Guide Securite Industrielle Version Finale

La cyberscurit des systmes industriels

Matriser la SSI pour les systmes

industriels

La cyberscurit des systmes industriels 3

Table des matires

Avant-propos 5

Objectifs du guide 71 - Contexte et enjeux de la cyberscurit des systmes industriels 91.1 - Mythes et ralits des SI industriels 9

1.1.1 - Ralits des systmes dinformation de gestion et des systmes dinformation industriels 9

1.1.2 - Quelques mythes concernant les systmes dinformation industriels 10

1.2 - Les enjeux de la cyberscurit des systmes industriels 12

1.2.1 - Gnralits sur les attaques 12

1.2.2 - Les ngligences humaines 12

1.2.3 - Vulnrabilits des systmes dinformation industriels 13

1.2.4 - Les impacts potentiels sur les systmes industriels 13

2 - Mthode de dploiement de la SSI 152.1 - Rappel du rle de la SSI 15

2.2 - Les grands principes de la SSI 15

2.2.1 - Sensibilisation des personnels 16

2.2.2 - Cartographie des installations et analyse de risque 16

2.2.3 - Prvention : concept de la dfense en profondeur 17

2.2.4 - Surveillance des installations et dtection des incidents 17

2.2.5 - Traitement des incidents, chane dalerte 18

2.2.6 - Veille sur les menaces et les vulnrabilits 18

2.2.7 - Les plans de reprise et de continuit dactivit (PRA / PCA /DRP) 19

2.3 - Une approche globale et structure 19

2.3.1 - Une volont tous les niveaux (engagement de la direction) 19

2.3.2 - Prise en compte de la SSI dans les projets 20

2.3.3 - Prise en compte de la SSI dans les AMDEC / HAZOP 21

2.3.4 - Prise en compte de la SSI dans la maintenance 22

2.3.5 - Prise en compte de la SSI dans les achats 23

Annexe A : Vulnrabilits frquemment rencontres 25Annexe B : Bonnes pratiques (check-list) 27Annexe C : Sigles et acronymes 35Annexe D : Rfrences bibliographiques 37


AVANT-PROPOS

Alors quelle faisait, il y a encore peu, figure de science rserve quelques experts, la scurit des systmes dinformation a merg ces dernires annes vers une prise de conscience gnrale. Le Livre blanc sur la dfense et la scurit nationale tablissait en 2008 que la cyberscurit tait un enjeu majeur des quinze annes venir, et mettait dj en exergue limprieuse ncessit de protger les systmes dimportance vitale.

Depuis le Livre blanc, une prise de conscience a bien eu lieu, mme si elle sest faite marche force, au rythme des attaques et des incidents subis par les pays les plus dvelopps. Indisponibilit massive du rseau, attaques contre des systmes dinformation gouvernementaux, espionnage dentreprises stratgiques, oprations de dstabilisation et pannes en tous genres ont malheureusement occup lactualit des trois dernires annes.

Les systmes industriels, mme lorsquils ne sont pas connects Internet, sont exposs ces risques. Le ver Stuxnet, apparu en 2010, est la preuve tangible que nos pires craintes dattaques sur des installations sensibles peuvent se raliser. En 2009 un adolescent ingnieux et inconscient a fait drailler via Internet un tramway en Pologne, dmontrant la vulnrabilit du systme daiguillage. On pourrait galement parler de rupture de pipeline ou encore de pollution des eaux... Ce ne sont malheureusement pas les exemples qui manquent.

Les systmes industriels sont donc tout autant concerns, et probablement mme davantage, que les autres systmes dinformation par les enjeux de la cyberscurit.

Le dfi est l : comme lensemble de la socit, les industries ont bien souvent intgr le numrique au fil de leau et sans stratgie initiale, des systmes htrognes sinterconnectant avec comme soucis majeurs la productivit, lefficacit et la sret mais rarement la scurit...

Faut-il relever ce dfi ? La question ne se pose pas tant les enjeux sont considrables ! Ce serait comme se demander si on peut se passer de contrle daccs physique aux installations sensibles, ou de mesures sanitaires pour protger ses salaris, les citoyens et lenvironnement.

Les industries ont un atout pour la scurit de leurs systmes dinformation : elles ont une forte culture de la sret de fonctionnement de leurs installations, et disposent le plus souvent en interne de comptences en matire de cyberscurit pour leurs systmes bureautiques. Il faut dsormais que ces deux cultures se rencontrent et que les forces sunissent pour protger convenablement les systmes industriels.

Il revient aux directions gnrales den prendre la dcision, de mandater formellement un coordinateur SSI pour renforcer la scurit des systmes industriels et de lui en donner les moyens matriels, financiers, organisationnels et humains.

Le guide sur la cyberscurit des systmes industriels publi par lAgence nationale de la scurit des systmes dinformation est fait pour accompagner les entreprises dans cette dmarche. Il vous est prsent ici dans sa premire version publique. Il est destin voluer avec les usages, mais aussi avec vos contributions et retours dexprience.

Il saccompagne dun cas pratique destin illustrer des situations prsentant des risques pour les entreprises et en exposer leur traitement.

Enfin, ce guide ne sadresse pas uniquement aux industries ; son contenu sapplique galement sans que cette liste soit exhaustive aux data centers, aux smartgrids, aux systmes de

gestion technique des btiments (GTB), de gestion technique centralise (GTC), mais aussi de nombreux systmes embarqus.

Toutes remarques sur ce guide peuvent tre adresses : [email protected]

Les publications de lANSSI sont diffuses sur son site Internet :

http://www.ssi.gouv.fr/publications/


OBJECTIFS DU GUIDE

Ce guide sattache tudier la scurit des systmes dinformation industriels. Bien que spcifiques chaque installation, ils se composent le plus souvent des lments suivants :

automates Programmables Industriels (API ou PLC) ;

systmes Numriques de Contrle-Commande (SNCC) ;

systmes Instruments de Scurit (SIS)1 ;

capteurs et actionneurs (intelligents ou non) ;

bus de terrain ;

logiciels de supervision et de contrle : SCADA ;

logiciels de gestion de production assiste par ordinateur (GPAO, MES) ;

logiciels dingnierie et de maintenance ;

systmes embarqus.

Les systmes industriels utilisent aujourdhui abondamment les technologies de linformation alors quils nont pas t conus pour faire face aux menaces quelles introduisent. Les exemples de publication de vulnrabilits des systmes industriels sont aujourdhui nombreux (protocoles Modbus et OPC par exemple).

Cest pourquoi il est ncessaire de les intgrer dans la rflexion gnrale sur la scurit des systmes dinformation de lentreprise2.

Lobjectif de ce guide nest pas de dresser un inventaire exhaustif de recommandations ni dnumrer lensemble des composants dun systme industriel. Il propose une dmarche de sensibilisation et de mise en uvre de bonnes pratiques pour accompagner les entreprises dans le dploiement de la scurit.

Il nexiste pas de solution idale ou passe-partout . Lannexe B prsente des bonnes pratiques possibles. Chaque installation prsente des particularits et des risques propres quil convient danalyser pour dployer des solutions adaptes en limitant les impacts sur lactivit mtier de lentreprise.

La scurisation dune installation engendre des cots, bien souvent difficiles estimer. Les gains apports le sont galement. Nanmoins, ce processus de scurisation protge les investissements et la production de lentreprise. Cest pourquoi, il est important de dfinir les bons objectifs et de les adapter aux besoins. Paradoxalement, la sur-scurit peut provoquer des effets contraires ceux recherchs et nuire aux performances industrielles.

Les sigles et acronymes utiliss dans le document sont reprise en annexe C.

