See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/326534029

Cybersécurité des systèmes informatiques industriels

Article · July 2018

CITATIONS READS

0 2,995

1 author:

Anthony Juton
Ecole normale supérieure de Cachan
12 PUBLICATIONS   5 CITATIONS   

SEE PROFILE

Some of the authors of this publication are also working on these related projects:

LoRa network View project

All content following this page was uploaded by Anthony Juton on 03 October 2019.

The user has requested enhancement of the downloaded file.

 Cybersécurité des Systèmes Informatiques Industriels

Cybersécurité des systèmes

informatiques industriels
Article Revue 3EI
Anthony Juton – juillet 2018

Les risques liés à la cyber-sécurité pour les industries et les services sont réels comme le montre le
blocage d’une usine Renault et d’hôpitaux anglais par le ransomware WannaCry en mai 2017.
Consciente du risque cyber sur l’industrie, la loi de programmation militaire de 2013 impose un
renforcement de leur sécurité informatique à des entreprises privées ou publiques considérées vitales
pour la France, regroupées sous le terme Opérateurs d’Importance Vitale (OIV). On trouve
notamment parmi les OIV des usines de traitement des eaux, des centrales de production d’énergie,
des aéroports, des usines pharmaceutiques.
Ce renforcement concerne l’ensemble des équipements informatiques, ce qui comprend les systèmes
gérés habituellement par les services informatiques (SI) normalement sensibilisés à la cyber-sécurité
mais aussi ceux gérés par les services automatisme, beaucoup moins concernés jusqu’à présent par
ces problématiques.
La sécurisation d’une installation industrielle est donc le fruit d’une collaboration entre informaticiens
et automaticiens. Cela passe par une implication des informaticiens dans la production et par une
formation des automaticiens aux bases de la cybersécurité.
Prenant acte de ce contexte, la licence professionnelle SARII (Systèmes Automatisés Réseaux et
Informatique Industrielle) de l’IUT de Cachan a créé un module de cybersécurité des systèmes
industriels pour compléter la formation en automatisme, réseaux et supervision de ses techniciens.
Cet article repose essentiellement sur la démarche et les contenus de ce module prévu pour 4h de
cours/TD et 12h de TP. L’ensemble s’appuie essentiellement sur les supports proposés par l’Agence
Nationale de la Sécurité des Systèmes d’Information (ANSSI) et par le Club de la Sécurité de
l’Information Français (CLUSIF) :
https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/systemes-industriels
https://clusif.fr/

Dans un premier temps nous rappellerons le risque cyber pour l’industrie, nous aborderons ensuite la
démarche proposée par l’ANSSI pour sécuriser un site. Nous analyserons rapidement quelques
incidents récents pour souligner les bonnes pratiques qui auraient pu être appliquées pour les éviter et
nous terminerons par une étude de cas d’usine pharmaceutique, support de la mise en pratique en TP
à l’IUT.

Article Revue 3EI 1/19

 Cybersécurité des Systèmes Informatiques Industriels

1. L’industrie est soumise à un risque cyber

L’article précédent détaillant les risques de cyber-sécurité pour l’industrie, cet article ne rentrera pas
dans le détail des attaques évoquées.

1.1.Les types d’attaque

Une attaque peut être ciblée contre l’entreprise (exemple de Stuxnet évoqué dans l’article précédent
ou de BlackEnergy détaillé en partie 2) ou non (exemple de WannaCry qui attaquait tous les systèmes
Windows XP ou 7 non mis à jour).
L’attaque nécessite une intrusion dans le système (ou dans beaucoup de systèmes extérieurs pour les
attaques par déni de service) et un mécanisme de sabotage.
1.1.1. solutions pour permettre l’intrusion dans le système
• Un spyware ou logiciel espion est un programme qui enregistre les frappes au clavier,
webcam, microphone pour récupérer des informations (login et mot de passe notamment). Il
peut s’installer lors d’une installation d’un logiciel depuis un site web malveillant, par
l’introduction d’un média amovible infecté ou lors de l’ouverture d’un document contenant des
macros.
• Le phishing ou hameçonnage est un mail utilisant un aspect officiel pour demander la saisie
de données personnelles. Plus il est personnalisé (logo de l’entreprise, utilisation de détails
concernant la cible), plus il est efficace.
• Un ver est un programme qui se reproduit sur plusieurs ordinateurs en utilisant le réseau
informatique.
1.1.2. mécanisme permettant le sabotage ou la neutralisation du
système industriel
• Un cheval de Troie est un programme qui permet de prendre là distance le contrôle de
l’ordinateur cible. Si un PC de supervision ou de programmation des automates est infecté, le
pirate peut modifier dangereusement le comportement du système,,
• Un ransonware ou cryptovirus est un programme qui chiffre les fichiers et qui demande une
rançon pour les déchiffrer. Une fois les fichiers cryptés, le système est neutralisé,
• Un virus est un programme qui s’attache à un autre pour modifier son fonctionnement,
• Le déni de service est une attaque qui rend impossible l’utilisation d’un service, notamment
via l’utilisation de botnet, réseaux de robots informatiques (souvent installés sur des systèmes
informatiques peu protégés) qui vont ensemble saturer un serveur de requêtes.

