Mesuresdétaillées - ssi.gouv.fr · Chapitre 1. Introduction 1.1 Contexte Leprésentdocumentestissudesréflexionsdugroupedetravailsurlacybersécu-ritédessystèmesindustrielspilotéparl

...

Mesures dtailles

.

La cyberscurit des systmes industriels

.

Table des matires...

1 Introduction 7

1.1 Contexte 7

1.2 Champ dapplication 7

1.3 Structure du corpus documentaire 8

1.4 Avis aux lecteurs 8

2 Considrations relatives la cyberscurit des installations industrielles 9

2.1 Liste des contraintes 9

2.2 Vulnrabilits 16

2.2.1 Matrise des installations 16

2.2.2 Dfaut de contrle daccs logique 18

2.2.3 Dfaut de contrle des interfaces de connexion 19

2.2.4 Cartographie non maitrise 19

2.2.5 Dfaut de matrise de la configuration 20

2.2.6 Utilisation dquipements vulnrables 21

2.2.7 Utilisation de protocoles vulnrables 22

2.2.8 Dfaut de contrle daccs physique 23

2.2.9 Dfaut de cloisonnement 23

2.2.10 Tlmaintenance 24

2.2.11 Terminaux nomades non matriss 24

2.2.12 Utilisation de technologies standards 25

2.2.13 Intervenants 25

2.2.14 Supervision insuffisante des vnements de cyberscurit 26

2.2.15 Absence de plan de continuit dactivit 26

2.2.16 Non prise en compte de la cyberscurit dans les projets 27

La cyberscurit des systmes industriels Mesures dtailles .. 3

....

2.2.17 Absence de tests de cyberscurit 27

2.2.18 Absence de matrise des fournisseurs et prestataires 27

2.2.19 Environnement de dveloppement non scuris 28

2.2.20 Outils de dveloppement prsents 28

2.2.21 Non cloisonnement de ladministration 28

2.2.22 Dfinition des responsabilits 29

3 Mesures de scurit organisationnelles 31

3.1 Connaissance du systme industriel 32

3.1.1 Rles et responsabilits 32

3.1.2 Cartographie 33

3.1.3 Analyse de risque 34

3.1.4 Gestion des sauvegardes 35

3.1.5 Gestion de la documentation 35

3.2 Matrise des intervenants 36

3.2.1 Gestion des intervenants 36

3.2.2 Sensibilisation et formation 37

3.2.3 Gestion des interventions 38

3.3 Intgration de la cyberscurit dans le cycle de vie du systme industriel 39

3.3.1 Exigences dans les contrats et cahiers des charges 40

3.3.2 Intgration de la cyberscurit dans les phases de spcification 42

3.3.3 Intgration de la cyberscurit dans les phases de conception 43

3.3.4 Audits et tests de cyberscurit 44

3.3.5 Transfert en exploitation 45

3.3.6 Gestion des modifications et volutions 46

3.3.7 Processus de veille 47

4 .. La cyberscurit des systmes industriels Mesures dtailles

....

3.3.8 Gestion de lobsolescence 47

3.4 Scurit physique et contrle daccs aux locaux 48

3.4.1 Accs aux locaux 48

3.4.2 Accs aux quipements et aux cblages 49

3.5 Raction en cas dincident 50

3.5.1 Plan de reprise ou de continuit dactivit 50

3.5.2 Modes dgrads 51

3.5.3 Gestion de crise 52

4 Mesures de scurit techniques 53

4.1 Authentification des intervenants : contrle daccs logique 54

4.1.1 Gestion des comptes 54

4.1.2 Gestion de lauthentification 57

4.2 Scurisation de larchitecture du systme industriel 59

4.2.1 Cloisonnement des systmes industriels 59

4.2.2 Interconnexion avec le systme dinformation de gestion 62

4.2.3 Accs Internet et interconnexions entre sites distants 63

4.2.4 Accs distants 64

4.2.5 Systmes industriels distribus 66

4.2.6 Communications sans fil 66

4.2.7 Scurit des protocoles 68

4.3 Scurisation des quipements 69

4.3.1 Durcissement des configurations 69

4.3.2 Gestion des vulnrabilits 72

4.3.3 Interfaces de connexion 74

4.3.4 quipements mobiles 75


....

4.3.5 Scurit des consoles de programmation, des stations ding-nierie et des postes dadministration 76

4.3.6 Dveloppement scuris 78

4.4 Surveillance du systme industriel 79

4.4.1 Journaux dvnements 79

A Cartographie 83

A.1 Cartographie physique du systme industriel 83

A.1.1 Inventaire 83

A.1.2 Schma 84

A.2 Cartographie logique des rseaux industriels 84

A.2.1 Inventaires 84

A.2.2 Schma 85

A.3 Cartographie des applications 86

A.3.1 Inventaires 86

A.3.2 Schma 86

A.4 Cartographie de ladministration et de la surveillance du systme din-formation 86

B Journaux dvnements 89

Bibliographie 91


Chapitre 1...

Introduction

1.1 ContexteLe prsent document est issu des rflexions du groupe de travail sur la cyberscu-rit des systmes industriels pilot par lAgence nationale de la scurit des systmesdinformation (ANSSI) 1. Lobjectif des travaux de ce groupe, constitu dacteurs dudomaine des systmes automatiss de contrle des procds industriels et de spcia-listes de la scurit des systmes dinformation (SSI), est de proposer un ensemble demesures pour amliorer le niveau de cyberscurit des systmes industriels.

Ce document sadresse tous les acteurs (entits responsables, chefs de projets,acheteurs, quipementiers, intgrateurs, matres duvre, etc.) participant la con-ception, la ralisation, lexploitation et la maintenance des systmes industriels.

1.2 Champ dapplicationLe groupe de travail ne sest pas intress un secteur dactivit en particulier et leslments contenus dans ce document ont donc vocation tre applicables tous lessecteurs. Certains dentre eux ont des spcificits qui nont peut-tre pas t dtaillesou prises en compte dans le prsent document. En consquence, une dclinaisonsectorielle de ce document pourra tre ncessaire dans certains cas afin deprciser les modalits dapplication et prendre en compte les contraintes sp-cifiques.

Lensemble des mesures prsentes ont t penses pour des nouveaux systmesindustriels. Il est tout fait possible que les mesures ne puissent pas sappliquerdirectement des systmes industriels existants et il conviendra donc dvaluer demanire exhaustive les impacts avant toute mise en uvre.

1. Les membres du groupe de travail sont les socits et organismes suivants : Actemium, AirbusDefence and Space, Arkoon-Netasq, A.R.C Informatique, Atos Worldgrid, Hirschmann, CassidianCybersecurity, CEA, CLUSIF, DCNS, DGA Matrise de linformation, Euro systems, EXERA, GDF SUEZ,Gimlec, INERIS, Itris Automation Square, Lexsi, Schneider Electric, Siemens, Sogeti, RATP, Solucom,Thales, Total.


....

Il est galement possible que dans certaines situations des mesures ne puissent sap-pliquer sans adaptation (pour des raisons de compatibilit avec des systmes indus-triels existants ou des contraintes mtier spcifiques, par exemple). Ces cas particuliersdevront tre tudis spcifiquement et les mesures qui en dcouleront seront soumisespour approbation lautorit de cyberdfense.

1.3 Structure du corpus documentaireLes travaux du groupe de travail sont organiss en deux documents. Ce documentcontient les mesures techniques et organisationnelles dtailles mettre en place surles systmes industriels en fonction des classes dfinies dans le guide de classifica-tion [13].

Il est donc important de commencer par lire attentivement le document cit prc-demment qui constitue le socle de la dmarche et contient la dfinition des termesutiliss dans la suite de ce document.

1.4 Avis aux lecteursLes mesures prsentes dans le document sont des mesures de cyberscurit conven-tionnelles mais adaptes pour les systmes industriels. Lobjectif de ce document nesten aucun cas de former les lecteurs la cyberscurit pour les systmes industriels.Il a donc t suppos que les lecteurs disposaient de connaissances lmentairesen matire de technologies de linformation et de la communication mais aussi decyberscurit ou quils pouvaient sappuyer sur des personnes disposant de ces com-ptences. La bonne application de certaines mesures ncessitera certainement untravail dquipe entre des informaticiens et des automaticiens .

..

Les publications de lANSSI sont diffuses sur son site Internet :http://www.ssi.gouv.fr/publications/.Toute remarque sur ce guide peut tre adresse [email protected].

.

Note


http://www.ssi.gouv.fr/publications/

Chapitre 2...

Considrations relatives lacyberscurit des installationsindustrielles

Lobjectif de ce chapitre est de dresser un tat des lieux succinct de la cyberscurit dessystmes industriels. Pour ce faire, une liste des contraintes qui sont prsentes dansces systmes est tablie dans la section 2.1. Ces contraintes sont un des lmentsqui distingue les systmes industriels des systmes dinformation de gestion. Il estimportant de les identifier afin de proposer des mesures adaptes.

Dans la section 2.2, les principales vulnrabilits rencontres dans ces systmes sontlistes. Elles peuvent dcouler des contraintes listes dans la section prcdente maispas seulement. En particulier, on pourra retrouver dans cette section, des vulnrabi-lits couramment rencontres dans les systmes dinformation de gestion.

2.1 Liste des contraintesLes contraintes sont un ensemble de faits sur lesquels il ne va pas tre possible dagiret qui peuvent avoir un impact lourd sur la scurit du systme industriel concern. Ilsera trs important de prendre en compte ces contraintes lors du choix des mesuresde scurit mettre en uvre.


....

Rfrences Thmes ContraintesC1-MI Matrise des

installations Multitude dintervenants sur une installa-tion ce qui ne facilite pas la matrise desactions effectues sur celle-ci.

Multitude de sites isols, notammentdans les secteurs du transport, de la dis-tribution deau ou de lnergie, bnfi-ciant dune protection physique limite.

La documentation technique de linstal-lation peut tre limite. Ce qui entraneune perte du savoir lors des dparts depersonnels et ne facilite pas le traitementdes incidents.

Certains fournisseurs font de la tl-maintenance depuis ltranger.

