Numéro spécial de la Lettre Sécurité dédié intégralement au sujet de la sécurité des Systèmes d'Information Industriels. La récente multiplication des incidents nécessite de se mobiliser pour les sécuriser et d’amorcer une transformation en profondeur.
Les Français et la banque : bouleversements en vue !
Solucom lettre sécurité 36 janvier 2015 1201web
1. SI Industriel et sécurité :
comment démarrer la
transformation
Les Systèmes d’Information Industriels (SII)
sont intimement liés aux outils de production :
chaînes de montage, machines-outils, fours,
scanners médicaux, climatisations, aiguil-
lages, pipelines... De plus en plus ouverts, ils
deviennentunevraiepasserelleentrelesproces-
sus de production et le Système d’Information
de Gestion (SIG) de l’entreprise.
Un SII est souvent modélisé en différentes
couches. La première couche concerne le pro-
cédéphysiquelui-même.Ladeuxièmeregroupe
les capteurs, actuateurs, actionneurs et autres
composantsélectroniquesintelligents(IED)qui
interagissent physiquement avec le procédé.
La troisième couche assure la supervision et le
pilotage du procédé. Elle est composée d’élé-
ments tels que les SCADA (Supervisory Control
and Data Acquisition), des automates ou PLC
(Programmable Logic Controller) et des équipe-
mentsdistants,lesRTU(RemoteTerminalUnit).
La quatrième couche regroupe les fonctions et
outils de management des opérations de pro-
duction.Enfin,lacinquièmeetdernièrecouche
est tournée vers les fonctions avancées de pla-
nification,lalogistiqueoul’approvisionnement,
souvent interfacée avec les ERP.
Initialementdéveloppéspourl’industrie,lessys-
tèmes construits sur le même modèle se sont
largementrépandus.Systèmesembarquésdans
les voitures ou avions, imagerie médicale (scan-
ner, IRM, etc.), systèmes plus étendus comme
lessmartgrids,etc.:lesSIIsontdevenusomni-
présents !
Des menaces accrues qui touchent tous
les secteurs
À l’origine les SII étaient isolés au sein d’un site
ou d’une usine, mais aujourd’hui ils se doivent
d’être largement interconnectés pour accroître
productivité et compétitivité. Cette intercon-
nexion permet de nombreux nouveaux usages
mais augmente considérablement l’exposition
aux cyberattaques. La majorité de ces systèmes
n’a en effet pas été conçue pour une ouverture
sécurisée et est d’autant plus vulnérable.
Alors que les attaques d’États ou d’individus
malveillantssemultiplientcesdernièresannées,
les conséquences peuvent être considérables.
UneatteinteàlasécuritéduSId’uneentreprise
dusecteurdelachimiepourraitamenerledéver-
sement de produits toxiques dans des systèmes
degestiondeseauxouencore,dansletransport,
conduire à des accidents. Des risques pour la
confidentialité existent également : l’accès aux
chaînes de production autorise l’accès à des
secrets de fabrication industriels.
Suite en page 2
DÉCRYPTAGES
Sécurité des SI Industriels
La sécurité des Systèmes d’Information
Industriels (SII) est aujourd’hui au centre des
préoccupations de nombreux acteurs. Ces
systèmes qui permettent une action directe
dans le monde « physique » à l’aide d’ins-
tructions provenant du monde « logique »
pilotent les outils de production de nom-
breuses entreprises.
Au-delà des risques environnementaux et
humains, ils représentent également un
enjeu stratégique pour les États. La récente
multiplication des incidents, dont ceux révé-
lés récemment en Allemagne par le BSI, en
Corée du Sud sur les centrales nucléaires et
probablement en Turquie, nécessite donc de
se mobiliser pour les sécuriser et d’amorcer
une transformation en profondeur. Mais par
où commencer quand la sécurité a été laissée
de côté pendant de nombreuses années ?
Et que faire quand les équipements constitu-
tifs de ce réseau contiennent eux-mêmes de
nombreusesfaillesdifficilesvoireimpossibles
à corriger ?
C’est l’objet de ce numéro spécial de la Lettre
Sécurité dédié intégralement au sujet de la
sécurité des SII.
Solucom sera présent au Forum International
de la Cybersécurité (FIC) avec certains de ses
expertssurcessujetssensibles.N’hésitezpas
à nous rendre visite sur notre stand !
Gérôme Billois,
Senior manager au sein de la practice
Riskmanagement&sécuritédel’information
Édito
Architecture de sécurité des SI Indus-
triels : de la théorie à la pratique
P5
Niveau de sécurité des SI Industriels :
les vulnérabilités les plus courantes
P4
n° 36
La Lettre Sécurité
Numéro spécial
2. 2 • La Lettre Sécurité N°36 • janvier 2015
Les États de plus en plus mobilisés
LesÉtatsréagissentpourfairefaceauxmenaces
sur ces systèmes. Sur le continent nord-amé-
ricain, la conformité au standard NERC-CIP
est devenue obligatoire pour les opérateurs de
réseaux électriques.
