Securite industrielle.indd

RISQUES ET SÉCURITÉ

DE LA CONNEXION

DES SYSTÈMES

INDUSTRIELS SUR

INTERNET

DÉCEMBRE 2014

Cycl

e « S

écur

ité

des

usag

es n

umér

ique

s »Tr

avau

x de

la 4

e pr

omot

ion

(201

3-20

14)

T R AVAU X D E S AU D I T E U R SINHESJ

Institut national des hautes études de la sécurité et de la justice

en partenariat avec le

Directeur de la publication M. Cyrille SCHOTT, directeur de l’INHESJ

L’Institut national des hautes études de la sécurité et de la justice publie chaque année des rapports et études sur les champs de la sécurité et à la justice.

Dans le cadre du cycle de spécialisation « Sécurité des usages numériques », les auditeurs stagiaires réalisent un travail collectif tutoré par le département sécurité économique de l’INHESJ. Ces travaux sont effectués en toute liberté grâce à l’indépendance dont les auteurs bénéfi cient au sein de l’Institut.

L’étude ci-dessous publiée est un document à vocation scientifi que. Il ne saurait être interprété comme une position offi cielle ou offi cieuse de l’Institut ou des services de l’État. Les opinions et recommandations qui y sont exprimées sont celles de leurs auteurs. Le document est publié sous la responsabilité éditoriale du directeur de l’Institut.

Les études ou recherches de l’INHESJ sont accessibles sur le site de l’INHESJ.

© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 3

AVANT-PROPOS

L’information est désormais au cœur des actifs immatériels des organisations et constitue un élément clé de leur performance. L’entrée dans le monde numérique a par ailleurs conféré

aux systèmes d’information une dimension incontournable du développement de l’économie. La « sécurité des usages numériques » représente donc un enjeu majeur pour la pérennité et la compétitivité des entreprises et des administrations. C’est pourquoi, dès 2010, l’Institut national de hautes études de la sécurité et de la justice (INHESJ) et le CIGREF (Réseau de Grandes Entreprises) ont convenu de mettre en place un cycle de formation sur les problématiques et les enjeux liés à la sécurité numérique à destination des cadres d’entreprises des secteurs privé et public.

Ce cycle de spécialisation en « Sécurité des usages numériques » se fi xe pour objectif de délivrer les savoir-faire visant l’identifi cation, l’évaluation et la maîtrise de l’ensemble des risques et des malveillances à tous ceux qui veulent mieux comprendre les enjeux de la sécurité numérique au sein des entreprises.

L’Institut est heureux de présenter dans sa collection Études et Documents les travaux des auditeurs de ce cycle réalisés sous la supervision du Département sécurité économique de l’INHESJ. ■

Cyrille SCHOTT Pascal BUFFARD

Directeur de l’Institut national Président du CIGREF des hautes études de la sécurité et de la justice

Les AUTEURS

Les Auteurs de ce travail intitulé « Sécurité des objets connectés » sont :

• Carolina MORALES-COLASANTE

• Véronique WADEL

• Sylvain ARNOLD

• Xavier BLANCHARD

• Bertrand LOCHET

Sous la direction de Nicolas Arpagian, directeur scientifi que du cycle « Sécurité des usages numériques ».


SommairePRÉAMBULE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7INTRODUCTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

CHAPITRE 1 – Les systèmes industriels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Historique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Composants des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Les principaux objectifs et atouts des Systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Domaines d’utilisation des systèmes industriels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

CHAPITRE 2 – Les risques et menaces des systèmes industriels . . . . . . . . . . . . 13Profi l des attaquants et les objectifs de l’attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Typologie des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Typologie des menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Moyen d’accès d’une attaque au système industriel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

CHAPITRE 3 - Problématiques juridiques de la cyber-sécurité des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17« Le droit des robots » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17« Security by design » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Les Systèmes industriels et les objets connectés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19La cyber-assurance des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Le dispositif juridique français et européen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Le rôle de la Direction juridique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

CHAPITRE 4 – Les solutions de sécurisation de la connexion à Internet des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . 25Le retour au déterminisme des systèmes industriels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25L’audit du code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Authentifi cation Forte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Le chiffrement et le principe ou la chaîne de confi ance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Protocoles spécifi ques SCADA par les fabriquant des solutions « endpoint ». . . . . . . . . . . . . . . . . . . . . 28Approche sémantique « fi rewall sémantique » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Amélioration de la Cyber sécurité des réseaux des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . 29Systèmes de détection d’intrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Les « Honeypot » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Recherche et analyse de la vulnérabilité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31La vérifi cation des journaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36La sensibilisation à la cyber-sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37La mise en œuvre des directives et guides de gestion de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38La défense en profondeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38La gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Propositions d’architecture et de process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

CONCLUSION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Défi nitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Références bibliographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET

Travaux de la 4e promotion (2013-2014)

du Cycle « Sécurité des usages numériques »

PRÉAMBULE

Miser sur la diversité des compétences pour répondre à des menaces protéiformes.

La sécurité numérique doit se concevoir sur le modèle des multiples formes d’agressions rendues possibles par les technologies de l’information et de la communication qui irriguent désormais les organisations économiques, administratives ou militaires. C’est la raison pour laquelle la réfl exion et la stratégie en matière de cybersécurité doivent se concevoir en mettant à contribution une grande variété de compétences et d’expertises : dans les domaines industriels, techniques, informatiques, juridiques, judiciaires, militaires, policiers et même politiques.

De ce croisement de savoir-faire émergeront les stratégies utiles à mettre en place pour concevoir une sécurité numérique plus performante. C’est dans cet esprit que chaque année les auditeurs du cycle « Sécurité numérique » de l’Institut national des hautes études de la sécurité et de la justice (INHESJ) travaillent à analyser et éclairer une problématique qui se trouve au cœur des intérêts stratégiques des entreprises, et donc des États. Ils ont pour mission d’expliquer les enjeux de la thématique qui leur a été confi ée, d’en présenter les mécanismes et de formuler des réponses réalistes et concrètes pour réduire ou faire cesser l’exposition au risque qu’elle représente. Soit une démarche résolument tournée vers une amélioration continue de la notion de sécurité, au bénéfi ce du plus grand nombre.

Vous trouverez dans ce document le fruit de leurs réfl exions après une année d’étude passée au sein de l’INHESJ à échanger entre pairs et à rencontrer les experts et les praticiens les plus expérimentés dans le domaine de la sécurité numérique. Ils aboutissent à chaque fois à des recommandations opérationnelles directement transposables dans la réalité des entreprises et des administrations.

Ce sont donc des contributions utiles à une meilleure sécurité numérique.

Éric DELBECQUE Nicolas ARPAGIAN

Chef du Département Directeur scientifi que du cycle« Sécurité économique » « Sécurité des usages numériques »

© INHESJ – Septembre 2014 – Ingérence et politique de sécurité des systèmes d’information 7

8 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet

INTRODUCTION

Les systèmes industriels sont essentiels au bon fonctionnement de la nation. À l’instar de la démarche déjà entreprise par les États-Unis, il s’agit aujourd’hui de faire de leur cyber-sécurité une priorité stratégique, tant au niveau européen et français qu’au niveau international.

Les dernières cyber-attaques Stuxnet 1, Spamhaus et plus récemment les vols de données clients chez Orange ont alerté aussi bien les pouvoirs publics que les entreprises exploitant des systèmes industriels. Ces événements confi rment la nécessité de prendre toutes les mesures appropriées pour faire face aux risques encourus, mais aussi pour se conformer au cadre réglementaire qui se met progressivement en place.

La connexion des systèmes industriels à Internet n’étant pas une nouveauté en soi, il est cependant nécessaire d’exposer le contexte spécifi que à ces derniers (Chapitre 1) pour mieux comprendre les risques de leur connexion à Internet (Chapitre 2) avec les problématiques et enjeux juridiques (Chapitre 3). Et, ainsi, pouvoir présenter les différentes mesures de sécurisation de ces systèmes industriels (Chapitre 4).

(1) C’est le premier ver découvert qui espionne et reprogramme des systèmes industriels, ce qui comporte un risque élevé. Il cible spécifi quement les systèmes SCADA utilisés pour le contrôle commande de procédés industriels. Stuxnet a la capacité de reprogrammer des automates programmables industriels (API).


Historique

Jusqu’en 1940, les premiers systèmes de pilotage connectés étaient des systèmes de contrôle dans les systèmes industriels. Ils étaient destinés à opérer des équipements localisés dans des sites distants. Toutefois, à cette époque, il était nécessaire d’avoir du personnel sur chacun des sites ou bien d’envoyer une équipe pour opérer l’équipement. Les premiers essais de ces systèmes industriels ont débuté par l’utilisation d’une paire de lignes entre les sites distants. Chaque ligne opérait une seule pièce de l’équipement. Cette solution s’est avérée très onéreuse mais justifi ée par le besoin d’être opérée très fréquemment ou afi n de rétablir le service rapidement.

Puis les Relay/Tone system ont vu le jour ; comme des systèmes relais qui créaient des pulsations envoyées au travers d’un canal de communication jusqu’au site distant.

Dans les années 1960, les premiers systèmes industriels voient le jour en tant que système d’exploitation électronique d’entrée / sortie, avec des transmissions entre une station maître et une station distante. La station « maître » avait pour but de recevoir des données à travers un réseau de télémétrie et de stocker les données sur les ordinateurs centraux.

En 1965 pour la première fois, un ordinateur a été utilisé comme station maître, capable d’avoir des fonctions en temps réel. Tel était le cas des processeurs PRODAC et GETAC construits par GE et Westinghouse.

Progressivement les ordinateurs ont commencé à être dotés de fonctions de scanning de données, du monitoring de données et des statuts, de changements des alertes puis de données des connexions périodiques.

La plupart des systèmes industriels américains fonctionnaient alors avec une base de scanning permanent avec l’ordinateur maître ; ce dernier envoie alors les requêtes, les sites distants, eux, uniquement des réponses. En Europe, on retrouve les premiers systèmes dans lesquels le site distant continue à envoyer des données sans que le site central envoie des requêtes ; ceci grâce à un canal qui permettait d’envoyer et de recevoir en même temps.

Ce n’est que dans les années 1970 que les systèmes de contrôle distribués (DCS) ont été développés pour contrôler différents sous-systèmes éloignés ; dans les années 1980, avec le développement du micro-ordinateur, le contrôle de processus a pu être réparti entre les sites distants.

Puis il y a eu un développement des activités DEC utilisant des contrôleurs logiques programmables (PLC) ; ils avaient la capacité de contrôler les sites sans prendre la direction d’un maître.

Chapitre 1 LES SYSTÈMES INDUSTRIELS


Dans les années 1990, les systèmes industriels avaient des capacités de DCS et étaient adaptés en fonction de certaines caractéristiques de contrôle propriétaires construits par le concepteur. Internet étant utilisé davantage comme un outil de communication, les systèmes de télémesure utilisaient alors des logiciels automatisés avec certains portails de téléchargement des informations ou de contrôle de processus.

L’Ingénierie des systèmes industriels concerne aujourd’hui des processus de contrôle, mais aussi la mesure, la prévision, la facturation, l’analyse et la planifi cation.