1 Le terme scurit dsigne ici la scurit des biens et des personnes. Certains domaines parlent alors de sret.2 Le systme dinformation dentreprise regroupe lensemble des systmes dinformation dune entreprise, cest dire les systmes dinformation de gestion (systmes dinformation destins aux services et applications de bureautique, de gestion des ressources humaines, de relations clients ou encore de gestion intgre) et industriels.

La cyberscurit des systmes industriels8


1 - CONTEXTE ET ENJEUX DE LA CYBERSCURIT DES SYSTMES INSDUSTRIELS

1.1 - Mythes et ralits des SI industriels

1.1.1 - Ralits des systmes dinformation de gestion et des systmes dinformation industriels

Bien quutilisant de plus en plus des technologies standardises de linformatique classique ou conventionnelle (IT), les systmes industriels prsentent des spcificits propres aux contextes dans lesquels ils sont utiliss. Ils se diffrencient des systmes dinformation de gestion par le fait quils pilotent des installations physiques (units et chanes de production, units de distribution deau, dnergie, infrastructures routires, ferroviaires) ; certains assurent en outre des fonctions de protection des biens et des personnes ou de lenvironnement.

Systmes dinformation de gestion

Systmes dinformation industriels

Objectif des systmes

traiter des donnespiloter des installations (physique, concret), rguler des procds, acqurir et traiter des donnes

Aspects Fonctionnels

contraintes mtier et contraintes de confidentialit

contraintes mtier et contraintes temps rel , contraintes de sret de fonctionnement (SdF) , disponibilit 24/7

Culture des intervenants

informaticiensautomaticiens, instrumentistes lectrotechniciens, spcialistes en gnie du procd

Environnement physique

salle serveur climatise, bureau voire domicile

ateliers de production : poussire, temprature, vibrations,

lectromagntisme, produits nocifs proximit, environnement extrieur, etc.

L o c a l i s a t i o n gographique

majoritairement dans des locaux ferms (bureau, domicile dans le cas du tltravail)

dans des entrepts, des usines, sur la voie publique, dans la campagne (stations de pompage, sous-stations lectriques, etc.), des lieux isols, en mer, dans lair et dans lespace

Dure de vie environ 5 ans plus de 10 ans (parfois 30 ou 40 ans)

Gestion des incidents

analyse post incidentla multitude de paramtres et la complexit de lenvironnement limite la reproductibilit de lincident

Composantsdes systmes standards ; des systmes durcis face aux attaques informatiques

des systmes temps rel et robustes par rapport aux conditions difficiles des milieux industriels ; des systmes sur EPROM, sans disque dur


Systmes dinformation de gestion

Systmes dinformation industriels

Htrogni t des composants

la compatibilit des composants est une exigence technique (homognit et interoprabilit).

la grande dure de vie des installations conduit une superposition des vagues technologiques successives sur un mme site entrainant un phnomne dobsolescence des matriels et logiciels.

1.1.2 - Quelques mythes concernant les systmes dinformation industriels

Il existe un certain nombre de mythes relatifs aux systmes dinformation industriels. Les plus communment admis sont examins ici.

Le mythe La ralit

Mes rseaux industriels sont isols, je suis protg.

Les systmes dinformation industriels sont souvent connects aux rseaux de gestion et parfois directement Internet.

Les cls USB et les consoles de maintenance sont par ailleurs des vecteurs majeurs de propagation de virus y compris sur des systmes isols.

Les besoins croissants de remonte de donnes vers le SI de gestion rend, terme, lisolation des rseaux industriels utopique.

Jutilise des protocoles et bases de donnes propritaires, je suis protg.

Mme les solutions propritaires comportent des composants standards, pour des raisons dinteroprabilit (avec le systme dexploitation par exemple) et de moindre cot. Les solutions propritaires sont suceptibles dtre vulnrables car elles peuvent navoir fait lobjet daucune analyse de scurit.

Lintgration des mcanismes de scurit (chiffrement, filtrage, authentification) est incompatible avec les contraintes de temps de rponse exiges.

Les performances des composants ne sont plus un frein au dploiement de fonctions de scurit.

En revanche, les difficults existent pour les systmes temps rel .

La SSI est incompatible avec la Sret de fonctionnement (SdF).

Au contraire la SSI et la SdF se rejoignent sur de nombreux points, voir 2.3.3

Les mesures de SdF comme la redondance htrogne protgent des attaques en disponibilit.

Ce principe est de moins en mois employ car trs coteux. De plus des produits de constructeurs diffrents sappuient parfois sur les mmes technologies et intgrent parfois les mmes composants matriels et logiciels. Ils contiennent donc dans ce cas des vulnrabilits identiques.


Le mythe La ralit

La SSI cote cher.

La SSI doit tre proportionne aux enjeux.

Elle cotera dautant moins cher si elle est prise en compte intelligemment dans les phases amont des projets. Son cot doit en thorie rester infrieur limpact maximal dune attaque, mais il est exact quil nexiste pas de mode de calcul de son retour sur investissement (ROI).

Une attaque du SI Industriel aura toujours moins dimpact quun incident physique (vol de cbles, incendie,), ou terroriste (explosion dun rservoir de stockage de ptrole dans une raffinerie par exemple).

Une attaque peut crer un dysfonctionnement global des installations plus difficile identifier et plus pernicieux (sabotage industriel, ralentissement de la production) quune attaque physique pouvant entrainer un temps de rtablissement trs long.

Les dysfonctionnements provoqus peuvent devenir un facteur aggravant et provoquer une catastrophe industrielle, humaine ou cologique (ex. inhibition dalarme de surveillance de produits dangereux sur un site SEVESO).

La SSI mempchera de travailler comme je veux.

La SSI doit tre centre sur les enjeux critiques.

Elle na pas pour objet de bloquer des comportements utiles, mais de prvenir les comportements dangereux (ce qui suppose de les identifier au pralable). La SSI impose parfois de formaliser des mesures de contournement des modes nominaux de fonctionnement (des modes dgrads doprations).


1.2 - Les enjeux de la cyberscurit des systmes industriels

1.2.1 - Gnralits sur les attaques

On distingue plusieurs types dattaques : les attaques cibles, objectif par exemple idologique ou vnal, engages par une

personne ou un groupe de personnes contre une organisation dans le but de nuire, en perturbant ces processus, voire en provoquant des dgts matriels. Les attaquants sont des personnes organises disposant de moyens pour atteindre leurs objectifs. Des officines proposent sur Internet des services de cyber-attaque, ou publient des outils cls en main pour mener des attaques ( packages dexploits 3) ;

les attaques challenge dont lobjectif est de dmontrer une capacit technique sintroduire dans des systmes rputs scuriss, mais dont les effets en termes de production, de scurit des biens et des personnes ou dimage de marque sont rels pour les victimes ;

certaines attaques non cibles, cherchant impacter le plus de monde possible, peuvent crer des dommages significatifs dans les entreprises (virus, campagnes de spam par exemple).

1.2.2 - Les ngligences humaines

Les ngligences ne sont pas le fruit dactions volontaires et malveillantes, mais leurs effets peuvent tre similaires ceux des attaques. Elles peuvent crer des vulnrabilits difficiles dtecter, qui pourront tre exploites par des attaquants ou simplement affecter la disponibilit des systmes.

Par exemple, la modification involontaire de rglages dasservissements, ou la modification dune alarme peut avoir des consquences dsastreuses sur la qualit des produits, services dlivrs, lenvironnement, la sant ou la scurit des personnes.

Lutilisation dune cl USB quelle soit personnelle ou non pour transfrer des donnes entre des systmes industriels isols, peut mener une indisponibilit des systmes si cette cl est porteuse de virus.