L’État Français, au travers de sa Loi de
Programmation Militaire, entend faire appli-
quer aux OIV (Opérateur d’Importance Vitale)
des mesures de cybersécurité, notamment sur
leur SI Industriel. Si un guide visant à proposer
un cadre de protection minimum pour les ins-
tallations a déjà été élaboré par l’ANSSI, des
décretsd’applicationsectorielssontattendus.Ils
définirontplusprécisémentlesrèglesdesécurité
obligatoires.Lesentreprisesdoiventsepréparer
pourêtreenmesurederépondreàcesnouvelles
exigences.
Penser la sécurité des SII différemment
La sécurisation des SII nécessite d’intégrer de
nouvelles contraintes pour définir des solutions
adaptées.Vouloirappliquerlesbonnespratiques
desécuritéconventionnellesseraituneerreurcar
lesSIIndustrielsprésententdescaractéristiques
différentes des SI de gestion.
L’échelle de temps est bien spécifique. Les lignes
de production sont souvent conçues pour une
durée de vie de l’ordre de 10 à 15 ans, parfois
même au-delà. Par exemple, dans certains sec-
teurs comme celui des réseaux électriques, les
équipementssontcensésêtreenplacependant
plusieurs dizaines d’années.
Ladisponibilitéetlasûretésontaucœurdesatten-
tions. Dans cet univers spécifique, le critère de
disponibilité est primordial. De plus, dans les
environnements à risques (SEVESO, nucléaire,
etc.) le maintien des fonctions de sûreté qui
assurent la protection des hommes et de l’envi-
ronnement est essentiel.
Lesfournisseursimposentdessolutionspackagées
de bout en bout. Et ils sont souvent réticents à
appliquer les bonnes pratiques de sécurité,
même lorsque leurs systèmes reposent sur
des solutions peu sécurisées issues des SI de
gestion…
Les contextes d’implantation sont particuliers et
rendentlemaintienenconditionopérationnellede
lasécuritécomplexe.Iln’estpasrared’avoirune
partie du système (voire le système entier) loca-
lisée sur des sites distants, parfois inoccupés,
difficiles d’accès et où les conditions peuvent
être « hostiles ». Cela concerne par exemple les
SII présents sur les plates-formes pétrolières,
les pipelines gaziers ou pétroliers, ou encore les
réseaux d’eau.
Initier la démarche de sécurisation
Avant d’entreprendre de grands chantiers de
sécurité, il est important de savoir d’où on part.
Le SII est-il vulnérable ? Dans quelle mesure
est-il ouvert sur l’extérieur ? Quel est son véri-
table niveau d’exposition face aux nouvelles
menaces ?
Trois approches différentes permettent de
répondre à ces questions. L’audit « flash », sur
les sites les plus sensibles ou ayant connu un
incident récent, permet d’identifier rapidement
les vulnérabilités et les zones non protégées.
L’analyse de risques d’un processus industriel
permet de son côté d’estimer les impacts
financiers, humains et environnementaux en
cas d’incident. Un bilan de conformité consiste
à demander à chaque site industriel d’évaluer
son niveau de sécurité sur la base d’un ques-
tionnaire. Si cette dernière approche est moins
concrèteetfiable,ellepermetd’avoirunevision
globale plus rapidement.
Il n’y a pas de chemin type : les trois approches
peuvent être utilisées ou combinées. Elles
doivent aussi être l’occasion de mobiliser la
direction générale et les directions métiers dont
l’engagementetl’implicationdansladuréesont
nécessaires.
Mettre en place une filière sécurité des
SI Industriels
La mise en place d’une gouvernance globale de
lasécuritédesSIIestessentiellepouraugmenter
le niveau de sécurité dans la durée. Cela passe
par la nomination d’un Responsable de la sécu-
rité des SII chargé de la définir, de la mettre en
œuvre et de l’animer.
Qu’il vienne du Métier, du monde de la DSI,
de la sécurité SI ou du monde industriel (auto-
matisme, sûreté, etc.), il doit être capable de
jouer le rôle de facilitateur entre ces différentes
sphères.Laconnaissancedumétierindustrielet
lesqualitéshumainessontdoncàprivilégierlors
de son identification plutôt qu’une expertise en
sécurité. Son rattachement peut être à étudier
en fonction du contexte de l’entreprise : s’il est
courant qu’il fasse partie des équipes sécurité
SI,ilestparfoisdirectementrattachéauxMétiers
concernés.
Le Responsable de la sécurité des SII pourra
s’appuyer sur un réseau de correspondants qui
se feront le relais de la stratégie et des actions
Dossier
3. La Lettre Sécurité N°36 • janvier 2015 • 3
sur les différents sites industriels. Il dévelop-
pera également des relations étroites avec des
acteurs incontournables du SII :
• les chefs de projets industriels, avec les-
quels il faudra s’assurer que la sécurité
est prise en compte dès la conception ;
• les responsables de la sûreté, avec les-
quels il mettra en œuvre une démarche
commune de gestion des risques indus-
triels ;
• les responsables de l’exploitation et de la
maintenance, pour s’assurer de la bonne
exécution des processus de maintien en
condition opérationnelle et de sécurité
du SII ;
• lesresponsablesdesachats,pourdiffuser
les bonnes pratiques en matière d’exi-
gences de sécurité dans toutes relations
avec les tiers et dans les contrats avec
les fournisseurs ;
• la DSI et le RSSI pour s’interfacer avec le
SIclassiqueetcapitalisersurlesbonnes
pratiques.