1.2.Les opérateurs d’importance vitale

La loi de programmation militaire de 2013 définit 12 secteurs d’opérateurs vitaux pour l’intégrité du
territoire de ses habitants ou son économie : alimentaire, télécoms, services publics, énergie, santé,
espace et recherche, défense, transport, eau, industrie, justice et finance.
Dans ces secteurs, plus de 200 services publics ou entreprises privées dont les activités sont
indispensables au bon fonctionnement et à la survie de la Nation sont classés opérateurs d’importance

Article Revue 3EI 2/19

 Cybersécurité des Systèmes Informatiques Industriels

vitale (OIV). La liste est confidentielle, on y trouve des acteurs industriels dans le traitement de l’eau,
la production d’électricité, la fabrications de médicaments, la gestion technique des aéroports... La loi
impose à ces OIV le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent.
Les entreprises qui ne sont pas OIV sont également encouragées à prendre des mesures de cyber-
sécurité, ne serait-ce que pour assurer leur survie économique en cas d’attaque.

1.3.Les spécificités des systèmes industriels

Les systèmes informatiques industriels sont très proches des systèmes informatiques de gestion
(utilisation de réseaux Ethernet/TCP/IP, utilisation de PC et serveurs pour la supervision, utilisation de
bases de données SQL…) mais ont des spécificités qui les rendent vulnérables et difficiles d’accès aux
informaticiens :
• Certains systèmes informatiques industriels (centrales nucléaires, usines en 5/8, aéroports...)
doivent être disponibles sans interruptions, rendant difficiles les mises à jour, les tests de
vulnérabilité, etc...
• Certains systèmes informatiques industriels mettent en jeu la vie des personnes (centrales
nucléaires, machines médicales, usines de production de médicaments…) et pour cela
reçoivent des habilitations/qualifications qui ne sont plus valables en cas de mise à jour d’un
équipement.
• Les équipements de contrôle-commande ont une durée de vie très longue (on trouve encore
en fonctionnement dans les usines de très fiables automates Siemens S5 des années 80) et
forment un parc souvent hétérogène (chaque machine peut avoir un modèle d’automate ou
pire, une marque d’automate différentes). Cela rend le suivi des vulnérabilités et des mises à
jour plus fastidieux. Ces automates sont souvent inconnus des informaticiens en charge de la
cybersécurité.
• Les productions alimentaires et pharmaceutiques notamment doivent garantir la traçabilité de
leur production. Cela rend nécessaire les connexions entre les machines de terrain
(automates, superviseurs) et les machines de l’administration (suivi de la qualité...)
• Les réseaux de terrain traditionnels (profibus, CANopen, DeviceNet, Modbus RTU...) ne sont
pas sécurisés et pas sécurisables. Des protocoles TCP/IP largement utilisés en automatisme
(Modbus TCP, BACnet/IP,…) ne sont pas sécurisés et pas sécurisables. Ces protocoles sont
souvent inconnus des informaticiens en charge de la cybersécurité.
• La maîtrise exigée pour certaines tâches (régulation complexe de l’humidité dans des
bâtiments d’architecture originale, mécanique de précision ou plomberie, intégration de robots
industriels à des machines automatisées, partage d’un même réseau ethernet entre différents
métiers dans le bâtiment…) demande l’intervention de sous-traitants spécialisés (mécanique,
automatisme, robotique, supervision…). C’est particulièrement vrai dans le bâtiment où
l’entreprise de construction fait appel à des entreprises différentes pour chaque lot technique
(thermique, régulation, contrôle d’accès, supervision, plomberie/comptage, courant fort…). A
cela s’ajoute la volonté de réduire la masse salariale des entreprises, pratique très présente

Article Revue 3EI 3/19

 Cybersécurité des Systèmes Informatiques Industriels

dans l’automobile. Il est bien sûr plus difficile de maîtriser l’intégrité et la formation en
cybersécurité des sous-traitants que celles de ses salariés.

1.4.Vulnérabilité des systèmes industriels

Pour souligner les vulnérabilités d’un système informatique industriel, nous prendrons trois cas
représentatifs :
1.4.1. Système non connecté à Internet
Le système informatique industriel basique comprend typiquement un ou plusieurs automates
supervisés par un PC de supervision via un réseau Ethernet, pas forcément connecté à Internet. Un
serveur de base de données pour l’archivage peut aussi être présent localement. L’automate contrôle
divers équipements via des bus de terrain standard ou basés sur Ethernet.