Les systèmes industriels actuels doivent répondre à un tout nouveau niveau d’automatisation de contrôle avec un interfaçage aux équipements obsolètes, tout en restant suffi samment souple pour s’adapter à l’évolution des technologies d’information.

Les exigences des systèmes industriels relèvent aujourd’hui des mises à niveau et mises à jour des versions des systèmes ; il faut alors donner la priorité à la connaissance des composants du système avant de décider quelle interface mettre en place ou quel matériel est nécessaire pour une application particulière.

Depuis les années 2000, une transformation profonde a eu lieu : les systèmes isolés et propriétaire sont passés à des systèmes construits sur des architectures et structures aux technologies standard hautement interconnectés sur des réseaux privés, voire sur internet.

Ces systèmes, conçus pour durer des dizaines d’années à une époque où la cyber criminalité touchant les infrastructures industrielles critiques n’était pas encore répandue, n’intégraient pas encore nativement la sécurité réseau.

Composants des systèmes industriels

Un dispositif système industriel, utilisé comme outil de sécurité de consignation d’appareil électrique, est généralement composé des sous-systèmes suivants :

– une interface homme-machine qui présente les données à un opérateur humain : ce dernier peut alors superviser et commander les processus ;

– un système de supervision et de contrôle informatique faisant l’acquisition des données des processus et envoyant des commandes (consignes) aux processus ;

– une unité terminale distante (RTU) reliant les capteurs convertissant les signaux en fl ux de données numériques et envoyant les données numériques au système de supervision ;

– des automates programmables industriels utilisés sur le terrain pour leur versatilité et fl exibilité due à leur capacité d’être confi gurables ;

LES SYSTÈMES INDUSTRIELS Chapitre 1


– une infrastructure de communication reliant le système de supervision et contrôle aux éléments terminaux ;

– divers instruments d’analyse.

À titre d’exemple, le schéma ci-dessous expose les différents composants d’un système industriel.

Les principaux objectifs et atouts des Systèmes industriels

Les systèmes industriels ont pour principaux objectifs :

– de concentrer les données, déporter ou centraliser le pilotage du procédé ;

– d’apporter une vision temps réel des états permettant aux opérateurs de réagir et de décider rapidement ;

– D’apporter les premiers outils d’analyses nécessaires aux contrôles des équipements concernés (historiques, courbes, pareto, alarmes, login).

Pour parvenir à atteindre ces objectifs, les systèmes industriels sont dotés d’un certain nombre d’atouts, notamment :

– des outils de graphisme afi n de représenter les procédés concernés ;

– des « moteurs » d’animation permettant de défi nir les différents choix de dynamismes des objets graphiques ;

Chapitre 1 LES SYSTÈMES INDUSTRIELS


– la gestion de la base de données en temps réel, parfois propriétaire ; en leur attribuant des propriétés, il est possible de défi nir des variables typées internes ou en liaison avec le système de contrôle commande ;

– des traitements internes initiés par des déclencheurs multiples (temporels, changement d’état, équation combinatoire, ouverture d’une fenêtre…) ; ils permettent d’appliquer des premiers niveaux de traitement informatique plus ou moins évolués ;

– une gestion de la sécurité pour un contrôle des accès applicatifs est généralement proposée ;

– certains superviseurs intègrent également les possibilités de s’interfacer avec une base de données relationnelle.

Domaines d’utilisation des systèmes industriels

Les systèmes industriels sont conçus pour soutenir les processus industriels et surveiller et contrôler, en temps réel, un large éventail de processus et d’opérations, tels que la distribution de gaz et électricité (classique et nucléaire), le traitement de l’eau, le raffi nage de pétrole ou le transport ferroviaire.2

Ces systèmes industriels sont utilisés également dans la distribution, la chimie et dans certaines installations expérimentales tels que la fusion nucléaire, le transport des produits chimiques, la recherche et les études scientifi ques et industrielles, les accès aux bâtiments, le contrôle du chauffage et la ventilation des ascenseurs ou du refroidissement des data centers.

Parmi les exploitants des systèmes industriels, il y a les Opérateurs à Importance Vitale (OIV). Ces derniers sont défi nis en France par le Code de la Défense dans ses articles R1332-1 et R1332-2 comme étant « les opérateurs publics ou privés, exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la survie de la nation ou de mettre gravement en cause la santé ou la vie de la population ». Ces OIV constituent une liste de 200 opérateurs dont 100 sont des entreprises privées.

Les infrastructures vitales du pays sont concernées par de nouveaux risques : les cyber-risques. Ces derniers menacent le fonctionnement dont dépendent les infrastructures vitales du pays. En effet, la mise en œuvre systématique du principe de sécurité « de base » des systèmes d’information, tels que la surveillance du système, la notifi cation des incidents ou la réalisation régulière d’audits ne sont pas systématiquement mis en œuvre. De ce fait, et au regard de la cyber- menace grandissante, les instances nationales et européennes ont décidé de renforcer le régime qui leur est applicable.

(2) Défi nition ENISA.

LES SYSTÈMES INDUSTRIELS Chapitre 1


Un autre élément qui n’est pas négligeable est qu’historiquement, les systèmes industriels étaient dévoués à la protection de la sûreté de fonctionnement (SDF), en utilisant une analyse statistique et des techniques de redondance, ce qui permettait de faire le traitement du risque de défaillance des équipements. Toutefois la SDF ne couvre pas les risques et menaces des cyber-attaques qui évoluent très rapidement. Les standards de sûreté de fonctionnement des systèmes industriels doivent alors s’adapter pour prendre en compte la cyber-sécurité et éviter que l’intégrité des Systèmes Instrumentés de Sécurité (SIS) assurant la sécurité des personnes puisse être remise en cause par une attaque informatique.

La cybercriminalité désigne les infractions pénales commises par le biais de réseaux informatiques et de l’information électronique. Elle concerne aussi bien les atteintes aux biens (escroquerie, contrefaçon, vol des données, etc.) que les atteintes aux personnes (terrorisme, incitation à la haine raciale, pédopornographie, etc.) ; elle se situe à la quatrième place des fraudes les plus rencontrées par les entreprises. Le budget cyber-sécurité représente un budget annuel de 60 milliards de dollars. Ce montant devrait augmenter de 10% dans les trois à cinq années à venir.3

(3) « Global State of Information Security Survey 2013, Tendances et enjeux de la sécurité de l’information » Etude Price Water- houseCooper, 30 janvier 2013.

Chapitre 2 LES RISQUES ET MENACES

DES SYSTÈMES INDUSTRIELS

Depuis que l’affaire Stuxnet a dévoilé au grand public les failles des systèmes industriels, les risques et menaces pour ces derniers deviennent une préoccupation majeure pour les exploitants, ainsi que pour les États et les particuliers. Si l’appréhension d’une sécurité se fait essentiellement au travers de bonnes pratiques, il convient aussi de recenser les vulnérabilités auxquelles l’entreprise doit faire face.

Profi l des attaquants et les objectifs de l’attaque

Les auteurs ou les cyber-attaquants ont des profi ls divers, notamment le hacker isolé, le salarié mécontent, les réseaux organisés, les cellules de renseignement. Ils ont une multitude des motivations, tels que le défi informatique, le vol de données à des fi ns lucratives, le hackeractivisme, l’espionnage à des fi ns économiques ou industrielles, etc.) (cf. fi gures 1 et 2).

Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS


Figure – Typologie des attaquants attaquant

LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Chapitre 2


Les cyber-attaques peuvent provenir de :

– l’intérieur de l’entreprise exploitant le système industriel (menaces internes du fait de comportements inadaptés des personnels à l’usage des nouvelles technologies ou d’une malveillance et du fait d’un défaut de gouvernance augmenté, par exemple, par l’admission et gestion du BYOD et des connexions WI-FI).

– l’extérieur de l’entreprise : hacktivisme, APT.

Typologie des risquesLa typologie de ces risques est résumée dans le tableau ci-dessous.

Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS


Typologie des menacesLes menaces sur les systèmes industriels proviennent aussi bien de phénomènes

naturels, d’actes malveillants et d’accidents, que de procédures irrégulières ou de défaillances techniques.

Historiquement, ces menaces ne concernaient que les éléments internes au système industriel en question, notamment les membres du personnel, l’organisation des exploitants d’installations ou du personnel support technique. D’autres exemples de menace sur les systèmes industriels sont :

– des vers autonomes qui cherchent au hasard des chemins de propagation ;– (DDoS) virus (dont les chevaux de Troie) ;– le terrorisme ;– les perturbations des services publics ;– le bruit sur les lignes électriques ;– les interférences électromagnétiques (EMI) et de fréquences radio (RFT) ;– la fermeture de l’usine pour l’entretien et démarrage après l’entretien (de

nombreux événements néfastes se produisent pendant l’arrêt et le démarrage) ;– la mauvaise application de correctifs logiciels ;– l’interdépendance avec les autres réseaux et les éléments de support

technique.

Moyen d’accès d’une attaque au système industriel

Aujourd’hui tous les systèmes industriels sont connectés à Internet, aux différents réseaux d’entreprise, aux réseaux publics commutés de téléphone, aux satellites et aux systèmes de communication sans fi l (Wifi , WiMax). Ainsi, les moyens d’accès au réseau de contrôle du système industriel les plus communs sont :

– les connexions Internet,– les réseaux métiers ou réseau d’entreprise,– les connexions à d’autres réseaux qui contiennent des vulnérabilités,– les réseaux privés virtuels compromis (VPN),– les connexions par Backdoor à travers les modems d’accès à distance,– les connexions sans fi l non sécurisés découverts par les utilisateurs de

portables,– les ports informatiques ouverts, tels que les ports UDP ou TCP qui ne sont pas

protégés ou ouverts inutilement,– l’authentifi cation faible dans les protocoles et les composants des systèmes

industriels,– l’hameçonnage de maintenance (maintenance hooks) ou de portes

dérobées (trap doors), qui sont des moyens de contourner les contrôles de sécurité au cours du développement du système industriel,

– les attaques par débordement de tampon sur les serveurs de contrôle du système industriel, accessibles par les automates et les interfaces homme-machine.

LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Chapitre 2


Après avoir eu accès au système industriel, l’attaquant cherche à tout prix à obtenir un certain niveau de contrôle de ses composants, en fonction des protections associées à chaque composant, à la visibilité de l’attaquant et aux capacités et intentions de ce dernier.

La réalisation d’une ou plusieurs cyber-menaces au sein d’un système industriel peut donc avoir des conséquences telles que la divulgation des données sensibles, des dommages matériels aux biens et aux personnes, des risques de santé publique et l’atteinte à l’image et à la réputation. C’est pour cette raison que les problématiques juridiques de la cyber-sécurité des systèmes industriels doivent être prises très au sérieux.

Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ

DES SYSTÈMES INDUSTRIELS

Dans l’objectif de faire un état des problématiques juridiques liées aux systèmes industriels et à leur cyber-sécurité, il est nécessaire d’envisager les dispositifs juridiques qui n’ont pas pour l’instant fait l’objet d’une formalisation dans le droit positif et les normes existantes (« le droit des robots » et « Security by design »). Puis, les interactions des systèmes industriels avec les objets connectés et également la problématique récente en droit français liée à la cyber-assurance de ces systèmes industriels. Enfi n, une présentation de l’état du droit positif aussi bien français, qu’européen et américain est nécessaire afi n de comprendre la multitude des textes applicables et dont la mise en œuvre par les exploitants afi n d’être en conformité avec celles-ci peut s’avérer diffi cile, d’où l’importance du rôle des directions juridiques au sein des entités exploitant ces systèmes industriels.

« Le droit des robots »

Un robot peut être défi ni comme « un appareil effectuant, grâce à un système de commande automatique à base de micro-processeur, une tache précise pour laquelle il a été conçu dans le domaine industriel, scientifi que ou domestique »4. À la différence de l’automate, le robot est doté de capteurs dont les actions sont décidées par l’intermédiaire de son programme, en fonction de l’environnement.

Les dernières générations des systèmes industriels peuvent être considérées comme des robots ; à ce titre, il est légitime de s’interroger sur le régime juridique applicable.

Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS

(4) Défi nition de l’ALTIF (Analyse et traitement informatique de la langue française).


Les dispositions juridiques existantes applicables aux fabriquants et/ou fournisseurs des systèmes industriels concernent d’une part le droit des contrats, à savoir l’article 1603 du Code civil. Le fabriquant et/ou fournisseur du système industriel est fait débiteur des obligations suivantes :

– mise à disposition du système ;– délivrance conforme ;– garantie de jouissance paisible ;– absence de défaut de la chose vendue.

La prise en compte des différents dispositifs de cyber-sécurité des systèmes industriels sont donc compris aussi bien dans l’obligation de « délivrance conforme » du système (conformité par rapport aux diverses normes et référentiels applicables et aux attentes exprimées dans son cahier des charges) que dans les obligations de garantie de jouissance paisible (un système industriel avec des failles de sécurité inhérentes à celui-ci ne permet pas à son exploitant de disposer paisiblement de ce système) et dans l’obligation d’absence de défauts de la chose vendue.

De même, le régime de la responsabilité lié aux produits défectueux (article 1386-1 et suivants du Code civil) peut être invoqué afi n d’engager la responsabilité délictuelle du fabriquant et/ou fournisseur. Il peut également s’appliquer à l’exploitant du système industriel en cas d’un défaut de sécurité (informatique) du système qui serait à l’origine d’un dommage aux personnes.

Les dispositions de la Directive 2006/42/CE du 17 mai 2006 (entrée en application le 29 décembre 2009) relative aux machines, imposent des exigences de sécurité.

Des réfl exions sont actuellement en cours au sein des communautés des juristes 5 sur le fait d’accorder, ou non, une personnalité juridique (avec des droits et des obligations afférentes) à ces robots qui peuvent, dans leur fonctionnement (programmés et contrôlés par un humain), prendre des initiatives. Toutefois, cette piste de réfl exion est confrontée au fait que la jurisprudence refuse de reconnaître la responsabilité de la machine en raison du défaut de capacité de discernement. Ainsi est tenu pour responsable l’exploitant qui a le contrôle du système industriel, gardien de ce dernier, en tant que personne physique ou morale. Charge à lui, dans un tel cas, d’apporter les preuves qui écartent sa responsabilité.

« Security by design »Il apparaît aujourd’hui impératif de prendre en charge la sécurité des

systèmes industriels dès le stade de leur conception, c’est-à-dire dès la rédaction du cahier des charges et de l’expression des besoins par l’utilisateur fi nal. Ainsi l’exploitant commanditaire du système industriel en question se doit d’imposer ses choix, d’exiger l’utilisation des produits certifi és et de prévoir des clauses « d’audit de fournisseurs ».

(5) Tel est le cas de Maître Alain Bensoussan cf. l’article « Vers un droit des robots » du 21 avril 2014 et Maître Murielle Cahen.

PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3


Cette préoccupation doit être également au cœur des négociations des accords de connexion à internet, des contrats de travail des salariés des Industries et également lors de la rédaction des Chartes d’Accès à ce Systèmes industriels connectés à Internet.

Les entreprises administrant des systèmes industriels ne doivent nullement négliger les avancées des technologies de l’information et de la communication. Elles doivent intégrer dans leurs analyses des risques les risques et menaces « involontaires » issues de l’utilisation des dispositifs mobiles, souvent mis à disposition de l’entreprise par le salarié lui-même. Ainsi la mise en place et/ou la mise à jour d’une charte régissant l’usage des technologies de l’information et de la communication par les salariés et par les prestataires externes est impérative et en tout cas fortement conseillée.

Les rédactions et négociations des contrats portant sur l’acquisition de ces systèmes industriels connectés à Internet, impliquent d’être vigilant quant au contenu des articles de confi dentialité, sécurité et évolutivité du système, obligations du fournisseur de conformité réglementaire, audit, responsabilité et mise en place d’un niveau d’engagements de service (SLA) conforme aux besoins exprimés dans le cahier des charges.

De même, compte tenu de la vitesse à laquelle évoluent et changent les cyber-menaces, il est judicieux de ne pas négocier un contrat statique et de prévoir la possibilité pour l’exploitant du service, en accord avec le fournisseur, de faire évoluer les dispositions contractuelles et d’adapter ou pallier aux conséquences de ces évolutions.

Les Systèmes industriels et les objets connectés

Avec la disponibilité commerciale du cloud computing, les systèmes industriels ont de plus en plus adopté les technologies de l’Internet des objets. Cette démarche réduit considérablement les coûts d’infrastructure et augmente la facilité d’entretien et d’intégration. En conséquence, les systèmes industriels peuvent désormais transmettre des données en temps quasi réel et utiliser les facteurs d’échelle autorisés par le cloud computing. Ainsi, des algorithmes de contrôle plus complexes que ce qui pouvait être fait avec les automates programmables industriels peuvent être mis en œuvre. En outre, l’utilisation de protocoles de réseaux ouverts, tels que TLS inhérents à l’Internet des objets, offre un périmètre de sécurité plus compréhensible et gérable que le mélange hétérogène de protocoles réseau propriétaires typiques de nombreuses implémentations des Systèmes industriels décentralisées précédentes.



La cyber-assurance des systèmes industriels

Sur les 12 risques majeurs menaçant les entreprises, le cyber-risque occupe la troisième position. La cyber menace évoluant, des solutions d’assurances tendent à se développer. La France est cependant en retard sur ce point.

Il est nécessaire pour l’entreprise candidate à l’assurance, afi n d’obtenir un « scoring », d’associer un expert technique à l’assureur. Il réalisera un état de la maturité organisationnelle de l’entreprise versus l’analyse et le contrôle opérationnel des cyber-risques. L’assureur devra donc faire la transformation de l’analyse en probabilité de l’apparition du cyber-risque et déterminer l’impact sur le patrimoine du client : matériel, production, immatériel.

Aux États-Unis et au Royaume-Uni, plus de 30 % des entreprises ont déjà souscrit à une police de cyber-risques. Après les récentes attaques chez Sony ou Target, selon Ponemon, le coût moyen d’une donnée volée est de 145 UD. L’atteinte à l’image est incluse dans cette évaluation.

Les offres actuelles dans le marché français proposent des garanties couvrant tous les aspects des cyber-risques à savoir la responsabilité civile, les mesures palliatives, la gestion de la crise, la communication, les dommages intérêts dus aux clients et la perte d’exploitation entre autres. En revanche, le terrorisme est systématiquement exclut.

Le dispositif juridique français et européenLe cadre juridique français de la cyber-sécurité

La France dispose d’un arsenal législatif et réglementaire complet pour réprimer les cyber-attaques et bien évidement ces dispositions sont applicables aux attaques des systèmes industriels. Le tableau récapitulatif ci-dessous montre un aperçu de ces dispositions, jusqu’en 2012. 6

De même que pour les systèmes d’information « informatiques », il est impératif de réaliser un recensement des données sensibles de ces infrastructures contrôlées par un système de commande et contrôle, et tout particulièrement des données personnelles. En effet, le projet de règlement européen sur les données personnelles, actuellement en discussion, aura vocation à s’appliquer également à ces systèmes industriels. L’industriel « exploitant » en tant que « Responsable du Traitement » au sens de la Loi I&L est responsable en cas de respect des dispositions applicables. Ainsi les exploitants devront revoir leur façon de traiter leurs priorités de protection de la confi dentialité et de l’intégrité des données, tout en gardant au premier niveau de priorité la disponibilité du système.


(6) Tableau issu de l’article des Mesdames Anne Souvira et Miriam Quéméner « Cyber-sécurité et entreprises : se protéger juridiquement et se former ». Sécurité & Stratégie n°11 Décembre 2012.


Les dispositions européennes et françaises concernant la cyber-sécurité des OIV

La lutte contre la cybercriminalité étant une priorité européenne, la Commission européenne a adopté le 07 février 2013 une proposition de directive « visant à assurer un niveau élevé de sécurité des réseaux et de l’information de l’union ». Cette proposition de directive a été modifi ée et adoptée par le Parlement européen le 13 mars 2014 et devrait être défi nitivement adoptée fi n 2014.

Les principaux objectifs de la proposition de directive sont de (i) fi xer les obligations des États membres concernant la prévention et la gestion des risques et incidents aux réseaux et systèmes informatiques, (ii) à faciliter la coopération entre les États membres pour garantir l’harmonisation des règles de cyber-sécurité au sein de l’Union européenne et (iii) établir des exigences en matière de sécurité pour les acteurs du marché, notamment les « opérateurs d’infrastructure essentielle ».

En effet, en raison de la disparité des niveaux de protection des États membres en matière de cyber-sécurité, il s’avère impossible d’avoir une coopération et une collaboration effective au sein de l’Union européenne et la construction d’une cyber-protection européenne s’avère une chimère.

Parallèlement à l’initiative européenne, la France a voté la Loi de Program-mation Militaire, le 18 décembre 2013. Elle fi xe de nouvelles règles qui complètent le dispositif présenté ci-dessus. Toutefois, les textes réglementaires précisant la mise en œuvre de la LMP et le calendrier prévisionnel associé se font toujours attendre. Ainsi les éléments suivants restent encore en attente :

– les décrets d’application ;– la déclinaison par typologie d’industrie ;– la procédure de certifi cation/labellisation de logiciels et matériels de

sécurité compatibles pour les infrastructures critiques ;– la procédure de certifi cation/labellisation de prestataires habilités à

auditer les OIV ;– défi nition d’un incident de sécurité afi n de répondre à la section 2 de

l’article 22 qui impose la déclaration des incidents ;– détails des calendriers d’audit et de ce qui sera exigible en 2014/2015/ et

au-delà, au regard de la loi.

Le comparatif entre les dispositions américaines, européennes et françaises applicables aux systèmes industriels en matière de cyber-sécurité

Les opérateurs exploitant des systèmes industriels peuvent, dans certains cas, être soumis aussi bien aux dispositions françaises et européennes qu’aux dispositions américaines concernant la cyber-sécurité. De ce fait, les acteurs soumis à ces régimes devront rester particulièrement attentifs car la conformité à l’un de ces régimes ne signifi e pas une conformité automatique à l’autre régime ; de même, ces régimes, aux approches différentes, continueront à évoluer dans les mois et années à venir.