Intégrer la sécurité dès la conception
Concevoir une usine, un site industriel ou un
équipementembarqués’accompagnelaplupart
du temps d’études de sûreté. Il faut tirer parti
de cette culture déjà bien ancrée pour y insérer
lesétudesdesécuritéduSIIndustrielquiseront
centrées sur les risques de cybersécurité.
Attention toutefois à rester vigilant et ne pas se
focaliser uniquement sur le procédé industriel
lui-même. L’environnement proche ou éloigné
du SII est à étudier pour chaque projet : dans
quellesconditionslesinterventionsdetierspour
latélégestionetlatélémaintenanceseront-elles
réalisées ? Le fournisseur s’applique-t-il lui-
même des exigences de sécurité lorsqu’il déve-
loppe les solutions industrielles ?
Traiter les urgences sans négliger la sécu-
risation à moyen terme
Les particularités des SII poussent souvent les
entreprises à allier des solutions palliatives à
court terme et à saisir l’opportunité de faire des
modifications en profondeur quand elle se pré-
sente : arrêt de production, renouvellement de
l’outilindustriel,changementdefournisseur,etc.
C’est particulièrement vrai pour la mise en
œuvre du cloisonnement et de la segmentation
des réseaux : si on peut isoler le SI de gestion,
les changements sur les réseaux de production
sont plus complexes à organiser ! La refonte
des accès distants est également à intégrer
dans cette réflexion. Elle nécessite de revoir
les contrats établis sur plusieurs années, pour
lesquels la renégociation des modalités d’inter-
vention, de télégestion et de télémaintenance
est peu fréquente.
En parallèle, une fois les vulnérabilités sur le
système identifiées, il faut être en capacité de
lescorriger.Appliquerlescorrectifsn’estparfois
pas envisageable et remplacer les équipements
par d’autres plus récents offrant les dernières
fonctionsdesécuritéprésenteuncoûtnonnégli-
geable, tant en termes financiers qu’en perte
d’exploitation potentielle sur des systèmes où
la disponibilité est cruciale.
ConscientdesvulnérabilitésdesSII,ilestcrucial
demettreenplace,surl’installationindustrielle,
des dispositifs de surveillance afin de détecter
et de réagir face aux incidents.
L’intégration du SII au SOC ou au CERT de l’en-
treprise peut être envisagée dans une stratégie
de réaction globale.
Unedémarcheàconstruiredèsaujourd’hui
La mise en œuvre de la sécurité pour les SI
Industrielsnepourrasefairequ’ens’accommo-
dantdesspécificitésetdescontextesparticuliers
dans lesquels ils évoluent. Mobiliser les direc-
tionsMétiersetcombinerlessavoir-faireissusdu
monde industriel et de gestion sont assurément
des facteurs clés de succès.
En parallèle, les fonctions de responsable de la
sécurité du SI de gestion et de responsable de
la sécurité du SI Industriel doivent s’associer,
voire fusionner, pour assurer la cohérence de la
démarchedesécurisationdel’entreprisedebout
en bout dans une approche globale.
Anthony Di Prima, manager
anthony.diprima@solucom.fr
Quelques exemples d’attaques de SI Industriels
4. 4 • La Lettre Sécurité N°36 • janvier 2015
Dossier
Le niveau de sécurité actuel des SI Industriels
est souvent remis en question par les spécia-
listes en sécurité. Alors, cri au loup ou réalité
encore méconnue ? Les audits et études réa-
lisés par Solucom ne font que confirmer les
défauts de sécurité sur ces infrastructures.
Une sécurisation insuffisante, voire
inexistante
Les automates programmables industriels
(API), en charge de l’interface avec le monde
physique, n’intègrent souvent que peu de
fonctions de sécurité et les failles de sécurité
publiques les concernant sont nombreuses.
L’ICS-CERT a ainsi publié près d’une centaine
de bulletins de vulnérabilités sur des compo-
sants industriels. Les protocoles de commu-
nication utilisés sont un des maillons faibles
de la chaîne. Ces protocoles, parmi lesquels
on peut citer Modbus, permettent l’échange
de consignes ou de valeurs en clair, sans
chiffrement.
De même, les possibilités d’authentification
des actions sont souvent limitées, permet-
tant à n’importe quel attaquant ayant accès
au réseau de modifier les consignes des auto-
mates et ainsi d’influer sur leur comportement.
