiciaires pour lentreprise.

2.2 - Les grands principes de la SSI

Le dploiement puis la gestion de la scurit devraient tre organiss afin de protger linstallation des consquences dincidents de scurit. Les activits peuvent tre organises selon les phases prsentes ci-dessus. Il sagit dun processus continu, demandant des efforts permanents.

Voir sur le site de lANSSI : http://www.ssi.gouv.fr/rgs/

La cyberscurit des systmes industriels

15

2.2.1 - Sensibilisation des personnels

Une partie importante des incidents est lie une mconnaissance par les intervenants des risques sur linstallation. Leur sensibilisation aux rgles d hygine informatique contribue rduire les vulnrabilits et les opportunits dattaques6. La sensibilisation doit tre rgulire car les risques voluent en permanence.

2.2.2 - Cartographie des installations et analyse de risque

Il est illusoire de vouloir plaquer une dmarche scurit sur un SI industriel sans une comprhension pralable du besoin mtier quil sert. Il est donc important de dterminer : les objectifs mtier (production, distribution, protection des biens et des personnes) et les services assurs ; les impacts en cas dinterruption de service ; les fonctions indispensables latteinte des objectifs, et en particulier : leurs niveaux dimplication et de criticit dans la ralisation des services, systmes qui les portent, si ces systmes sont centraliss, distribus, accessibles distance, etc. ; Un inventaire des installations matrielles, des systmes et des applications critiques est un pr-requis incontournable la mise en place de la scurit des SI dans les installations industrielles. Cet inventaire est la premire tape de lanalyse des risques, qui permettra de dfinir les diffrents niveaux de criticit, de sret, de disponibilit ou dintgrit attendues pour les lments cartographis.

Tout projet doit en effet comprendre une analyse de risque afin didentifier les lments sensibles du systme, leurs besoins et les objectifs de scurit face aux menaces retenues. Ces objectifs sont alors dclins en exigences de scurit, qui porteront sur le systme luimme (robustesse intrinsque), sur son environnement de conception, de construction et dexploitation. Ces exigences sont ensuite traduites en mesures techniques, physiques, et organisationnelles. Clairement formalises dans une cible de scurit elles forment la rfrence scurit du systme. Les principes de lanalyse de risque en SSI ne diffrent pas de ceux de la sret de fonctionnement mme si les terminologies employes peuvent ne pas tre identiques. Il existe plusieurs mthodes danalyse de risque. LANSSI propose la mthode EBIOS7. Les conclusions de lanalyse de risque aboutissent la dfinition des mesures de scurit adquates, dont les efforts sont proportionns aux enjeux et adapts aux besoins rels. Cellesci peuvent tre techniques mais aussi organisationnelles.

6 7

Voir sur le site de lANSSI : http://www.ssi.gouv.fr/fr/bonnes-pratiques/principes-generaux/ Voir sur le site de lANSSI : http://www.ssi.gouv.fr/ebios/

16

La cyberscurit des systmes industriels

2.2.3 - Prvention : concept de la dfense en profondeur

La dfense en profondeur consiste protger les installations en les entourant de plusieurs barrires de protection autonomes et successives. Elles peuvent tre technologiques, lies des procdures organisationnelles ou humaines. Intrinsquement, les logiciels ou les quipements embarqus contiennent des bogues et des vulnrabilits. Certains sont connus et dautres sont dcouverts au fil du temps. Il faut rduire les surfaces exposes. Adopter une dmarche de dfense en profondeur permet de se protger contre des menaces qui ne sont pas encore connues, de diminuer le primtre sur lequel une menace est exerce ou den attnuer limpact. Le simple cloisonnement des rseaux par des pare-feux ne suffit pas. Dautres mcanismes doivent laccompagner et diffrents niveaux (contrle daccs physique, durcissement des configurations, protection antivirale...). Sur danciennes installations, les mises jour automatiques peuvent tre incompatibles avec les contraintes de disponibilit et les logiciels antivirus peuvent perturber le fonctionnement des applications mtier qui nont pas t conues pour cela. Dautres mcanismes peuvent tre dploys comme le durcissement des systmes dexploitation et la dtection dintrusion. Les solutions sont multiples. Il convient dutiliser des barrires adaptes aux installations, qui ne nuisent pas aux objectifs mtier, puis destimer les impacts rsiduels. Il peut tre galement utile de consulter les livres blancs et recommandations des quipementiers et consulter les pages Web de lANSSI8 sur le sujet. La stratgie de dfense en profondeur doit intgrer non seulement une dmarche de protection prventive, mais aussi des mesures de surveillance, de dtection et de raction.