Le tableau ci-après présente un comparatif des principales mesures de ces régimes.



Les normes internationales applicables aux systèmes industriels

À ce jour il n’existe pas de standard unique mondial, mais le NERC (North American Electric Reliability Corporation) comme l’ANSSI ont édité des guides de bonnes conduites.

En 2013, l’amélioration de la sécurité des réseaux et des systèmes d’information des infrastructures critiques sont une priorité rendue nationale en France par l’ANSSI et à l’échelle européenne par l’ENISA.

Aujourd’hui les normes européennes CEI 62443 (ISA99) prennent en compte les systèmes de management de la sécurité des systèmes de contrôle et d’automatismes, de normes ISO 27001 et ISO 27002.

Les versions CEI 62443-2-1(2013) défi nissent un modèle de système de management de la sécurité ; il contient un catalogue de recommandations pour la mise en place de politiques et procédures adaptées aux systèmes industriels, avec une structure selon les 11 chapitres de l’iSO 27002.

Les autres volets de la norme prennent également en compte les exigences « temps-réel » (priorité aux tâches de contrôle par rapport aux taches de la sécurité) et de l’organisation du travail avec une logique qui donne la priorité aux fonctions essentielles de ces systèmes principalement la sécurité fonctionnelle.

Aux États-Unis, le National Institute of Standards and Security (NIST) a publié le 14 mai 2014, le référentiel américain qui est le pendant du CEI 62443-2-1 (2013). Il s’agit du « Guide to Industrial Control Systems (ICS) Security » référence NIST 800-82 qui remplace la précédente version de 2011.

Le rôle de la Direction JuridiqueAu-delà des risques potentiels liés aux menaces, cyber, physiques et

opérationnelles, les exploitants de systèmes industriels sont tenus par une obligation de conformité réglementaire.

Il s’agit d’un ensemble complexe car il concerne d’une part toute la réglementation/législation applicable verticalement pour chaque type d’industrie mais aussi les règles d’application horizontale, telles les standards internationaux, les bonnes pratiques et les principes.

Ces textes sont cependant ambigus et convergent rarement vers un consensus par rapport aux guides stratégiques ou tactiques d’implémentation. Les exploitants des systèmes industriels ne sont pas certains de la façon dont ils doivent agir afi n que leur système industriel soit conforme et sécurisé ; ne sachant pas d’avantage quels sont les principes ou règles qui leur sont réellement applicables. Ils sont donc témoins d’une multiplication d’interprétations dues au manque des règles défi nies.

Toutes ces diffi cultés ont une conséquence désastreuse lors de la réalisation d’un audit qui peut s’avérer hors périmètre ou bien entraîner l’application des



pénalités ; ils peuvent aller jusqu’à la mise en cause de la responsabilité de l’exploitant du système industriel en question.

Compte tenu de ce qui vient d’être exposé, il est donc impératif de faire une cartographie des risques potentiels (notamment juridiques) et de les analyser puis d’apporter toute action préventive nécessaire, le plus en amont possible. Ceci afi n de minimiser, voire d’éviter, le risque et de décharger toute responsabilité pénale de l’exploitant en cas de défaillance ou de vulnérabilité du système.

Dans cette démarche la participation de la direction juridique ou du service juridique de l’exploitant est indispensable.

Dans la mise en place de la cartographie des risques, une attention particulière doit être portée au personnel de l’exploitant qui administre le système industriel. En effet, ce personnel doit être expérimenté et avoir les pouvoirs nécessaires pour exercer la mission d’administration (être en mesure de reconnaître les risques auxquels s’expose l’entreprise en cas de défaillance du système ou en cas d’indisponibilité d’une opération donnée) ; car ce personnel constitue la première ligne de défense en cas de mise en cause pour non respect des réglementations.

Le personnel de l’exploitant doit être en mesure de communiquer toutes les données de disponibilité ou d’indisponibilité à la direction/service juridique. Pour répondre à cette obligation, il est capital de tenir un registre des incidents. En cas d’audit il est impératif d’avoir accès très rapidement à ces registres et archives.

Les Directions Juridiques ont donc un rôle très important à jouer dans la sensibilisation aux nouveaux risques encourus par les salariés par l’usage des nouveaux outils de communication.

Il est impératif de suivre toutes les étapes d’identifi cation et corrections des risques ; ceci doit être redoublé par tous les nouveaux défi s émergeants de cyber-attaques, les changements concernant les réglementations environne-mentales, les standards industriels, les bonnes pratiques et les procédures.

Chaque type de système industriel étant par ailleurs également soumis à des législations et réglementations spécifi ques en fonction du domaine d’activité (type d’industrie) ; elles peuvent être extrêmement complexes à mettre en œuvre et le suivi s’avérer très lourd.

Dans une démarche de « due diligence », les entreprises doivent faire partie des organisations inter-entreprises de type CERT leur permettant d’échanger des informations et ainsi recevoir les indicateurs appropriés et les documents d’alerte. Cette information doit être analysée ; il est nécessaire d’avoir un processus avec des réponses documentées à partir d’éléments aussi bien internes qu’externes. Dans ce cadre, le travail conjoint avec le service juridique permet la mise en place des procédures de réduction des risques, d’évaluation de la sécurité des réseaux et la conclusion de contrats de réalisation de tests d’intrusion.



Le présent chapitre fait une présentation sous la forme « catalogue » de solutions de sécurisation de la connexion à Internet des systèmes industriels à Internet. Certaines de solutions exposées ci-dessous existent déjà et d’autres sont des propositions ou des pistes de réfl exion.

Le retour au déterminisme des systèmes industriels

La principale solution pour augmenter la cyber-sécurité des systèmes industriels est de renforcer le déterminisme afi n que les fonctions de bases du système industriel ne soient pas détournées.

À défaut de bloquer la versatilité de la fonction TRU (Terminal Unique “capteur/actionneur”), il faut asservir l’élément dans un environnement de contrôle en imposant le déterminisme de la fonction. Aujourd’hui, tous les éléments des systèmes industriels sont installés sur les systèmes polyvalents : OS, Windows, Linux, etc.

Il serait intéressant de créer une liste blanche fonctionnelle propre à l’actionneur afi n de limiter l’actionneur au strict usage de l’implantation du système industriel sans permettre l’ouverture à d’autres capacités fonctionnelles potentielles. Par exemple, à partir du système polyvalent, une image du système nominal peut être faite ; tout ce qui n’est pas concordant (ex : .exe, .bat, etc.) serait bloqué.

Historiquement, le déterminisme était intrinsèque aux systèmes industriels (mécanique, logique câblées et électronique analogique). Afi n de réduire les coûts et les délais de développement pour la livraison des systèmes industriels, le fabriquant prend des fonctions polyvalentes déjà existantes pour les adapter (ex. : OS, Windows); ce phénomène favorise cependant le détournement de la fonction principale induisant ainsi le risque de malveillance. Il existe un compromis qui se met en place : l’ASIC, des composants électroniques « hard » contenant des fonctions programmables qui ne peuvent plus être changés une fois programmés.

Certes la mise en place d’une politique de sécurité déterministe peut apparaître à court terme très coûteuse et longue à mettre en œuvre mais sur le moyen terme voire le long terme, celle-ci est nécessaire et peut en effet contribuer à la réduction des coûts et des risques.

Chapitre 4 LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION

À INTERNET DES SYSTÈMES INDUSTRIELS

Chapitre 4 LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET


L’audit du codeLe code source des programmes pour les systèmes industriels doit être revu

par une entreprise indépendante au fabricant ou par l’ANSSI, par exemple, qui fournira un label, ex. : stone soft, wallix, etc. À titre d’exemple cet audit de code prendre en compte tous les cas d’une condition, c’est-à-dire quand une valeur va de 0 à 10, et reprendre ainsi distinctement chaque valeur et s’assurer que les 10 valeurs soient opérationnelles. Si l’une d’elles est défaillante, le système proposé devra être rejeté dans sa globalité.

Authentifi cation forteAfi n de réduire l’usurpation d’identité et s’assurer de la réalité d’une commande

reçue, la mise en place d’une authentifi cation forte est une solution simple et effi cace. L’authentifi cation forte implique celle de l’utilisateur ou du matériel avec deux facteurs distingués en quatre familles :

– le savoir : password ou une question et une réponse ;

– être : biométrique (avec trace (digital) ; sans trace (œil, iris)) ;

– possédé : clé d’identifi cation, certifi cat, ou un device (clé) ;

– faire : signature (vitesse de saisie clavier).

Total de 14 méthodes d’authentifi cation double facteurs conformes aux directives PCI-DSS et FFIEC

LES SOLUTIONS DE SÉCURISATION DE LA CONNEXION À INTERNET Chapitre 4


Les moyens d’authentifi cation Sécurité vs Contrainte vs Confort d’usage

L’authentifi cation simple ne repose que sur un seul facteur (ex. : mot de passe) ; l’authentifi cation forte repose sur deux facteurs ou plus. L’authentifi cation unique (Single Sign-On/SSO) est une méthode permettant à un utilisateur de ne procéder qu’a une seule authentifi cation pour accéder à plusieurs applications. Les fonctionnalités d’identifi cation transparentes sont les suivantes :

– identifi cation transparente (pas de multiple demande) ;

– traçabilité des utilisateurs ;

– politique de sécurité appliquée en fonction des utilisateurs ;

– contrôle des accès aux réseaux (NAC) ;

– gestion des mouvements des utilisateurs.

Le chiffrement et le principe ou la chaîne de confi ance

L’utilisation du chiffrement de la communication des systèmes industriels se présente en deux versions :

– version symétrique : ssl simple d’utilisation et demande moins de ressources pour chiffrer/déchiffrer ;

– Version asymétrique : ipsec plus dur à compromettre

De même dans le chiffrement il faut tenir compte de la clef fournie par une PKI de l’entreprise. Cette PKI interne permet de générer des certifi cats de trois ordres pour trois rôles différents :



– Un certifi cat signature pour signer un message : permet de vérifi er l’intégrité.– Un certifi cat identité pour identifi er l’objet : utilisateur, system, MTU, …– Un certifi cat de chiffrement pour la confi dentialité. Éviter qu’un attaquant

ne puisse pas espionner les fl ux, car il lui est impossible de comprendre le contenu.

Un autre intérêt d’avoir une PKI réside dans la liste de certifi cats révoqués «Certifi cate revocation list/CRL », afi n de contrôler l’usage de ces certifi cats et de pouvoir les révoquer en cas de compromission : vol du système, doute.

Ainsi la mise en place de certifi cat sur les MTU permet d’identifi er le MTU, de chiffrer de bout en bout les communications.

Le principe de confi ance ou la chaîne de confi ance

Dans le but de maîtriser l’utilisation des certifi cats utilisés pour le chiffrement, il est nécessaire de connaître la façon dont ils sont fabriqués.