Illustration 1: Architecture type d'un système informatique industriel

non connecté à Internet
Les problèmes peuvent subvenir de :
• la modification du programme automate via un accès direct à l’automate ou la modification
des consignes de supervision par du personnel non autorisé (sous-traitant par exemple),
• l’introduction d’un virus par une clé USB,
• l’introduction d’un virus par un PC maintenance se connectant au réseau local,

Article Revue 3EI 4/19

 Cybersécurité des Systèmes Informatiques Industriels

Le virus peut alors simplement neutraliser le PC de supervision ou plus rarement (car beaucoup plus
complexe) neutraliser un équipement industriel (automate ou variateur) ou plus complexe encore,
modifier le programme automate ou les consignes envoyées par le PC de supervision.
1.4.2. Système connecté à Internet
Le réseau de l’atelier est connecté au réseau de l’administration via un routeur. Le réseau de
l’administration est lui même connecté à Internet via un routeur.

Illustration 2: Architecture type d'un système informatique industriel connecté à Internet

La connexion à Internet, outre une possibilité supplémentaire d’introduction de virus, amène le risque
suivant : une personne malveillante peut s’introduire sur le réseau atelier via un accès ouvert (pour la
télégestion par exemple) en dérobant des identifiant et mot de passe de connexion ou, plus complexe,
via un cheval de Troie installé par un virus sur un PC de bureau par exemple. Elle peut alors
neutraliser des équipements ou en prendre le contrôle.
Tout accès à distance à une installation fait courir le risque d’une prise de contrôle par une personne
malveillante.
1.4.3. Système informatique industriel distribué

Article Revue 3EI 5/19

 Cybersécurité des Systèmes Informatiques Industriels

Un système distribué désigne un système dont les organes de contrôle-commande (automates,

variateurs, modules d’entrées/sorties déportés) ne sont pas localisés dans le même local. Les grands
sites de stockage d’hydrocarbure, les réseaux ferroviaires, les tunnels routiers et les bâtiments en
général sont des systèmes distribués.
N’est représentée sur le schéma ci-dessous que la partie contrôle-commande. La supervision et la
connexion éventuelle à Internet sont identiques aux architectures présentées ci-dessus.

Illustration 3: Architecture type d'un système informatique industriel distribué (partie

contrôle/commande uniquement)
Outre les risques précédemment cités, les réseaux de terrain standards, très répandus, très connus
dans le monde industriels et très documentés, sur liaison RS485 (Modbus, Profibus, BACnet MSTP),
sur bus CAN (CANopen, DeviceNet) ou spécifiques (LON, DALI, KNX…) ne sont pas sécurisés et pas
sécurisables simplement (un standard sécurisé de KNX apparaît actuellement). Le passage de ces bus
dans des zones publiques ou faciles d’accès fait courir le risque d’une intrusion sur le réseau et de
l’envoi sur ce réseau d’informations de capteurs fausses ou de commandes d’actionneurs
dangereuses.
Les réseaux de terrain modernes sur Ethernet (ProfiNet, EtherNet/IP, Ethercat) sont plus récents et
leurs standards plus complexes tendent à prendre mieux en compte le risque cyber (authentification
de la machine se connectant par exemple). Le protocole OPC-UA, sur Ethernet TCP/IP, utilisé pour la
communication entre le superviseur et l’automate, ou entre automates, est même crypté, ce qui lui
donne une popularité certaine actuellement.

1.5.Un exemple de cyberattaque : Stuxnet

Le cours présente alors l’attaque Stuxnet, détaillée dans l’article précédent.

Article Revue 3EI 6/19

 Cybersécurité des Systèmes Informatiques Industriels

2. Les mesures à appliquer

Une fois les risques présentés, le cours présente alors une version simplifiée de la méthode proposée
par l’ANSSI pour la sécurisation des systèmes informatiques industriels. Cette méthode est détaillée
sur le site de l’ANSSI, rubrique Bonnes Pratiques > Systèmes Industriels.
« L’objectif de la Sécurité des Systèmes Informatiques (SSI) est d’étudier les vulnérabilités des
systèmes (matériel, logiciel, procédures, aspects humains) afin de déployer des mesures pour les
limiter et permettre d’assurer la continuité des fonctions métier à un niveau acceptable. ». Il s’agit
d’assurer la disponibilité, l’intégrité, la confidentialité et la traçabilité du système informatique
industriel.

La cybersécurité doit être envisagée par les automaticiens comme la sûreté de fonctionnement des
machines :
• On identifie les risques puis la probabilité et les conséquences du risque,
• On met en place des mesures proportionnées au risque (coût et contraintes sur les
utilisateurs), sous peine de les voir rejetées.
• On ne peut raisonner en terme de retour sur investissement.

La mise en place de la sécurisation du système informatique industriel doit impliquer les

automaticiens, bons connaisseurs de leurs équipements industriels et les responsables cybersécurité
de l’informatique de gestion, formés en cybersécurité mais souvent hermétiques à l’automatisme.