2.2.4 - Surveillance des installations et dtection des incidents

Dtecter un incident est une action majeure dont limportance est souvent sous-estime. Dans un environnement industriel, il peut tre complexe, voire impossible, de dployer certaines barrires de protection sans impacter les fonctions mtier. Les contre-mesures devraient inclure des mcanismes de dtection et de surveillance des installations. Leur fonctionnement est transparent et ainsi ne perturbe pas les fonctions mtier. Ces mesures nempcheront pas un incident mais permettront de le dtecter et den limiter autant que possible les effets. Plus un incident sera dtect tt, plus il sera possible de mettre en place des mesures pour en rduire et confiner les effets comme par exemple : isoler physiquement les installations en cas dattaque virale pour limiter les risques de propagation ;

arrter une installation avant sa dgradation si des donnes de configuration ne sont

Voir sur le site de lANSSI : http://www.ssi.gouv.fr

La cyberscurit des systmes industriels

17

plus intgres, suite des erreurs ou des modifications intentionnelles (cela permet par exemple dempcher la dtrioration des quipements qui pourrait tre occasionne par la propagation dun ver tel que Stuxnet). Enfin la collecte des informations au travers des journaux dalarmes et dvnements est indispensable aux analyses ultrieures. Ces journaux pourront dans certains cas apporter des lments utiles et des preuves dans le cadre dune enqute judiciaire.

2.2.5 - Traitement des incidents, chane dalerte

Un dispositif de dtection na de sens quassoci la mise en place dune organisation et de procdures pour traiter les incidents. Il convient de dterminer : que faire lors de la dtection dun incident ;

qui alerter ; quelles sont les premires mesures appliquer.

Un processus descalade doit tre dfini pour grer les incidents au bon niveau de responsabilit, et dcider en consquence : sil faut dclencher un Plan de Reprise dActivit (PRA) ;

si une action judiciaire est ncessaire.

Une note de lANSSI9 dcrit les bons rflexes en cas dintrusion sur un systme dinformation. La gestion des incidents doit galement intgrer une phase danalyse post incident qui permettra damliorer lefficacit des mesures de SSI dployes initialement.

2.2.6 - Veille sur les menaces et les vulnrabilits

La SSI est une action continue ncessitant des efforts permanents. Se tenir inform de lvolution des menaces, des vulnrabilits en identifiant les incidents quelles favorisent, ainsi que de leurs effets potentiels constitue une mesure fondamentale de dfense. Les sites Internet comme celui du centre oprationnel de lANSSI10 ou les sites des quipementiers sont des sources dinformation importantes sur les vulnrabilits identifies, les ventuels correctifs existants ou les contre-mesures quil est possible de mettre en place. Les mises jour des micrologiciels (firmwares) des PLC et autres quipements, correctifs des systmes dexploitation et des applications font lobjet dalertes et davis. Des flux RSS ou Atom permettent souvent dobtenir linformation rapidement. Il peut tre utile de se rapprocher des quipementiers pour connatre la meilleure faon de se tenir inform. Penser galement demander ses fournisseurs, au travers des contrats, dtre tenu inform des vulnrabilits. Lactivit de veille sera dautant plus efficace que la cartographie sera exhaustive.

9 10

Voir sur le site du CERTA : http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html Voir sur le site du CERTA : http://www.certa.ssi.gouv.fr/

18

La cyberscurit des systmes industriels

2.2.7 - Les plans de reprise et de continuit dactivit (PRA / PCA / DRP)

La scurit absolue et le risque zro nexistent pas. Se prparer faire face des vnements exceptionnels pour lesquels toutes les mesures prcdentes auraient chou minimisera les impacts et permettra de redmarrer lactivit le plus rapidement possible. Les Plans de Continuit dActivit mtier de lentreprise (PCA) doivent donc intgrer les systmes dinformation industriels. Ils incluent la dfinition des Plan de Reprise dActivit (PRA), ou Disaster Recovery Plan (DRP), qui identifient les moyens et procdures ncessaires pour revenir une situation nominale le plus rapidement possible, en cas de sinistre ou dvnements exceptionnels. Ils devraient dcrire comment reconstruire le systme suite une attaque virale, un incendie, une inondation ou une perte de donnes. Le PCA devrait tre rgulirement mis jour, en fonction : des volutions propres de linfrastructure (maintenance, intgration de nouveaux composants, qui peuvent introduire de nouvelles vulnrabilits) ;

de lvolution des menaces.

2.3 - Une approche globale et structure

La SSI ne se traite pas dans lurgence, de faon ponctuelle ou isole. Il sagit dune dmarche qui se planifie et qui demande la participation de ressources et comptences multiples ainsi quun engagement fort au plus au niveau de la hirarchie.

2.3.1 - Une volont tous les niveaux (engagement de la direction)

Fixer des objectifs adapts aux enjeux, dfinir une stratgie, sensibiliser et former les personnels sont autant de tches qui incombent la direction. La dmarche peut tre progressive, ralise en plusieurs phases dans le temps en adressant les lments du plus simple au plus complexe, du plus vident ou moins vident mais elle doit tre globale. Elle peut sappuyer sur les standards de la scurit des systmes dinformation existants, en prenant en compte les contraintes spcifiques aux systmes industriels. Les systmes dinformation industriels doivent tre intgrs dans les politiques de scurit des systmes dinformation de lentreprise, comme tout autre systme dinformation et ceci, ds lorigine du projet. Les problmatiques de scurit ne sont pas spcifiques ce domaine, mais la mise en uvre des solutions demande ce quelles soient ajustes au contexte industriel. Bien souvent, les organisations ne favorisent pas le rapprochement du monde de linformatique classique de celui des systmes industriels. Cest pourquoi le projet de dploiement de la scurit sur les systmes dinformation industriels ne peut pas russir sans limplication du management au plus haut niveau de lentreprise.