Afi n d’avoir confi ance dans les clés utilisées, il est parfois nécessaire de posséder le même outil de fabrication de ces clés. Une analogie peut être faite avec les clés de la maison : en cas de prêt de ces clés à quelqu’un comment être sûr que cette personne n’a pas fait un double ? En cas de doute et d’absence de confi ance dans la personne, un changement de serrure s’impose. Ainsi, ce même raisonnement est applicable pour les clés utilisées pour le chiffrement.

Les schémas présentés ci-dessous illustrent un arbre qui permet d’ordonner tous les certifi cats et la chaîne de confi ance ou le principe de confi ance comme étant le parcours des certifi cats de confi ance jusqu’à la racine de l’arbre de confi ance.





Protocoles spécifi ques SCADA par les fabriquants des solutions « endpoint »

Les éditeurs et fabriquants de dispositifs de sécurité informatique ont vu une opportunité s’ouvrir à eux depuis que les exploitants des systèmes industriels ont pris conscience de la vulnérabilité de leurs systèmes.

De nouvelles signatures et moteurs prenant en compte les protocoles des sytèmes industriels arrivent dans le commerce afi n de pourvoir être implémentés sur ces systèmes. Les solutions « endpoint » mettent en œuvre des mécanismes d’exclusion afi n de ne pas impacter les systèmes en temps réel. Issu des services informatiques, les analyses comportementales sont adaptées à ces nouveaux langages. Certains fabricants de sécurité créent des partenariats avec les fabricants industriels afi n de développer des solutions spécifi ques.

Ainsi, Intel Security décline une sécurité spécifi que pour les systèmes industriels en profondeur avec ses deux marques :

– McAfee sur les stations fi nales (IDS, anti-virus).– STONESOFT comme élément d’interactions.

De plus, un Firewall virtuel, permet de créer simplement une ségrégation des réseaux et embarque un moteur signature avec un développement spécifi que aux systèmes industriels.

Approche sémantique « fi rewall sémantique »

Il existe plusieurs langages de programmation des automates programmables. Ces langages sont tous gérés par la norme IEC 1131-3, qui spécifi e la syntaxe, la sémantique et l’affi chage des langages de programmation suivants :

– logique à relais (LADDER)– graphcet (SFC)– bloc fonction (FBD)– texte structuré (ST)– liste d’instruction (IL)

Il n’est pas nécessaire de supporter tous ces langages pour être conforme à la norme. L’avantage et les objectifs de ce standard sont de faire cohabiter différents types de langages de programmation dans un même processeur. L’utilisateur choisi donc celui approprié en fonction de ses préférences et en fonction de la nature de la tâche à programmer. Ainsi, l’utilisation du Graphcet, par exemple, est plus appropriée aux systèmes séquentiels tandis que les Blocs Fonction sont plus utilisés dans les process. Le LADDER, qui est le plus connu de tous, est utilisé pour la gestion des systèmes discrets.



Une étape supplémentaire de sécurité est de mettre en place des fi ltres sémantiques en copiant le modèle du « Security operational Cente » Soc, avec des équipes humaines qui créaient des règles de corrélation et de fi ltrage. Exemple : les solutions « endpoint » doivent rester généralistes, le fi ltre sémantique peut alors supprimer l’instruction « SUPPRIMER » des fl ux destinés aux actionneurs qui n’ont pas à recevoir cette instruction. Les variables peuvent être bornées ou fi xées à des valeurs pour rendre plus déterministe les fonctions du MTU.

Enfi n, l’amélioration du service de découverte sémantique doit permettre au service de découverte de prendre en charge des requêtes plus complexes incluant des contraintes comportant des valeurs numériques, ceci afi n de mieux cibler la recherche de certains services.

Amélioration de la Cyber sécurité des réseaux des systèmes industriels

En Septembre 2002, le Département de l’Énergie des États-Unis a publié un document intitulé « 21 mesures pour améliorer la cyber- sécurité des réseaux des systèmes industriels » ; il fournit une liste d’actions et de procédures de sécurité des systèmes d’information adaptés aux besoins et caractéristiques des systèmes industriels. L’ensemble de ces mesures d’amélioration sont listées dans le tableau ci-dessous.

Identifi cation de toutes les connexions réseaux :

Il convient de faire une analyse systématique pour chaque type de connexion ci-après le réseau local interne et les réseaux étendus, y compris les réseaux métiers : l’Internet ; les périphériques à réseau sans fi l, y compris les liaisons Satellite ; les modems, RNIS ou connexions Adsl ; les liaisons aux partenaires commerciaux, fournisseurs, ou les organismes de réglementation.

Débranchez les connexions inutiles du réseau :

Afi n d’assurer le plus haut degré de sécurité des systèmes industriels, le réseau doit être isolé le plus possible des autres connexions réseau. Des stratégies telles que l’utilisation de zones démilitarisées (DMZ) et le stockage de données peuvent faciliter le transfert sécurisé de données du réseau du système industriel vers des réseaux métiers. Toutefois, ces stratégies doivent être conçues et mises en œuvre de façon à éviter l’introduction des risques supplémentaires résultant d’une mauvaise confi guration.

Évaluer et renforcer la sécurité de toutes les connexions restantes au réseau :

Il est nécessaire de compléter le point 2 par des tests d’intrusion et de vulnérabilité de toutes les connexions restantes afi n d’évaluer le degré de protection de ces connexions. Le résultat associé aux processus de gestion du risque fournissent les bases d’une stratégie de protection robuste pour l’ensemble des connexions du réseau.. C’est à ce niveau qu’il apparaît essentiel de mettre en place des pare-feu, des systèmes de détection d’intrusion (IDS) et d’autres mesures de sécurité appropriées pour chaque point d’entrée. La gestion de l’organisation doit comprendre et accepter la responsabilité des risques liés à toute connexion au réseau.

Durcissement du système industriel en supprimant ou en désactivant les services inutiles :

Un service ou une fonctionnalité sur un réseau d’un système industriel ne doit demeurer, à moins qu’une évaluation approfondie des risques et des conséquences ait été effectuée et démontre les avantages du service ou de la fonctionnalité en question, et que ces derniers l’emportent largement face au risque d’exploitation d’une vulnérabilité.

Protéger son système au-delà des protocoles propriétaires : pour s’assurer une protection des systèmes.

Les protocoles propriétaires « obscurs » fournissent très peu de sécurité, il ne faut pas s’en contenter.

Mettre en œuvre les fonctions de sécurité fournies par les fournisseurs de périphériques et de systèmes :

Les propriétaires de systèmes industriels doivent obtenir de leur fournisseur la mise en œuvre de fonctions de sécurité sous la forme de tâches, sur les produits comme sur les mises à niveau. La préoccupation de la sécurité doit être impérativement prise en compte, de la conception des équipements et systèmes ainsi que dans leur fabrication.



Systèmes de détection d’intrusionUn système de détection d’intrusion (IDS) comprend le matériel ou le logiciel,

ou une combinaison de ceux-ci, conçu pour surveiller et analyser les activités sur un ordinateur hôte ou un réseau afi n de déterminer si un événement malveillant s’est produit ou est survenu.

En plus de détecter une attaque, un IDS est particulièrement utile dans la détection des signes précurseurs à une attaque tout comme les analyses et les sondes qui recherchent des ports ouverts ou d’autres moyens d’entrée dans un ordinateur ou un réseau.

Les IDS sont également utiles dans la caractérisation des menaces contre des ordinateurs ou les réseaux, car ils collectent des informations avant, pendant et après une attaque ou tentative d’attaque. En appliquant un IDS, les données acquises doivent être stockées et analysées dans un emplacement séparé de l’environnement surveillé.

Mettre en place des contrôles rigoureux sur tout support utilisé comme porte dérobée dans le réseau du système industriel :

Lorsque des portes dérobées ou des connexions de fournisseurs existent dans les systèmes industriels, l’authentifi cation forte doit être mise en œuvre pour assurer la sécurité des communications. Modems sans fi l et réseaux fi laires utilisés pour les communications et la maintenance représentent une vulnérabilité majeure sur le réseau du système industriel et des sites distants.

Mettre en place des systèmes internes et externes de détection d’intrusion et établir un suivi de l’incident 24 heures par jour :

Pour s’assurer de pouvoir lutter contre les cyber-attaques, une stratégie de détection des intrusions, avec alerte aux administrateurs, ainsi qu’un suivi de l’activité du réseau malveillant provenant de sources internes ou externes sont impératifs. La surveillance du système est essentielle 24 heures sur 24 heures et peut être facilement mise en place grâce à une notifi cation sur un téléphone mobile. En outre, des procédures de réponses aux incidents doivent apporter une réponse effi cace à toute attaque. Il faut également compléter cette action par l’activation de la journalisation de l’ensemble des systèmes afi n de détecter toute activité suspecte dès que possible.

Effectuer des audits techniques :

Mener des enquêtes de sécurité physique du site central et des sites distants connectés au réseau du système industriel afi n d’évaluer leur sécurité :

Identifi er et évaluer toute source d’information, y compris les câbles distants (téléphone, réseau informatique, fi bre optique, etc.) qui pourraient être exploitées, les liaisons radio et micro-ondes qui sont exploitables; les terminaux informatiques qui pourraient être accessibles et les points locaux d’accès sans fi l de réseau. La sécurité du site doit être suffi sante pour détecter ou empêcher l’accès non autorisé.

Identifi er et évaluer les attaques possibles :

il est conseillé de constituer une «red team» pour répondre à ce besoin.

Rôles et responsabilités en cyber-sécurité

il convient de défi nir clairement dans l’organisation le rôle et la responsabilité de chaque gestionnaire, administrateur système et utilisateurs.

Niveaux de protection supplémentaires :

Pour tout système qui remplit des fonctions critiques ou qui contient des informations sensibles, il convient de documenter l’architecture du réseau et d’identifi er les systèmes qui requièrent des niveaux de protection supplémentaire.

Gestion des risques : Il est nécessaire de mettre en place un processus de gestion des risques rigoureux et continu.

Stratégie de protection de réseau basé sur le principe de la défense en profondeur :

Mettre en place un principe fondamental qui doit faire partie intégrante de toute stratégie de protection du réseau assure une défense en profondeur. Celle-ci est à considérer au début de la phase de conception du processus de développement et être prise en compte dans toutes les décisions techniques concernant le réseau. En outre, chaque couche doit être protégée contre d’autres systèmes de la même couche. Par exemple, pour se protéger contre la menace interne, il faut empêcher les utilisateurs d’accéder à d’autres ressources que celles strictement nécessaires pour s’acquitter de leurs fonctions.

Cyber-sécurité : Il convient d’identifi er clairement les exigences en matière de cyber sécurité afi n d’apporter toutes les actions préventives nécessaires.

Les processus de gestion de confi guration

Mettre en place la gestion de la confi guration permet de couvrir les confi gurations matérielles.