Sur certaines installations cohabitentdeux oprateurs diffrents, ce qui peutparfois poser des problmes juridiquesen cas de modification de linstallation.Par ailleurs, les systmes quils grentpeuvent aussi constituer une menaceentre eux.

Les installations sont souvent htro-gnes car venant de diffrents fournis-seurs ou parce quelles ont voluesau cours du temps. Lhtrognit peuttre impose pour des raisons de sretfonctionnelle.


....

Rfrences Thmes ContraintesC2-CO Contrats

Les fournisseurs exigent davoir accs leurs quipements en tlmaintenancesous peine de ne pas les garantir.

La modification des systmes sans ac-cord pralable du fournisseur peut en-trainer une perte de garantie.

Il peut tre contractuellement interditde modifier linstallation existante mmepour implmenter des mesures de cyber-scurit.

Certains clients exigent davoir accs distance aux informations relatives (his-torisation) la production du site. Pourdes raisons de simplicit, le transfert dedonnes se fait souvent sur un rseaupublic comme Internet.


....

Rfrences Thmes ContraintesC3-REG Rglementation

Certaines rglementations imposent auxoprateurs dexporter des donnes versun tiers. Par exemple, les dchetteriesdoivent fournir un certain nombre dedonnes la DRIRE.

La traabilit est une exigence fortedans certains domaines comme lagro-alimentaire ou lindustrie pharmaceu-tique par exemple.

Remarque : les mesures de scuritfonctionnelles imposes par la rgle-mentation dun secteur peuvent renfor-cer le niveau de scurit de linstallationet offrir un niveau de risque rsiduel ac-ceptable.

La rglementation en matire de sretpeut limiter la possibilit de modificationdes installations. En effet, la modifica-tion dune installation peut entraner laperte dune homologation.

C4-GCH Gestion deschangements Il nexiste pas denvironnement de test

permettant de sassurer de la non-rgression des installations.

Les interventions sur les installations nepeuvent tre effectues que lors des p-riodes de maintenances.

Les fournisseurs offrent peu de supportpour aider les oprateurs qualifier lesimpacts des mesures de scurit sur lesinstallations.


....

Rfrences Thmes ContraintesC5-OPE Oprations

Certains environnements demandentune ractivit forte des oprateurs no-tamment en cas dincident. Les mesuresde scurit ne doivent pas nuire cetteractivit.

Les oprateurs partagent souvent desquipements, ce qui peut avoir un im-pact significatif sur la traabilit (uti-lisation de comptes gnriques parexemple).

Les oprateurs doivent souvent visuali-ser ltat de linstallation en temps rel etintervenir rapidement. De ce fait, ils nepeuvent pas verrouiller les postes quilsutilisent.

C6-CECO Contraintesconomiques Les mises jour des systmes existants

et lvolution des installations entranentdes cots importants pour le client.


....

Rfrences Thmes ContraintesC7-GOUV Gouvernance

de scurit Lorsque la direction des systmes din-formation (DSI) se voit attribuer la mis-sion de scuriser les systmes industriels,elle na pas de lien hirarchique avec lesquipes charges de lopration de cesderniers. Ceci complique ou ralentit lamise en uvre de la cyberscurit.

Lorsque la scurisation des systmes in-dustriels est confie une direction m-tier, la cyberscurit a souvent une prio-rit basse et la responsabilit de la ges-tion des interfaces entre les systmes in-dustriels et les systmes de gestion estfloue.

Il y a peu de personnel en charge de lin-formatique industrielle sur un site indus-triel.


....

Rfrences Thmes ContraintesC8-CTECH Contraintes

techniques Les quipements sont dploys pour 15 20 ans. Lobsolescence limite leurspossibilits de mise jour ainsi que lin-tgration de fonctions de scurit.

Certains quipements (comme les au-tomates) et protocoles offrent des fonc-tionnalits de scurit limites voire in-existantes.

Les fournisseurs offrent peu de solutionstechniques permettant une gestion cen-tralise des fonctions de scurit. Parexemple, il nest souvent pas possiblede changer un mot de passe sur plu-sieurs quipements disperss gogra-phiquement.

Sur certains systmes, les besoins de per-formance exigent quil ny ait pas de la-tence.

C9-CULT Culture de lascurit Dans les milieux o la sret de fonc-

tionnement est trs prsente, il y a sou-vent un sentiment que celle-ci permetgalement de rgler les problmes decyberscurit.

La scurit des systmes dinformationnest pas aborde lors des cursus de for-mation et en particulier ceux des auto-maticiens.


....

Rfrences Thmes ContraintesC10-MAT Maturit des

solutions tech-niques

Il existe peu de comptences en ma-tire de cyberscurit des systmes in-dustriels.

Peu de fournisseurs intgrent la no-tion de cycle de dveloppement scurisdans la ralisation de leurs produits.

2.2 VulnrabilitsLes vulnrabilits des systmes dinformation industriels qui ont t identifies par legroupe de travail sont listes ci-dessous.

..Les encadrs Pourquoi est-ce une vulnrabilit ? nont pas vocation treexhaustifs et sont l uniquement pour illustrer la vulnrabilit en question.

.

Important

2.2.1 Matrise des installations

Gestion des correctifs de scuritLa gestion des vulnrabilits est complexe dans les systmes industriels. Dans denombreux cas, les mises jour ne pourraient tre faites que pendant les phasesde maintenance et, parfois, leur application peut entrainer la ncessit de requalifierle systme industriel du point de vue de la sret de fonctionnement.

La priorit est donne lintgrit et la disponibilit de linstallation et, commelentit responsable dispose rarement dune plateforme dessai, elle ne peut pas ef-fectuer de tests de non-rgression sur les correctifs ventuellement publis par lesfournisseurs.

Toutes ces raisons font que la plupart des installations nont pas de procdures ou demcanismes techniques pour lapplication des mises jour de scurit. En particulier,les systmes de mise jour automatiques sont souvent incompatibles, notammentavec les anciennes installations.


....

..

La prsence de vulnrabilits connues non corriges dans une installationaugmente le risque dune intrusion.De nombreux codes malveillants gnriques exploitent ce genre de vuln-rabilits et le risque de contamination de linstallation est donc fortementaugment par labsence des mises jour de scurit.Lors dune attaque cible, lattaquant commence souvent par la recherchede vulnrabilits connues non corriges pour tenter de pntrer dans le sys-tme. Une bonne politique dapplication des mises jour de scurit permetdliminer ces vulnrabilits, ce qui complique fortement la tche de latta-quant.

.

Pourquoi est-ce une vulnrabilit ?

..En 2013, de nombreux systmes industriels sont encore vulnrables aux virustels que Conficker apparu en 2009 et pour lequel le correctif est pourtantconnu.

.

Remarque

Pas de veille sur les vulnrabilits et les menacesLes entits responsables de systmes industriels mettent rarement en place une veilleactive sur les vulnrabilits des produits et technologies utiliss. Ceci est vrai malgrlapparition de sources dinformation spcialises.

Aucune veille nest faite non plus sur lvolution de la menace ou des techniquesdattaque.

..

Labsence de veille sur les vulnrabilits ou obsolescences de produits outechnologies utilises empche de ragir rapidement lors de la publicationde lune dentre elles.Une veille active sur les techniques dattaque ou sur lvolution de la menacepermet damliorer la pertinence de lanalyse de risque du systme industriel.Elle permet galement dadapter les mesures de protection et de rduire letemps dexposition du systme aux vulnrabilits.

.



....

2.2.2 Dfaut de contrle daccs logique

Dfaut de la politique de gestion des mots de passeIl est frquent que les politiques de mots de passe soient insuffisantes ou incompltes.Ceci peut impliquer les problmes suivants : lutilisation de mots de passe par dfaut ; la faible frquence de changement des mots de passe (par exemple due au

manque doutil pouvant mettre jour les mots de passe dun parc dauto-mates) ;

lutilisation de mots de passe faibles (parfois due des limitations de lquipe-ment ou du logiciel).

..

Une premire tape pour un attaquant consiste souvent tenter de compro-mettre le compte dun utilisateur du systme pour y avoir accs, au moinspartiellement. Pour cela, une des techniques sa disposition consiste tenterde rcuprer un mot de passe.Lutilisation de mot passe par dfaut lui permet donc davoir accs directe-ment des comptes prsents par dfaut sur linstallation, souvent avec desprivilges levs. Lorsque les mots de passe ont t changs, lattaquantpeut essayer les attaques par dictionnaire pour tenter de dcouvrir un motde passe et accder ainsi au compte concern. Cest pourquoi il est recom-mand dutiliser un mot de passe robuste et, dans la mesure du possible, dele changer rgulirement.

.


Pas de gestion des comptesIl est frquent que la politique de gestion des comptes dun systme industriel soitinadapte ou inexistante.

Afin de faciliter les oprations, du fait du roulement des oprateurs ou de la multitudede sites grer pour les quipes de maintenance, des comptes gnriques peuventtre utiliss.

Il est frquent quil ny ait pas de procdure de gestion des dparts et des arrives.En particulier, un ancien employ pourra conserver son compte longtemps aprs sondpart.


....

Il est galement courant de voir lutilisation de comptes privilges. Ceci peut tred une recherche de facilit de gestion des comptes utilisateurs ou des limita-tions techniques dun produit utilis. De nombreuses applications, par exemple, nesexcutent quavec des comptes de niveau administrateur .

..

Lutilisation de comptes gnriques augmente considrablement les risquesde compromission notamment du fait de la circulation du mot de passe. Enpratique, les mots de passe utiliss pour les comptes gnriques sont souventtrop faibles ou nots sur des papiers faciles garer. Ne pas supprimer uncompte aprs le dpart de son titulaire offre une possibilit daction un an-cien employ mcontent. Dautre part, labsence de politique de gestion descomptes diminue la visibilit sur le systme industriel concern (qui accde quelles ressources ?). En cas de problme, il sera trs difficile den retrouverlorigine.

.


2.2.3 Dfaut de contrle des interfaces de connexionSur certains systmes industriels, on note rgulirement une absence de politique degestion des interfaces de connexion. Par exemple, les ports USB ne sont pas bloqusou les ports Ethernet non utiliss sont laisss actifs.