Dans ces deux cas trs concrets issus dexpriences vcues, les intervenants nont pas eu la volont de nuire. Les impacts sur les installations ont t pourtant bien rels.

Ces ngligences peuvent avoir pour cause un manque de formation du personnel et dinformation sur les enjeux.

3 Des packages dexploit sont officiellement commercialiss comme outils SSI dans le but de dtecter des vulnrabilits lors daudits par exemple. Ces packages peuvent bien videment aussi tre utiliss par des personnes malveillantes.


1.2.3 - Vulnrabilits des systmes dinformation industriels

Les vulnrabilits peuvent tre dorigines multiples et lobjet de ce guide nest pas de les rpertorier. Quelques exemples de vulnrabilits frquemment rencontres sur les installations industrielles sont listes en annexe A. .

Les besoins croissants de consolidation des donnes de lentreprise, de leur accs en temps rel depuis nimporte quel point de la plante, la rduction des cots de dveloppement et de possession ainsi que les contraintes de planning ont prcipit la convergence du domaine de linformatique industrielle et de linformatique de gestion.

Les rseaux Ethernet sont dsormais employs dans les systmes industriels jusque dans le domaine des bus de terrain. Ils offrent de nouvelles fonctionnalits comme la mutualisation des infrastructures rseau et la possibilit dutiliser les couches IP (pour la tlmaintenance par exemple).

Les outils de dveloppement, de maintenance et tlmaintenance sont aujourdhui entirement dvelopps sur des briques gnriques issues de linformatique de gestion (plateforme .Net, Java par exemple).

La standardisation des systmes et les nouvelles fonctionnalits ont apport aux systmes industriels les vulnrabilits du monde de linformatique de gestion. Les systmes dits propritaires, souvent pauvres en mcanismes de scurit, ne sont pas pour autant labri de vulnrabilits pouvant tre exploites par des attaquants motivs et organiss.

Alors que le monde de linformatique de gestion parvient corriger rgulirement les vulnrabilits, notamment par lapplication de correctifs publis par les constructeurs et les diteurs de logiciels, le monde industriel, de par ses contraintes de disponibilit et de sret, ne peut pas adopter les mmes protections. Cette diffrence de ractivit face aux vulnrabilits publiques est un des principaux risques des systmes dinformation industriels.

Le manque de formation des intervenants, les diffrences de cultures ou le manque de prise de conscience des risques lis la SSI peuvent constituer une autre vulnrabilit majeure.

1.2.4 - Les impacts potentiels sur les systmes industriels

De nombreux incidents sur les systmes industriels surviennent chaque anne, mais peu sont mdiatiss, comme lincident de centrale nuclaire au Royaume-Uni li Conficker, lincident li au ver Slammer aux USA, ou en 2010 la propagation gnralise du ver Stuxnet4. Leurs impacts peuvent tre analyss selon diffrents axes, prsents ci-dessous :

4 Stuxnet est un code malveillant visant les systmes industriels. Il exploite de multiples vulnrabilits prsentent dans le systme dexploitation Microsoft Windows et le progiciel de SCADA WinCC de Siemens. Le code malveillant modifie le programme excut par certains automates industriels de la gamme Simatic S7 de Siemens. Les modifications ralises peuvent conduire au ralentissement de la production mais aussi la destruction physique des installations pilotes par lautomate.


Dommages matriels /corporels

La modification des configurations nominales des installations peut provoquer des dgradations physiques avec le plus souvent des consquences matrielles mais parfois aussi humaines.

Perte de chiffre daffaires

Linterruption de la production gnre des manques gagner importants.

La modification de paramtres de fabrication conduisant des produits non conformes gnre des cots importants.

Impact sur lenvironnement

La dfaillance du systme suite une prise de contrle malveillante peut gnrer un dysfonctionnement des installations (ouverture de vannes de produits polluants) et provoquer une pollution du site et de son environnement. Un tel incident sest produit en Australie ces dernires annes.

Vol de donnes Perte de secret de fabrication, contrefaons, avantage pour la concurrence.

Responsabilit civile / pnale - Image et notorit

Lindisponibilit du service comme la rupture de distribution dlectricit ou deau, ainsi que la fourniture de produits dfectueux mettant en danger le consommateur peuvent aboutir des poursuites pour les dommages occasionns ou simplement dgrader limage de lentreprise (la satisfaction du client et sa confiance).

Ces diffrents impacts gnrent des pertes financires lies la perte dactivit ou au versement de compensations aux victimes potentielles (clients, particuliers, collectivits territoriales, associations, tat voire Union Europenne) ainsi quune atteinte limage de lentreprise.


2 - MTHODE DE DEPLOIEMENT DE LA SSI

2.1 - Rappel du rle de la SSI

Lobjectif de la SSI est dtudier les vulnrabilits des systmes (matriel, logiciel, procdures, aspects humains) afin de dployer des mesures pour les limiter et permettre dassurer la continuit des fonctions mtier un niveau acceptable.Souvent perue comme une contrainte, une SSI bien pense contribue au contraire amliorer la robustesse des installations et la productivit des entreprises.Comme lindique le Rfrentiel gnral de scurit (RGS)5, elle repose sur quatre piliers indispensables au bon fonctionnement des systmes industriels :

la disponibilit : dans un contexte de forte productivit, la dgradation de la disponibilit se traduit directement en perte financire et insatisfaction des clients (retards de livraison, augmentation des cots de production, arrts de production) ;

lintgrit : son respect certifie que les produits et services fournis sont conformes aux exigences des clients ou aux exigences rglementaires. Pour les systmes instruments de scurit assurant la protection des biens et des personnes (commandes darrt durgence par exemple), elle est mme imprative. Lintgrit concerne lensemble des composants des systmes industriels : les programmes des automates, des donnes changes entre les installations, les bases de donnes des logiciels de SCADA par exemple ;

la confidentialit : elle est parfois minimise, mais une divulgation du patrimoine informationnel de lentreprise peut avoir un impact bien rel sur ses profits et son avenir (perte de clients). Les systmes industriels contiennent des paramtres et des donnes sensibles comme des recettes de fabrication, des quantits de produits utiliss, des plans dinstallations, des plans de maintenance, des programmes PLC ou encore des listes dadresses dquipements. Ceux-ci peuvent tre exploits par des concurrents ou des groupes malveillants pour diriger des attaques cibles ou simplement collecter des donnes permettant de copier le savoir-faire de lentreprise ;

la traabilit : il sagit dune exigence rglementaire dans de nombreux secteurs dactivit (agro-alimentaire, transport, nuclaire...). Limpossibilit dapporter la preuve de la traabilit des oprations ralises, des matires utilises ainsi que de leur origine, et le non-respect des exigences rglementaires peuvent conduire des poursuites judiciaires pour lentreprise.

2.2 - Les grands principes de la SSI

Le dploiement puis la gestion de la scurit devraient tre organiss afin de protger linstallation des consquences dincidents de scurit. Les activits peuvent tre organises selon les phases prsentes ci-dessus. Il sagit dun processus continu, demandant des efforts permanents.

5 Voir sur le site de lANSSI : http://www.ssi.gouv.fr/rgs/


2.2.1 - Sensibilisation des personnels

Une partie importante des incidents est lie une mconnaissance par les intervenants des risques sur linstallation. Leur sensibilisation aux rgles d hygine informatique contribue rduire les vulnrabilits et les opportunits dattaques6. La sensibilisation doit tre rgulire car les risques voluent en permanence.

