Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité...

Cybersécurité industrielle 101

Sthack 2015 Adrien REVOL / Wilfrid BLANC

• 500+ customers

• 200+ cyber-security experts

• 20% growth each year

• 15 years of frontline experience

• 3 continents: Europe, North-America, Asia

• 1st CERT in EU

• 1 obsession: defend enterprises against cybercrime

Anticipate | Retaliate A proven defense strategy

Threat Defense Center

Consulting

Training

USB Malware Cleaner

Multiproxies

Investigation

Consulting

Incident response

Agenda

1. Introduction

2. Panorama cybersécurité industrielle

3. Retours d’expérience

4. Conclusion

Agenda

1. Introduction

4. Conclusion

Introduction Réseaux industriels ?

Oil & Gaz Énergie

Gestion de l’eau Industries Manufacturières

Smart Grid

Transports

Et bien d’autres : Chimie, Métallurgie, Zones portuaires, Gestion de bâtiments, … etc.

Introduction Deux définitions

Industrial Control System (ICS) Système ayant pour finalité de gérer des capteurs et actionneurs

interagissant avec le monde « physique »

Supervisory Control and Data Acquisition (SCADA)

Ensemble de serveurs, postes de travail et applications de l’ICS permettant de contrôler et superviser le procédé industriel

Introduction Schéma d’architecture

Introduction Quelques composants d’une architecture industrielle (1/3)

API Modicon m340 API Simatic S7 300

API Simatic S7 1500 Switch Scalance

Pupitre SIEMENS

Poste d’ingénierie : Développement de la logique d’un automate

Contrôle et Supervision du procédé industriel via l’IHM

Introduction Différence IT/ICS

L’informatique de gestion manipule des données

On veut protéger la confidentialité et l’intégrité des données

L’informatique industrielle manipule le monde « physique »

On veut protéger la santé des personnes, l’environnement et l’outil de production

Informatique de gestion

Protocoles standards

Interconnexions/Internet

Cycle de vie de 3-5 ans

Composants évoluent tous les jours

Une panne peut engendrer des pertes financières

Culture confidentialité/intégrité

Problématiques généralement connues

Introduction Deux approches différentes de l’informatique

Informatique industrielle

Prédominance de protocoles propriétaires

Mythe du « air-gap »

Cycle de vie de 15-20 ans

Composants hard/soft figés dans le temps

Une panne peut engendrer des pertes humaines

Culture sûreté/fiabilité

Problématiques cybersécurité généralement inconnues

Agenda

1. Introduction

4. Conclusion

Panorama cybersécurité industrielle Avant 2014-2015

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

Stuxnet Projet Aurora (INL)

Vulnérabilités ICS dévoilées/an (source scadahacker.com)

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

Stuxnet Projet Aurora (INL)

Vulnérabilités ICS dévoilées/an (source scadahacker.com)

Et pourtant le « modbus hack » est connu depuis plus de 10 ans…

L’un des protocoles industriels les plus anciens et plus déployés

Conçu en 1979 par Modicon (racheté par SCHNEIDER Electric) Basé sur des query/response en mode client/serveur Variante : Modbus/TCP Pas de chiffrement ni authentification

Modbus

Panorama cybersécurité industrielle Démo

ALIM CPU ETH CARTE I/O

CAPTEURS/ACTIONNEURS

Modbus/TCP

PLC = API

Panorama cybersécurité industrielle Évènements significatifs 2014-2015

Courant 2014 Cyberattaque sur une aciérie Allemande

Tout au long de 2014 ANSSI Groupes de travail sectoriels

Janvier 2014 Publications référentiels ANSSI

Octobre 2014 Sandworm/Blackenergy Ciblage IHM GE Cimplicity

Juin 2014 DragonFly/Havex Scanner OPC

Avril 2014 Heartbleed

01/2014 03/2015

Mars 2015 Nouveau patch pour la CVE-2010-2568 exploitée par Stuxnet en 2010

Septembre 2014 Shellshock

Panorama cybersécurité industrielle Évolution des cyber-risques industriels ces dernières années

Menace Vulnérabilité Impact Risque

Menace croissante

Il y a 5 ans, seuls des états disposaient des compétences pour attaquer des réseaux industriels

Aujourd’hui, ceci est à la portée de n’importe quel SKIDDIE

(Shodan-hq, modules metasploit, scripts divers, etc.) Menace

Menace croissante

Progression du nombre de vulnérabilités publiquement dévoilées

+ de 850 vulnérabilités ICS dévoilées depuis 2010 Vulnérabilité

Impact constant

L’impact consécutif à la réalisation du risque industriel est constant Impact

Par où commencer pour diminuer/maîtriser le risque ?