La cyberscurit des systmes industriels

19

2.3.2 - Prise en compte de la SSI dans les projets

La scurit du systme doit tre envisage ds le dbut du projet, par lutilisateur final qui doit exprimer ses besoins. En phase de spcification : dfinir les moyens de raliser les oprations de maintenance prventive et curative permettant de maintenir le niveau de SSI dans la dure : modes dgrads par exemple pour raliser des mises jour (par exemple figer les sorties automates pendant la mise jour du firmware) ;

dfinir la localisation des quipements afin dassurer leur scurit physique ;

prvoir la possibilit de changer les configurations par dfaut comme les mots de passe partir de lIHM ; exiger la non-adhrence des logiciels fournis une version prcise dune autre brique logicielle (systme dexploitation, systme de gestion de bases de donnes, etc.) ; dfaut, exiger que le fournisseur assure la compatibilit ascendante avec les volutions des briques adhrentes ; intgrer des mcanismes pour faciliter la requalification dune installation suite des modifications (ex. simulation de process, forage de valeurs, etc.) ;

exiger que le logiciels non indispensables la conduite des installations soient installs sur dautres postes (des postes bureautique pour lire des fichiers PDF ou remplir des feuilles de calcul par exemple). En phase de conception : rduire les interfaces et la complexit du systme afin de limiter lintroduction de vulnrabilits lors de limplmentation ; slectionner les composants offrant les meilleures caractristiques pour rpondre aux exigences de scurit (mcanismes dauthentification, sgrgation des droits, etc. ) ;

appliquer le principe du besoin den connatre ou du moindre privilge , de la sgrgation des droits, et maintenir un principe d accs non accord si non explicitement autoris pour les accs au systme ;

distinguer clairement les profils utilisateur et administrateur ;

prvoir la gestion des exceptions (dbordement de plage de valeurs, erreurs internes des composants) ; prvoir des mcanismes permettant de gnraliser les changements sur un ensemble dquipements (changements de mots de passe par exemple). En phase dintgration : changer les configurations par dfaut (mots de passe par exemple) ;

supprimer ou dsactiver les fonctions non utilises mais actives par dfaut ;

penser supprimer les fonctions de dbogage comme les traces utilises pour analyser le comportement des installations. En phase de test : raliser les tests fonctionnels de scurit ; drouler les tests aux limites, les tests derreur des fonctions mtier et vrifier les exceptions ;

20

La cyberscurit des systmes industriels

tester des scnarios de menace (tests de pntration et tentatives de prise de contrle) ;

tester les moyens de raliser les oprations de maintien du niveau de SSI (dploiement de correctifs, analyse de journaux dvnements) ; vrifier les performances du systme. Ces tests se droulent de faon unitaire lors de la recette usine (Factory Acceptance Testing : FAT) puis de faon globale lors de la recette sur site (Site Acceptance Testing : SAT). Il peut tre important dexiger la ralisation, par une quipe indpendante, dun audit SSI pour vrifier ladquation des installations la cible de scurit exige. Les tests se concluent par une phase de rception qui permet : daccepter en connaissance de cause les risques rsiduels sur linstallation (principe de lhomologation des systmes), formalise par la signature dun Procs Verbal (PV) de rception ;

deffectuer le transfert de proprit et de la responsabilit du systme.

Les lments lists prcdemment sont loin dtre exhaustifs et dpendent des solutions envisages pour chaque installation. Certaines sont construites partir de composants sur tagre , dautres sont des solutions sur mesure utilisant des logiciels dvelopps spcifiquement ou encore des solutions cls en main. Processus de transfert en exploitation : Lentreprise en charge de lexploitation peut ne pas tre le propritaire de linstallation et donc ne pas avoir t implique dans le projet de ralisation de linstallation. Cela peut concerner les cas de dlgations de service public, de concession dexploitation ou de contrat dexploitation avec obligation de rsultat par exemple. Dans ces cas, lentreprise en charge du futur contrat dexploitation doit tablir un tat des lieux exhaustif du niveau de scurit de linstallation et des moyens disponibles pour le maintenir un niveau acceptable. Cet tat des lieux devra tre accept ou faire lobjet dune ngociation avec lentreprise adjudicatrice du contrat dexploitation afin que lensemble des parties soit daccord sur le niveau de SSI de linstallation telle que construite , ainsi que des moyens actuels quelle intgre pour le maintenir un niveau acceptable. Le guide de lexternalisation11 publi par lANSSI peut apporter des rponses cette problmatique. Enfin, il est rappel quil est essentiel de changer les mots de passe lors du transfert en exploitation.