2.2.2 - Cartographie des installations et analyse de risque

Il est illusoire de vouloir plaquer une dmarche scurit sur un SI industriel sans une comprhension pralable du besoin mtier quil sert. Il est donc important de dterminer :

les objectifs mtier (production, distribution, protection des biens et des personnes) et les services assurs ;

les impacts en cas dinterruption de service ;

les fonctions indispensables latteinte des objectifs, et en particulier : leurs niveaux dimplication et de criticit dans la ralisation des services, systmes qui les portent, si ces systmes sont centraliss, distribus, accessibles distance, etc. ;

Un inventaire des installations matrielles, des systmes et des applications critiques est un pr-requis incontournable la mise en place de la scurit des SI dans les installations industrielles. Cet inventaire est la premire tape de lanalyse des risques, qui permettra de dfinir les diffrents niveaux de criticit, de sret, de disponibilit ou dintgrit attendues pour les lments cartographis.

Tout projet doit en effet comprendre une analyse de risque afin didentifier les lments sensibles du systme, leurs besoins et les objectifs de scurit face aux menaces retenues.

Ces objectifs sont alors dclins en exigences de scurit, qui porteront sur le systme lui-mme (robustesse intrinsque), sur son environnement de conception, de construction et dexploitation. Ces exigences sont ensuite traduites en mesures techniques, physiques, et organisationnelles.

Clairement formalises dans une cible de scurit, elles forment la rfrence scurit du systme.

Les principes de lanalyse de risque en SSI ne diffrent pas de ceux de la sret de fonctionnement mme si les terminologies employes peuvent ne pas tre identiques.

Il existe plusieurs mthodes danalyse de risque. LANSSI propose la mthode EBIOS7.

Les conclusions de lanalyse de risque aboutissent la dfinition des mesures de scurit adquates, dont les efforts sont proportionns aux enjeux et adapts aux besoins rels. Celles-ci peuvent tre techniques mais aussi organisationnelles.

6 Voir sur le site de lANSSI : http://www.ssi.gouv.fr/fr/bonnes-pratiques/principes-generaux/7 Voir sur le site de lANSSI : http://www.ssi.gouv.fr/ebios/


2.2.3 - Prvention : concept de la dfense en profondeur

La dfense en profondeur consiste protger les installations en les entourant de plusieurs barrires de protection autonomes et successives. Elles peuvent tre technologiques, lies des procdures organisationnelles ou humaines.

Intrinsquement, les logiciels ou les quipements embarqus contiennent des bogues et des vulnrabilits. Certains sont connus et dautres sont dcouverts au fil du temps. Il faut rduire les surfaces exposes.

Adopter une dmarche de dfense en profondeur permet de se protger contre des menaces qui ne sont pas encore connues, de diminuer le primtre sur lequel une menace est exerce ou den attnuer limpact.

Le simple cloisonnement des rseaux par des pare-feux ne suffit pas. Dautres mcanismes doivent laccompagner et diffrents niveaux (contrle daccs physique, durcissement des configurations, protection antivirale...).

Sur danciennes installations, les mises jour automatiques peuvent tre incompatibles avec les contraintes de disponibilit et les logiciels antivirus peuvent perturber le fonctionnement des applications mtier qui nont pas t conues pour cela.

Dautres mcanismes peuvent tre dploys comme le durcissement des systmes dexploitation et la dtection dintrusion. Les solutions sont multiples. Il convient dutiliser des barrires adaptes aux installations, qui ne nuisent pas aux objectifs mtier, puis destimer les impacts rsiduels.

Il peut tre galement utile de consulter les livres blancs et recommandations des quipementiers et consulter les pages Web de lANSSI8 sur le sujet.

La stratgie de dfense en profondeur doit intgrer non seulement une dmarche de protection prventive, mais aussi des mesures de surveillance, de dtection et de raction.

2.2.4 - Surveillance des installations et dtection des incidents

Dtecter un incident est une action majeure dont limportance est souvent sous-estime.

Dans un environnement industriel, il peut tre complexe, voire impossible, de dployer certaines barrires de protection sans impacter les fonctions mtier. Les contre-mesures devraient inclure des mcanismes de dtection et de surveillance des installations. Leur fonctionnement est transparent et ainsi ne perturbe pas les fonctions mtier.

Ces mesures nempcheront pas un incident mais permettront de le dtecter et den limiter autant que possible les effets.Plus un incident sera dtect tt, plus il sera possible de mettre en place des mesures pour en rduire et confiner les effets comme par exemple :

isoler physiquement les installations en cas dattaque virale pour limiter les risques de propagation ;

arrter une installation avant sa dgradation si des donnes de configuration ne sont

8 Voir sur le site de lANSSI : http://www.ssi.gouv.fr


plus intgres, suite des erreurs ou des modifications intentionnelles (cela permet par exemple dempcher la dtrioration des quipements qui pourrait tre occasionne par la propagation dun ver tel que Stuxnet).

Enfin la collecte des informations au travers des journaux dalarmes et dvnements est indispensable aux analyses ultrieures. Ces journaux pourront dans certains cas apporter des lments utiles et des preuves dans le cadre dune enqute judiciaire.

2.2.5 - Traitement des incidents, chane dalerte

Un dispositif de dtection na de sens quassoci la mise en place dune organisation et de procdures pour traiter les incidents. Il convient de dterminer :

que faire lors de la dtection dun incident ;

qui alerter ;

quelles sont les premires mesures appliquer.

Un processus descalade doit tre dfini pour grer les incidents au bon niveau de responsabilit, et dcider en consquence :

sil faut dclencher un Plan de Reprise dActivit (PRA) ;

si une action judiciaire est ncessaire.

Une note de lANSSI9 dcrit les bons rflexes en cas dintrusion sur un systme dinformation.

La gestion des incidents doit galement intgrer une phase danalyse post incident qui permettra damliorer lefficacit des mesures de SSI dployes initialement.

2.2.6 - Veille sur les menaces et les vulnrabilits

La SSI est une action continue ncessitant des efforts permanents.

Se tenir inform de lvolution des menaces, des vulnrabilits en identifiant les incidents quelles favorisent, ainsi que de leurs effets potentiels constitue une mesure fondamentale de dfense.

Les sites Internet comme celui du centre oprationnel de lANSSI10 ou les sites des quipementiers sont des sources dinformation importantes sur les vulnrabilits identifies, les ventuels correctifs existants ou les contre-mesures quil est possible de mettre en place.

Les mises jour des micrologiciels (firmwares) des PLC et autres quipements, correctifs des systmes dexploitation et des applications font lobjet dalertes et davis. Des flux RSS ou Atom permettent souvent dobtenir linformation rapidement.

Il peut tre utile de se rapprocher des quipementiers pour connatre la meilleure faon de se tenir inform. Penser galement demander ses fournisseurs, au travers des contrats, dtre tenu inform des vulnrabilits. Lactivit de veille sera dautant plus efficace que la cartographie sera exhaustive.

9 Voir sur le site du CERTA : http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html10 Voir sur le site du CERTA : http://www.certa.ssi.gouv.fr/


2.2.7 - Les plans de reprise et de continuit dactivit (PRA / PCA / DRP)

La scurit absolue et le risque zro nexistent pas.

Se prparer faire face des vnements exceptionnels pour lesquels toutes les mesures prcdentes auraient chou minimisera les impacts et permettra de redmarrer lactivit le plus rapidement possible.

Les Plans de Continuit dActivit mtier de lentreprise (PCA) doivent donc intgrer les systmes dinformation industriels. Ils incluent la dfinition des Plan de Reprise dActivit (PRA), ou Disaster Recovery Plan (DRP), qui identifient les moyens et procdures ncessaires pour revenir une situation nominale le plus rapidement possible, en cas de sinistre ou dvnements exceptionnels. Ils devraient dcrire comment reconstruire le systme suite une attaque virale, un incendie, une inondation ou une perte de donnes.