..

Laisser des interfaces non matrises augmente la surface dattaque.Par exemple, ne pas bloquer les ports USB peut favoriser lintroduction devirus dans le systme ou la non-dsactivation des ports Ethernet offre la pos-sibilit de raliser des branchements sauvages pouvant perturber le fonction-nement du systme. Cela peut galement tre utilis pour lancer ultrieure-ment une attaque depuis lextrieur du site (en connectant un quipementWiFi par exemple).

.


2.2.4 Cartographie non maitriseLa cartographie dun systme industriel nest pas forcment matrise. En particulier,on pourra noter : une prise en charge de linstallation du cblage rseau comme le cblage lec-

trique, avec un manque de prise en compte des contraintes de documentation ;


....

une insuffisance de la cartographie du systme industriel et notamment : des topologies rseau, des matrices de flux, des inventaires des quipements matriels et logiciels du parc industriel,

pas de recensement des procdures dexploitation ; une absence de vision des gnrations technologiques qui cohabitent et de

leurs vulnrabilits intrinsques.De plus, lorsquune cartographie existe, les procdures ou les outils qui pourraientpermettre de la maintenir jour ne sont pas forcment mis en uvre.

..

La cartographie dun systme est un lment fondamental de la scurit dessystmes dinformation.La bonne connaissance de son installation permet notamment de dterminertrs rapidement si une vulnrabilit concerne le systme en question, de faireune analyse de risque pertinente ou de dterminer rapidement et efficace-ment ltendue dune compromission en cas dincident.

.


2.2.5 Dfaut de matrise de la configuration

Manque de contrle dintgrit ou dauthenticitIl est trs rare que des mcanismes de contrle dintgrit ou dauthenticit soient misen place pour les firmwares, les logiciels, les programmes dautomates et applicationsSCADA.

..Labsence de mcanisme de contrle dintgrit ou dauthenticit permet un attaquant de diffuser une mise jour pige.

.


Absence de sauvegardeLes sauvegardes sont souvent partielles, inexistantes ou disponibles chez le fournisseurseulement. Lorsque des sauvegardes existent, le bon fonctionnement des procduresde restauration en cas dincident est rarement test.


....

..En cas de compromission du systme, les sauvegardes peuvent permettre derestaurer la configuration de linstallation dans un tat antrieur sain.

.


Modifications en ligne non matrisesIl est possible de modifier chaud, sans mcanisme dauthentification ou de journa-lisation, des programmes dautomates ou des applications SCADA. Cette fonction-nalit trs utile lorsque les systmes fonctionnent en 24/7 prsente souvent trs peude mcanismes de cyberscurit.

..Labsence dauthentification ou de journalisation permet un attaquant demodifier de manire furtive le programme dun automate. Cette modificationpourra ne pas tre dtectable par les applications SCADA et les utilisateurs.

.


2.2.6 Utilisation dquipements vulnrables

Les quipements dvelopps pour les systmes industriels intgrent souvent des con-traintes de sret de fonctionnement fortes mais rarement des contraintes de cybers-curit. En particulier, les fonctions de scurit sont souvent limites voire inexistanteset les techniques de dveloppement employes envisagent rarement la prsence dunattaquant sur le systme comme une menace.

La configuration des quipements ou logiciels prsents dans le rseau est rarementdurcie. En particulier, les services inutiliss sont souvent laisss activs comme dansla configuration par dfaut.


....

..

Les quipements qui ont t dvelopps sans objectif de cyberscurit sontplus susceptibles de prsenter des vulnrabilits qui pourront tre exploitespar un attaquant.Afin de minimiser la surface dattaque, il est ncessaire de dsactiver ou dedsinstaller les services et logiciels inutiliss. Ainsi, si une vulnrabilit estdcouverte dans un de ces composants, le systme industriel ne sera pasvulnrable.

.


..Ninstaller que les lments indispensables est un principe de sret de fonc-tionnement. Cela permet de rduire les risques de dfaillance, simplifie lacomprhension et la maintenabilit des installations

.

Remarque

2.2.7 Utilisation de protocoles vulnrables

Les systmes industriels font souvent usage de protocoles rseaux nintgrant au-cun mcanisme de scurit. Ces protocoles peuvent tre des protocoles classiquescomme telnet mais peuvent galement tre des protocoles spcifiques aux systmesindustriels comme Modbus, Profibus, EtherNetIP, etc.

Remarque : EtherNetIp est le nom dun protocole applicatif utilis par certains qui-pements (automates industriels et logiciels SCADA par exemple).

Diffrentes technologies sans fil (WiFi, GSM, Zigbee) peuvent avoir t adaptessans quune analyse de risque ait t mene ou sans que les mesures de protectionadaptes naient t mises en place.


....

..

Lutilisation de protocoles non scuriss peut permettre un attaquant demodifier les trames la vole ou de forger des trames perturbant ainsi lefonctionnement du systme industriel. Cela peut galement permettre de r-cuprer des identifiants de connexion circulant en clair sur le rseau.Lutilisation de technologies sans fil expose le systme des problmes dedisponibilit car il est facile de brouiller, volontairement ou non, un signal.Par ailleurs, lorsque linstallation sans fil nest pas scurise correctement,lattaquant peut ventuellement modifier le trafic lgitime ou injecter du traficillgitime plus aisment que dans le cas dune infrastructure filaire.

.


2.2.8 Dfaut de contrle daccs physiqueDans de nombreux cas, les intervenants (mainteneurs, exploitants, etc) ont besoin depouvoir accder physiquement aux installations.

Selon le domaine dactivit, le systme industriel ou ses composants pourraient trelocaliss dans des usines, sur la voie publique ou dans dautres endroits qui ne per-mettent pas la mise en place dun contrle daccs physique efficace.

..Labsence de contrle daccs physique permet un attaquant daccderdirectement linstallation, contournant ainsi toutes les protections prim-triques qui pourraient avoir t mises en places.

.


2.2.9 Dfaut de cloisonnementIl est courant quil ny ait pas de cloisonnement effectif entre un systme industrielet le systme dinformation de gestion. Cette ouverture des rseaux industriels versle systme dinformation de gestion ou un rseau public comme Internet peut tredue des raisons oprationnelles comme des contraintes de planning ou de mutua-lisation doutils ou des raisons de rduction de cots pour simplifier la remontedinformation du systme industriel vers le systme dinformation de gestion.

Par ailleurs, il est trs courant quil ny ait pas de cloisonnement non plus au seinmme des systmes industriels ; entre ses diffrents sous-ensembles par exemple. Cecipeut galement tre d des besoins de rduction de cots ou une mconnaissancede la ncessit de cloisonner les systmes.


....

..

Labsence de cloisonnement entre les systmes facilite le travail dun atta-quant qui peut voluer plus facilement dans le systme pour accder sonbut.Un cloisonnement efficace permettra aussi de limiter la propagation dunvirus.

.


..Le cloisonnement devrait tre une bonne pratique en matire de sret defonctionnement puisquil permet de limiter les effets dun dysfonctionnementdes systmes sans mme parler de cyberscurit.

.

Remarque

2.2.10 TlmaintenanceLa tlmaintenance et la tlgestion sont des pratiques de plus en plus courantespour les systmes industriels. Certains sont mme connects sur des rseaux publicscomme Internet ou les rseaux de tlphonie mobile. Ces accs distance peuventavoir t mis en place pour des besoins internes mais galement pour permettre desoprations de maintenance par le fabriquant ou lintgrateur.

Les solutions techniques employes pour la tlgestion ou la tlmaintenance offrentdans de nombreux cas un niveau de scurit faible.

..Lutilisation daccs distance augmente considrablement la surface dat-taque dun systme. En effet, il est difficile de mettre en place des mesuresde protection physique sur ce type daccs.

.


2.2.11 Terminaux nomades non matrissIl est de plus en plus courant que les intervenants utilisent des terminaux mobilescomme des ordiphones ou des tablettes pour augmenter leur productivit en d-placement sur le terrain. Ceci est dautant plus vrai pour des grandes installationsdistribues.


....

La scurit de ces terminaux nest pas forcment matrise et lon commence voirapparatre lutilisation de matriel personnel pour remplir des missions profession-nelles, ce que lon appelle parfois le Bring Your Own Device (BYOD).

..Lutilisation de terminaux mobiles la scurit non-contrle augmente leurrisque de compromission et offre ainsi une porte dentre potentielle unattaquant.

.


2.2.12 Utilisation de technologies standards

Pour des raisons de cot et dinteroprabilit des systmes industriels avec les sys-tmes dinformation de gestion, les technologies utilises pour les premiers sont deplus en plus standards. Ainsi, en termes de rseau, Ethernet et TCP/IP sont de plusen plus employs pour remplacer les technologies propritaires qui taient utilisesauparavant. Les outils de dveloppement ou de maintenance font galement de plusen plus appel des briques gnriques.

..

Lutilisation de briques standards expose les systmes lensemble des vuln-rabilits quelles contiennent. Les systmes industriels sont alors vulnrables des codes dattaque gnriques.A contrario, lutilisation de technologies propritaires ou rares nest pas uneprotection en soi mais augmente la complexit ou le cot dune attaque dufait du besoin de dvelopper soi-mme les programmes malveillants.

.


2.2.13 Intervenants

Les intervenants sur un systme industriel ne sont pas toujours sensibiliss la cyber-scurit des systmes dinformation et ne connaissent pas forcment la politique descurit des systmes dinformation (PSSI) du systme sur lequel ils interviennent.


....

..

Labsence de sensibilisation la SSI entraine la multiplication des compor-tements risque pouvant faciliter une compromission du systme cible. Denombreux incidents, provenant dun manque de sensibilisation et dapplica-tion de bonnes pratiques, sont rgulirement constats.

.


2.2.14 Supervision insuffisante des vnements decyberscurit

En cas dincident sur une installation, les oprateurs et mainteneurs nenvisagentpas forcment une action malveillante comme cause possible. Les intervenants sontsouvent peu qualifis pour identifier les vnements de cyberscurit.

La journalisation des vnements de scurit est souvent limite et peu exploite. Lesdispositifs de dtection dincidents ou de dysfonctionnements sont rares.