La méthode suit 7 étapes, que nous détaillerons ensuite :

1. Sensibilisation des personnels
2. Cartographie des installations et analyse de risque
3. Prévention : concept de la défense en profondeur
4. Surveillance des installations et détection des incidents
5. Traitement des incidents, chaîne d’alerte
6. Veille sur les menaces et les vulnérabilités
7. Plans de reprise et de continuité d’activité

2.1.Sensibilisation des personnels

Une très large part des incidents est liée à l’imprudence des personnels de l’entreprise :
• Utilisation de clé USB,
• Logiciel « cheval de Troie » ou virus installés en ouvrant un fichier ou en installant un logiciel
de provenances douteuses.
• Divulgation de ses identifiant/mot de passe en réponse à un mail de phishing,
• Mot de passe écrit sur un post-it ou stocké en clair sur une machine,

Article Revue 3EI 7/19

 Cybersécurité des Systèmes Informatiques Industriels

• Identifiant/mot de passe identique pour tous les techniciens (y compris ceux qui quittent
l’entreprise…),
• Machines non protégées ou avec les identifiant/mot de passe par défaut, avec des mises à
jour logicielle non effectuées.
La sensibilisation de tous les personnels aux règles d’« hygiène informatique » contribue à réduire
fortement les vulnérabilités et les opportunités d’attaques. La sensibilisation doit être régulière car les
risques évoluent en permanence et les mauvaises pratiques reviennent.

2.2.Cartographie des installations et analyse de risque

Comme pour la sécurité des machines, la seconde étape est un audit de l’installation :
• Quels sont les objectifs métier (production, distribution, protection des biens et des
personnes…) et les services assurés ?
• Quels sont les impacts en cas d’interruption de service ? En cas de modification du
comportement du système ?
• Quelles sont les fonctions indispensables à l’atteinte des objectifs, et en particulier :
▪ leurs niveaux d’implication et de criticité dans la réalisation des services,
▪ systèmes qui les portent,
▪ si ces systèmes sont centralisés, distribués, accessibles à distance, etc. ;
Cela amène donc à un inventaire des installations matérielles (référence de l’équipement, version,
protections, accès), de l’architecture réseau et des communications entre les équipements internes et
externes. Cela amène également à séparer les équipements critiques devant être très protégés des
autres.
L’ANSSI propose une méthode d’analyse du risque nommée EBIOS.

2.3.Prévention : concept de la défense en profondeur

On entre ici dans la partie technique de la cybersécurité : la défense en profondeur consiste à
protéger les installations en les entourant de plusieurs barrières de protection autonomes et
successives. Elles peuvent être technologiques ou liées à des procédures organisationnelles ou
humaines.
Voici les protections à mettre en place :
• Protection physique : c’est la protection la plus simple, les équipements de contrôle-
commande doivent être dans des armoires fermées à clé, le local de supervision doit n’être
accessible qu’aux personnes autorisées. Siemens propose des verrous bloquant l’accès aux
ports Ethernet des équipements (automates, switch...).

Article Revue 3EI 8/19

 Cybersécurité des Systèmes Informatiques Industriels

Illustration 4: Verrou Siemens pour prise RJ45 : IE RJ 45

Port Lock

• Pare-feu : sur les routeurs et sur les Pcs et automates, on bloque les ports UDP et/ou TCP
non utilisés pour empêcher les requêtes indésirables d’arriver jusqu’à la machine.
• Cloisonnement des réseaux : Les VLANs et les pare-feu des routeurs permettent de filtrer les
échanges entre un sous-réseau et un autre. On veillera notamment à n’autoriser que les
requêtes indispensables à entrer dans le sous-réseau atelier.
• Protection antivirale, les PCs (supervision, programmation) doivent avoir un antivirus à jour.
Une procédure explicite de mise à jour des antivirus doit exister.
• Durcissement des configurations :
Pour un PC de supervision :
◦ Ne garder que les logiciels indispensables à la supervision (pas de logiciel de
programmation des automates, pas de navigateur web, pas de logiciels de
bureautique...),
◦ Bloquer les médias amovibles par ports usb,
◦ Supprimer ou désactiver les fonctions non utilisées mais activées par défaut,
◦ Mettre à jour le système d’exploitation et le logiciel de supervision,
◦ Distinguer clairement les profils (OS et supervision) utilisateur et administrateur. Le PC de
supervision est sur un profil utilisateur (pas de droit pour installer des logiciels) et chacun
dispose sur la supervision d’un profil adapté à ses besoins. Chaque personne a des
identifiant/mot de passe uniques.
◦ Choisir un logiciel de supervision offrant les meilleures caractéristiques pour répondre aux
exigences de sécurité et mettre en place ces fonctionnalités : mécanismes
d’authentification, ségrégation des droits (la personne chargée de la maintenance peut
acquitter les alarmes mais ne peut modifier les consignes du systèmes par exemple).
Les logiciels de programmation des automates sont sur des PCs éteints et stockés sous clé,
Pour un automate :
• Changer les configurations par défaut (mot de passe par exemple),
• Mettre à jour le firmware de l’automate (disponible sur le site du fabricant),
• Supprimer ou désactiver les fonctions non utilisées mais activées par défaut (serveur web,
utile pour la configuration mais pas pour l’utilisation, serveur FTP...).