2.3.3 - Prise en compte de la SSI dans les AMDEC /HAZOP

Les incidents dorigine SSI peuvent tre la cause darrts de production ou de catastrophes industrielles comme lont montr les exemples du chapitre 2.2. Lintgrit dun programme automate de scurit, par exemple, est aujourdhui un enjeu aussi bien du domaine de la SSI que du domaine de la sret. Un attaquant ou un virus qui modifie un programme de scurit concerne les deux domaines. Stuxnet a montr que ce type de scnario tait parfaitement crdible. Labsence de SSI ou un niveau de SSI insuffisant peut donc tre la cause potentielle de mode
11 Voir sur le site de lANSSI : http://www.ssi.gouv.fr/externalisation

La cyberscurit des systmes industriels

21

de dfaillance dinstallations industrielles. Lanalyse des modes de dfaillance est traite dans les mthodes de sret de fonctionnement comme AMDEC12 ou encore HAZOP13. Couvrir lensemble des risques impose de traiter conjointement les sujets SSI et sret de fonctionnement dans une approche commune. Par exemple, les causes potentielles dune monte en temprature dune installation au-del de son seuil nominal peuvent tre : un problme de mesure li la dfaillance dun capteur : une dfaillance matrielle du capteur, un mauvais talonnage du capteur, la modification des paramtres du capteur, de manire intentionnelle par une personne non autorise (prise de contrle par un attaquant, un virus) ou suite une ngligence ; un problme li une vanne sur le circuit de refroidissement : une dfaillance mcanique, une dfaillance du servomoteur, le forage de la commande de la vanne, de manire intentionnelle par une personne non autorise (prise de contrle par un attaquant, un virus) ou suite une ngligence, un problme de rglage du point de consigne de rgulation du systme de refroidissement, une erreur de saisie dun oprateur, un changement du point de consigne par une personne non autorise ;

Les analyses de type AMDEC, FMEA ou HAZOP sont bien souvent complexes raliser et demandent du temps. Impliquer des comptences en informatique de gestion et en SSI dans les quipes ralisant ces travaux sera bien plus efficace quun travail autonome et non concert o chacun dispose de la vision de son sujet, mais pas de la vision densemble.

2.3.4 - Prise en compte de la SSI dans la maintenance

La SSI des installations industrielles doit tre prise en compte lors de la rdaction des plans de maintenance. Ces derniers doivent intgrer les oprations ncessaires pour maintenir le niveau de scurit des systmes dans la dure : dfinir les oprations de maintenance propres la SSI qui sont ncessaires au maintien en conditions oprationnelles (MCO) et au maintien en conditions de scurit (MCS) : en particulier, lintgration des correctifs proposs par lquipementier doit tre prvue ; intgrer dans les oprations de maintenance prventive mtier (maintenance lectrique, mcanique par exemple) les oprations de SSI quil nest pas possible de raliser lorsque linstallation est en fonctionnement.

Lorsquune chane de production est larrt, par exemple pour une maintenance mcanique ou des contrles rglementaires, il peut tre opportun dappliquer les correctifs sur les
12 AMDEC : Analyse des Modes de Dfaillance, de leurs Effets et de leurs Criticit ou FMECA en anglais (Failure Modes, Effects and Criticality Analysis). Outils danalyse de risque de suret de fonctionnement et de gestion de la qualit. 13 HAZOP : HAZard and OPerability study. Mthode danalyse des risques utilise dans le domaine de la suret de fonctionnement

22

La cyberscurit des systmes industriels

automates pilotant linstallation dans le cas o des vulnrabilits auraient t identifies. Les plans de maintenance des systmes dinformation industriels ne peuvent tre dissocis des plans de maintenance des installations quils pilotent. Les oprations de SSI devraient tre suivies dans loutil de gestion de maintenance des installations (GMAO14).

2.3.5 - Prise en compte de la SSI dans les achats

Les exigences de scurit sur le systme achet doivent faire lobjet dune tude et tre clairement formalises (dans une cible de scurit ou dans le CCTP15) et intgres dans les dossiers dappels doffres comme le sont les exigences fonctionnelles, de performance, de qualit, denvironnement, de sret ou encore de respect des rglementations en vigueur. Elles concernent le systme faisant lobjet de la consultation mais aussi la gestion du projet lui-mme (formation voire habilitation des installateurs), en incluant les phases oprationnelles et de maintenance. Il convient donc de : vrifier dans les rponses appel doffres la couverture des exigences scurit inscrites dans la consultation ;

tablir les clauses concernant la maintenance de lquipement : demander les plans de maintenance ncessaires pour maintenir linstallation en condition oprationnelle et de scurit, dfinir les processus de traitement des incidents et de fourniture de correctifs de scurit : qui prend linitiative, qui dploie, sous quels dlais, qui fait les tests de bon fonctionnement et comment, etc. ; prciser les clauses concernant les conditions dintervention des sous-traitants : prciser les conditions de support et dintervention sur site : la tlmaintenance estelle accepte (si oui quelle condition) ? le prestataire peut-il partir du site avec un quipement dfectueux et sa configuration ? les intervenants peuvent-ils utiliser leurs propres outils ? les intervenants doivent-ils disposer de qualifications particulires ? dterminer les clauses juridiques intgrer dans les contrats ;