Lorsquune supervision des vnements de cyberscurit est effective, la multitude desparamtres et la complexit de lenvironnement peuvent limiter lanalyse de lincident.

..

Ne pas superviser les vnements de cyberscurit dune installation limitefortement la capacit de dtection et, a fortiori, de raction en cas din-cident. Une intervention rapide peut permettre de limiter les impacts dunincident. De plus, dans certains cas, lorsque pour des contraintes mtiersou techniques il nest pas possible de dployer de mesure de protection, lasupervision est la seule mesure de scurit possible.

.


2.2.15 Absence de plan de continuit dactivit

Les plans de continuit dactivit ou les plans de reprise dactivit ne prennent pasforcment en compte les vnements de cyberscurit. Les quipes oprationnellesdisposent rarement de consignes pour ragir un tel vnement. La rdaction dunplan de gestion de crise pour la perte du contrle dune installation due un vne-ment malveillant est rarement envisage.


....

..La mise en place de consignes de raction des vnements de scuritpermet de rduire le temps de raction et de retour une situation normale.

.


2.2.16 Non prise en compte de la cyberscurit dans lesprojets

Lors des phases de spcification et de conception du systme industriel, les documentsnintgrent gnralement aucune exigence en matire de cyberscurit.

..

Pour mettre en place des mcanismes de dfense efficaces, il est ncessairede prendre en compte la cyberscurit ds les phases initiales des projetset en particulier ds le cahier des charges. Augmenter le niveau de scuritdune installation existante est souvent plus compliqu et plus coteux.

.


2.2.17 Absence de tests de cyberscuritLes tests avant mise en service (FAT et SAT) contiennent rarement des tests portantsur la cyberscurit. Lors des oprations de maintenance, des tests de sret ou deconformit du systme dinformation sont souvent prvus mais pas daudits de cyber-scurit.

..Pour que la cyberscurit dun systme industriel reste un niveau accep-table, il est ncessaire de tester les mcanismes mis en place tout au long dela vie de linstallation.

.


2.2.18 Absence de matrise des fournisseurs et prestatairesDans les projets de systme industriel, un audit du niveau de cyberscurit des four-nisseurs et des prestataires est rarement envisag. Aucune procdure dchange s-curis des informations nest prvue non plus. La traabilit des modifications lorsdes diffrentes phases du projet nest pas prvue.


....

..Dans certains cas, il peut tre plus ais dattaquer le fournisseur pour toucherle systme industriel cible que dattaquer le systme cible directement.

.


2.2.19 Environnement de dveloppement non scurisDans les projets de systme industriel, lenvironnement de dveloppement est rare-ment ddi ou scuris, que ce soit en interne ou chez les fournisseurs. Par exemple,les machines de dveloppement sont souvent galement les machines de bureautiqueet sont donc connectes Internet.

..

Lutilisation dun mme environnement de travail pour des tches dexpo-sition et de sensibilit diffrentes augmente les risques de compromission.Un environnement de dveloppement non scuris, connect Internet parexemple, permettra un attaquant ou un code malveillant de piger les d-veloppements (firmware, programme automate, application SCADA, etc.)

.


2.2.20 Outils de dveloppement prsentsDans de nombreux systmes industriels, les outils de dveloppement sont prsents surle rseau. Cela peut tre d au fait que certains produits ne distinguent pas les en-vironnement de production et de dveloppement. Mais cela peut galement rsulterde pratiques oprationnelles. Les stations dingnierie servent parfois de consoles desupervision en mme temps.

..La prsence des outils de dveloppement sur le rseau facilite la tche delattaquant qui pourra les dtourner pour modifier le comportement du sys-tme industriel, de manire lgitime en apparence.

.


2.2.21 Non cloisonnement de ladministrationLes systmes industriels ne prsentent souvent pas de cloisonnement des machinesdadministration. Souvent, ce sont les mmes machines qui sont utilises pour lesapplications SCADA et pour ladministration des quipements.


....

..Le dfaut de cloisonnement facilite la tche de lattaquant qui pourra avoiraccs ladministration des quipements depuis les postes de supervisionSCADA, potentiellement trs exposs.

.


2.2.22 Dfinition des responsabilitsLes responsabilits en matire de cyberscurit sont souvent mal identifies entre lefournisseur, lintgrateur et lentit responsable du systme industriel. De mme lesresponsabilits entre les directions mtier et la DSI ne sont pas forcment claires nonplus.

..Des responsabilits peu claires font courir le risque quune partie du systmeindustriel ne soit sous la responsabilit de personne et ne reoive donc pasles mesures de cyberscurit appropries.

.



Chapitre 3...

Mesures de scurit organisationnelles

Les mesures organisationnelles prsentes ci-dessous sadressent lensemble desacteurs impliqus sur les systmes industriels (chefs de projet, acheteurs, automati-ciens, intgrateurs, dveloppeurs, quipes de maintenance, RSSI, etc.)

..Il revient lentit responsable de dfinir qui sera en charge de lapplicationdes mesures de cyberscurit sur les installations.

.

Important

Les mesures font rfrence aux chapitres de lISO 27002 [3] ainsi quaux recomman-dations du guide dhygine [14] et aux bonnes pratiques du guide sur la cyberscuritdes systmes industriels [10] publies par lANSSI. Certaines mesures sont galementabordes dans le guide de classification [13].

Ces rfrences sont indiques dans un encadr comme celui prsent ci-dessous :

..

Guide de classification : fait rfrence au guide de classification [13].Vulnrabilit : fait rfrence aux vulnrabilits indiques dans la section 2.2.Guide SCADA : fait rfrence au guide sur les systmes industriels [10].Guide dhygine : fait rfrence au guide dhygine [14].ISO 27002 : fait rfrence aux chapitres de lISO 27002 [3] abordant lesujet.

.

Rfrences

Les mesures sont indiques en recommandation et notes [R.x] lorsquil sagit dunconseil. Elles sont indiques en directive et notes [D.x] lorsquil sagit dune obliga-tion. Les mesures sont cumulatives. Ainsi, une installation de classe 2 doit appliquerles mesures de classe 1 et une installation de classe 3 doit appliquer les mesures declasse 1 et de classe 2.


....

3.1 Connaissance du systme industrielCette section regroupe lensemble des mesures qui permettent daccrotre la connais-sance du systme industriel et de son environnement. Afin dassurer une bonne d-fense, il est ncessaire davoir une connaissance trs approfondie de son systme,des risques encourus et des menaces son encontre.

3.1.1 Rles et responsabilits

..Guide de classification : 2.2.1Vulnrabilit : 2.2.22Guide SCADA : 2.3.1ISO 27002 : 6.1.1

.

Rfrences

Classe 1

[R.1] Une chane de responsabilit de la cyberscurit devrait tre mise en place.Elle devrait couvrir lensemble des systmes.

[R.2] Les responsabilits pour la cyberscurit devraient tre clairement dfinies pourchacune des parties prenantes quel que soit laspect concern (dveloppement,intgration, exploitation, maintenance, etc.).

Classe 2

[D.3] La recommandation R.1 devient une directive.


Classe 3

[D.5] La directive D.3 est renforce. Lidentit et les coordonnes du responsablede la chane de responsabilit de la cyberscurit doivent tre communiques lautorit de cyberdfense.

[D.6] La directive D.4 est renforce. Les limites de responsabilit doivent tre revuespriodiquement et au moins une fois par an.


....

3.1.2 Cartographie

..

Guide de classification : 2.2.3Vulnrabilit : 2.2.4Guide SCADA : BP09, BP02, 2.2.1Guide dhygine : Rgles 1 et 2ISO 27002 : 8.1.1

.

Rfrences

Classe 1

[R.7] Il est recommand de rdiger une cartographie :

physique du systme industriel ;

logique du systme industriel ;

des applications (flux).

Classe 2

[D.8] Il est ncessaire dtablir une cartographie :

physique du systme industriel ;

logique du systme industriel ;

des applications ;

de ladministration du systme.

[R.9] La cartographie et la documentation du systme industriel devraient tre revuesrgulirement, chaque modification du systme industriel et au moins une foispar an.

Classe 3


Une description plus dtaille du contenu attendu pour une cartographie est dispo-nible dans lannexe A


....

..

Lutilisation doutils industriels comme les logiciels de Gestion de Mainte-nance Assiste par Ordinateur (GMAO) pour grer les inventaires peut treutile. Cela permet de disposer de lensemble des informations dans unemme base et de les partager avec les quipes mtier. De plus, la GMAOcontient dj bien souvent un inventaire des composants matriels commeles automates, les interfaces homme-machine (IHM), capteurs et actionneursintelligents par exemple.

.

Remarque

3.1.3 Analyse de risque

..Guide de classification : 2.2.2Vulnrabilit : NAGuide SCADA : 2.2.2ISO 27002 : cf. ISO 27005

.

Rfrences

..Il est recommand que lanalyse de risque pour la cyberscurit du systmeindustriel soit intgre lanalyse de risque globale du systme pouvant trai-ter par exemple des aspects de sret de fonctionnement.

.

Remarque

Classe 1[R.11] Les systmes industriels devraient faire lobjet dune analyse de risque pour la

cyberscurit, mme succincte.

Classe 2[D.12] Les systmes industriels doivent faire lobjet dune analyse de risque pour la

cyberscurit suivant une mthode choisie par lentit responsable.

Classe 3[D.13] La directive D.12 est renforce. Lanalyse de risque devra tre revue rguli-

rement, au moins une fois par an.[R.14] Lanalyse de risque devrait tre ralise en collaboration avec un prestataire

labellis.


....

3.1.4 Gestion des sauvegardes

..Vulnrabilit : 2.2.5Guide SCADA : BP08Guide dhygine : Rgle 36Ref ISO 27002 : 12.3

.

Rfrences

Classe 1[R.15] Un plan de sauvegarde des donnes importantes devrait tre mis en place

afin de permettre leur restauration en cas dincident.

[R.16] Les configurations devraient tre sauvegardes avant et aprs toutes modifi-cations, y compris lorsque celles-ci ont t apportes chaud .