Article Revue 3EI 9/19

 Cybersécurité des Systèmes Informatiques Industriels

Dans ce cadre de défense en profondeur, des procédures accompagnent ces défenses techniques,
notamment concernant les interventions des sous-traitants qui doivent être planifiées précisément
(mots de passe, accès, utilisation de ses propres outils ou non, échanges de matériels,
qualifications…). L’ANSSI publie un guide de l’externalisation pour accompagner les entreprises dans
la mise en place des procédures d’intervention des sous-traitants.

2.4.Surveillance des installations et détection des incidents

Les équipements réseaux proposent des journaux et pour les plus avancés des alarmes permettant
d’indiquer un trafic anormal. Surveiller le réseau en lisant ces journaux système et en configurant ces
alarmes mais aussi en formant le personnel à détecter et signaler des comportements suspects de leur
machine n’empêchera pas un incident mais permettra de le détecter au plus tôt et d’en limiter autant
que possible les effets.
Plus un incident sera détecté tôt, plus il sera possible de mettre en place des mesures pour en réduire
et confiner les effets comme par exemple :
• isoler physiquement les installations en cas d’attaque virale pour limiter les risques de
propagation (on déconnecte du réseau les machines),
• arrêter une installation avant sa dégradation si des données de configuration ne sont plus
intègres.

2.5.Traitement des incidents, chaîne d’alerte

Le dispositif de détection des incidents est associé à une organisation et des procédures pour traiter
les incidents :
• que faire lors de la détection d’un incident ?
• qui alerter ?
• quelles sont les premières mesures à appliquer ?
La gestion des incidents doit également intégrer une phase d’analyse post incident qui permettra
d’améliorer l’efficacité des mesures déployées initialement.

2.6.Veille sur les menaces et les vulnérabilités

La sécurité informatique est une action continue nécessitant des efforts permanents. La ou les
personnes en charge de la cybersécurité du système industriel doivent mettre en place une
organisation pour :
• Se tenir informé de l’évolution des menaces, des vulnérabilités, sur le site Internet de l’ANSSI
ou sur celui des équipementiers qui doivent indiquer les vulnérabilités et les mises à jour
disponibles.
• Mettre à jour régulièrement les micrologiciels (firmwares) des automates et autres
équipements (variateurs, écrans tactiles…) et les systèmes d’exploitation et les applications
sur les PCs de supervision et autres serveurs de bases de données.
L’entreprise doit donc accepter un coût et une période de maintenance pour ces mises à jour et les
tests associés. La mise à jour doit parfois passer par la migration d’un OS non maintenu à sa version

Article Revue 3EI 10/19

 Cybersécurité des Systèmes Informatiques Industriels

suivante. Précisément, Windows XP n’étant plus maintenu, il ne devrait plus être utilisé sur des
systèmes industriels critiques. Wannacry a mis en évidence la vulnérabilité de Windows XP et le coût
potentiel de sa conservation. (Le coût de Wannacry qui exploitait une faille connue de XP a été estimé
entre 1 et 4 Milliards de dollars par différentes agences nationales de sécurité informatique).
Pour les systèmes qualifiés avec des versions d’un firmware et d’un système d’exploitation, il est
nécessaire lors de la conception du projet, de prendre en compte la mise à jour des firmwares des
automates et des logiciels de supervision et systèmes d’exploitation et d’intégrer des mécanismes de
requalification des équipements si besoin.

2.7.Les plans de reprise et de continuité d’activité

L’objectif du plan de reprise est de se préparer à faire face à des événements exceptionnels pour
lesquels toutes les mesures précédentes auraient échoué afin de minimiser les impacts et permettre
de redémarrer l’activité le plus rapidement possible.
Il est important pour cela de disposer d’une sauvegarde de chaque automate, des équipements
réseau et du PC de supervision, des codes sources et des données et de prévoir des modes de
fonctionnement dégradé (le système continue la production, mais moins vite ou avec plus
d’interventions manuelles). Les sauvegardes doivent être stockées sur des supports amovibles ou sur
des machines éteintes ou déconnectées du réseau.
Pour des systèmes critiques, on prévoira un approvisionnement (automates, PC) pour limiter la durée
de l’arrêt de la machine.

3. Analyse d’incidents

La méthode décrite, le cours reprend à partir des fiches du CLUSIF ( Fiches Incidents Cyber SI
Industriels sur https://clusif.fr/) 4 incidents de cybersécurité et invite les étudiants à chercher quelle
vulnérabilité à été exploitée et quelle étape de la méthode aurait pu empêcher une telle attaque.

3.1.Attaque d’une station d’épuration des eaux

En 2015, l’attaquant a pris le contrôle de l’application de paiement en ligne (vulnérabilité du serveur

SQL) d’une entreprise de traitement de l’eau afin de voler des données clients.
Le serveur exécutant cette application hébergeait les données de connexion d’un compte
administrateur ainsi que l’adresse IP du serveur. L’attaquant a alors eu accès à l’interface de contrôle
de l’installation.
En utilisant ces données l’attaquant a modifié les paramètres de l’application entraînant une
perturbation dans le procédé de traitement des eaux.