dfinir les conditions de proprit des codes sources et des paramtres : qui est propritaire des diffrents codes source ? les sous-traitants peuvent-ils disposer des codes source en dehors du site ? dfinir le statut des paramtrages spcifiques linstallation ; qui les maintient ? qui les sauvegarde ? qui est autoris les modifier ? Pour plus dinformation sur les recommandations en matire de sous-traitance, consultez le guide de lexternalisation publi par lANSSI16.

14 15 16

GMAO : Gestion de la Maintenance Assiste par Ordinateur CCTP : Cahier des Clauses Techniques Particulires Voir sur le site de lANSSI : http://www.ssi.gouv.fr/externalisation

La cyberscurit des systmes industriels

23

24

La cyberscurit des systmes industriels

ANNEXE A : VULNRABILITS FRQUEMMENT RENCONTRES

Architecture et cartographie du SI : pas dinventaire du parc de SI industriel, pas dinventaire des quipements, absence de vision des gnrations technologiques qui cohabitent et de leurs vulnrabilits intrinsques ; absence de plan de continuit ou de plan de reprise (DRP), pas danalyse de risque sur le SI industriel.

Mesures techniques prventives : mot de passe par dfaut pour les comptes de services, les bases de donnes, les applicatifs, les accs en mode console (PLC, passerelles, quipements rseau), usage de communauts SNMP ; mot de passe en clair dans les codes sources, dans les procdures dexploitation et les donnes sauvegardes ;

faiblesse de gestion des accs utilisateurs : les comptes restent actifs lorsque les intervenants quittent le site, existence de comptes gnriques ; emploi de comptes avec des profils administrateur dans les applications, alors que des droits utilisateur suffisent ; partage de fichier sur le rseau en accs complet alors quun accs en lecture seule suffit ; accs en lecture (ou criture) des fichiers configurations via FTP ou TFTP ; outils de prise de main distance non scuriss (VNC, Dameware...) : services activs sans utilit fonctionnelle, emploi de services / protocoles non scuriss : TFTP HTTP Telnet, SNMP v1 ou v2, , , modification en ligne des programmes automates autorise sans contrle ; rechargement de la configuration au redmarrage via cl USB ou MMC17.

Maintenir la scurit dans la dure : absence de sauvegarde des donnes, des codes sources, et de la configuration des quipements ; absence de politique de gestion des mdias amovibles (ex. : blocage des ports USB) alors que les cls USB non matrises sont autorises ;

peu de supervision, peu de dtection dincidents ;

absence de mise jour (correctifs) des systmes dexploitation, des applications, des firmwares (pour les automates, capteurs/actionneurs intelligents) ; absence de mcanisme de signature des firmwares (possibilit pour un attaquant de diffuser une mise jour pige).

17

MMC : Multi Media Card.

La cyberscurit des systmes industriels

25

26

La cyberscurit des systmes industriels

ANNEXE B : BONNES PRATIQUES (CHECK-LIST)

De nombreuses bonnes pratiques sont similaires celles de linformatique de gestion, mais leur mise en uvre est adapter aux contraintes du domaine industriel. Elles ne sont pas classes par ordre de priorit et leur facilit de dploiement est propre chaque installation.

BP01 : Contrle daccs physique aux quipements et aux bus de terrain

Motivation Mthode Matriser les points daccs physique qui permettraient de sintroduire dans le systme. Identifier qui a besoin daccder aux quipements, pourquoi et quelle frquence. Installer les serveurs dans des locaux ferms sous contrle daccs (si possible dans les salles informatiques). Placer les units centrales des stations, les quipements rseaux industriels et les automates dans des armoires fermes cl. Primtre Contraintes Protger laccs au cble rseau et aux prises de connexion. Stations, serveurs, quipements rseau, automates, capteurs/actionneurs, crans tactiles. Taille des installations - protection gnrale du site

Maintenir lautorisation daccs en cas durgence. Moyens de Remonter un contact douverture de la porte pour gnrer une alarme sur gestion des le SCADA. contraintes Procdure de type bris de glace

BP02 : Cloisonnement des rseaux

Motivation Mthode Limiter la propagation des attaques et confiner les vulnrabilits. tablir une cartographie des flux. Sparer les rseaux par des quipements ddis ou des VLAN. Filtrer les flux au moyen de pare-feu. Primtre Contraintes Moyens de gestion des contraintes Tracer les flux rejets et les analyser. Rseau SCADA, rseau dautomates, rseau de dveloppement... Contrainte de temps rel sur les rseaux procd. Le filtrage sapplique en amont de ces rseaux. Laccs physique au rseau procd est limit et contrl.