Les interfaces d’administration des automates
sont par ailleurs souvent protégées par des
mots de passe par défaut, jamais changés,
et qui parfois ne peuvent pas l’être. Les sys-
tèmes plus intégrés appelés SNCC (Systèmes
Numériques de Contrôle-Commande) ne sont
pas garants d’une sécurité accrue, les proto-
coles propriétaires utilisés n’apportant pas
forcément une réelle couche de sécurité.
La situation est identique pour les PC de super-
vision ou de programmation qui sont souvent
des équipements reposant sur des technolo-
gies standard, tels que des systèmes d’exploi-
tation Microsoft Windows. Malheureusement,
l’expérience sécurité acquise sur le SI de ges-
tion pour ces équipements profite rarement à
leur sécurisation sur la partie industrielle. Les
étapes de durcissement sécurité sont rares,
de même que l’application de correctifs de
sécurité, ou encore la présence d’un antivirus.
Il est fréquent de pouvoir prendre le contrôle
de ces systèmes par l’exploitation d’une faille
de sécurité datant de près de 6 ans.
Un cloisonnement tout à fait relatif
De plus, les équipements du SI Industriel sont
trèslargementinterfacésaveclesSIdegestion.
Le cloisonnement entre ces deux mondes est
souventpermissif.Ilarrivemêmequelefiltrage
autorise l’accès à certains équipements indus-
trielsdepuisl’ensembleduréseauinterned’une
entreprise, ce qui peut représenter plusieurs
dizaines de milliers de machines.
Les postes de programmation et clés USB
constituent également des vecteurs d’attaques
puisqu’ils sont connectés à des réseaux de
niveau de sécurité hétérogène, voire à des envi-
ronnementsnon-maîtrisés(parexempledansle
cas de sous-traitants).
Pire encore, il arrive trop souvent que des équi-
pements industriels soient accessibles directe-
ment sur internet. Il existe même des moteurs
de recherche dédiés à la recherche d’équipe-
mentsexposéssurinternet,Shodanétantleplus
connu.Prèsde1500équipementsModbussont
ainsi recensés en France sur Shodan et plus de
20 000 dans le monde.
Un constat d’échec ?
Il ne s’agit néanmoins pas de se lamenter.
Bien que le niveau de sécurité actuellement
constaté soit faible, il est possible de mener
des actions d’amélioration. Au-delà des
concepts d’architecture qui permettent de
cloisonner ces équipements vulnérables, la
vraie, seule solution à long terme consiste à
développer de nouveaux produits, sécurisés by
design. Bien sûr, les fruits de ce travail ne se
verront que sur les nouvelles installations, et
pas avant plusieurs dizaines d’années. On peut
espérer que la prise de conscience globale des
parties prenantes, ainsi que l’implication des
instances gouvernementales accélèrent ce
changement.
En attendant il semble aujourd’hui nécessaire
de déporter les fonctions sécurité sur des
équipements dédiés, comme des passerelles
encapsulant le trafic réseau dans un tunnel
chiffré, ou bien des pare-feu ou IPS dispo-
sant de modules spécifiques aux protocoles
industriels.
Enfin, il faut également savoir tirer parti d’une
des faiblesses des SI Industriels : leur durée de
vie et la complexité de changements. En effet,
la mise en place d’une supervision sécurité
sera facilitée par le caractère figé des réseaux
industriels : il est rare que de nouveaux équi-
pements soient installés ou que la topologie
réseau soit modifiée. De même, l’emploi d’une
solution de contrôle d’exécution par liste
blanche sera plus facile sur un PC industriel
n’exécutant qu’un seul logiciel de supervision
que sur un poste de travail bureautique.
Niveau de sécurité des SI Industriels :
les vulnérabilités les plus courantes
Décryptage
Arnaud Soullie, consultant
arnaud.soullie@solucom.fr
Actuellement, les outils d’audit et tests d’intrusion dédiés aux SI Industriels sont encore assez
rares, bien que la tendance soit à la hausse. On peut notamment citer :
• PLCscan, qui permet d’identifier des automates sur un réseau.
• Mbtget, un client Modbus écrit en Perl.
Nos recherches nous ont également amenés à créer les outils suivants :
• Un module client Modbus pour Metasploit1
.
• Desmodificationsaumodule«modicon_stux_transfer»deMetasploitpermettantd’atta-
quer les automates Schneider2
, notamment pour copier, à distance et sans authentifica-
tion, le programme de l’automate via des requêtes Modbus spécifiques.
• Des scripts Python permettant de dialoguer avec les automates Siemens3
.
Quels outils pour auditer un SI Industriel ?
1 - http://www.rapid7.com/db/modules/auxiliary/scanner/scada/modbusclient
2 - https://github.com/arnaudsoullie/metasploit-framework/blob/modicon_stux_transfer/modules/auxiliary/admin/scada/modicon_stux_transfer.rb
3 - https://github.com/arnaudsoullie/scan7
5. La Lettre Sécurité N°36 • janvier 2015 • 5
Décryptage
Architecture de sécurité des SI
Industriels : de la théorie à la pratique
Les architectures des SI Industriels s’alignent
souvent sur le modèle ISA 95. Si cet aligne-
ment est surtout motivé par le besoin d’optimi-
ser en continu les procédés industriels, il n’est
pas sans risque du point de vue de la sécurité.