Cette attaque révèle dans l’entreprise :

• Un système de paiement mal sécurisé,
• Un stockage des mots de passe sur un serveur accessible de l’extérieur,

Article Revue 3EI 11/19

 Cybersécurité des Systèmes Informatiques Industriels

• Pas de cloisonnement entre le réseau « atelier » où se trouve l’interface de contrôle et le

réseau « administration » où se trouve le système de paiement.
Le système de paiement (qui n’est pas du ressort de l’automaticien) hacké, une sensibilisation du
personnel à la gestion des mots de passe et un cloisonnement des réseaux plus strict aurait permis
d’éviter que l’attaque n’arrive jusqu’à l’atelier.

3.2.Empoisonnement de l’eau potable

En 2013, en Géorgie, aux USA, les attaquants se sont introduits dans la station en passant au-dessus
des barbelés. Aucune effraction aux portes et aux fenêtres n’a été notée. Les attaquants ont eu accès
au système de supervision et ont modifié les réglages des taux de fluor et de chlore privant les clients
d’eau potable.
Les véhicules des employés possèdent des GPS et attestent qu’aucun d’entre eux n’était près de la
station durant l’incident.

Cette attaque révèle dans l’entreprise :

• Une mauvaise protection physique du site : passer sur les barbelés suffisait pour arriver
jusqu’au superviseur ou alors un ancien salarié a gardé des accès :
• Une mauvaise protection du superviseur (PC allumé en permanence, pas de mot de passe ou
identifiant/mot de passe d’un ancien salarié toujours valable).
Une protection physique renforcée du local de supervision et une gestion des identifiants/mot de
passe du PC de supervision rigoureuse auraient permis d’éviter cette attaque.

3.3.Prise de contrôle du système de production d’une aciérie

En 2014, en Allemagne, les hackers se sont d’abord introduits sur le réseau bureautique du site
industriel d’une aciérie par la technique du « spear phishing » (campagne de mails infectés
personnalisés). Depuis ce premier réseau, ils ont pénétré les logiciels de gestion de production de
l’aciérie, puis pris les commandes de la plupart des systèmes de contrôle de l’usine. Ils ont alors
empêché un haut fourneau de se mettre en sécurité à temps et causé de gros dégâts à
l’infrastructure.

Cette attaque révèle dans l’entreprise :

• Une réponse à un mail frauduleux par un salarié,
• Un mauvais cloisonnement permettant d’accéder au réseau « atelier » depuis le réseau
« administration »,
• Une mauvaise protection d’un haut fourneau autorisant à outrepasser une protection
thermique (problème de sécurité des machines).
Une meilleure formation des salariés et un meilleur cloisonnement des réseaux aurait permis d’éviter
cette attaque. Cette attaque montre également le lien entre cybersécurité et sécurité des machines,
politiques qui doivent être menées de front.

Article Revue 3EI 12/19

 Cybersécurité des Systèmes Informatiques Industriels

3.4.Coupure générale d’électricité - BlackEnergy

En 2015, une vague de «phishing » cible 3 compagnies de distribution d’électricité ukrainienne. Le
mail comporte un fichier Word infecté qui, après ouverture et activation des macros, installe le
malware BlackEnergy sur le poste.
Pour contourner le pare-feu séparant le réseau industriel du réseau de gestion, les attaquants, très
compétents, piratent l’active directory (annuaire crypté des mots de passe de l’entreprise) et prennent
le contrôle de comptes VPN permettant de commander à distance le superviseur.
Les attaquants reprogramment les onduleurs et corrompent le firmware des passerelles « série vers
Ethernet » des postes électriques afin de perturber les opérations de remédiation.
Enfin, ils lancent l’attaque en désactivant les onduleurs et les sous stations électriques. Ils lancent
également un déni de service téléphonique sur le call-center pour empêcher les usagers de déclarer
les pannes.
80 000 foyers ukrainiens sont privés d’électricité pendant 3 à 6 h.

Cette attaque de haut niveau révèle dans l’entreprise :

• Des salariés ont ouvert un fichier Word contenant un virus,
• Un accès à distance à un système critique crée toujours une vulnérabilité, même si l’accès est
crypté et demande une authentification,
• Les équipements industriels critiques (ici l’onduleur et les passerelles) doivent être protégés
contre une reprogrammation à distance.
La sensibilisation des salariés est là encore un point essentiel de la cyber-sécurité. Il ne faut
n’autoriser en action distante que ce qui est strictement nécessaire à la fonction de l’entreprise. Ici,
restreindre la programmation des onduleurs et la mise à jour des passerelles à des interventions
locales aurait permis de faciliter la reprise après l’attaque.

Ces 4 études de cas montrent qu’à chaque fois, ce sont 2 failles successives qui ont permis l’attaque.
La mise en place de la méthode de sécurisation des installations, assez accessible, aurait permis de les
éviter.