La cyberscurit des systmes industriels

27

BP03: Gestion des mdias amovibles

Motivation Mthode Rduire les risques dattaque de virus vhiculs partir de mdias amovibles (cls USB, DVD, etc.) qui sont des vecteurs majeurs de propagation. Dfinir une politique pour lutilisation de ce type de mdia. Activer les politiques de restrictions logicielles. Dsactiver lutilisation de ces mdias et utiliser des sas (voir ci-dessous) pour changer des donnes entre les rseaux si besoin. Dsactiver les ports USB sur les systmes, restreindre les fonctionnalits (voir La cyberscurit des systmes industriels Cas pratique, annexe C). Stations, serveurs, console de programmation et de maintenance, crans Primtre tactiles. Il peut tre ncessaire dchanger des donnes entre des rseaux qui ne Contraintes sont pas interconnects. Moyens de Linstallation de sas, machines ddies aux transferts, peut tre un moyen gestion des de rpondre aux besoins utilisateur. Ces machines doivent tre renforces, rgulirement mises jour, quipes de logiciel antivirus et faire lobjet contraintes dune surveillance forte.

BP04 : Gestion des comptes (accs logique, authentification)

Motivation Mthode Se protger des accs illicites. Dfinir une politique de gestion des comptes utilisateur et des comptes dapplication. Ne pas laisser les comptes par dfaut sur les quipements et applications (admin/admin). Privilgier des mots de passe robustes (voir http://www.ssi.gouv.fr/fr/ bonnes-pratiques/recommandations-et-guides/ rubrique Scurit du poste de travail-> calculer la force dun mot de passe et la note dinformation du CERTA sur les mots de passe). Primtre Contraintes Ne pas oublier de changer rgulirement les mots de passe. Les systmes dexploitation, les bases de donnes, les applications SCADA, les programmes automates, les quipements de rseau, les capteurs et actionneurs Comptes gnriques , souvent historiques ;

Accs durgence . Moyens de Tracer les actions ralises avec ces logins pour dtecter dventuelles drives gestion des et comportements anormaux. Utiliser des procdures organisationnelles strictes (cahier de suivi) pour pouvoir dterminer chaque instant lidentit contraintes des agents utilisant un compte gnrique.

28

La cyberscurit des systmes industriels

BP05 : Durcissement des configurations

Motivation Mthode Limiter la surface dexposition aux attaques. Ninstaller que les logiciels ncessaires. Pas doutils de dveloppement sur des serveurs de production ou stations oprateur. Ninstaller ou nactiver que les protocoles et services ncessaires. Qui na jamais dit Dans le doute je coche toutes les options dinstallation ? viter les choix proposs par dfaut. Dsactiver systmatiquement les protocoles et fonctionnalits vulnrables et non scuriss (serveur Web, NetBios, FTP ,...). En particulier, dsactiver les protocoles de dcouverte automatique dquipements ou de topologie (LLDP) aprs avoir vrifi quils ne sont pas utiliss par des applications. Dsactiver les modes de configuration et de programmation distance sur les installations critiques. Sur les automates, ce mode se configure parfois par un commutateur physique sur le CPU. Systmes dexploitation, applications SCADA, automates, quipements Primtre rseau, capteurs/actionneurs intelligents, crans tactiles Impacts des modifications sur le fonctionnement des applications Contraintes Moyens de Si malgr tout certaines fonctionnalits non scurises sont ncessaires une gestion des analyse dtaille et documente (traitement dexception par exemple) doit apporter une justification et des contre-mesures doivent tre mises en place. contraintes

BP06 : Gestion des journaux dvnements et dalarmes

Motivation Mthode Surveiller les systmes / Dtecter les intrusions / Traer les actions et les interventions de maintenance (ou tlmaintenance) Activer les fonctions de traabilit si les quipements et logiciels le permettent (syslog, SNMP V3, Windows Event , fichier texte, etc. Slectionner les vnements pertinents et organiser le stockage des vnements (volumtrie, dure de conservation). Centraliser les journaux et gnrer des alertes pour certains vnements ou suites dvnements. Systmes dexploitation, bases de donnes, applications SCADA, Primtre quipements rseau, automates Problmatique des volumes des journaux gnrs. Le nombre dinformations Contraintes traiter est important. Moyens de Des outils existent pour aider traiter les vnements et les trier en fonction gestion des de critres prdfinis. contraintes

La cyberscurit des systmes industriels

29

BP07 : Gestion des configurations

Motivation Sassurer que les versions actives dans les quipements (version N) nont pas t modifies de faon malveillante. Sassurer que les diffrences entre les versions N et N-1 ne correspondent quaux modifications lgitimes. Mthode Comparer les programmes et configurations actifs dans les quipements (version N excute) avec une version de sauvegarde identifie comme la rfrence (version N sauvegarde). Identifier et analyser les carts entre les versions N et N-1 avant la mise en service de nouvelles versions. Les applications SCADA, les programmes automates, les fichiers de configurations des quipements de rseau, les capteurs et actionneurs. Complexit et htrognit des systmes industriels. Il existe parfois des outils de gestion des configurations permettant didentifier rapidement les carts entre deux versions.