[R.17] Le processus de restauration des sauvegardes devrait tre test rgulirement.Il pourrait tre test sur un chantillon limit mais reprsentatif du systme in-dustriel dans son ensemble.

Primtre dapplication : Les donnes concernes sont toutes les donnes nces-saires la reconstruction du systme aprs un sinistre : les programmes, les fichiers deconfiguration, les firmwares, les paramtres de procd (rglages dasservissementpar exemple), etc. Cela peut galement concerner des donnes ayant un aspect r-glementaire comme des exigences de traabilit.

Classe 2[D.18] Les recommandations R.15, R.16 et R.17 deviennent des directives.

Classe 3 Il ny a pas dexigence supplmentaire pour la classe 3.

3.1.5 Gestion de la documentation

..Vulnrabilit : 2.2.5Guide SCADA : BP09Ref ISO 27002 : 8.1.1

.

Rfrences

Classe 1


....

[R.19] Le niveau de sensibilit de la documentation devrait tre dfini et apparatreclairement sur les documents. Les documents devraient tre traits en cons-quence.

[R.20] Lensemble des documents relatifs la conception, la configuration ouau fonctionnement du systme industriel devraient tre considrs comme sen-sibles.

[R.21] Les documents devraient tre stocks dans un systme dinformation dont leniveau de sensibilit est adapt aux systmes industriels.

..

La documentation des systmes industriels (analyses fonctionnelles, analysesorganiques, plan dadressage, etc.) est souvent stocke sur le systme degestion (bureautique) dont les exigences en matire de cyberscurit peuventtre plus faibles que pour les systmes industriels. Les systmes de gestionsont souvent la premire cible des attaquants car ils permettent de collecterfacilement de nombreuses informations en vue de prparer, par exemple,une attaque cible sur les systmes industriels.

.

Remarque

Classe 2[R.22] La confidentialit de la documentation devrait tre garantie.[R.23] La documentation devrait tre revue intervalle rgulier pour :

sassurer que les documents ncessaires existent bien, liminer ceux qui ne servent plus.


3.2 Matrise des intervenants

3.2.1 Gestion des intervenants

..Vulnrabilit : 2.2.2Guide SCADA : BP04Guide dhygine : Rgle 3ISO 27002 : 15.1

.

Rfrences


....

Classe 1[R.25] Des procdures de gestion des intervenants devraient tre mises en place,

notamment lors dune arrive ou dun dpart. Ces procdures devraient no-tamment traiter :

la cration et la destruction de comptes (cf 4.1),

la gestion des accs aux locaux,

la gestion des quipements mobiles (tlphones, tablettes, PC portables,etc),

la gestion des documents sensibles.

[R.26] Un processus de gestion des comptences, afin de sassurer que les interve-nants disposent des comptences ncessaires pour leurs missions, devrait tremis en place. Ce processus devrait en particulier intgrer le transfert de comp-tences, en cas de dpart ou de changement de poste, des personnes en chargedes systmes.

Classe 2[D.27] Les recommandations R.25 et R.26 deviennent des directives.

Classe 3[D.28] Une revue rgulire des intervenants et de leurs comptes doit tre effectue,

au minimum une fois par an.

..Suivant les rglementations applicables aux systmes industriels, il pourratre demand une enqute de scurit sur les intervenants

.

Remarque

3.2.2 Sensibilisation et formation

..

Guide de classification : 2.2.4Vulnrabilit : 2.2.13Guide SCADA : 2.2.1Guide dhygine : Rgle 39ISO 27002 : 7.2.2

.

Rfrences


....

Classe 1[R.29] Les intervenants devraient tre habilits et forms la cyberscurit.[R.30] Une charte de bonne conduite devrait tre mise en place et tous les interve-

nants devraient la signer lors de leur arrive.


Classe 3[D.32] La directive D.31 est renforce. La formation des intervenants est obligatoire

AVANT toute intervention sur le systme industriel.[R.33] Les formations de cyberscurit devraient tre dispenses par des prestataires

labelliss.[R.34] Les sances de formation et sensibilisation la cyberscurit des systmes

industriels devraient tre dispenses en mme temps que les formations desret et de scurit du site.

3.2.3 Gestion des interventions

..Ref vulnrabilit : 2.2.6Ref ISO 27002 : 12.1.2

.

Rfrences

Classe 1[R.35] Une procdure de gestion des interventions devrait tre mise en place afin

de pouvoir identifier : la personne qui excute le travail et son donneur dordre ; la date et lheure de lintervention ; le primtre sur lequel le travail est excut ; les actions ralises ; la liste des quipements retirs ou remplacs (y compris, le cas chant,

les numros didentification) ; les modifications apportes et leur impact.

[R.36] Lensemble des quipements matriels et logiciels utiliss pour les interven-tions sur les systmes industriels devraient tre recenss dans la gestion du parcafin dtre bien identifis et maintenus jour (cf R.7).


....

[R.37] Lautorisation dintervention devrait tre valide par lentit responsable.

[R.38] Le processus dintervention devrait tre audit au minimum une fois par anafin de sassurer du respect de la procdure.

..Ces lments peuvent tre intgrs aux permis de travail dj en place etexigs pour certaines installations.

.

Remarque

Classe 2

[D.39] Les recommandations R.35, R.36, R.37, et R.38 deviennent des directives.

[R.40] Pour les cas particuliers o lintervenant apporte ses propres outils (des outilsde diagnostic propres lquipementier par exemple), une procdure, mmesuccincte, devrait tre mise en place pour vrifier que les quipements de lin-tervenant ont un niveau de scurit satisfaisant.

Une telle situation ne devrait arriver quen cas dabsolue ncessit et doit resterexceptionnelle.

Classe 3

[D.41] Lutilisation doutils particuliers hors dun cadre prvu par la politique descurit du systme industriel est interdite. La recommandation R.40 devientsans objet pour la classe 3.

3.3 Intgration de la cyberscurit dans le cycle devie du systme industriel

Lintgration de la cyberscurit dans le cycle de vie des systmes industriels est unetape cl pour parvenir aux exigences attendues. Une attention particulire devra treporte la cyberscurit lors des phases de conception du systme industriel.

Il est conseill de ne pas traiter le cyberscurit de manire isole. Elle devrait tre in-tgre dans le projet comme un mtier, au mme titre que llectricit, la mcanique,etc.


....

3.3.1 Exigences dans les contrats et cahiers des charges

..Guide SCADA : 2.3.2 et 2.3.5Vulnrabilit : 2.2.18ISO 27002 : 15.1.2

.

Rfrences

Les projets peuvent tre raliss en interne ou tre externaliss. Dans ce cas, il convien-dra de prciser les exigences attendues dans les cahier des charges.

De manire plus gnrale, lorsquil est fait appel une prestation extrieure, lesexigences en matire de scurit doivent tre explicites et contractualises.

Classe 1

[R.42] Les exigences identifies lors de la phase de spcification devraient tre int-gres au cahier des charges.

[R.43] Le cahier des charges devrait intgrer une clause exigeant la dfinition dunpoint de contact pour la cyberscurit du projet. Celui-ci devrait tre chargde :

la liaison avec la chane de responsabilit de lentit responsable (cf 3.1.1) ;

la garantie du respect de la politique de cyberscurit ;

la communication sur les divergences par rapport aux exigences et lesautres non-conformits.

[R.44] Le cahier des charges devrait comprendre la liste des documents attendusavec notamment :

une analyse de risque (cf 3.1.3) ;

une analyse fonctionnelle ;

une analyse organique ;

un dossier dexploitation et de maintenance ;

une cartographie (cf 3.1.2).

[R.45] Le cahier des charges devrait contenir des clauses demandant des tests decyberscurit, notamment lors des recettes usine et plateforme. La liste des testsdemands devrait suivre la recommandation R.71.


....

Classe 2

[D.46] Les recommandations R.42, R.43, R.44 et R.45 deviennent des directives.

[D.47] Le cahier des charges doit contenir une clause de confidentialit pour len-semble des informations du projet le ncessitant en prcisant la dure de conser-vation des documents.

[R.48] Le cahier des charges devrait contenir une clause de rvision rgulire delanalyse de risques. Le niveau de risque devrait tre prsent rgulirement lentit responsable (par exemple pendant le comit de pilotage).

[R.49] Les documents de spcification fournis par le contractant devraient dcrire defaon dtaille les moyens techniques, humains et organisationnels mobilissafin de permettre leur traabilit et de pouvoir vrifier leur niveau de cybers-curit.

[R.50] Le contractant devrait fournir un plan dassurance scurit dcrivant toutesles mesures rpondant aux exigences de cyberscurit demandes (cf [8]).

[R.51] Le contractant devrait utiliser un environnement de dveloppement scuris(cf 4.3.6).

[R.52] Le contrat devrait intgrer une clause pour que lentit responsable puisseauditer le contractant ou les fournisseurs afin de vrifier que lensemble desmesures de cyberscurit demandes sont bien appliques.

Classe 3

[D.53] Les recommandations R.48, R.49, R.50, R.52 et R.51 deviennent des direc-tives.

[R.54] Le cahier des charges devrait contenir une clause exigeant la fourniture dqui-pements matriels et logiciels labelliss sur le plan de la cyberscurit.

[R.55] Le cahier des charges devrait exiger des concepteurs de logiciels une d-monstration que leurs processus de dveloppement emploient des mthodesdingnierie ltat de lart, des processus de contrle qualit et des techniquesde validation afin de rduire les dfaillances logicielles et les vulnrabilits.

[R.56] Afin de faciliter lapplication de la recommandation R.55, le contractant de-vrait tre labellis.


....

3.3.2 Intgration de la cyberscurit dans les phases despcification

..Vulnrabilit : 2.2.16Guide SCADA : 2.3.2ISO 27002 : 14.1.1

.

Rfrences

Classe 1[R.57] Les exigences techniques devraient intgrer lensemble des mesures tech-

niques prsentes dans le chapitre 4. titre dexemple, la conception devraitprendre en compte :

la ncessit dauthentifier les intervenants (cf 4.1) ;

la ncessit de dfinir une architecture scurise (cf 4.2) ;

la ncessit de scuriser les quipements (cf 4.3) ;

la ncessit de pouvoir requalifier un systme suite des mises jour descurit.