De manière pragmatique, on ne peut travailler que sur les vulnérabilités

Démarche LEXSI : Analyse de risques + Audit Risque

Panorama cybersécurité industrielle LEXSI : l’approche par les risques

L’analyse de risques identifie les risques et impacts associés

L’audit identifie les vulnérabilités, scenarios d’attaque et

vraisemblance des risques

Classification réaliste des risques (matrice) Intégration dans les analyses de sûreté

existantes (AMDEC, HAZOP, etc.) Plan d’action de correction des vulnérabilités

Agenda

1. Introduction

4. Conclusion

Retours d’expérience Pentest en environnement industriel

La couche SCADA (composée de serveurs et postes généralement Windows) supporte les tests intrusifs

Néanmoins certains équipements industriels ne les tolèrent pas et peuvent crasher

Les différentes tests intrusifs sur des équipements terrain sont systématiquement réalisés sur maquette

Retours d’expérience Opérateur autoroutier

INTERNET #Absence de capacités de détection Aucune solution de SIEM, IPS ou IDS ne permet de détecter/bloquer l’attaquant dans ses phases de découverte (scans)

INTERNET #Sécurité des systèmes d’exploitation Identification d’une machine vulnérable sur le SI de gestion et compromission de cette dernière, récupération de différents mots de passe.

INTERNET #Interconnexion SII/SIG non sécurisée La machine est un poste d’ingénierie disposant de 2 cartes réseau…

INTERNET

INTERNET #Absence d’antivirus Installation d’un trojan permettant d’utiliser la station comme point de pivot vers le SI industriel

INTERNET #Mauvaise gestion des comptes Le mot de passe récupéré peut être utilisé sur le serveur d’acquisition SCADA

INTERNET

# Utilisation de protocoles non sécurisés

Utilisation de VNC sur l’ensemble des serveurs et postes de supervision

# Mauvaise gestion des comptes

Mot de passe VNC identique sur tous les postes

INTERNET # IHM connectée en permanence

La session Windows n’est pas verrouillée et l’opérateur est authentifié sur le logiciel de supervision. Nous pouvons agir sur la signalisation.

Retours d’expérience Industrie manufacturière

Interconnexions ICS/* non sécurisées

Machines SCADA à double attachement

Utilisation de protocoles non sécurisés

L’équipe de maintenance, depuis leurs postes de travail via VNC :

• Maintient les postes SCADA

• Programme les PLC depuis les postes SCADA

MITM pour récupérer un C/R VNC

Attaque off-line sur le C/R

Gestion des comptes non sécurisée

Le mdp VNC :

• est trivial

• est le même sur tous les serveurs SCADA

Sécurité des OS et firmwares

Le compte logué est admin local, sa session ne se verrouille pas

IHM connectée en permanence

Accès immédiat à l’IHM SCADA

Accès aux fichiers de conf de l’IHM

Possibilité de configurer les PLC

Retours d’expérience Conclusion

Du point de vue de l’attaquant, la cybersécurité du système industriel repose sur la sécurité de sa/ses interconnexions avec l’extérieur

Si arrive à s’introduire dans le SI industriel, il a de très bonnes chances de pouvoir influer illégitimement sur le process industriel