Primtre Contraintes Moyens de gestion des contraintes

BP08 : Sauvegardes / restaurations

Motivation Disposer des donnes ncessaires au redmarrage complet dun site aprs une attaque ou un dsastre (ceci inclut les donnes des systmes). Dfinir une politique de sauvegarde. Quelles sont les donnes ncessaires Mthode sauvegarder pour rpondre aux besoins des utilisateurs, reconstruire une installation suite un incident ou satisfaire aux exigences rglementaires ? Codes source de lapplication, bases de donnes de configuration Primtre (utilisateurs, seuils dalarmes), historiques de SCADA, programmes, firmwares et donnes (variables, mots) des automates, fichiers de configuration et firmware des quipements rseau (commutateur, VPN, routeur, firewall, ), paramtres de rglage et firmware des capteurs et actionneurs intelligents par exemple. Il nest pas toujours possible de sauvegarder automatiquement toutes les Contraintes donnes, en particulier pour les capteurs et actionneurs et les automates. Moyens de Tracer les modifications des paramtres des capteurs/actionneurs, gestion des dasservissement, de rgulation (rglage de PID) ou de configuration dalarmes contraintes

30

La cyberscurit des systmes industriels

BP09 : Documentation
Motivation Matriser la documentation pour disposer dune image exacte des installations et viter des erreurs dexploitation.

Matriser la diffusion afin que seules les personnes ayant besoin des informations soient les destinataires. Dfinir une politique de gestion de la documentation (processus de mise Mthode jour, dure de conservation, liste de diffusion, stockage). La documentation relative un systme dinformation ne doit pas tre conserve sur le systme lui-mme. Les documentations techniques des installations, schmas darchitecture, Primtre implantation gographique, plan dadressage, manuel administrateur, plan de maintenance, analyse fonctionnelle, analyse organique Il peut tre utile de disposer de documents dexploitation contenant des mots Contraintes de passe en version papier (pour des astreintes par exemple). La maitrise de ces documents peut se rvler complexe et interdire les versions papier nest pas ncessairement envisageable. Moyens de Sensibiliser les utilisateurs aux risques lis la documentation. Laisser des gestion des documents en vidence sur un bureau ou dans le coffre dune voiture ( cot du PC dastreinte par exemple) est une mauvaise pratique. contraintes

BP10 : Protection antivirale

Motivation Mthode Se prmunir des attaques par virus. Dfinir une politique antivirale. Protger en priorit les quipements et applications en contact direct avec lextrieur et les utilisateurs. Les applications de SCADA, les stations dingnierie, console de Primtre programmation et de maintenance. Incompatibilit avec certaines applications de SCADA dancienne gnration Contraintes par exemple, pas de mcanisme de mise jour de lantivirus (postes isols par exemple). Problmatiques contractuelles comme la perte de la garantie constructeur. Moyens de Dployer le logiciel antivirus a minima sur les stations portables, les postes gestion des de tlmaintenance, les stations dingnierie. contraintes Pour les nouvelles installations la compatibilit de lantivirus doit tre une exigence du CCTP . Renforcer les configurations des postes.

La cyberscurit des systmes industriels

31

BP11 : Mise jour des correctifs (planification)

Motivation Se prmunir des attaques exploitant les vulnrabilits publies par les quipementiers. Se prmunir de dfaillances lies aux bogues corrigs par les correctifs. Dfinir une politique de gestion des correctifs (systmatique, priodique ou ponctuelle) adapte aux contraintes fonctionnelles et aux risques identifis. Par exemple, dfinir les priorits de dploiement des correctifs, vrifier les compatibilits ascendantes, et linteroprabilit. Appliquer systmatiquement les correctifs aux stations dingnierie et postes nomades. Appliquer priodiquement les correctifs sur les stations oprateurs. Primtre Appliquer lors de la maintenance les correctifs sur les installations sensibles. Correctifs des systmes dexploitation, des applications, des firmwares en fonction des vulnrabilits corriges. Station dingnierie, postes oprateurs, serveurs, PLC, quipements tlcom, crans tactiles... Les correctifs doivent tre qualifis avant dtre dploys.

Mthode

Contraintes

Certains quipements ne peuvent pas tre arrts facilement. Moyens de Identifier les vulnrabilits adresses par les correctifs. gestion des Planifier les mises jour lors darrt de maintenance par exemple. contraintes Surveiller les flux et les journaux dvnement. Durcir les configurations. Isoler les quipements.