Alors que les installations industrielles doivent
faire face à de nombreux risques, en particulier
humains et environnementaux, orchestrer leur
ouverture au SI de l’entreprise voire à internet
les expose à des menaces plus nombreuses et
virulentes.
Cloisonnement et segmentation :
standards et réglementations se mettent
d’accord
Pour traiter ces risques, trois méthodologies
issues de l’IEC 62443, du NIST SP-800-82 et
duguidedel’ANSSI,sontusuellementretenues.
L’IEC 62443 (ISA99) a établi les concepts de
« zones » et de « conduits » avec pour chacun
un niveau de sécurité (Security Level – SL) et
des règles bien spécifiques.
Ledécoupageenzonespeuts’établird’unpoint
de vue physique (bâtiment, atelier) ou logique
(répartition par processus industriel ou par
fonction).
Toutes les zones communiquent entres elles
par un conduit et peuvent également être
imbriquées, dans une logique de défense en
profondeur.
Selon le niveau de criticité des zones et des
conduits, des règles de sécurité sont définies et
peuvent être plus ou moins restrictives.
La détermination du niveau de sécurité d’une
zone (ou d’un conduit) s’effectue au travers
d’une analyse de risque. Concrètement, il cor-
respondauniveauderobustessedesmesuresde
sécuritéàimplémenterpermettantdefaireface
à des menaces plus ou moins évoluées.
Pour l’IEC, il s’agira de segmenter et d’isoler
physiquement les SI Industriels des SI de ges-
tionetaussidecloisonnerlessystèmescritiques
(systèmes de sûreté) des systèmes de conduite
des procédés.
Le NIST, au travers de sa publication spé-
ciale pour les systèmes industriels, expose
de bonnes pratiques d’architectures sécuri-
sées sans promouvoir un modèle en particu-
lier. Il consacre un chapitre entier au thème
de la sécurisation des architectures des SI
Industriels. Il met en avant le cloisonnement
entre SI de gestion et SI Industriels en propo-
sant des architectures type à base de DMZ, de
firewall voire de diode. De bonnes pratiques et
une matrice de flux type sont même proposées
avec un focus pour des flux plus spécifiques.
En France, l’ANSSI prévoit de catégoriser les
SI Industriels en 3 classes distinctes selon leur
criticité.
Trois niveaux sont définis ; la détermination
du niveau pour une installation s’effectue au
travers de critères tels que connectivité, fonc-
tionnalités,niveaud’exposition,attractivitépour
un attaquant, vraisemblance et impacts en cas
d’attaque.
Pour chacune des classes, des règles plus ou
moins strictes font émerger entre autres des
principes forts d’architectures sécurisées.
Cette démarche peut être itérative. Il est pos-
sible de découper l’installation industrielle en
plusieurszonesetd’établirpourchacuned’elles
son niveau de classe.
Celarejointl’approchedel’IEC62443audétail
près qu’ici, la méthodologie de l’ANSSI établit
les niveaux de classe en priorité au regard des
impacts pour la population, l’environnement et
l’économienationalesanssesoucierdel’impact
direct pour l’entreprise concernée.
Quelle que soit la méthodologie mise en œuvre,
le constat final reste le même : segmentation et
cloisonnement constituent des briques essen-
tiellesenvuedeprotégerlesSIIndustriels.Mais
l’expériencemontrequesegmenteretcloisonner
n’est pas toujours simple…
Besoin métier et sécurité : la quadrature
du cercle ?
Dans bien des cas, on observe un besoin élevé
de remonter vers le SI de gestion des données
« procédé » en vue de les analyser. Et ce pour
différentes raisons : calcul d’optimisation,
calcul financier, supply chain, Big data…
Selon la méthode de l’ANSSI, une installation
de classe 3 ne peut communiquer avec le SI
de gestion que de façon unidirectionnelle via
l’utilisation d’une diode. Mettre en œuvre ce
genredetechnologiepeutparfoisreleverdel’im-
possible : impossibilité d’avoir du temps réel,
incompatibilitédessolutionsd’historisationdes
données procédé… Dans ce cas, on découpera
l’installation en sous-systèmes de façon à pou-
voirluiattribuerdifférentsniveauxdeclasse.Un
sous-système de classe 2 peut communiquer
de façon bidirectionnelle avec le SI de gestion,
tandis que le sous-système le plus critique de
classe 3 n’est autorisé à communiquer uni-
directionnellement qu’avec ce sous-système
de classe 2. Cette approche peut notamment
être considérée pour les systèmes de sûreté.
Si dans certains cas cela peut sembler réa-
liste, c’est parfois beaucoup plus complexe.