Le PCA devrait tre rgulirement mis jour, en fonction : des volutions propres de linfrastructure (maintenance, intgration de nouveaux

composants, qui peuvent introduire de nouvelles vulnrabilits) ;

de lvolution des menaces.

2.3 - Une approche globale et structure

La SSI ne se traite pas dans lurgence, de faon ponctuelle ou isole. Il sagit dune dmarche qui se planifie et qui demande la participation de ressources et comptences multiples ainsi quun engagement fort au plus haut niveau de la hirarchie.

2.3.1 - Une volont tous les niveaux (engagement de la direction)

Fixer des objectifs adapts aux enjeux, dfinir une stratgie, sensibiliser et former les personnels sont autant de tches qui incombent la direction. La dmarche peut tre progressive, ralise en plusieurs phases dans le temps en adressant les lments du plus simple au plus complexe, du plus vident ou moins vident mais elle doit tre globale. Elle peut sappuyer sur les standards de la scurit des systmes dinformation existants, en prenant en compte les contraintes spcifiques aux systmes industriels.

Les systmes dinformation industriels doivent tre intgrs dans les politiques de scurit des systmes dinformation de lentreprise, comme tout autre systme dinformation et ceci, ds lorigine du projet. Les problmatiques de scurit ne sont pas spcifiques ce domaine, mais la mise en uvre des solutions demande ce quelles soient ajustes au contexte industriel.

Bien souvent, les organisations ne favorisent pas le rapprochement du monde de linformatique classique de celui des systmes industriels. Cest pourquoi le projet de dploiement de la scurit sur les systmes dinformation industriels ne peut pas russir sans limplication du management au plus haut niveau de lentreprise.


2.3.2 - Prise en compte de la SSI dans les projets

La scurit du systme doit tre envisage ds le dbut du projet, par lutilisateur final qui doit exprimer ses besoins.

En phase de spcification : dfinir les moyens de raliser les oprations de maintenance prventive et curative

permettant de maintenir le niveau de SSI dans la dure : modes dgrads par exemple pour raliser des mises jour (par exemple figer les sorties automates pendant la mise jour du firmware) ;

dfinir la localisation des quipements afin dassurer leur scurit physique ;

prvoir la possibilit de changer les configurations par dfaut comme les mots de passe partir de lIHM ;

exiger la non-adhrence des logiciels fournis une version prcise dune autre brique logicielle (systme dexploitation, systme de gestion de bases de donnes, etc.) ; dfaut, exiger que le fournisseur assure la compatibilit ascendante avec les volutions des briques adhrentes ;

intgrer des mcanismes pour faciliter la requalification dune installation suite des modifications (ex. simulation de process, forage de valeurs, etc.) ;

exiger que le logiciels non indispensables la conduite des installations soient installs sur dautres postes (des postes bureautique pour lire des fichiers PDF ou remplir des feuilles de calcul par exemple).

En phase de conception : rduire les interfaces et la complexit du systme afin de limiter lintroduction de

vulnrabilits lors de limplmentation ;

slectionner les composants offrant les meilleures caractristiques pour rpondre aux exigences de scurit (mcanismes dauthentification, sgrgation des droits, etc. ) ;

appliquer le principe du besoin den connatre ou du moindre privilge , de la sgrgation des droits, et maintenir un principe d accs non accord si non explicitement autoris pour les accs au systme ;

distinguer clairement les profils utilisateur et administrateur ;

prvoir la gestion des exceptions (dbordement de plage de valeurs, erreurs internes des composants) ;

prvoir des mcanismes permettant de gnraliser les changements sur un ensemble dquipements (changements de mots de passe par exemple).

En phase dintgration : changer les configurations par dfaut (mots de passe par exemple) ;

supprimer ou dsactiver les fonctions non utilises mais actives par dfaut ;

penser supprimer les fonctions de dbogage comme les traces utilises pour analyser le comportement des installations.

En phase de test : raliser les tests fonctionnels de scurit ;

drouler les tests aux limites, les tests derreur des fonctions mtier et vrifier les exceptions ;


tester des scnarios de menace (tests de pntration et tentatives de prise de contrle) ;

tester les moyens de raliser les oprations de maintien du niveau de SSI (dploiement de correctifs, analyse de journaux dvnements) ;

vrifier les performances du systme.

Ces tests se droulent de faon unitaire lors de la recette usine (Factory Acceptance Testing : FAT) puis de faon globale lors de la recette sur site (Site Acceptance Testing : SAT).

Il peut tre important dexiger la ralisation, par une quipe indpendante, dun audit SSI pour vrifier ladquation des installations la cible de scurit exige.

Les tests se concluent par une phase de rception qui permet : daccepter en connaissance de cause les risques rsiduels sur linstallation (principe

de lhomologation des systmes), formalise par la signature dun Procs Verbal (PV) de rception ;

deffectuer le transfert de proprit et de la responsabilit du systme.

Les lments lists prcdemment sont loin dtre exhaustifs et dpendent des solutions envisages pour chaque installation. Certaines sont construites partir de composants sur tagre , dautres sont des solutions sur mesure utilisant des logiciels dvelopps spcifiquement ou encore des solutions cls en main.

Processus de transfert en exploitation :

Lentreprise en charge de lexploitation peut ne pas tre le propritaire de linstallation et donc ne pas avoir t implique dans le projet de ralisation de linstallation. Cela peut concerner les cas de dlgations de service public, de concession dexploitation ou de contrat dexploitation avec obligation de rsultat par exemple.

Dans ces cas, lentreprise en charge du futur contrat dexploitation doit tablir un tat des lieux exhaustif du niveau de scurit de linstallation et des moyens disponibles pour le maintenir un niveau acceptable. Cet tat des lieux devra tre accept ou faire lobjet dune ngociation avec lentreprise adjudicatrice du contrat dexploitation afin que lensemble des parties soit daccord sur le niveau de SSI de linstallation telle que construite , ainsi que des moyens actuels quelle intgre pour le maintenir un niveau acceptable. Le guide de lexternalisation11 publi par lANSSI peut apporter des rponses cette problmatique.

Enfin, il est rappel quil est essentiel de changer les mots de passe lors du transfert en exploitation.

2.3.3 - Prise en compte de la SSI dans les AMDEC /HAZOP

Les incidents dorigine SSI peuvent tre la cause darrts de production ou de catastrophes industrielles comme lont montr les exemples du chapitre 2.2.

Lintgrit dun programme automate de scurit, par exemple, est aujourdhui un enjeu aussi bien du domaine de la SSI que du domaine de la sret. Un attaquant ou un virus qui modifie un programme de scurit concerne les deux domaines. Stuxnet a montr que ce type de scnario tait parfaitement crdible.

Labsence de SSI ou un niveau de SSI insuffisant peut donc tre la cause potentielle de mode

11 Voir sur le site de lANSSI : http://www.ssi.gouv.fr/externalisation


de dfaillance dinstallations industrielles. Lanalyse des modes de dfaillance est traite dans les mthodes de sret de fonctionnement comme AMDEC12 ou encore HAZOP13.

Couvrir lensemble des risques impose de traiter conjointement les sujets SSI et sret de fonctionnement dans une approche commune.