4. Etude de cas pratiques

Le cours de cybersécurité termine par une étude de cas fictive de sécurisation d’un site OIV associé à
sa mise en œuvre en Travaux Pratiques sur 12h.
On considère une usine pharmaceutique française disposant d’un atelier de fabrication et d’un atelier
d’emballage. L’usine produisant de l’insuline (nécessaire aux personnes diabétiques), elle est classée
Opérateur d’Importance Vitale (OIV). De plus, la réglementation pharmaceutique exige une traçabilité
importante de la qualité de la production. Le siège de l’entreprise situé au Danemark héberge la base

Article Revue 3EI 13/19

 Cybersécurité des Systèmes Informatiques Industriels

de données comprenant les autorisations d’accès et doit pouvoir récupérer les données de production
de l’usine française.
La supervision des deux ateliers a lieu dans un local de supervision placé dans l’atelier. La supervision,
outre l’affichage des informations sur le système (mesures, alarmes) utilisées par les services
maintenance et qualité, permet au chef d’atelier de passer certaines machines en mode manuel et de
modifier les cadences, notamment pour adapter le débit de la production à celui de l’emballage.
Pour travailler en salle de TP, les IP publiques des routeurs site sont remplacées par des IP du sous-
réseau 192.168.2.0, réseau « public » de la salle de TPs de réseau. Une connexion sécurisée VPN relie
le site Danois et le site Français.
L’installation est donc la suivante lors de l’arrivée des étudiants « sur site » :

Internet

192.168.2.85 192.168.2.10

Routeur site Routeur site

192.168.3.1 192.168.10.1

Serveur français
Base de données Serveur danois
Base de données
Site danois 192.168.10.100

PC
Supervision
Contrôle
d'accès
atelier

... ...

Automates fabrication Automates

Site français emballage

Illustration 5: Equipements de l'entreprise de production avant sécurisation du site

Les étudiants mettent en place la connexion sécurisée VPN site-à-site entre les 2 routeurs (Cisco
RV215W).
Les étudiants mettent en place une supervision simplifiée : une entrée Tout ou Rien de l’automate de
fabrication en modbus TCP remonte à la supervision et celle-ci contrôle une sortie Tout ou Rien de ce
même automate. Ils demandent ensuite le stockage des valeurs de l’entrée et de la sortie dans le
serveur de base de données par PCVue via SQL.

Article Revue 3EI 14/19

 Cybersécurité des Systèmes Informatiques Industriels

1,
rée
nt L
(e S Q Serveur français
r s ur Base de données
leu rve
va e
e s le s
d s
age dan
k )
toc tie1
S or
s

PC
Supervision
Ecriture de la valeur
Lecture de la valeur

de la sortie TOR 1
de l'entrée TOR 1

...

Automates fabrication
Site français
Illustration 6: Echanges entre les équipements du site
français

On reprend ensuite à travers ce TP les différentes étapes de la méthode pour sécuriser un site :

4.1.Sensibilisation des personnels

Les étudiants doivent expliquer rapidement la mise en place d’une politique de sensibilisation des
personnels à la sécurité du site et à la cybersécurité, en insistant notamment sur le phishing, les clés
USB, les fichiers douteux, le choix et le non stockage des mots de passe et l’alerte à donner en cas de
détection d’un comportement suspect de machine.

4.2.Cartographie des installations et analyse du risque

Le site étant d’importance vitale et un contrôle à distance non nécessaire (un chef de production est
toujours présent sur le site), l’analyse du risque amène à choisir de bloquer tous les accès entrants
dans l’atelier. Les données de traçabilité doivent tout de même être disponibles pour les Danois. Elles

Article Revue 3EI 15/19

 Cybersécurité des Systèmes Informatiques Industriels

seront partagées via un serveur SQL situé à l’extérieur de l’atelier, dans une DMZ. Une DMZ (zone
démilitarisée, en référence à la zone « neutre » servant notamment pour l’échange de prisonniers
entre les 2 Corée) est un sous-réseau du site accessible depuis l’extérieur et depuis les sous-réseaux
sensibles du site (ici, l’atelier). Les équipements des sous-réseaux sensibles y déposent les données
que les équipements extérieurs viendront y chercher, sans avoir besoin d’entrer dans le sous-réseau
sensible.
Les données pourraient aussi, en plus, être stockées localement sur le PC de supervision (ou sur un
serveur SQL dans l’atelier) si l’on voulait être sûr de les conserver en cas d’attaque. Pour tenir en 12h,
nous ne retenons pas ce dernier point.
La cartographie des installations et l’analyse du risque amènent les étudiants à proposer l’architecture
réseau suivante :

Internet

192.168.2.85 192.168.2.10

Routeur site Routeur site

192.168.3.1 192.168.10.1
DMZ

Serveur français
Base de données Serveur danois
192.168.3.21 192.168.3.102
Routeur atelier Base de données
Site danois 192.168.10.100

192.168.1.1
192.168.6.1 VLAN2

PC Contrôle
Supervision d'accès
192.168.1.100
atelier

atelier
192.168.6.2
Swtich atelier

VLAN1

... ...
192.168.1.101 192.168.1.103
Automates fabrication Automates
Site français emballage
Illustration 7: Architecture réseau de l'entreprise de production de médicaments