L’exemple d’installations s’appuyant sur des
SNCC (Système Numérique de Contrôle
Commande)montrequelessystèmesdesûreté,
ou Systèmes instrumentés de sécurité (SIS),
peuventêtretotalementimbriquésaveclessys-
tèmesdeconduite:mutualisationdescapteurs
pour les automates de conduite et de sûreté,
automates assurant à la fois des fonctions de
conduite et de sûreté.
Deux solutions opposées sont possibles
Deux solutions extrêmes sont peut-être à
envisager.
La première consisterait à revoir un certain
nombre de process supports associés au pro-
cédé industriel pour permettre un cloisonne-
ment fort des SI Industriels vis-à-vis des SI de
gestion.
La deuxième serait de revenir à des solutions
« moins connectées » : désimbrication totale
du SIS, dédoublement des capteurs, auto-
mates / contrôleurs de sûreté dédiés et isolés,
recours à la logique « câblée », automates et
contrôleurs non « modifiables ».
Ces deux solutions peuvent sonner comme un
retour en arrière. Le meilleur compromis réside
sans doute dans une approche plus souple,
fondée sur le bon sens et une gestion réaliste
du risque.
Par Anthony Di Prima, manager
6. 6 • La Lettre Sécurité N°36 • janvier 2015
La sécurité des SII n’est pas un problème
nouveau et diverses initiatives, provenant
d’agences gouvernementales, d’organismes
de standardisation ou d’organisations sec-
torielles, ont eu pour objectif d’établir des
documents de référence en la matière.
Une multitude de textes
La liste est longue, c’est pourquoi il convien-
dra de s’appuyer sur le (ou les) référentiel(s)
le(s) plus adapté(s) : secteur, niveau de cri-
ticité de son installation.
À ce titre, le CLUSIF, par l’intermédiaire du
groupe de travail sur la sécurité des systèmes
industriels, animé notamment par Solucom,
a publié un panorama des référentiels en la
matière.
Pas moins d’une cinquantaine de documents
ont été analysés et des fiches de lecture per-
mettent d’en avoir une vision synthétique.
Les documents ont été répertoriés et catégo-
risés : des plus introductifs aux plus exhaus-
tifs, allant de quelques pages à plus d’un
millier, le guide du CLUSIF précise à quels
lecteurs ils sont le plus adaptés (filières SSI
ou SII, concepteur/intégrateur/mainteneur).
Les objectifs de ces référentiels sont mul-
tiples. Ils peuvent être utilisés comme un
véritable outil pour réaliser des audits de sites,
définir sa stratégie et les actions associées ou
plus simplement évaluer son degré d’aligne-
ment et de conformité au standard retenu.
De tous, l’IEC 62443 est sans doute le réfé-
rentiel le plus connu du milieu et propose
de nombreux guides qui tentent d’adresser
l’ensemble des pans de la sécurité de ces SI.
L’ISO a également apporté sa pierre à l’édifice
avec la récente norme ISO 27019.
Les États publient également des guides natio-
naux. Au Royaume-Uni, le CPNI (Center for
the Protection of National Infrastructure) pro-
pose plusieurs guides thématiques autour de
la sécurité des SI industriels. Aux États-Unis,
plusieurs entités (DHS, DoE…) ont élaboré des
guides sectoriels. Enfin en France, l’ANSSI a
également publié ses propres guides.
Certains secteurs ont apporté une réponse
propre à leurs spécificités respectives comme
l’AIEA qui propose son guide pour les instal-
lations nucléaires ou encore le NERC CIP qui
oblige les différents opérateurs électriques à
être conformes à ses standards.
La réglementation : arme d’amélioration
massive de la sécurité ?
Cette abondance de littérature montre qu’il
n’y a pas de réel consensus en la matière
aujourd’hui. De plus, l’application des
bonnes pratiques édictées dans ces docu-
ments ne reste finalement qu’un acte de
volontariat de la part des entités concernées.
Comme cela est souvent le cas, l’adoption
de pratiques généralisées passe par la mise
en place d’une réglementation (SEVESO
par exemple). Et c’est bien ce qu’envisage
l’État français au travers de la LPM (Loi de
Programmation Militaire) : rendre obligatoire
l’adoption de certaines mesures de cybersé-
curité pour les OIV.
Mais ces avancées françaises ne doivent pas
faire oublier la nécessité d’une approche plus
globale, a minima européenne. En effet, au-
delà des mesures organisationnelles et tech-
niques, La LPM prévoit également le recours
à des produits labellisés. Il ne s’agit là que
d’un schéma franco-français. Les efforts
requis pour obtenir cette labélisation peuvent
apparaître comme un frein pour des construc-
teurs/éditeurs à portée internationale. Avoir
une reconnaissance européenne ou interna-
tionale de la sécurité de leur produit est donc
un élément déterminant et qui aboutira à un
réel retour sur investissement.
Dans ce domaine, des directives euro-
péennes sont également attendues, en par-
ticulier celle dédiée à la sécurité des réseaux
et des infrastructures (NIS). Elles légitime-
ront d’avantage les initiatives sur le terri-
toire français. L’ENISA a d’ailleurs publié
les bases d’un schéma de certification de la
sécurité des Smart Grid à portée européenne.