Par exemple, les causes potentielles dune monte en temprature dune installation au-del de son seuil nominal peuvent tre :

un problme de mesure li la dfaillance dun capteur :

une dfaillance matrielle du capteur, un mauvais talonnage du capteur, la modification des paramtres du capteur, de manire intentionnelle par une

personne non autorise (prise de contrle par un attaquant, un virus) ou suite une ngligence ;

un problme li une vanne sur le circuit de refroidissement : une dfaillance mcanique, une dfaillance du servomoteur, le forage de la commande de la vanne, de manire intentionnelle par une

personne non autorise (prise de contrle par un attaquant, un virus) ou suite une ngligence,

un problme de rglage du point de consigne de rgulation du systme de refroidissement,

une erreur de saisie dun oprateur, un changement du point de consigne par une personne non autorise.

Les analyses de type AMDEC, FMEA ou HAZOP sont bien souvent complexes raliser et demandent du temps. Impliquer des comptences en informatique de gestion et en SSI dans les quipes ralisant ces travaux sera bien plus efficace quun travail autonome et non concert o chacun dispose de la vision de son sujet, mais pas de la vision densemble.

2.3.4 - Prise en compte de la SSI dans la maintenance

La SSI des installations industrielles doit tre prise en compte lors de la rdaction des plans de maintenance. Ces derniers doivent intgrer les oprations ncessaires pour maintenir le niveau de scurit des systmes dans la dure :

dfinir les oprations de maintenance propres la SSI qui sont ncessaires au maintien en conditions oprationnelles (MCO) et au maintien en conditions de scurit (MCS) : en particulier, lintgration des correctifs proposs par lquipementier doit tre prvue ;

intgrer dans les oprations de maintenance prventive mtier (maintenance lectrique, mcanique par exemple) les oprations de SSI quil nest pas possible de raliser lorsque linstallation est en fonctionnement.

Lorsquune chane de production est larrt, par exemple pour une maintenance mcanique ou des contrles rglementaires, il peut tre opportun dappliquer les correctifs sur les

12 AMDEC : Analyse des Modes de Dfaillance, de leurs Effets et de leurs Criticit ou FMECA en anglais (Failure Modes, Effects and Criticality Analysis). Outils danalyse de risque de suret de fonctionnement et de gestion de la qualit.13 HAZOP : HAZard and OPerability study. Mthode danalyse des risques utilise dans le domaine de la suret de fonctionnement


automates pilotant linstallation dans le cas o des vulnrabilits auraient t identifies.

Les plans de maintenance des systmes dinformation industriels ne peuvent tre dissocis des plans de maintenance des installations quils pilotent. Les oprations de SSI devraient tre suivies dans loutil de gestion de maintenance des installations (GMAO14).

2.3.5 - Prise en compte de la SSI dans les achats

Les exigences de scurit sur le systme achet doivent faire lobjet dune tude et tre clairement formalises (dans une cible de scurit ou dans le CCTP15) et intgres dans les dossiers dappels doffres comme le sont les exigences fonctionnelles, de performance, de qualit, denvironnement, de sret ou encore de respect des rglementations en vigueur.

Elles concernent le systme faisant lobjet de la consultation mais aussi la gestion du projet lui-mme (formation voire habilitation des installateurs), en incluant les phases oprationnelles et de maintenance. Il convient donc de :

vrifier dans les rponses appel doffres la couverture des exigences scurit inscrites dans la consultation ;

tablir les clauses concernant la maintenance de lquipement : demander les plans de maintenance ncessaires pour maintenir linstallation en

condition oprationnelle et de scurit, dfinir les processus de traitement des incidents et de fourniture de correctifs de

scurit : qui prend linitiative, qui dploie, sous quels dlais, qui fait les tests de bon fonctionnement et comment, etc. ;

prciser les clauses concernant les conditions dintervention des sous-traitants : prciser les conditions de support et dintervention sur site : la tlmaintenance est-

elle accepte (si oui quelle condition) ? le prestataire peut-il partir du site avec un quipement dfectueux et sa configuration ? les intervenants peuvent-ils utiliser leurs propres outils ?

les intervenants doivent-ils disposer de qualifications particulires ? dterminer les clauses juridiques intgrer dans les contrats ;

dfinir les conditions de proprit des codes sources et des paramtres : qui est propritaire des diffrents codes source ? les sous-traitants peuvent-ils disposer des codes source en dehors du site ? dfinir le statut des paramtrages spcifiques linstallation ; qui les maintient ? qui

les sauvegarde ? qui est autoris les modifier ? Pour plus dinformation sur les recommandations en matire de sous-traitance, consultez le guide de lexternalisation publi par lANSSI16.

14 GMAO : Gestion de la Maintenance Assiste par Ordinateur15 CCTP : Cahier des Clauses Techniques Particulires16 Voir sur le site de lANSSI : http://www.ssi.gouv.fr/externalisation


ANNEXE A : VULNRABILITS FRQUEMMENT RENCONTRES

Architecture et cartographie du SI : pas dinventaire du parc de SI industriel, pas dinventaire des quipements, absence

de vision des gnrations technologiques qui cohabitent et de leurs vulnrabilits intrinsques ;

absence de plan de continuit ou de plan de reprise (DRP), pas danalyse de risque sur le SI industriel.

Mesures techniques prventives : mot de passe par dfaut pour les comptes de services, les bases de donnes, les

applicatifs, les accs en mode console (PLC, passerelles, quipements rseau), usage de communauts SNMP ;

mot de passe en clair dans les codes sources, dans les procdures dexploitation et les donnes sauvegardes ;

faiblesse de gestion des accs utilisateurs : les comptes restent actifs lorsque les intervenants quittent le site, existence de comptes gnriques ;

emploi de comptes avec des profils administrateur dans les applications, alors que des droits utilisateur suffisent ;

partage de fichier sur le rseau en accs complet alors quun accs en lecture seule suffit ;

accs en lecture (ou criture) des fichiers configurations via FTP ou TFTP ;

outils de prise de main distance non scuriss (VNC, Dameware...) : services activs sans utilit fonctionnelle, emploi de services / protocoles non scuriss : TFTP, HTTP, Telnet, SNMP v1 ou v2, modification en ligne des programmes automates autorise sans contrle ;

rechargement de la configuration au redmarrage via cl USB ou MMC17.

Maintenir la scurit dans la dure : absence de sauvegarde des donnes, des codes sources, et de la configuration des

quipements ;

absence de politique de gestion des mdias amovibles (ex. : blocage des ports USB) alors que les cls USB non matrises sont autorises ;

peu de supervision, peu de dtection dincidents ;

absence de mise jour (correctifs) des systmes dexploitation, des applications, des firmwares (pour les automates, capteurs/actionneurs intelligents) ;

absence de mcanisme de signature des firmwares (possibilit pour un attaquant de diffuser une mise jour pige).

17 MMC : Multi Media Card.


ANNEXE B : BONNES PRATIQUES (CHECK-LIST)De nombreuses bonnes pratiques sont similaires celles de linformatique de gestion, mais leur mise en uvre est adapter aux contraintes du domaine industriel. Elles ne sont pas classes par ordre de priorit et leur facilit de dploiement est propre chaque installation.

BP01 : Contrle daccs physique aux quipements et aux bus de terrainMotivation Matriser les points daccs physique qui permettraient de sintroduire dans

le systme.Mthode Identifier qui a besoin daccder aux quipements, pourquoi et quelle

frquence.

Installer les serveurs dans des locaux ferms sous contrle daccs (si possible dans les salles informatiques).

Placer les units centrales des stations, les quipements rseaux industriels et les automates dans des armoires fermes cl.

Protger laccs au cble rseau et aux prises de connexion.Primtre Stations, serveurs, quipements rseau, automates, capteurs/actionneurs,

crans tactiles.Contraintes Taille des installations - protection gnrale du site

Maintenir lautorisation daccs en cas durgence.Moyens de gestion des contraintes

Remonter un contact douverture de la porte pour gnrer une alarme sur le SCADA.