Typologie des IDS

1 - IDS basé sur les réseaux et sur les hôtes

Un IDS basé sur un réseau capture et évalue les paquets de messages circulant sur un segment de réseau. Ces IDS sont généralement des dispositifs passifs qui utilisent des capteurs pour surveiller le trafi c réseau et sont conçus pour protéger les ordinateurs hôtes. En période de trafi c réseau élevé, un IDS basé sur le réseau peut rencontrer des problèmes dans le suivi de tous les paquets et pourrait rater une attaque qui est lancée. En outre, un IDS basé sur le réseau ne peut pas analyser les paquets cryptés ; par conséquent il ne peut identifi er une attaque qui utilise des messages cryptés. Enfi n, si un IDS peut dire qu’une attaque est lancée, il ne peut pour autant déterminer le résultat. Ainsi, une intervention manuelle est nécessaire pour discerner si l’attaque a réussi contre un hôte du réseau.

Parce que ce type d’IDS réside sur un ordinateur hôte, il peut également accéder à des informations avant qu’elles ne soient chiffrées ou après qu’elles ont été déchiffrées ; ceci permet dans de nombreux cas de recueillir des informations d’attaque lorsque les données sont transmises sous forme cryptée. Afi n d’analyser les attaques potentielles, un IDS basé sur l’hôte utilise les informations des journaux système et suit des pistes de vérifi cation du système d’exploitation.

Un sous-ensemble de type IDS basé sur l’hôte est un IDS basé sur l’application. Il a les mêmes caractéristiques que le premier et évalue les opérations dans une application logicielle. Par conséquent, il peut surveiller les attaques entre l’utilisateur et l’application dès lors que les utilisateurs tentent d’accéder à des données au-delà de leur niveau d’habilitation.

2 - IDS basé sur des signatures et sur des anomalies

Un IDS basé sur les signatures, ou IDS abusif comme on l’appelle parfois, surveille l’activité du système et compare les caractéristiques de l’activité avec celles d’attaques connues stockées dans une base de données. Parce que ce type d’IDS fonde ses alarmes sur la correspondance à un motif d’attaque connue, elle peut fournir des informations spécifi ques sur la typologie et génère moins de faux positifs qu’un IDS basé sur les anomalies. L’inconvénient d’un IDS à base de signatures réside dans le fait qu’il ne puisse détecter de nouvelles attaques, ces dernières ne sont pas encore stockées dans la base de données. Celle-ci doit impérativement et constamment être mise à jour. En appliquant un IDS basé sur les signatures du système industriel, la base de données de signatures d’attaque aura des caractéristiques différentes de signatures dans une base de données orientée informatique d’entreprise (Bureautique,...). Ces signatures devront donc être corrélées avec les protocoles du système industriel tels que bus de Foundation fi eldbus, Modbus, Profi net, ControlNet, etc.

Un IDS basé sur l’anomalie prend des échantillons statistiques de réseau ou des données d’exploitation hôte pour élaborer un profi l des activités normales sur un système. Lorsque ces statistiques s’écartent de la norme, elles indiquent généralement qu’une attaque est en cours. Les statistiques utilisées



pour caractériser un comportement normal comprennent le taux d’utilisation de la CPU et le nombre de tentatives de connexion infructueuses. Si l’un des avantages de ce type d’IDS est la détection de nouvelles attaques, ce dernier peut malgré tout être trompé ; en effet, certaines intrusions ne changent pas de manière signifi cative les paramètres mesurés, elles sont alors indétectables. De même, un IDS basé sur l’anomalie peut générer de fausses alarmes si l’activité légitime de l’hôte ou du réseau provoque suffi samment de changement dans les paramètres statistiques, ce qui peut alors provoquer une alarme illégitime.

3 - IDS réponse Active

L’IDS « réponse Actif » prend une certaine forme d’action en cas d’intrusion. Les réactions typiques disponibles sont résumées dans la liste suivante:

• explorer l’environnement et obtenir des informations supplémentaires qui seraient pertinentes dans l’identifi cation d’une attaque ;

• bloquer les ports et protocoles du réseau utilisés par l’attaquant présumé ;

• changer les listes d’accès au routeur et au pare-feu pour bloquer les messages provenant de l’adresse IP de l’attaquant présumé.

4 - IDS réponse Passif

Une « réponse passive » IDS fournit des informations sur une attaque à un responsable qui peut, par la suite, décider du bon déroulement de l’action. La personne peut être notifi ée sous la forme d’un appel vers un téléphone cellulaire ou un téléavertisseur, un message email, une alerte sur un écran de terminal d’ordinateur ou un message à un protocole simple de gestion de réseau (SNMP) de la console. Les informations fournies par l’alerte peuvent comprendre les éléments suivants :

– l’adresse IP source de l’attaque ;– l’adresse IP de la cible de l’attaque ;– le résultat de l’attaque ;– l’outil ou mécanisme utilisés pour lancer l’attaque ;– les rapports et journaux d’attaques du système et des événements pertinents.

5 - Traitement des données IDS

L’IDS peut collecter et analyser des données sur d’éventuelles intrusions sans bloquer l’acquisition des données en cours ; il peut aussi les récupérer sous forme de bloc après qu’un événement se soit produit. Dans le mode continu, également connu sous le traitement en temps réel, les données sont analysées en même temps qu’elles sont recueillies, donnant ainsi à l’utilisateur la possibilité de prendre des mesures pendant que l’intrusion est en cours. Au lieu d’analyser les informations IDS sous forme de bloc après qu’une intrusion ait été réalisée, est appelé en mode « batch » ou traitement par intervalles. Dans ce cas, l’utilisateur ne peut pas intervenir lors d’un événement. Le mode batch était commun dans les premières implémentations IDS parce que leurs capacités ne prennent pas en charge l’analyse et l’acquisition de données en temps réel.



Les « Honeypot »Une nouvelle approche de la sécurité des systèmes d’information, qui a été

appliquée aux systèmes d’information, est le pot de miel (Honeypot). Le pot de miel, leurre à haute interaction au sein d’un système d’information, est utilisé pour attirer un pirate loin des ressources critiques. Le pot de miel est contrôlé. Il est là pour surveiller et obtenir des informations sur les attaquants du réseau.

Lance SPITZNER, président du projet Honeynet, défi nit un pot de miel comme « une ressource de système d’information dont la valeur réside dans l’utilisation non autorisée ou illicite de cette ressource ». Le projet Honeynet est un organisme de recherche à but non lucratif composé de professionnels de la sécurité et de bénévoles voués à la promotion de l’état de l’art en matière de sécurité des systèmes d’information.

Les pots de miel (honeypot) sont actuellement explorés pour une utilisation dans la protection des systèmes industriels. Une organisation qui fait usage des pots de miel doit être prudente face aux conséquences juridiques et aux responsabilités subjacentes. En effet, l’exploitant du système industriel est passible de poursuites en raison de la violation du droit à la vie privée lors de la surveillance des activités des salariés ; de même lorsqu’un pot de miel d’une organisation est utilisé pour attaquer les ordinateurs d’une autre organisation, des poursuites en raison du stockage des informations obtenues de manière illicite ou volées peuvent être engagées.

Un des problèmes avec la simulation des systèmes industriels est que, contrairement aux systèmes informatiques, il n’existe pas une grande base de données de vulnérabilités ou d’avis de sécurité à partir de laquelle il est possible de construire des scénarios réalistes d’attaques possibles, ni d’interpréter les conséquences de ces dernières.

Recherche et analyse de la vulnérabilité

Une analyse de vulnérabilité réalisée par un organisme a pour objectif d’évaluer la sécurité de systèmes d’information ; elle est reconnue comme « piratage éthique ». Les analyses sont effectuées par des intervenants qui se placent dans la position d’attaquants ; ils recueillent des informations sur un système cible pour faciliter une attaque plus tard sur le système. Les informations types que l’on peut recueillir par une analyse de vulnérabilité comprennent les éléments suivants :

– les noms de domaine et les adresses IP ;– les pare-feu et dispositifs péri métriques ;– l’infrastructure de réseau général ;– les systèmes de détection d’intrusion ;– les plates-formes et protocoles ;– les ports ouverts ;– les logiciels non autorisés ;– lancer des services.



Les analyses de vulnérabilité dites « amicales » doivent être effectuées par un professionnel de la sécurité avec l’autorisation expresse du management. Même un balayage « sympathique » avec de bonnes intentions peut potentiellement causer des dommages par inadvertance aux fi chiers et à d’autres processus critiques fonctionnant sur le système analysé ou le réseau.

Ces actions doivent être effectuées périodiquement pour identifi er les faiblesses dans les systèmes industriels et pouvoir, y besoin, y remédier. Quelques types d’analyses typiques sont énumérés ci-dessous :

• balayage par découverte : acquiert des informations sur les périphériques réseau, y compris le type d’appareil, les services en cours d’exécution, le système d’exploitation utilisé, et les ports disponibles ;

• balayage du poste de travail : recueille des données sur les confi gurations des ordinateurs de l’entreprise, y compris le matériel et les logiciels, mises à jour et correctifs de sécurité ;

• balayage du serveur : détermine la confi guration du système d’exploitation du serveur et identifi e l’exécution d’applications, les versions des logiciels, des correctifs de sécurité, comptes par défaut, les mots de passe faibles, et les programmes non autorisés ;

• balayage de port ou de la sonde : envoie des paquets de données vers les ports afi n d’acquérir les informations sur ces derniers, y compris les TCP et UDP utilisés, les hôtes actifs, le type de système d’exploitation et publier la version, les services de réseau, et la capacité de connexion à distance.

La vérifi cation des journauxLes systèmes industriels et leurs composants de sécurité, par leur nature même,

permettent d’acquérir en continu les données du journal sur presque tous les aspects d’une usine sous contrôle. Ces journaux sont une source d’informations précieuses sur les opérations de l’usine, y compris des informations sur les personnes qui tentent d’accéder au système, les données relatives aux attaques et tentatives d’attaques, les caractérisations de scans de ports et les entrées possibles des Back-doors dans le système industriel.

Les journaux contiennent notamment des informations relatives à la vérifi cation des journaux du pare-feu, d’audit de routeur, de serveur de contrôle, du serveur Web et les journaux associés aux commutateurs de données.

Toutefois l’utilisation des journaux d’audit afi n de détecter des attaques sur les systèmes industriels, entraîne une utilisation supplémentaire de ressources de calcul d’un serveur et peut, par conséquent affecter les performances du serveur de contrôle et entraîner des retards dans les temps de réponse du système industriel.

De même, parce que les fi chiers journaux contiennent des informations critiques qui sont extrêmement utiles dans l’analyse d’investigation des attaques et tentatives d’attaques, ces fi chiers doivent être protégés avec le plus haut niveau de sécurité disponible. Certaines méthodes effi caces de protection des fi chiers journaux d’audit incluent le cryptage, une vérifi cation d’intégrité, et des signatures numériques.



La sensibilisation à la cyber-sécurité

Les ingénieurs de contrôle étaient traditionnellement concernés par la conception, le développement, l’installation, l’exploitation et la maintenance de systèmes effi caces, fi ables, avec un contrôle sûr pour une variété de domaines.

Techniciens et opérateurs sont également impliqués, dans une certaine mesure, dans ces différentes phases d’applications du système de contrôle. Historiquement, les mesures de sécurité prédominantes étaient axées sur la sécurité physique et une certaine sécurité technique pour se protéger contre l’intention ou accidents malveillants.