Avec une approche progressive, ce que tend
à faire l’État français, la réglementation
obtiendra l’adhésion des industriels. La ten-
dance va vers une adaptation des mesures
avec une personnalisation opérateur par
opérateur sans pour autant s’éloigner d’une
cible ambitieuse. La publication prochaine
des décrets d’application, puis des arrêtés
de la LPM, permettra de le vérifier.
Enfin, pour ceux qui ne sont pas immédia-
tement concernés en tant qu’opérateur cri-
tique, nul doute qu’ils bénéficieront de l’élan
global de ces démarches et pourront bien
évidement s’en inspirer en complément des
guides, normes et standards déjà existants.
Par Anthony Di Prima, manager
Normes, standards et réglementation :
de réels leviers pour enclencher une
démarche de sécurisation ?
Focus
7. La Lettre Sécurité N°36 • janvier 2015 • 7
Décryptage
Le facteur humain dans l’accident de la
raffinerie de Texas City, 2005
Pendant la nuit, les équipes de la raffinerie se
préparèrent à un redémarrage de la colonne de
distillation.Aumatin,l’équipedejourredémarra
l’installation. Tout semblait bien se dérouler et
le cadre supervisant l’opération passa la suite
à l’un de ses collègues. Mais soudain, une
énorme explosion se produisit dans la torchère,
causant la mort d’une quinzaine de personnes
installées dans des bureaux préfabriqués situés
àquelquesmètresdelatorchère,surunespace
libre. Personne ne comprit ce qui se passait et
on crût à un attentat.
Les erreurs commises et leurs leçons
L’enquête a montré que cet accident était la
conséquence d’erreurs simples et multiples qui
auraient pu être évitées.
Toutd’abord,lesprocéduresdedémarragen’ont
pas été respectées car elles étaient contrai-
gnantes. Les opérateurs avaient pris l’habitude
de les court-circuiter. Par ailleurs, le manage-
ment de la raffinerie avait fermé les yeux sur
plus de 13 cas de non-respect de la procédure
de redémarrage recensés par les enquêteurs.
Expliquer le bien-fondé des procédures et les
dangers auxquels les opérateurs sont exposés
incite le personnel à les respecter. Cela aug-
mente à peu de frais la sécurité d’ensemble.
De plus, une structure de traitement du retour
d’expérienceauraitsansdoutepermisdedéceler
l’anomalie et d’y remédier de façon pratique en
prenant en compte les contraintes de terrain et
les propositions des opérateurs.
Le non-respect de la procédure consistait à
dépasser le niveau d’hydrocarbure à distil-
ler dans la tour. Mais les opérateurs étaient
confiants dans le fait que s’ils dépassaient le
niveau prescrit par la procédure, une alarme de
« rattrapage » s’activerait. Ils pensaient aussi
que la régulation de niveau automatique main-
tiendraitleniveaudansdeslimitesacceptables.
Ce qu’ils ne savaient pas, et que personne n’a
contrôlé, c’est que l’alarme de « rattrapage »
étaitdéfaillanteetquelarégulationautomatique
n’avait pas été mise en marche.
Nous relevons là plusieurs erreurs de transmis-
sion d’informations, de maintenance et de non-
vérification de fonctionnalités importantes pour
la sécurité.
Organiser les passations de suite entre équipes,
entre opérateurs et superviseurs, formaliser les
communications, mettre en place des tableaux
de situations et un système de bons de travaux
opérationnel aurait permis d’alerter les opéra-
teurs et de corriger largement à temps la défail-
lance, même si les procédures étaient court-cir-
cuitées ce jour-là.
Par ailleurs, les informations présentées à
l’opérateur de jour et à son superviseur étaient
biaisées et les ont conduit tous deux à se faire
une représentation erronée de la situation. Par
manque de formation et d’expérience, ils n’ont
pas identifié d’incohérences et n’ont pas consi-
déré lesdites informations d’un œil critique.
Sensibiliser opérateurs et superviseurs à croiser
lesinformationset,pourcesderniers,àprendre
du recul, aurait sans doute permis de déceler
une anomalie.
Ne perdons pas de vue qu’une formation défail-
lante doit être au moins compensée par une
supervision plus attentive parce qu’expérimen-
tée. La formation se fait alors naturellement in
situ.Constitueruneéquiped’unopérateurinsuf-
fisamment formé (il ne savait pas que le liquide
devait sortir de la tour) et d’un superviseur
inexpérimenté (il ne regardait pas les bonnes
indicationsetfaisaitconfianceàl’opérateur)est
une erreur de management.
Vis-à-vis des impacts de l’accident, pourquoi
y avait-il des bureaux préfabriqués à proximité
de la torchère ? Vraisemblablement à cause de
l’absence d’analyse de risques.
Créer et entretenir une culture de sécurité au
sein d’une entreprise encourage le personnel à
s’interroger(«quesepasserait-ilsi…»)etamène
à considérer les opérations en cours d’un œil
critique, bénéfique pour la sécurité de tous.