Procdure de type bris de glace

BP02 : Cloisonnement des rseauxMotivation Limiter la propagation des attaques et confiner les vulnrabilits.Mthode tablir une cartographie des flux.

Sparer les rseaux par des quipements ddis ou des VLAN.

Filtrer les flux au moyen de pare-feu.

Tracer les flux rejets et les analyser.Primtre Rseau SCADA, rseau dautomates, rseau de dveloppement...Contraintes Contrainte de temps rel sur les rseaux procd.Moyens de gestion des contraintes

Le filtrage sapplique en amont de ces rseaux. Laccs physique au rseau procd est limit et contrl.


BP03: Gestion des mdias amoviblesMotivation Rduire les risques dattaque de virus vhiculs partir de mdias amovibles

(cls USB, DVD, etc.) qui sont des vecteurs majeurs de propagation.Mthode Dfinir une politique pour lutilisation de ce type de mdia.

Activer les politiques de restrictions logicielles.

Dsactiver lutilisation de ces mdias et utiliser des sas (voir ci-dessous) pour changer des donnes entre les rseaux si besoin.

Dsactiver les ports USB sur les systmes, restreindre les fonctionnalits (voir La cyberscurit des systmes industriels Cas pratique, annexe C).

Primtre Stations, serveurs, console de programmation et de maintenance, crans tactiles.

Contraintes Il peut tre ncessaire dchanger des donnes entre des rseaux qui ne sont pas interconnects.

Moyens de gestion des contraintes

Linstallation de sas, machines ddies aux transferts, peut tre un moyen de rpondre aux besoins utilisateur. Ces machines doivent tre renforces, rgulirement mises jour, quipes de logiciel antivirus et faire lobjet dune surveillance forte.

BP04 : Gestion des comptes (accs logique, authentification)Motivation Se protger des accs illicites.Mthode Dfinir une politique de gestion des comptes utilisateur et des comptes

dapplication.

Ne pas laisser les comptes par dfaut sur les quipements et applications (admin/admin).

Privilgier des mots de passe robustes (voir http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/ rubrique Scurit du poste de travail-> calculer la force dun mot de passe et la note dinformation du CERTA sur les mots de passe).

Ne pas oublier de changer rgulirement les mots de passe.Primtre Les systmes dexploitation, les bases de donnes, les applications SCADA,

les programmes automates, les quipements de rseau, les capteurs et actionneurs

Contraintes Comptes gnriques , souvent historiques ;Accs durgence .


Tracer les actions ralises avec ces logins pour dtecter dventuelles drives et comportements anormaux. Utiliser des procdures organisationnelles strictes (cahier de suivi) pour pouvoir dterminer chaque instant lidentit des agents utilisant un compte gnrique.


BP05 : Durcissement des configurationsMotivation Limiter la surface dexposition aux attaques.Mthode Ninstaller que les logiciels ncessaires. Pas doutils de dveloppement sur

des serveurs de production ou stations oprateur.

Ninstaller ou nactiver que les protocoles et services ncessaires. Qui na jamais dit Dans le doute je coche toutes les options dinstallation ?

viter les choix proposs par dfaut.

Dsactiver systmatiquement les protocoles et fonctionnalits vulnrables et non scuriss (serveur Web, NetBios, FTP,...). En particulier, dsactiver les protocoles de dcouverte automatique dquipements ou de topologie (LLDP) aprs avoir vrifi quils ne sont pas utiliss par des applications.

Dsactiver les modes de configuration et de programmation distance sur les installations critiques. Sur les automates, ce mode se configure parfois par un commutateur physique sur le CPU.

Primtre Systmes dexploitation, applications SCADA, automates, quipements rseau, capteurs/actionneurs intelligents, crans tactiles

Contraintes Impacts des modifications sur le fonctionnement des applicationsMoyens de gestion des contraintes

Si malgr tout, certaines fonctionnalits non scurises sont ncessaires une analyse dtaille et documente (traitement dexception par exemple) doit apporter une justification et des contre-mesures doivent tre mises en place.

BP06 : Gestion des journaux dvnements et dalarmesMotivation Surveiller les systmes / Dtecter les intrusions / Traer les actions et les

interventions de maintenance (ou tlmaintenance)Mthode Activer les fonctions de traabilit si les quipements et logiciels le permettent

(syslog, SNMP V3, Windows Event , fichier texte, etc.

Slectionner les vnements pertinents et organiser le stockage des vnements (volumtrie, dure de conservation).

Centraliser les journaux et gnrer des alertes pour certains vnements ou suites dvnements.

Primtre Systmes dexploitation, bases de donnes, applications SCADA, quipements rseau, automates

Contraintes Problmatique des volumes des journaux gnrs. Le nombre dinformations traiter est important.


Des outils existent pour aider traiter les vnements et les trier en fonction de critres prdfinis.


BP07 : Gestion des configurationsMotivation Sassurer que les versions actives dans les quipements (version N) nont pas

t modifies de faon malveillante.

Sassurer que les diffrences entre les versions N et N-1 ne correspondent quaux modifications lgitimes.

Mthode Comparer les programmes et configurations actifs dans les quipements (version N excute) avec une version de sauvegarde identifie comme la rfrence (version N sauvegarde).

Identifier et analyser les carts entre les versions N et N-1 avant la mise en service de nouvelles versions.

Primtre Les applications SCADA, les programmes automates, les fichiers de configurations des quipements de rseau, les capteurs et actionneurs.

Contraintes Complexit et htrognit des systmes industriels.Moyens de gestion des contraintes

Il existe parfois des outils de gestion des configurations permettant didentifier rapidement les carts entre deux versions.

BP08 : Sauvegardes / restaurations Motivation Disposer des donnes ncessaires au redmarrage complet dun site aprs

une attaque ou un dsastre (ceci inclut les donnes des systmes).Mthode Dfinir une politique de sauvegarde. Quelles sont les donnes ncessaires

sauvegarder pour rpondre aux besoins des utilisateurs, reconstruire une installation suite un incident ou satisfaire aux exigences rglementaires ?

Primtre Codes source de lapplication, bases de donnes de configuration (utilisateurs, seuils dalarmes), historiques de SCADA, programmes, firmwares et donnes (variables, mots) des automates, fichiers de configuration et firmware des quipements rseau (commutateur, VPN, routeur, firewall, ), paramtres de rglage et firmware des capteurs et actionneurs intelligents par exemple.

Contraintes Il nest pas toujours possible de sauvegarder automatiquement toutes les donnes, en particulier pour les capteurs et actionneurs et les automates.


Tracer les modifications des paramtres des capteurs/actionneurs, dasservissement, de rgulation (rglage de PID) ou de configuration dalarmes


BP09 : DocumentationMotivation Matriser la documentation pour disposer dune image exacte des

installations et viter des erreurs dexploitation.

Matriser la diffusion afin que seules les personnes ayant besoin des informations soient les destinataires.

Mthode Dfinir une politique de gestion de la documentation (processus de mise jour, dure de conservation, liste de diffusion, stockage). La documentation relative un systme dinformation ne doit pas tre conserve sur le systme lui-mme.

Primtre Les documentations techniques des installations, schmas darchitecture, implantation gographique, plan dadressage, manuel administrateur, plan de maintenance, analyse fonctionnelle, analyse organique

Contraintes Il peut tre utile de disposer de documents dexploitation contenant des mots de passe en version papier (pour des astreintes par exemple). La maitrise de ces documents peut se rvler complexe et interdire les versions papier nest pas ncessairement envisageable.