[R.58] Des procdures et des moyens techniques devraient tre dfinis pour per-mettre des oprations de maintenance prventive et curative afin de maintenirle niveau de cyberscurit dans la dure.Par exemple, des modes dgrads pourraient tre prvus pour raliser desmises jour. On pourra, par exemple, configurer les sorties dun automatepour quelles restent sur leurs derniers tats, pendant la mise jour de sonfirmware.

[R.59] La dfinition de la localisation des quipements devrait prendre en compteleur scurit physique.

[R.60] Les spcifications du projet devraient exiger que les oprations non indispen-sables la conduite du systme industriel soient effectues sur un autre systmedinformation. Les quipements et logiciels associs ne devraient pas tre pr-sents sur le systme industriel. titre dexemple, des postes bureautiques nonconnects au systme industriel devraient tre prvus pour permettre la consul-tation de la documentation, le remplissage de feuilles de suivi, etc.



....

[R.62] La conception devrait intgrer des outils et mcanismes pour grer la scuritet faciliter les exigences telles que :

la matrise de la configuration (cf 3.3.6) ;

le durcissement des configurations (cf 4.3.1) ;

la gestion des vulnrabilits (cf 4.3.2).

Classe 3[D.63] La recommandation R.62 devient une directive.

3.3.3 Intgration de la cyberscurit dans les phases deconception

..Vulnrabilit : 2.2.16Guide SCADA : 2.3.2ISO 27002 : 14.1.1

.

Rfrences

Classe 1[R.64] Lors de la conception, les interfaces et la complexit du systme devraient

tre limites au maximum afin de limiter lintroduction de vulnrabilits lors delimplmentation.

[R.65] Les caractristiques de cyberscurit des quipements (mcanismes dau-thentification, sgrgation des droits, etc.) devraient tre intgres au processusde choix de ceux-ci.

[R.66] Des rles devraient tre dfinis pour les intervenants. Ces rles devraient treintgrs dans la gestion des droits des comptes informatiques. Les rles de-vraient correspondre strictement aux missions de chacun (politique des moindresprivilges). En particulier, les utilisateurs et les administrateurs devraient tredistingus (cf 4.1.1).


Classe 3 Il ny a pas de mesure supplmentaire pour la classe 3.


....

3.3.4 Audits et tests de cyberscurit

..

Guide classification : 2.2.5Guide SCADA : 2.3.2Vulnrabilit : 2.2.17Guide dhygine : Rgle 40ISO 27002 : 12.7

.

Rfrences

Afin de sassurer que le niveau de scurit ne se dgrade pas au cours du temps,il est ncessaire deffectuer rgulirement des tests ou des audits de cyberscurit.Ceux-ci peuvent tre intgrs aux phases de maintenance et de tests fonctionnels.

Classe 1[R.68] Des audits devraient tre mis en place rgulirement. Ces audits pourront

tre internes.[R.69] Laudit doit tre suivi dun plan daction valid et suivi par lentit respon-

sable.

Classe 2[D.70] Les recommandations R.68 et R.69 deviennent des directives et sont renfor-

ces par la recommandation R.71 ci-aprs.[R.71] Un programme daudit devrait tre mis en place avec les lments suivant :

des tests aux limites ; des tests derreur des fonctions mtier ; des tests de la vrification et de la gestion des exceptions ; le droulement de scnarios de menace (tests de pntration et tentatives

de prise de contrle) ; la vrification des mcanismes de scurit (dploiement de correctifs, ana-

lyse de journaux dvnements, restauration de sauvegarde, etc.) ; lvaluation des performances du systme.

..Les tests de pntration pouvant entraner des dfaillances, ils doiventtre excuts dans le cadre de maintenance ou avant la mise en pro-duction des systmes.

.

Important


....

[R.72] Les audits devraient tre raliss par des prestataires externes labelliss.

Classe 3[D.73] La recommandation R.71 devient une directive.[D.74] Les audits devront tre effectus au moins une fois par an.

3.3.5 Transfert en exploitation

..Guide classification : 2.3Guide SCADA : 2.3.2

.

Rfrences

..

Lentreprise en charge de lexploitation peut ne pas tre le propritaire dusystme et donc ne pas avoir t implique dans son projet de ralisation.Cela peut concerner les cas de dlgations de service public, de concessiondexploitation ou de contrat dexploitation avec obligation de rsultat parexemple.

.

Remarque

Classe 1[R.75] Avant de mettre en exploitation un systme il faudrait :

tablir un tat des lieux exhaustif du niveau de cyberscurit du systme ;

sassurer des moyens disponibles pour le maintenir un niveau accep-table.

Classe 2[D.76] Les systmes industriels doivent tre homologus par lentit responsable.

Classe 3[D.77] Les systmes industriels doivent tre homologus et requirent une autorisa-

tion pralable de mise en service. Lhomologation doit tre faite par un orga-nisme extrieur.


....

3.3.6 Gestion des modifications et volutions

..Guide SCADA : BP07ISO 27002 : 14.2.2

.

Rfrences

La gestion des modifications concerne les programmes des automates, les applica-tions SCADA, les fichiers de configurations des diffrents quipements (quipementsrseaux, capteurs et actionneurs intelligents par exemple), etc.

Classe 1

[R.78] Des outils devraient tre utiliss pour contrler rapidement les diffrencesentre la version courante et la version installer et sassurer que seules lesmodifications ncessaires et demandes ont t appliques.

[R.79] Les mises jour et modifications apportes aux systmes devraient tre tra-ces.

Classe 2


[R.81] Un processus de vrification des versions de programme en cours dexcu-tion par rapport une version de rfrence devrait tre mis en place. Celapermet de sassurer que les configurations excutes par le systme industriel(les automates, les SCADA, etc.) sont bien les bonnes.

[R.82] Les modifications devraient tre values dans un environnement de test aupralable.

Classe 3

[D.83] La recommandation R.78 devient une directive. Les impacts des modifica-tions doivent tre valids par lentit responsable avant mise en production.

[D.84] Les recommandations R.81 et R.82 deviennent des directives.


....

3.3.7 Processus de veille

..Guide de classification : 2.2.6Vulnrabilit : 2.2.1Guide SCADA : 2.2.6ISO 27002 : 12.6

.

Rfrences

Classe 1[R.85] Un processus de veille sur les menaces et vulnrabilits devrait tre mis en

place.

..Ce processus devrait notamment reposer sur les sources ouvertes dis-ponibles telles que les CERT nationaux (CERT-FR, ICS-CERT), les CERTdes quipementiers et des dveloppeurs de logiciels.

.

Remarque

Classe 2[D.86] La recommandation R.85 devient une directive.[R.87] La diffusion, par les fournisseurs, des bulletins de vulnrabilit pour len-

semble des quipements matriels et logiciels utiliss dans le systme industrieldevrait tre contractualise.

[R.88] Un processus de veille sur lvolution des techniques de protection devraittre mis en place. Il pourrait tre bas galement sur des sources ouvertesdisponibles comme le site web de lANSSI.

Classe 3[D.89] Les recommandations R.85, R.87 et R.88 deviennent des directives.[D.90] Un processus de veille sur lvolution des techniques dattaque et sur lvo-

lution de la menace doit tre mis en place. En cas dvolution importante, unervaluation de lanalyse de risque doit tre engage.

3.3.8 Gestion de lobsolescenceLa gestion de lobsolescence nest pas directement une mesure de cyberscurit maiselle y contribue. Les quipements en phase dobsolescence peuvent contenir de nom-


....

breuses vulnrabilits qui ne seront jamais corriges. La gestion de lobsolescence estun processus pouvant donc tre utile et ncessaire pour la gestion des vulnrabilits.

..Vulnrabilit : 2.2.1 .

Rfrences

Classe 1[R.91] Des clauses relatives la gestion de lobsolescence des quipements et lo-

giciels, en indiquant par exemple la date laquelle ils ne seront plus pris encharge, devraient tre intgres dans les contrats avec les fournisseurs.

[R.92] Un plan de gestion de lobsolescence pour remplacer les quipements etapplications obsoltes devrait tre mis en place.

Classe 2[D.93] La recommandation R.91 devient une directive.

Classe 3 Il ny a pas de mesure complmentaire pour cette classe.

3.4 Scurit physique et contrle daccs auxlocaux

3.4.1 Accs aux locaux

..Vulnrabilit : 2.2.8Guide dhygine : Rgles 32 et 33ISO 27002 : 11.1

.

Rfrences

Classe 1[R.94] Une politique de contrle daccs physique devrait tre dfinie. Cette poli-

tique devrait notamment prvoir de :

rcuprer les cls ou badges dun employ son dpart (cf R.25) ;

changer rgulirement les codes de lalarme de lentreprise ;


....

ne jamais donner de cl ou de code dalarme des prestataires extrieurssauf sil est possible de tracer les accs et de les restreindre des plageshoraires donnes.

[R.95] Les accs aux locaux devraient tre journaliss et auditables.

Classe 2


[R.97] Les mcanismes de contrle daccs devraient tre robustes. On pourra sereporter au guide de lANSSI sur le sujet [9].

[R.98] Les accs devraient tre mis sous vidoprotection.

[R.99] Laccs aux quipements devrait tre strictement rserv aux personnes ha-bilites.

Classe 3

[D.100] Les recommandations R.95, R.97, R.98 et R.99 deviennent des directives.

[D.101] Un systme de dtection dintrusion devra tre mis en uvre pour les zonesvitales, en particulier celles non occupes 24 heures sur 24.

3.4.2 Accs aux quipements et aux cblages

..Vulnrabilit : 2.2.8Guide dhygine : Rgle 34Guide SCADA : BP01ISO 27002 : 11.2

.

Rfrences

Classe 1

[R.102] Les serveurs devraient tre installs dans des locaux ferms sous contrledaccs (si possible dans des salles informatiques).

[R.103] Les units centrales des stations, les quipements rseaux industriels et lesautomates devraient tre placs dans des armoires fermes cl.

[R.104] Des prises daccs au systme industriel ne devraient pas tre accessiblesdans les endroits ouverts au public.