Retours d’expérience

Vulnérabilités fréquentes dans les ICS*

1. Sécurité des OS et firmwares 93%

2. Utilisation de protocoles non sécurisés 93%

3. Absence de capacités de détection d’intrusion 93%

4. IHM connectée en permanence 92%

5. Absence de veille en sécurité 90%

6. Absence d’antivirus 90%

7. Interconnexions ICS/* non sécurisées 89%

8. Gestion des comptes non sécurisée 87%

9. Pas de tests sécurité 86%

10.Pas de consignes de développement sécurisé 86%

*Étude interne LEXSI basée sur les résultats des missions réalisées depuis 2011

Agenda

1. Introduction

4. Conclusion

Conclusion Axes de correction des 10 vulnérabilités fréquentes

1. Patcher, upgrader, configurer

2. Utiliser des protocoles sécurisés

3. IPS/IDS

4. Déconnecter les IHM en cas d’inactivité

5. Initier une veille en sécurité, sensibiliser, évangéliser

6. Installer des antivirus

7. Cloisonner, filtrer, rebondir

8. Utiliser des mdp complexes, appliquer le principe de moindre privilèges

9. Évaluer le niveau de sécurité (autoéval, audit externe)

10. Inclure des clauses de cybersécurité dans les contrats

Conclusion Top 10 des axes d’amélioration ICS

Conclusion Initialiser une démarche de cybersécurité industrielle

• Fortes contraintes opérationnelles :

Impossibilité de stopper la production

Forte dépendance aux intégrateurs/éditeurs

L’obligation (réglementaire) d’homologation

L’absence de plateforme de pré-production

• La culture industrielle de sûreté et fiabilité

« If it works, don’t fix it »

Organiser Évaluer Améliorer

Communiquer, sensibiliser, « évangéliser » Impliquer la Direction Générale Créer un groupe de travail multi-compétence (IT/ICS) Travailler avec les volontaires/ateliers moteurs

Organiser

Organiser Évaluer Améliorer

Auto évaluation en se basant sur un référentiel (CSET de l’ICS-CERT, questionnaire maison, etc.)

Évaluation via un partenaire externe (Analyse de risques/Audit)

Identification de non conformités/vulnérabilités Plan d’amélioration/plan d’action de correction Évaluer

Organiser Évaluer

Améliorer

A très court terme : Traiter les vulnérabilités/risques les plus critiques Travailler sur les Quick-Wins

A court terme : Detection A moyen terme : Defense En Profondeur cf. Référentiels ANSSI, ISA99/IEC62443, ou autre

Améliorer

Conclusion

• Systèmes d’informations industriels encore très vulnérables

• MAIS :

• Prise de conscience du législateur

• Prise de conscience des éditeurs industriels (au moins les leaders)

Beaucoup de travail reste à mener de la part des industriel et intégrateurs

La route sera longue mais la dynamique générale va dans le bon sens

Merci Questions ?

Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité...

Education

CYBERSéCURITé - gicat.com€¦ · 4 5 introduction cybersécurité Véritable enjeu du XXie siècle, la cybersécurité s’affranchit des frontières avec le monde connecté. Aujourd’hui,

Pour une salle de classe inclusive - Wilfrid-Pelletier · Pour une salle de classe inclusive, École Internationale Wilfrid-Pelletier, CSPÎ 4 Quatre principes de bonnes pratiques

Jean-Luc Revol (Operation manager) Pour la Division Source et Accélérateur

Cybersécurité, risques et réalité

Programme Wilfrid Vincent-PS, cantonales 2001

Thibaut Godard - Catalogue Revol 2015

GUIDE CYBERSÉCURITÉ

KIOSQUE AD+ ARMOIRES ET DÉCORATION 105-5781, boul. Wilfrid

Intelligence Artificielle et cybersécurité

Cybersécurité, initiation

LA CYBERSÉCURITÉ DES ENTREPRISES

Une pièce en 3 actes de Wilfrid RENAUD Drame …€¦ · Une pièce de Wilfrid RENAUD - 2 - AVERTISSEMENT ... Barnabé – Dépêches-toi de rentrer. Noir sur le visage d’Al. Le

CYBERSÉCURITÉ INNOVATIONS - EPITA

Cybersécurité - archive.g-echo.fr

Cours Revol 2015- Lambeaux Doigts Longs

revol nanter

cybersécurité iNNOVAtiONs · cybersécurité : intelligence, rapidité et partage de connaissance intelligence artificielle et cybersécurité : une arme à double tranchant L’intelligence

CYBERSÉCURITÉ EN BRETAGNE : L’ENJEU DES COMPÉTENCES études... · CYBERSéCURITé EN BRETAGNE – Dans tous les métiers de la cybersécurité, des compé-tences techniques très

Revol catalogue 2015

Caroline Revol - Portfolio