Sensibiliser les utilisateurs aux risques lis la documentation. Laisser des documents en vidence sur un bureau ou dans le coffre dune voiture ( cot du PC dastreinte par exemple) est une mauvaise pratique.

BP10 : Protection antiviraleMotivation Se prmunir des attaques par virus.Mthode Dfinir une politique antivirale. Protger en priorit les quipements et

applications en contact direct avec lextrieur et les utilisateurs.Primtre Les applications de SCADA, les stations dingnierie, console de

programmation et de maintenance.Contraintes Incompatibilit avec certaines applications de SCADA dancienne gnration

par exemple, pas de mcanisme de mise jour de lantivirus (postes isols par exemple). Problmatiques contractuelles comme la perte de la garantie constructeur.


Dployer le logiciel antivirus au moins sur les stations portables, les postes de tlmaintenance, les stations dingnierie.

Pour les nouvelles installations la compatibilit de lantivirus doit tre une exigence du CCTP.

Renforcer les configurations des postes.


BP11 : Mise jour des correctifs (planification)Motivation Se prmunir des attaques exploitant les vulnrabilits publies par les

quipementiers.

Se prmunir de dfaillances lies aux bogues corrigs par les correctifs.Mthode Dfinir une politique de gestion des correctifs (systmatique, priodique ou

ponctuelle) adapte aux contraintes fonctionnelles et aux risques identifis. Par exemple, dfinir les priorits de dploiement des correctifs, vrifier les compatibilits ascendantes, et linteroprabilit.

Appliquer systmatiquement les correctifs aux stations dingnierie et postes nomades.

Appliquer priodiquement les correctifs sur les stations oprateurs.

Appliquer lors de la maintenance les correctifs sur les installations sensibles.Primtre Correctifs des systmes dexploitation, des applications, des firmwares en

fonction des vulnrabilits corriges.

Station dingnierie, postes oprateurs, serveurs, PLC, quipements tlcom, crans tactiles...

Contraintes Les correctifs doivent tre qualifis avant dtre dploys.Certains quipements ne peuvent pas tre arrts facilement.


Identifier les vulnrabilits adresses par les correctifs.

Planifier les mises jour lors darrt de maintenance par exemple.

Surveiller les flux et les journaux dvnement.

Durcir les configurations.

Isoler les quipements.

BP12 : Protection des automates (PLC)Motivation Protger les programmes automates.Mthode Protger laccs aux automates par un mot de passe. Des matriels offrent

la possibilit de configurer un accs en lecture seule pour les interventions de maintenance de premier niveau.

Protger laccs au code source et au code embarqu dans les CPU.

Dsactiver les modes de configuration et/ou de programmation distance lorsque la fonctionnalit existe.

Fermer les armoires automates cl. Sur les installations critiques remonter un contact sec lors de louverture de larmoire.

Primtre Automates en production, programmes automates sauvegards ou en cours de dveloppement


BP13 : Stations dingnierie, postes de dveloppement Motivation Ces lments constituent des points vulnrables et sont des vecteurs forts de

contamination et de prise de contrle.

Ces machines, connectes au rseau industriel, contiennent les logiciels de configuration des quipements, de programmation des automates et des SCADA, parfois des versions de code source... Certains postes peuvent tre nomades et se connecter sur dautres rseaux comme des rseaux bureautiques.

Mthode Toutes les recommandations prcdentes.Appliquer systmatiquement les correctifs.

Activer systmatiquement un antivirus.

Ne pas connecter les consoles nomades sur dautres rseaux que les rseaux SCADA.

Les consoles sont nominatives ou alors leur utilisation est trace.

teindre les postes fixes lorsquils ne sont pas utiliss et/ou les dconnecter des rseaux de production.

Primtre Stations de dveloppement SCADA, console de programmation automate, Terminaux portables (PDA, Pockets PC par exemple) pour configurer les capteurs et les actionneurs intelligents.


ANNEXE C : SIGLES ET ACRONYMES

ADSL Asymmetric Digital Subscriber Line

AMDEC Analyse des modes de dfaillance de leurs effets et criticits

API Automate programmable industriel (PLC en anglais)CPU Central Processing Unit

DoS Denial of Service (dni de service) DRP Disaster Recovery Plan

EIA Electrical Industry AssociationERP Enterprise Resource Planning

FMDS Fiabilit, maintenabilit, disponibilit et scuritFMEA Failure Mode and Effects Analysis

FAT Factory Acceptance TestGSM Global System for Mobile

GTB Gestion technique de btiment GTC Gestion technique centralise

HAZOP HAZard & OPerability method ICS Industrial Control System

IHM Interface homme-machineMES Manufacturing Executive SystemOLE Object Linked & EmbeddedOPC OLE for Process Control P&ID Process & Instrumentation Diagram

PID Proportionnel Intgral Driv PLC Programmable Logic ControllerPCA Plan de continuit dactivitPRA Plan de reprise dactivitPSSI Politique de scurit des systmes dinformationRTC Rseau tlphonique commutSAT Site Acceptance test

SCADA Supervisory Control And Data Acquisition SdF Sret de fonctionnement (= FMDS) SIL Safety Integrity Level

SNCC Systme Numrique de Contrle Commande SOAP Service Object Access Protocol

SPC Statistical Process Control VFD Variable Frequency Drive


ANNEXE D : RFRENCES BIBLIOGRAPHIQUES

Guides de bonnes pratiques et recommandations publis par lANSSI http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/

Rfrentiel Gnral de Scurit RGS v1.0 : http://www.ssi.gouv.fr/rgs

Outils mthodologiques proposs par lANSSI http://www.ssi.gouv.fr/fr/bonnes-pratiques/outils-methodologiques/

voir en particulier la mthode EBIOS : http://www.ssi.gouv.fr/ebios

Publications du centre dexpertise et de traitement des attaques informatiques de lANSSI (CERTA)

Acquisition des correctifs CERTA-2001-INF-004

Les bons rflexes en cas dintrusion sur un systme dinformation CERTA-2002-INF-002

Scurit des rseaux sans fil (Wi-Fi) CERTA-2002-REC-002

Scurit des applications Web et vulnrabilit de type injection de donnes CERTA-2004-INF-001

Les mots de passe CERTA-2005-INF-001

Filtrage et pare-feux CERTA-2006-INF-001

Gestion des journaux dvnements CERTA-2008-INF-005

Ce guide sur la cyberscurit des systmes industriels a t ralis par lagence nationale de la scurit des systmes dinformation (ANSSI)

avec le concours des ministres suivants :

et des socits suivantes :

+ logo Naxitis

propos de lANSSI

LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre le 7 juillet 2009 sous la forme dun service comptence nationale.

En vertu du dcret n 2009-834 du 7 juillet 2009 modifi par le dcret n 2011-170 du 11 fvrier 2011, lagence assure la mission dautorit nationale en matire de dfense et de scurit des systmes dinformation. Elle est rattache au Secrtaire gnral de la dfense et de la scurit nationale, sous lautorit du Premier ministre.

Pour en savoir plus sur lANSSI et ses missions, rendez-vous sur www.ssi.gouv.fr.

Version 1.0 - Juin 2012

Licence information publique librement rutilisable (LIP V1 2010.04.02)

Agence nationale de la scurit des systmes dinformationANSSI - 51 boulevard de la Tour-Maubourg - 75700 PARIS 07 SP Sites internet : www.ssi.gouv.fr et www.securite-informatique.gouv.fr

Messagerie : communication [at] ssi.gouv.fr

Documents

Guide Securite Industrielle Version Finale