....

Classe 2

[D.105] Les recommandations R.102, R.103 et R.104 deviennent des directives.

[D.106] La recommandation R.104 est renforce par la directive suivante : les prisesdaccs au systme industriel ne doivent pas tre accessibles dans les zones sanssurveillance.

[R.107] Lintgrit physique des cbles devrait tre protge (par exemple : un ca-potage).

[R.108] Lorsquelles ne sont pas utilises, les prises ddies la maintenance de-vraient tre obtures (bouchons, plaques doccultation...). Le retrait de lobtu-rateur suit une procdure bien dfinie et est soumis autorisation pralable.

[R.109] Un dispositif de dtection douverture, avec remonte dalarme, devrait tremis en place sur les armoires des quipements sensibles. A minima, sur lescoffrets extrieurs contenant des composants sensibles, un moyen de contrlevisuel, comme la pose de scells par exemple devrait tre install. Le retrait deces moyens visuels devrait suivre une procdure bien dfinie et tre soumis autorisation pralable.

Classe 3


3.5 Raction en cas dincident

3.5.1 Plan de reprise ou de continuit dactivit

Un plan de reprise ou de continuit dactivit permet de garantir la reprise ou lacontinuit du service suite un sinistre, quelle quen soit lorigine. Ce plan de conti-nuit dactivit, parfois dj existant pour rpondre des sinistres dorigine autreque la cyberscurit devra rpondre lensemble des vnements redouts entra-nant un arrt du service rendu, tels quils ont t identifis dans lanalyse de risquepour la cyberscurit. Pour plus de dtails, on pourra se reporter au guide dit parle SGDSN [2].


....

..

Guide de classification : 2.2.7Vulnrabilit : 2.2.15Guide SCADA : 2.2.7Guide dhygine : Rgle 36ISO 27002 : 17.1

.

Rfrences

Classe 1[R.111] Un plan de sauvegarde des donnes sensibles devrait tre mis en place afin

de pouvoir reconstruire le systme aprs sinistre (cf 3.1.4).

[R.112] Les plans de reprise et de continuit dactivit devraient intgrer les incidentsde cyberscurit.

Classe 2[R.113] Les plans de reprise et de continuit dactivit devraient tre tests rguli-

rement et au moins une fois par an.


3.5.2 Modes dgradsClasse 1[R.115] Les procdures dintervention devraient intgrer un mode durgence ( pro-

cdure bris de glace ) pour pouvoir intervenir rapidement en cas de besoin sansdgrader significativement le niveau de cyberscurit du systme industriel. Enparticulier, cette procdure durgence ne devrait pas affecter la traabilit desinterventions.

[R.116] Les systmes devraient intgrer des modes dgrads leur permettant soit desarrter sans provoquer de dgts (materiel ou humain), soit de continuer fonctionner par un pilotage en mode manuel .

Classe 2 Il ny a pas de mesure supplmentaire pour cette classe.



....

3.5.3 Gestion de crise

..

Guide de classification : 3.5.3Vulnrabilit : 2.2.15Guide SCADA : 2.2.5Guide dhygine : Rgles 37 et 38ISO 27002 : 17.1

.

Rfrences

Classe 1[R.118] Un processus de gestion de crise devrait tre mis en place. Celui-ci devrait

permettre de dterminer : que faire lors de la dtection dun incident ; qui alerter ; qui est la personne qui doit coordonner les actions en cas de crise ; quelles sont les premires mesures appliquer.

[R.119] Le processus de gestion de crise devrait galement contenir une procduredescalade pour grer les incidents au bon niveau de responsabilit et dcideren consquence : sil faut dclencher un plan de reprise dactivit ; si une action judiciaire est ncessaire.

[R.120] La gestion de crise devrait galement dfinir une phase danalyse post in-cident dans le but de dterminer lorigine de lincident et damliorer la cyber-scurit du systme industriel.

..Une note de lANSSI dcrit les bons rflexes en cas dintrusion sur un systmedinformation [4].

.

Remarque

Classe 2[R.121] Les procdures de gestion de crise devraient tre testes rgulirement et au

moins une fois par an.

Classe 3[D.122] Les recommandations R.118, R.119, R.120 et R.121 deviennent des direc-

tives.


Chapitre 4...

Mesures de scurit techniques

Ce chapitre regroupe lensemble des mesures techniques sadressant lensembledes acteurs impliqus sur les systmes industriels (chefs de projet, acheteurs, auto-maticiens, intgrateurs, dveloppeurs, quipes de maintenance, RSSI, etc.).

..Il revient lentit responsable de dfinir qui sera en charge de lapplicationdes mesures sur les installations.

.

Important

Les mesures sont indiques en recommandation et notes [R.x] lorsquil sagit dunconseil. Elles sont indiques en directive et notes [D.x] lorsquil sagit dune obliga-tion. Les mesures sont cumulatives. Ainsi, une installation de classe 3 doit appliquerles mesures de classe 1 et de classe 2.

Les mesures font rfrence aux chapitres de lISO 27002 [3] ainsi quaux recomman-dations du guide dhygine [14] et aux bonnes pratiques du guide sur la cyberscuritdes systmes industriels [10] publies par lANSSI. Certaines mesures sont galementabordes dans le guide de classification [13].

Ces rfrences sont indiques dans un encadr comme celui prsent ci-dessous :

..

Guide de classification : fait rfrence au guide de classification [13].Vulnrabilit : fait rfrence aux vulnrabilits indiques dans la section 2.2.Guide SCADA : fait rfrence au guide sur les systmes industriels [10].Guide dhygine : fait rfrence au guide dhygine [14].ISO 27002 : fait rfrence aux chapitres de lISO 27002 [3] abordant lesujet.

.

Rfrences


....

Le primtre dapplication est prcis pour chaque famille de mesures, voire chaquemesure. Sans prcision complmentaire, il est le mme pour toutes les mesures dunefamille. Par dfaut, le primtre comprend les quipements suivants :

Les quipements sur lesquels peuvent porter les mesures sont :

les serveurs, stations et postes de travail ;

les stations dingnierie et consoles de programmation ;

les quipements mobiles : ordinateurs portables, tablettes, ordiphones, etc. ;

les logiciels et applications de supervision (SCADA) :

les logiciels et applications de GPAO et de MES si existants ;

les interfaces homme-machine (crans tactiles) ;

les automates et units dportes (RTU) ;

les quipements rseau (commutateurs, routeurs, pare-feu, bornes daccs sansfil) ;

les capteurs et actionneurs intelligents ;

Cette liste est un exemple et doit tre adapte au contexte de chaque systme.

..Certaines exigences font appel des mcansimes cryptographiques (chif-frement, signature, authentification, etc.). Ces mcanismes devront treconformes aux annexes B du rfrentiel gnral de scurit [6].

.

Important

4.1 Authentification des intervenants : contrledaccs logique

4.1.1 Gestion des comptes

..Vulnrabilit : 2.2.2Guide SCADA : BP04Guide dhygine : Rgles 8, 20 et 30ISO 27002 : 9.1

.

Rfrences


....

Les comptes peuvent tre de diffrents types :

les comptes de session permettant laccs aux machines Windows et Linux ;

les comptes applicatifs permettant un intervenant de se connecter uneapplication SCADA par exemple. Ces comptes sont souvent grs par lappli-cation elle-mme ;

les comptes systmes utiliss pour quune application puisse sexcuter etcommuniquer avec dautres applications (exemple : compte de service). Cescomptes ne sont normalement pas utiliss par un intervenant.

Les comptes peuvent disposer de diffrents niveaux de privilges. En particuliers, lescomptes de niveau administrateur se dcoupent en deux catgories :

les comptes de privilges levs administrateur systme permettant lad-ministration informatique des quipements (serveurs, stations et quipementsrseau par exemple) et des systmes dexploitation ;

les comptes de privilge levs ingnieur de procd permettant daccder des fonctions de configuration ou de programmation des applications SCADAet automates par exemple.

..Pour des questions de facilit, les comptes sont souvent mlangs alors quilsdevraient tre bien spars. Un ingnieur de procd na pourtant pasbesoin dtre administrateur systme . Il sagit dune mauvaise pratique.

.

Remarque

Classe 1[R.123] Chaque utilisateur devrait tre identifi de manire unique.[R.124] Tous les comptes disposant de privilges importants comme les comptes

administrateurs devraient tre protgs par un mcanisme dauthentificationcomme un mot de passe par exemple. Les comptes utilisateurs et administra-teurs devraient tre strictement spars.

[R.125] Les comptes gnriques, en particulier ceux disposant de privilges impor-tants sont dconseills.Lorsquils sont indispensables, leur utilisation devra tre limite des usagestrs prcis et tre documente.

[R.126] Des rles devraient tre dfinis, documents et implments pour que lescomptes des utilisateurs aient des privilges correspondant exactement leursmissions.


....

[R.127] Un audit des dvnements lis lutilisation des comptes devrait tre misen place.

[R.128] Les comptes appartenant des personnels nintervenant plus sur le systmeindustriel devraient tre supprims ou, a minima, dsactivs (cf R.25).

Classe 2

[D.129] Les recommandations R.123, R.124 et R.125 deviennent des directives. Lescomptes par dfaut et gnriques ne doivent pas tre utiliss sauf contrainteoprationnelle forte. Les comptes disposant de privilges comme les comptesadministrateurs ne doivent pas tre des comptes gnriques et doivent tredistincts des comptes utilisateurs.

[D.130] La recommandation R.126 devient une directive. De plus, les comptes avecprivilges devront tre valids par le responsable hirarchique de lutilisateur.

[D.131] La recommandation R.128 devient une directive et complte la directiveD.27.

[R.132] Une revue annuelle des comptes utilisateurs devrait tre mise en place. Ellepourrait notamment permettre de vrifier la bonne application des directivesD.129 et D.130 et de la directive D.131. Cette revue devrait porter une atten-tion particulire aux comptes dadministration.

[R.133] Lorsque cela est possible, un accs en lecture seule devrait tre configurpour les interventions de maintenance de premier niveau.