L’utilisation de systèmes d’exploitation standards, de plates-formes matérielles, des protocoles et les connexions aux réseaux externes exigent maintenant un nouveau niveau de conscience pour le personnel du système de contrôle. Un changement de paradigme dans la pensée est nécessaire pour aborder des questions telles que les attaques via le réseau de l’entreprise de l’organisation, les attaques via Internet, les types de menaces, les vulnérabilités du système industriel, la réponse aux incidents, l’application des normes de sécurité, la gestion des pare-feu, la reprise après sinistre et le risque gestion.

Afi n d’accroître la sensibilisation à la sécurité, les employés (opérateurs, mainteneurs, sous- traitants) doivent être informés et éduqués sur les problé-matiques de la cyber-sécurité, notamment sur les aspects suivants :

– leurs responsabilités ;

– la politique de sécurité et l’organisation ;

– comment déterminer si un incident s’est produit ou se produit ;

– que faire si un incident est découvert ;

– la structure du rapport ;

– avoir la conscience générale de maintenir un environnement de sécurité approprié.

Pour la sensibilisation à la sécurité, il est conseillé de mettre en place un plan de formation dédié. Ce dernier n’a pas à être long ni complexe mais doit couvrir les objectifs, les points d’action et les dates du programme, les affectations de personnel ainsi que les moyens de mesurer les progrès du programme.

Une mesure effi cace pour renforcer la sensibilisation de la sécurité consiste à veiller à ce que toute personne qui se trouve en violation des exigences de la politique et de sécurité de sécurité d’une organisation en assume les conséquences. Les peines peuvent aller de l’avertissement à la révocation, selon la gravité de la violation. En outre, des rappels standards et aide-mémoire tels que des affi ches, des bannières de connexion, des signes, des vidéos, des bulletins d’information et autres supports sont un excellent moyen de rappeler aux employés la nécessité d’appliquer les règles de sécurité au cours de leurs activités quotidiennes.

Pour la sensibilisation à la sécurité, l’évaluation des connaissances acquises par le personnel ciblé peut être obtenue par questionnaires, des interviews, des



exercices à problèmes ou encore des séances de questions-réponses. En fait, au sein de l’organisation, il est aisé d’obtenir une bonne indication du niveau de la sensibilisation à la sécurité en posant au personnel concerné certaines des questions. Les réponses ainsi fournies révéleront si la sensibilisation à la sécurité a migré à travers l’organisation dans la mesure où les menaces de sécurité peuvent être traitées de manière appropriée.

La mise en œuvre des directives et guides de gestion de la sécurité

Ce qui suit est une liste d’autres questions concernant la mise en œuvre des contrôles de sécurité dans les systèmes industriels :

– en raison de la capacité de calcul limitée, plus de technologies de sécurité pourrait entraîner une dégradation des performances du système et les temps de réponse ;

– l’utilisation du chiffrement, authentifi cation forte, contrôle de la confi guration et d’autres mesures de sécurité fortes réduisent généralement la facilité d’utilisation des systèmes industriels ;

– la consolidation de l’industrie, la concurrence accrue et de faibles marges dans certains secteurs réduisent leurs investissements dans la technologie ;

– une capacité de réserve minimale, par exemple dans l’industrie de la distribution d’électricité, a donné lieu à des systèmes qui sont moins résistants aux accidents et d’attaques ;

– la déréglementation de certaines industries les a amené à se concentrer sur l’effi cacité et le retour sur investissement plutôt sur la sécurité et la fi abilité ;

– les questions relatives aux droits de confi dentialité empêchent le dépistage et le profi lage de certains membres du personnel ;

– de nombreux systèmes industriels sont plus âgés et ont été conçus avec un minimum d’attention à la sécurité. Ils envoient généralement des informations cryptées, souvent via une transmission sans fi l, ce qui rend l’interception plus risquée.

La défense en profondeurLa stratégie de défense en profondeur est nécessaire car elle favorise la

protection à plusieurs endroits, la superposition des défenses, la robustesse de l’information, les composants de sécurité, l’application de systèmes de détection d’intrusion et le déploiement de méthodes robustes de gestion de clés publiques. Cette défense est construite sur trois éléments essentiels. À savoir les personnes, la technologie et les opérations.



Elle comprend les étapes suivantes :

• La défense– du réseau et de l’infrastructure ;– de la frontière de l’enclave ;– de l’environnement informatique ;– des infrastructures de soutien.

• La défense en profondeur impliquant les PERSONNES doit mettre en place :– les politiques et les procédures d’assurance de l’information ;– l’engagement des ressources ;– la désignation des rôles et responsabilités ;– la responsabilité personnelle ;– la formation du personnel critique ;– l’établissement de sanctions en cas de comportement non autorisé ;– les contrôles de sécurité physique ;– les contrôles de sécurité du personnel.

• la défense en profondeur impliquant la TECHNOLOGIE doit mettre en place :

– la politique de sécurité ;– les principes de l’assurance de l’information ;– les informations architectures d’assurance au niveau du système ;– les critères de spécifi cation pour les informations requises ;– les informations normes d’assurance de niveau de système ;– l’acquisition des signaux fi ables, l’architecture trois-tiers, les produits validés ;– les processus d’évaluation des risques pour les systèmes intégrés ;– les recommandations de confi guration.

• la défense en profondeur impliquant les OPÉRATIONS doit mettre en place :

– le relèvement et la reconstruction ;– la politique de sécurité ;– l’application de la politique de sécurité des informations ;– les certifi cations et accréditations ;– la gestion de la posture de sécurité de l’information ;– les services de gestion des clés ;– la réalisation d’évaluations de sécurité des systèmes ; l’évaluation de

préparation ; le suivi et la réponse aux menaces ; les détections des attaques, d’alerte et de réponse ; la protection de l’infrastructure.

La Gestion des risquesLes concepts fondamentaux de la gestion des risques dans le domaine de la

sécurité de l’information sont bien connus et peuvent être appliqués effi cacement à la sécurité des systèmes industriels.

La gestion des risques est conçue pour réduire l’impact négatif des menaces qui se matérialisent et exploitent les vulnérabilités inhérentes aux systèmes industriels. La gestion des risques consiste à évaluer le risque, l’atténuation du risque, puis



d’évaluer en permanence les risques du système. Les défi nitions importantes liées à la gestion des risques sont :

– risque : la probabilité qu’une menace spécifi que cause des dommages à un système industriel en exploitant la vulnérabilité interne ;

– menace : un événement qui a le potentiel d’avoir un impact négatif sur un système industriel. La menace est dirigée contre la confi dentialité, l’intégrité ou la disponibilité d’un système industriel ;

– vulnérabilité : une faiblesse dans un système industriel qui pourrait être exploitée par une menace ;

– sauvegarde : une contre-mesure ou de contrôle de sécurité conçue pour réduire le risque associé à une menace ou à un groupe spécifi que de menaces ;

– impact : l’effet ou la conséquence d’une menace réalisée contre un système industriel.

L’équation suivante est souvent utilisée pour quantifi er l’impact des coûts d’une menace réalisée : l’espérance de perte annualisé (ALE) = l’espérance de perte par menace réalisé (SLE) x le taux d’occurrence annualisé (ARO).

Évaluation du Risque

L’évaluation des risques d’un système industriel comprend les étapes résumées ci-dessous :

Processus d’atténuation des risques

Le processus d’atténuation des risques met en œuvre des contrôles de sécurité sur une base prioritaire. La mise en œuvre des contrôles n’élimine pas complètement le risque, mais réduit le niveau de risque à une valeur acceptable. Les commandes peuvent être techniques, physiques ou administrative. Ce qui reste après la mise en place du contrôle est un risque résiduel.



Au titre des différentes alternatives d’atténuation des risques, il y a le transfert du risque, la limitation du risque ou la recherche et le développement.

Figure – L’attaque vue par l’attaquant

Figure : Réduire l’intérêt de l’attaque7


(7) Présentation de Laurent Wolf. Cycle Sécurité Numérique INHESJ 2013-2014.


Propositions d’architecture et de process

S’il n’est pas possible de garantir une sécurité ultime des systèmes industriels, nous proposons quelques pistes afi n de sécuriser au maximum les systèmes in-dustriels. Celles-ci sont non exhaustives et à adapter en fonction du contexte.

Gestion des accès externes aux systèmes industriels

Comme nous l’avons déjà précisé, il n’est plus possible de « fermer » complètement l’écho système industriel, y compris pour la télégestion et l’exploi-tation distante. Exemple de gestion des accès externes aux systèmes industriels :

Le principe consiste à ce que l’utilisateur, qu’il soit interne ou externe, se connecte pour une opération sur les infrastructures industrielles via un accès internet et suive le processus suivant :

0 - En premier lieu, il s’authentifi e via internet avec ses identifi ants sur un système de mot passe unique. Pour ce faire, l’utilisateur devra être dûment enregistré avec ses informations (nom, société, numéro de gsm…) dans un système permettant de gérer des mots de passe à usage unique. Une fois fait, il recevra le mot de passe de connexion via SMS.



1, 2, 3 - Avec ses accès à usage unique, l’utilisateur, toujours via Internet, et quel que soit le device (pc personnel, tablette, Smartphone…) se connecte au SI industriel via un accès de type portail SSL ; en l’occurrence ici, un Netscaler est positionné dans une DMZ dédiée et ce derrière un reverse proxy afi n d’avoir une sécurisation renforcée et un accès indirect au SI.

4, 5 - Grâce à cette infrastructure, l’utilisateur se voit délivrer une machine virtuelle « jetable » (pc virtuel banalisé avec les outils nécessaires qui se régénère à chaque session) ; c’est cette machine qui se connectera aux différents composants du système industriel.

6, 7 - Enfi n, un système de gestion de comptes à privilège (type wallix), se chargera de connecter la machine virtuelle aux infrastructures industrielles. De ce fait, les comptes avec « pouvoirs » seront automatiquement « donnés » sans que l’utilisateur fi nal ne les connaisse et les actions de maintenance pourront avoir lieu. Bien entendu tous les logs de ces actions seront centralisés dans un système de type serveur, le log RSA inviolable, afi n de pouvoir retracer par la suite qui a fait quoi.

Gestion des mises à jour Microsoft



Comme pour l’accès d’un utilisateur tiers, il n’est pas concevable que les mises à jour Microsoft se fassent directement sur les systèmes industriels. Pour ce faire, comme indiqué sur le document :

1 - Nous allons recevoir les patches Microsoft sur un serveur maître dans une DMZ via l’accès internet centralisé de l’entreprise.

2, 3 – Une synchronisation des patches « validés » ou « autorisés » se fera ensuite entre le serveur maître WSUS puis dans la DMZ dédiée aux systèmes industriels.

4– Les mises à jours pourront donc se faire et ce exclusivement sur les patches qui auront été validés par l’IT.

Gestion des accès internes aux systèmes industriels

Le principe est presque le même que pour les accès via l’internet.

Cette fois, l’utilisateur utilisera une smartcard qui sera validée par le Wallix ; il n’aura pas besoin de passer par le mécanisme de reverse proxy et Nescaler pour accéder aux SI industriel.