Article Revue 3EI 16/19

 Cybersécurité des Systèmes Informatiques Industriels

4.3.Prévention : défense en profondeur

Les étudiants câblent leur réseau et abordent alors les différents aspects de la défense en profondeur
de l’installation.
4.3.1. Protection physique des équipements
Les étudiants doivent indiquer les mesures de protection physique minimales : armoires électriques et
réseaux sous clés, accès à l’atelier et au local de supervision soumis à un contrôle d’accès strict,
suppression des accès des employés ayant quitté l’entreprise.
4.3.2. Cloisonnement des réseaux et durcissement de leur
configuration
Les étudiants configurent les pare-feu :
• Le routeur atelier refuse toutes les requêtes entrantes (fonctionnement en diode réseau) et
n’accepte que les requêtes sortantes du PC de supervision vers le port 1433 du serveur SQL.
• Le routeur site français refuse également les requêtes entrantes. Il est configuré en VPN site-
à-site avec le routeur site danois, ce qui permet un accès au serveur de base de données
français par le serveur danois.
Sur les serveurs de base de données (des PCs équipées de SQL Server Express), SQL Management
Studio Express sert de client SQL permettant de lire dans une base de données locale ou distante.
4.3.3. Durcissement du PC de supervision
Sur le PC de supervision, sur lequel les étudiants sont administrateurs :
• Vérification de l’activation du firewall du PC,
• Établissement d’un identifiant/mot de passe pour chaque utilisateur (le chef d’atelier et le
technicien de maintenance) avec des droits limités (pas de possibilité d’installation de logiciels
et pas de possibilité de modifier la configuration réseau),
• Établissement également d’une ségrégation des droits sous PCVue. Le chef d’atelier a les
droits pour modifier la variable de sortie de l’automate. Le technicien de maintenance peut
juste observer les variables,
• Suppression du lecteur de CD,
• Blocage des médias amovibles usb : blocage de la détection des périphériques de stockage
USB , désactivation du pilote de gestion des périphériques de stockage USB, désactivation de
l’exécution automatique, en suivant la procédure proposée sur le site de l’ANSSI.
• Indication du fait qu’il faudrait supprimer les logiciels autres que le superviseur PCVue du PC,
en particulier les logiciels de programmation des automates, très dangereux (ils permettraient
à une personne prenant le contrôle du PC de supervision de modifier les programmes de
production des médicaments), et les logiciels de bureautique, très attaqués.
4.3.4. Durcissement des automates
Les étudiants récupèrent le firmware à jour chez le fabricant et le chargent dans les automates.

Article Revue 3EI 17/19

 Cybersécurité des Systèmes Informatiques Industriels

Ils désactivent le serveur web embarqué de l’automate. Les serveurs web embarqués sont très utilisés
pour la configuration des équipements industriels mais sont vulnérables car utilisant des technologies
web standard très attaquées.

4.4.Surveillance des installations et détection des incidents

• Les étudiants utilisent le port mirroring du routeur site et Wireshark pour surveiller les
échanges réseaux. Ils peuvent vérifier que les trames extérieures au site sont bien cryptées
(protocole ESP) et détecter les incidents,

Illustration 8: Surveillance des échanges au niveau du routeur site

• Les étudiants ouvrent les journaux du routeur pour connaître l’historique des connexions VPN,
• Les étudiants ouvrent les journaux du serveur SQL (accessibles par SQL Management Studio)
pour connaître l’historique des connexions au serveur SQL.

4.5.Traitement des incidents, chaîne d’alerte

Les étudiants proposent une procédure en cas de virus sur le serveur SQL : mise en place d’un
archivage (archivage obligatoire pour la traçabilité de la fabrication de médicaments) local par
exemple en attendant la remise en état du serveur SQL.

4.6.Veille sur les menaces et les vulnérabilités

Les étudiants proposent un plan de veille sur les mises à jour de sécurité du fabricant des automates,
de Windows et de PCVue.

4.7.Les plans de reprise et de continuité d’activité

Les étudiants sauvegardent les programmes automates, l’application de supervision et les

configurations des 2 routeurs sur un dossier qu’ils expliquent devoir garder sous clé sur une machine
ou un support non connectés au réseau.

Article Revue 3EI 18/19

 Cybersécurité des Systèmes Informatiques Industriels

Conclusion

Le cours et le TP cybersécurité des systèmes industriels permettent aux étudiants d’être sensibilisés
au risque cyber, de connaître les principales mesures à mettre en place pour sécuriser un site et de
prendre conscience que ces mesures, à leur portée, permettent de contrer la plupart des attaques
ciblées ou non contre le réseau informatique industriel.
Nous souhaitons à l’avenir ajouter à ce module la supervision via le protocole sécurisé OPC-UA, pris en
compte par les automates industriels modernes (Siemens S7-1500, Schneider M251 par exemple). Il
serait bon également d’évoquer les solutions de stockage de données dans le cloud, proposées
désormais par les fabricants d’automates comme une solution sécurisée et désormais simplifiée
évitant d’ouvrir des accès extérieur à son site.

Article Revue 3EI 19/19

View publication stats