BP12 : Protection des automates (PLC)

Motivation Mthode Protger les programmes automates. Protger laccs aux automates par un mot de passe. Des matriels offrent la possibilit de configurer un accs en lecture seule pour les interventions de maintenance de premier niveau. Protger laccs au code source et au code embarqu dans les CPU. Dsactiver les modes de configuration et/ou de programmation distance lorsque la fonctionnalit existe. Fermer les armoires automates cl. Sur les installations critiques remonter un contact sec lors de louverture de larmoire. Automates en production, programmes automates sauvegards ou en cours de dveloppement

Primtre

32

La cyberscurit des systmes industriels

BP13 : Stations dingnierie, postes de dveloppement

Motivation Ces lments constituent des points vulnrables et sont des vecteurs forts de contamination et de prise de contrle. Ces machines, connectes au rseau industriel, contiennent les logiciels de configuration des quipements, de programmation des automates et des SCADA, parfois des versions de code source... Certains postes peuvent tre nomades et se connecter sur dautres rseaux comme des rseaux bureautiques. Toutes les recommandations prcdentes. Appliquer systmatiquement les correctifs. Activer systmatiquement un antivirus. Ne pas connecter les consoles nomades sur dautres rseaux que les rseaux SCADA. Les consoles sont nominatives ou alors leur utilisation est trace. teindre les postes fixes lorsquils ne sont pas utiliss et/ou les dconnecter des rseaux de production. Stations de dveloppement SCADA, console de programmation automate, Terminaux portables (PDA, Pockets PC par exemple) pour configurer les capteurs et les actionneurs intelligents.

Mthode

Primtre

La cyberscurit des systmes industriels

33

34

La cyberscurit des systmes industriels

ANNEXE C : SIGLES ET ACRONYMES

ADSL Asymmetric Digital Subscriber Line AMDEC Analyse des modes de dfaillance de leurs effets et criticits API Automate programmable industriel (PLC en anglais) CPU Central Processing Unit DoS Denial of Service (dni de service) DRP Disaster Recovery Plan EIA Electrical Industry Association ERP Enterprise Resource Planning FMDS Fiabilit, maintenabilit, disponibilit et scurit FMEA Failure Mode and Effects Analysis FAT Factory Acceptance Test GSM Global System for Mobile GTB GTC HAZOP ICS IHM MES OLE OPC P&ID PID PLC PCA PRA PSSI RTC SAT SCADA SdF SIL SNCC SOAP SPC VFD Gestion technique de btiment Gestion technique centralise HAZard & OPerability method Industrial Control System Interface homme-machine Manufacturing Executive System Object Linked & Embedded OLE for Process Control Process & Instrumentation Diagram Proportionnel Intgral Driv Programmable Logic Controller Plan de continuit dactivit Plan de reprise dactivit Politique de scurit des systmes dinformation Rseau tlphonique commut Site Acceptance test Supervisory Control And Data Acquisition Sret de fonctionnement (= FMDS) Safety Integrity Level Systme Numrique de Contrle Commande Service Object Access Protocol Statistical Process Control Variable Frequency Drive

La cyberscurit des systmes industriels

35

36

La cyberscurit des systmes industriels

ANNEXE D : RFRENCES BIBLIOGRAPHIQUES

Guides de bonnes pratiques et recommandations publis par lANSSI

http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/

Rfrentiel Gnral de Scurit

RGS v1.0 : http://www.ssi.gouv.fr/rgs

Outils mthodologiques proposs par lANSSI

http://www.ssi.gouv.fr/fr/bonnes-pratiques/outils-methodologiques/ voir en particulier la mthode EBIOS : http://www.ssi.gouv.fr/ebios

Publications du centre dexpertise et de traitement des attaques informatiques de lANSSI (CERTA)

Acquisition des correctifs CERTA-2001-INF-004 Les bons rflexes en cas dintrusion sur un systme dinformation CERTA-2002-INF-002 Scurit des rseaux sans fil (Wi-Fi) CERTA-2002-REC-002

Scurit des applications Web et vulnrabilit de type injection de donnes CERTA2004-INF-001 Les mots de passe CERTA-2005-INF-001 Filtrage et pare-feux CERTA-2006-INF-001 Gestion des journaux dvnements CERTA-2008-INF-005

La cyberscurit des systmes industriels

37

Ce guide sur la cyberscurit des systmes industriels a t ralis par lagence nationale de la scurit des systmes dinformation (ANSSI)

avec le concours des ministres suivants :

et des socits suivantes :

+ logo Naxitis

 propos de lANSSI LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre le 7 juillet 2009 sous la forme dun service comptence nationale. En vertu du dcret n 2009-834 du 7 juillet 2009 modifi par le dcret n 2011-170 du 11 fvrier 2011, lagence assure la mission dautorit nationale en matire de dfense et de scurit des systmes dinformation. Elle est rattache au Secrtaire gnral de la dfense et de la scurit nationale, sous lautorit du Premier ministre. Pour en savoir plus sur lANSSI et ses missions, rendez-vous sur www.ssi.gouv.fr.

Version 1.0 - Juin 2012 Licence information publique librement rutilisable (LIP V1 2010.04.02)

Agence nationale de la scurit des systmes dinformation

ANSSI - 51 boulevard de la Tour-Maubourg - 75700 PARIS 07 SP Sites internet : www.ssi.gouv.fr et www.securite-informatique.gouv.fr Messagerie : communication [at] ssi.gouv.fr