Danslecontextedel’accident,ilfautmentionner
lespressionsdelahiérarchiesurlemanagement
de la raffinerie. Outre le fait que cette raffinerie
avaitétérachetéedepuispeuparuneautrecom-
pagnieetquelestensionsétaientencorevivesà
causedeculturesd’entreprisesdifférentesetde
craintes légitimes, une réduction des coûts de
25% avait été décidée. Cela a nécessairement
euunimpactsurlasécurité,secteurhabituelle-
ment considéré comme coûteux pour un retour
sur investissement impossible à chiffrer. Inviter
les cadres à résister aux sirènes du low cost et à
ne pas transiger sur la sécurité aurait permis de
prévenir bien en amont ce désastre.
Il n’est pas question ici de décider à qui revient
la responsabilité de cette explosion et des
15 victimes : trop de personnes, à tous les
niveaux, portent une petite part de responsa-
bilité. L’accident s’explique en effet par cette
accumulationd’erreurs.Maisimaginonsqu’une
seuledespersonnesimpliquéesaitcorrigél’une
des défaillances, il est certain que l’accident
n’aurait pas eu lieu.
Par conséquent, en aidant les entreprises à
travailler leur organisation, améliorer les com-
munications entre personnes et entre groupes,
en sensibilisant sous de multiples formes les
opérateursetleursmanagersauxrisquespris,il
estpossibleàpeudefraisd’améliorerlasécurité
dans de grandes proportions. Ceci vaut égale-
ment pour la sécurité de l’information dans les
SI Industriels !
Jean Magne, manager
jean.magne@solucom.fr
8. Panorama de la cybercriminalité - Conférence CLUSIF le 14 janvier 2015 à 15h30
Le CERT-Solucom interviendra dans le cadre du panorama annuel de la cybercriminalité réalisé par
le CLUSIF. Les sujets suivants seront abordés :
• Accueil et introduction - Lazaro PEJSACHOWICZ, Président du CLUSIF
• Polémique/FUD/Exagérations - Gérôme BILLOIS, Solucom
• Objets connectés – L’Actualité et le Juridique - Fabien COZIC, Enquête et Conseils &
Garance MATHIAS, ME Garance Mathias
• Chantage et rançon - Gérôme BILLOIS, Solucom
• L’année des vulnérabilités - Hervé SCHAUER, Directeur Général Hervé Schauer Consultants
• Les Nouveaux Pickpockets - Loïc GUEZO, Trend Micro & Christophe JOLIVET, Prosica
• L’évolution de la menace - Philippe BOURGEOIS, CERT-IST & Eric FREYSSINET,
Gendarmerie Nationale
• Le cybercrime, des deux côtés de la rivière - Eric FREYSSINET, Gendarmerie Nationale
• Conclusion, mise en Perspective - François PAGET, Intel Security
Pour en savoir plus : http://clusif.asso.fr/fr/infos/event/
Prochains événements :
• 19 janvier CORI&IN – Présentation de l’outil CERTITUDE, outil d’investigation numérique
distribué, réalisé par le CERT-Solucom. Intervention de Vincent Nguyen et Jean Marsault.
• 20 & 21 janvier – Forum International de la Cybersécurité (FIC). Solucom sera présent lors
de cette 7ème édition du salon et animera la table-ronde « Smart city et cybersécurité »
Directeur de la publication :
Patrick Hirigoyen
Responsable de la rédaction :
Frédéric Goux
Contributeurs : Gérôme Billois, Anthony
Di Prima, Sarah Lamigeon, Jean Magne,
Arnaud Soullie
Photographies :
Getty images
Fotolia
Graphiques :
Solucom
Conception graphique :
Les enfants gâtés
Impression :
Axiom Graphics
ISSN 1995-1975
La Lettre Sécurité
Revue de la practice
risk management et sécurité
de l’information du cabinet Solucom
Tour Franklin,
100-101 terrasse Boieldieu
La Défense 8
92042 Paris - La Défense
solucom@solucom.fr
http://www.solucom.fr
abonnement : lettresecurite@solucom.fr
L’actualité Solucom
Solucom se renforce dans le domaine
du tertiaire financier et de l’industrie
Courant octobre, Solucom annonçait son
rapprochement avec Audisoft-Oxéa.
Ce cabinet de conseil d’une trentaine
de consultants accompagne les grands
acteurs du secteur financier sur l’en-
semble de leurs enjeux en matière de
performance, réglementation, conformité,
contrôle interne et gestion des risques.
L’expertise d’Audisoft-Oxéa est largement
reconnue par la place financière, notam-
ment par les autorités de tutelle et les
régulateurs (ACPR, AMF).
À noter également que Solucom vient de
reprendre la branche Industrie de PEA
consulting, comprenant une douzaine
de collaborateurs, renforçant ainsi sa
connaissance des activités industrielles
de ses clients, notamment en matière de
supply chain.
Pour en savoir plus :
http://www.solucom.fr/finance/