Gestion des mises à jour via média amovible

Dans certains cas il peut être nécessaire de mettre à jour, via un média amovible, les systèmes industriels (MAJ des OS, des logiciels, de données de fonctionnement) ; cela devient de plus en plus incontournable. En conséquence, il nous parait judicieux de mettre en place un système de Kiosque de désinfection.

Comme présenté il nous parait obligatoire d’avoir une station de contrôle des médias amovible avant leur introduction dans les systèmes industriels (C ROM, Clef USB, Disquettes).

Pour ce faire il convient de mettre en place une machine non connectée au réseau (mises à jour manuelles des versions logicielles, AV, etc.) ayant la capacité de scanner tous les médias amovibles usités par le système industriel. Si possible, y installer plusieurs AV du marché, capables de cohabiter ensemble ; si cela ralenti en général les performances d’un système et peut être gênant pour de la bureautique journalière, ça l’est beaucoup moins pour une station dédiée aux analyse virales.

Une fois ceci fait, les médias peuvent être introduits sur les machines composant le système industriel.



La cyber-sécurité doit être comprise comme étant un facteur de performance des systèmes industriels et de réduction des coûts car elle apporte de la rigueur et renforce la robustesse des installations. Par conséquent, elle augmente leur productivité.

Ainsi, toutes les actions mises en place dans la recherche de la cyber-sécurité pourront ultérieurement faciliter la gestion de l’obsolescence des infrastructures. Le déterminisme dans la cyber-sécurité des systèmes industriels apporte de la simplicité et de l’effi cacité, comme par exemple la gestion centralisée des mots de passe et des privilèges des utilisateurs.

C’est ainsi que la cyber-sécurité des systèmes industriels a été élevée en cause nationale et européenne par les gouvernements, et que les agences gouvernementales et les laboratoires nationaux allouent des fonds pour la recherche et le développement. La coopération entre universités et secteurs public et privé est de ce fait encouragée.

La mise en œuvre d’une politique de cyber-sécurité dans les systèmes industriels doit absolument se fonder sur ces trois piliers :

1. les dispositifs de contrôle et prévention des risques et menaces ;

2. une action répressive qui assure l’incrimination de ces cyber-attaques ;

3. la sensibilisation et formation des personnes physiques et morales aux questions de cyber-sécurité.

S’il n’existe à ce jour pas de solution miracle ou dédiée aux systèmes industriels, nous pensons qu’il existe sur le marché plusieurs solutions capables de protéger au maximum les systèmes industriels. Sans entrer dans des préconisations de constructeurs et de solutions bien précises, il nous semble que certains principes (concepts d’architecture) peuvent être appliqués et ce, dans presque pour tous les types des systèmes industriels et domaines d’activités.

Ces grands principes sont les suivants :

– Pas d’accès direct à Internet pour les systèmes industriels.

– Isolation des réseaux entreprises et industriels avec des FW et des DMZ LAN (confi gurés par défaut à ne rien autorisés sauf ce qui est nécessaire).

– Mise en place d’un outil de gestion des comptes à privilèges et/ou SSO afi n de ne jamais donner de droits élevés à un utilisateur.

– Logger toutes les actions.

– Toujours vérifi er les médias amovibles avant leur introduction dans les systèmes.

– Dans la mesure du possible un logiciel de corrélation de log avec l’alerting associé.

– Mise en place d’un SOC.

CONCLUSION


Pour ce qui concerne le marché, nous constatons que le problème de sécurisation des systèmes industriels a été remis au goût du jour entre Siemens et McAfee Stonesoft. Le premier revoit ses systèmes industriels (SCADA) et le second vient d’annoncer dans sa roadmap produit un Firewall qui prend en compte les spécifi cités techniques des systèmes industriels (protocoles, ports etc…).

Malgré tout cela, comme nous avons pu le constater tout au long de notre formation à l’INHESJ, et ce quel que soit les interlocuteurs, l’un des principaux problèmes reste et restera toujours « l’humain utilisateur » du système industriel.

En conséquence nous pensons que les premières actions à prendre en compte sont des actions d’acculturation au risque, de sensibilisation, de formation à la cyber-sécurité et aux bonnes pratiques à avoir pour éviter tout problème, de surcroît dans le cadre d’un système industriel. . ■

CONCLUSIONS


Industrial Control System (ICS) ou Système IndustrielEnsemble de moyens informatisés et automatisés assurant le contrôle et le pilotage des procédés « industriels ».

IHM Interface homme machine.

SmartSystems IICS à l’échelle d’une ville, d’une région ou d’un pays.

Système instrumenté de sécurité (SIS)Système visant à mettre le procédé en position de replis de sécurité (c’est-à-dire un état stable ne présentant pas de risque pour l’environnement et les personnes), lorsque le procédé s’engage dans une voie comportant un risque réel pour le personnel et l’environnement (explosion, feu…).

RTU Remote Terminal Unit.

SNCC Système numérique de contrôle commande.

SCADA Principal sous-groupe des systèmes industriels acronyme en anglais des Supervisory Control and Data Acquisition et en français, des systèmes d’acquisition et de contrôle des données sont des systèmes de supervision permettant la centralisation des données, gestion des alarmes et l’historisation des données provenant de différents capteurs dans une usine, une plante ou dans d’autres endroits éloignés et les envoie ensuite ces données à un ordinateur central qui gère ensuite les données et les contrôles.

API Automate programmable industriel ou (PLC en anglais)Désigne des automates programmables industriels pilotant des équipements physiques et des systèmes numériques de contrôle commande (DCS) pilotant des processus continus.

Cyber-SécuritéÉtat recherché par un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confi dentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent disponibles.

Sûreté de Fonctionnement (SDF) ou FMDSFiabilité, maintenabilité, disponibilité et sécurité.

OTP One Time Password.

VPN Virtual Private Network.

LDAP Lightweight Directory Access Protocol.

VPN Virtual Private Network.

PIN Personal Identifi cation Number.

Défi nitions


Reverse proxy«A reverse proxy is a type of proxy server that retrieves resources on behalf of a client from one or more servers. These resources are then returned to the client as though they originated from the server itself (or servers themselves).While a forward proxy acts as an intermediary for its (usually nearby) associated clients and returns to them resources accessible on the Internet, a reverse proxy acts as an intermediary for its (usually nearby) associated servers and only returns resources provided by those associated servers.» – Wikipedia.

CITRIX NETSCALERC’est une solution qui permet la mise à disposition d’applications Web qui accélère les performances, offre une gestion du trafi c des couches 4 à 7 et un pare-feu applicatif intégré. Aussi, CITRIX NETSCALER permet de délester les serveurs afi n d’assurer une disponibilité applicative, une sécurité renforcée et des coûts substantiellement réduits.

DMZ

En informatique, une zone démilitarisée (ou DMZ, de l’anglais demilitarized zone) est un sous-réseau séparé du réseau local et isolé de celui-ci et d’Internet par un pare-feu. Ce sous-réseau contient les machines étant susceptibles d’être accédées depuis Internet. Le pare-feu bloquera donc les accès au réseau local pour garantir sa sécurité. Et les services susceptibles d’être accédés depuis Internet seront situés en DMZ. En cas de compromission d’un des services dans la DMZ, le pirate n’aura accès qu’aux machines de la DMZ et non au réseau local. - Wikipedia

WSUS - Windows Server Update Services

Il s’agit d’un service permettant de distribuer les mises à jour de Windows et d’autres applications Microsoft sur les différentes machines Windows d’un parc informatique. WSUS est un serveur de mises à jour local (ou proxy de mises à jour) qui se synchronise avec le site public Microsoft Update et permet de contrôler la diffusion des mises à jour dans le parc. Wikipedia.

SSO – Single Sign On - L’authentifi cation unique

(ou identifi cation unique ; en anglais Single Sign-On : SSO) est une méthode permettant à un utilisateur de ne procéder qu’à une seule authentifi cation pour accéder à plusieurs applications informatiques (ou sites web sécurisés). Wikipedia.

DÉFINITIONS


“Protecting Industrial Control Systems Recommandations for Europe and Member States Executive Summary in French”

Article « Cyber-sécurité des installations industriels: la norme CEI 62443 (ISA-99) progresse » ISA France Section 14 mars 2013

“SCADA Security, compliance and liability – A survival guide” Clint Bodugen Jeff Whitney Chris Paul Septembre 2009 vol 236 n°9

“Emerging legal issues in manging cyber risks for pilines” E Wolff, J Delionado, AP Simpson R Hogfoss February 2013 vol 240 n°2

Presentation “ISA99/IEC 62443 a solution to cyber-security issues?” ISA Automation Conference Doha Qatar 9&1à December 2012

“Can we learn from SCADA security incidents?” ENISA Octobre 2013

« Cinq étapes importantes à la sécurisation des environnements SCADA » E.Lemarchand, la Tribune 17 septembre 2013

« La cyber-sécurité des systèmes industriels et tertiaires » Stéphane Meynet Sécurité & Stratégie n°11 Décembre 2012

« Cyber-sécurité et entreprises : se protéger juridiquement et se former ». Anne Souvira et Miriam Quéméner Sécurité & Stratégie n°11 Décembre 2012« La Cyber-sécurité des systèmes industriels ». Guide ANSSI. Janvier 2014- « Sécurité des réseaux industriels scadastrophe ou pas ? » Hervé Schauer Consultats.“21 steps to improve cyber security of SCADA networks”. Department of Energy of United States of America« Livret Blanc sur la défense et la sécurité nationale Ministère de la Défense » 23 avril 2013

« Discours d’ouverture Assises de la Sécurité » Novembre 2013

« SCADA : ne pas connecter un système ne le protège pas » IT PRO Magazine décembre 2013

« Livre Blanc EURIWARE »

« Livre Blanc le CXP » Septembre 2011

Références bibliographiques


« Window of exposure… a real problem for SCADA systems? Recommandations for Europe on SCADA patching”. ENISA. December 2013« Securing SCADA Systèmes » Ronald L KRUTZ, Wiley, 2006

Thèse « Intégration des systèmes industriels : une approche fl exible sur les services sémantiques » Saïd IZZA version 23 janvier 2013

« Privacy & Cybersecurity Update » Sadden, Arps, Meagher & Flom LLP & Affi liates June2013

« Revue Lamy Droit des Affaire RLDA » n°87 Novembre 2013.

« Le droit des robots » Murielle Cahen. Avocats-online.

« Vers un droit des robots » Alain Bensoussan. www.alain-bensoussain.com 21 avril 2014

« Quelles obligations pour les OIV en matière de cyber-sécurité : exigences européennes et françaises comparées » Village de la justice Betty Sfez, Avocat 17 avril 2014.

« Cyber-sécurité : il n’y a pas que la LPM dans la vie » Gérome Billois 01net. 19 février 2014.

RÉFÉRENCES BIBLIOGRAPHIQUES

Premier ministre

institut nationaldes hautes études

de la sécurité et de la justice

ÉCOLE MILITAIRE1 place Joffre

Case 3975700 PARIS 07 SP

Tél.: 33 (0)1 76 64 89 00 – Télécopie : 33 (0)1 76 64 89 27www.inhesj.fr