[R.134] Si la gestion des comptes est centralise, la configuration de lannuaire cen-tralis devra tre audite rgulirement et au moins une fois par an. Pour lecas de lActive Directory, on pourra se reporter larticle [1].

..

Une solution centralise (comme par exemple Active Directory, LDAP, etc.)peut faciliter la gestion des comptes et droits des intervenants. Ce type desolution peut galement crer un point de vulnrabilit unique et doit donctre tudi avec le plus grand soin.

.

Important

Classe 3



....

4.1.2 Gestion de lauthentification

..Vulnrabilit : 2.2.2Guide SCADA : BP04Guide dhygine : Rgles 9, 10, 11, 12 et 13.ISO 27002 : 9.1

.

Rfrences

Classe 1

[R.136] Les diffrents composants (quipements et logiciels) ne doivent tre acces-sibles quaprs une authentification avec identifiant et mot de passe. Lorsquecela est possible, la politique de mots de passe doit rpondre a minima auxexigences suivantes :

les mots de passe doivent tre robustes (cf. [12]) ;

les mots de passe par dfaut doivent tre changs.

[R.137] Une temporisation dinhibition doit tre privilgie par rapport au blocageen cas dchec dauthentification.

[R.138] Le mot de passe doit tre protg en confidentialit et en intgrit quandcelui-ci est transmis sur le rseau.

[R.139] Dans le cas o une authentification ne peut pas tre applique, du fait decontraintes oprationnelles notamment, des mesures compensatoires devraienttre dfinies et documentes. A titre dexemple, on pourra envisager :

dappliquer un contrle daccs physique ;

de limiter les fonctionnalits accessibles (consultation sans modification,par exemple) ;

de mettre en place une authentification par carte puce sans code ;

de cloisonner plus fortement lquipement ;

etc.


....

..

Dans une salle de contrle oprationnelle en 24/7, les intervenants ontbesoin de pouvoir agir vite sur les applications SCADA. Des comptesindividuels peuvent tre inadapts. Il peut tre envisageable dans ce casde ne pas exiger didentifiant et de mot de passe individuel car laccs la salle de contrle est possible uniquement des intervenants habilits,les accs physiques sont tracs, et la salle de contrle est occupe enpermanence.

.

Exemple

[R.140] Les fichiers contenant les mots de passe ou leur empreinte devraient treconservs de manire assurer leur confidentialit et leur intgrit.

[R.141] Une procdure scurise pour la rinitialisation des mots de passe en casde perte devrait tre dfinie.

Classe 2[D.142] Les recommandations R.138, R.139 et R.140 deviennent des directives.[R.143] Lorsque cela est possible, une authentification forte (carte puce, OTP,

etc.) devrait tre mise en place sur les postes de travail et serveurs. Cette me-sure peut tre tendue aux quipements de terrain le permettant (automates,entres/sorties dportes), etc.

[R.144] Lorsque la recommandation R.143 ne peut pas tre applique, la politiquede mots passe de la recommandation R.136 devrait tre renforce par : conservation de lhistorique des mots de passe (par exemple les 5 der-

niers) ; la vrification technique de la complexit du mot de passe ; le renouvellement du mot de passe (par exemple au bout de 90 jours).

..

Certains outils permettent de vrifier au moment de la dfinition dunnouveau mot de passe sil nest pas trop proche des anciens. Lide peutparatre sduisante car il est souvent ais de deviner un mot de passedonn partir de la connaissance des autres mots de passe de lutilisa-teur. Cependant, cette technique ncessite de conserver un historiquedes mots de passe en clair, ce qui peut tre dangereux. Lhistorisationsimple peut tre faite en ne conservant que les empreintes.

.

Remarque


....

[R.145] La journalisation des vnements de scurit doit enregistrer les checsdauthentification et les authentifications russies des comptes privilges.

Classe 3[D.146] Les recommandations R.136, R.144 et R.145 deviennent des directives.[D.147] La recommandation R.143 devient une directive pour les quipements ex-

poss (postes de travail, ordinateurs portables, stations dingnierie, consolesde programmation, pare-feu, VPN, etc.)

4.2 Scurisation de larchitecture du systmeindustriel

4.2.1 Cloisonnement des systmes industriels

..

Guide de classification : 2.2.10Vulnrabilit : 2.2.9Guide SCADA : BP02Guide dhygine : Rgles 21, 25 et 29ISO 27002 : 13.1.3

.

Rfrences

Classe 1[R.148] Les systmes industriels devraient tre dcoups par zones fonctionnelles ou

zones techniques cohrentes. Ces zones devraient tre cloisonnes entre elles.

[R.149] Une politique de filtrages entre les zones devrait tre mise en place. Pourdfinir une politique de filtrage, on pourra notamment se reporter au guide surles pare-feu de lANSSI [11].Pour les flux utilisant le protocole IP, on en rappelle nanmoins ici quelquesgrands principes :

un flux est identifi par ladresse IP source, ladresse IP destination, leprotocole (par exemple UDP ou TCP) et, le cas chant, les numros deport source et destination ;

les flux sont refuss par dfaut ;

seuls les flux ncessaires au fonctionnement du systme industriel sontautoriss ;


....

les flux rejets doivent tre journaliss et analyss ;

tous les flux entrants ou sortants du systme industriel doivent tre journa-liss.

..

A titre dexemple, on rappelle quelques exemples de protocoles et deports utiliss par les protocoles industriels :Modbus : TCP/502S7 : TCP/102EthernetIP : TCP/44818 et UDP/2222OPCUA : TCP/4840Profinet IO : TCP/UDP 34962, 34963, 34964

.

Exemple

[R.150] Lorsque des flux non-IP doivent transiter entre deux zones distinctes, un fil-trage devrait tre effectu sur les identifiants source et destination. Par exemple,dans le cas dEthernet, on pourra effectuer le filtrage sur les adresses MACsource et destination.

Par ailleurs, on pourra faire un filtrage sur les protocoles autoriss.

[R.151] Autant que possible, un cloisonnement physique devrait tre privilgi entreles zones fonctionnelles du systme industriel. Indpendamment de la cybers-curit, le cloisonnement physique participe galement renforcer la disponibi-lit des systmes.

[R.152] Lorsque une sparation physique nest pas possible entre les zones fonction-nelles du systme industriel, un cloisonnement logique devrait tre mis en place.Lutilisation des VLAN est un exemple de cloisonnement logique possible.

[R.153] Le rseau dadministration des quipements devrait tre cloisonn des autresrseaux, a minima de manire logique. Le primtre porte sur les quipementsdinformatique classique comme les commutateurs, passerelles, routeurs, pare-feu, etc.

[R.154] Les postes dadministration ne devraient pas avoir dautre usage. Ils ne de-vraient pas tre connects Internet ni un rseau de gestion.


....

..Les VLAN nont pas t conus comme un mcanisme de scurit. Leurconfiguration devra tre faite avec soin pour assurer le cloisonnementde manire effective.

.

Remarque

..

Voici un exemple de cloisonnement logique : 1 VLAN dadministration pour les composants rseau, les postes

de travail dadministration et les serveurs dadministration ;

1 VLAN de serveurs ;

1 VLAN des postes de conduite ;

1 VLAN des postes de dveloppement ;

1 VLAN par procd contenant les automates et autres quipe-ments associs (entres/sorties dportes, etc.).

.

Exemple

Classe 2[D.155] Les recommandations R.148, R.149, R.150, et R.151 deviennent des di-

rectives.

[D.156] Les recommandation R.153 et R.154 deviennent des directives. Il est pos-sible que certains quipements, notamment dancienne gnration, ne per-mettent pas techniquement de raliser un tel cloisonnement. Dans ce cas, uneanalyse spcifique devra tre mene pour tudier les contre-mesures possibleset dfinir le niveau de risque rsiduel.

[R.157] Les flux devraient tre unidirectionnels entre les systmes industriels de classe2 et les systmes industriels de classe 1. Lunidirectionnalit des flux pourra treassure par un pare-feu.

[R.158] Les rseaux dadministration des quipements devraient tre cloisonns phy-siquement des autres rseaux. A minima, ils devraient tre spars logiquement laide de tunnels VPN. Lutilisation de produits qualifis pour ltablissementde ces tunnels est recommande.

Classe 3[D.159] Les flux doivent tre unidirectionnels entre des zones de classe 3 et de classe

infrieure. Lunidirectionnalit est assure physiquement par une diode.


....

[R.160] La diode devrait tre labellise.[D.161] Les systmes industriels de classe 3 doivent tre physiquement spars des

systmes de classe infrieure. Lutilisation de cloisonnement logique est inter-dite.

..

Des PLC sont parfois configurs avec deux coupleurs Ethernet diffrents poursparer les flux, un pour les communications avec les SCADA et lautre pourles communications avec les quipements de procd par exemple. Cettemesure peut rpondre des besoins de sret de fonctionnement mais neconstitue pas une protection contre certaines attaques. En effet, ltanchitentre les deux coupleurs Ethernet nest pas garantie.

.

Important

4.2.2 Interconnexion avec le systme dinformation de gestion

..

Guide de classification : 2.2.10Vulnrabilit : 2.2.9Guide SCADA : BP02Guide dhygine : Rgles 21, 29ISO 27002 : 13.1

.

Rfrences

Le systme dinformation de gestion et ses rseaux sont considrs par dfaut declasse 1.

Classe 1[R.162] Linterconnexion devrait tre protge par un dispositif de filtrage (pare-feu).

[R.163] Les flux devraient tre limits au strict minimum.[R.164] Une politique de filtrage telle que celle dcrite dans la recommandation

R.149 devrait tre mise en place.



....

[R.166] Les flux sont unidirectionnels depuis le systme industriel de classe 2 versle systme dinformation de gestion. Lunidirectionnalit des flux pourra treassure par un pare-feu.

Classe 3[D.167] Les flux doivent tre unidirectionnels entre les systmes industriels et les sys-

tmes de gest

Documents

Mesuresdétaillées - ssi.gouv.fr · Chapitre 1. Introduction 1.1 Contexte Leprésentdocumentestissudesréflexionsdugroupedetravailsurlacybersécu-ritédessystèmesindustrielspilotéparl