SlideShare uma empresa Scribd logo

Sécurité des SI industriels : enjeux et actions clés

Transferir como PPTX, PDF
Wavestone
Wavestone

Présentation par Anthony DI PRIMA et Arnaud SOULLIE lors de la 20ème journée thématique SSI de l'OzSSI Sud-Est à Lyon. Retrouvez l'article dédié sur www.securityinsider-solucom.fr.

Negócios
1 de 41
4 février 2015 20ème journée thématique SSI de OzSSI Sud-Est Anthony Di Prima & Arnaud Soullie Sécurité des SI Industriels : enjeux et actions clés
2 Qui sommes-nous ? Risk Management Continuité d’activité Cyber sécurité Identité numérique Qualification PASSI CERT-Solucom  Solucom, 2ème cabinet* de conseil indépendant en France  Des clients dans le top 200 des grandes entreprises et administrations, dans tous les secteurs  1400 collaborateurs dont 250 spécialisés dans la gestion des risques et la cybersécurité  Notre métier « Donner confiance dans la transformation numérique »  Des offres qui allient des expertises de premier plan Notre actualité Inscription : lettresecurite@solucom.fr * Source : PAC 2014 La Lettre Risques & Sécurité Les dossiers CERT-Solucom 4 février 2015 - Propriété de Solucom, reproduction interdite
3 Définitions  SI Industriel ou « Système automatisé de contrôle des procédés industriels »(ANSSI)  Ensemble des moyens humains et matériels ayant pour finalité de contrôler ou de commander un ensemble de capteurs et d’actionneurs.  « CYBER PHYSICAL SYSTEM »  Un système cyber-physique est un système où des éléments informatiques collaborent pour le contrôle et la commande d'entités physiques SI D’ENTREPRISE MANIPULE DES DONNÉES ≠ SI INDUSTRIEL GÈRE DES INTERFACES AVEC LE MONDE PHYSIQUE 4 février 2015 - Propriété de Solucom, reproduction interdite
4 Où les trouve-t-on ?  Automobile  Agroalimentaire  Pharmaceutique  Énergie  Nucléaire  Réseaux électrique  Réseaux d’eau  Gaz / Pétrole  Transport  Aéronautique  Chimie  Militaire 4 février 2015 - Propriété de Solucom, reproduction interdite
5 Les enjeux  Une cyber-attaque sur un SI d’entreprise  Une cyber-attaque sur un SI Industriel Image extraite de la bande annonce du film Blackhat 4 février 2015 - Propriété de Solucom, reproduction interdite
6 Cyber-attaque, cyber-vandalisme ou acte de « cyber-guerre » ?  Extrait du manuel juridique sur la cyber-guerre (Tallin/CCDCOE)  En cas de conflit « cyber-armé », les SI Industriels en première ligne ? LA MENACE EST RÉELLE ET SE CONCRÉTISE DE PLUS EN PLUS ! 4 février 2015 - Propriété de Solucom, reproduction interdite
7  Incident de 2008 sur un pipeline en Turquie (ligne Bakou-Tbilissi-Ceyhan)  Initialement qualifié d’accidentel par le gouvernement turc  Des éléments laissent entendre qu’il s’agissait d’une cyber-attaque LE DÉROULEMENT  Explosion du pipeline  Explosion détectée 40 minutes après l’incident par un agent de sécurité local  60 heures de vidéo de surveillance supprimées  Qui sont les auteurs : Russie ? PKK ? LES CONSÉQUENCES PIPELINE Intrusion via vidéosurveillance Accès physique sur site Modification de la pression Malware Sys. Gestion des alarmes    
8  Vol de données avéré au sein de la compagnie Sud-Coréenne Korea Hydro & Nuclear Power Co. (KHNP) exploitant la centrale  Une attaque revendiquée par « Le Président du Groupe Anti-Nucléaire de Hawaï »  Campagne de Spear-Phishing  Infection de 4 postes par un malware permettant la destruction de fichiers et de disques durs  Publication sur Twitter des documents volés LES FAITS  Des plans de réacteurs divulgués  Des manuels opérateurs disponibles  Aucune atteinte au système industriel, ni les systèmes de « sûreté » des réacteurs   Réalisation d’un exercice de simulation d’une cyberattaque de grand ampleur  Qui sont les auteurs : Corée du Nord ? Chine ? LES CONSÉQUENCES CENTRALE NUCLÉAIRE
9  Publication par le BSI de son rapport annuel  Mention d’une attaque de type APT sur une aciérie allemande (haut fourneau)  Attaque ayant entrainée des dommages physiques LE DÉROULEMENT  Plusieurs équipements compromis  Impossibilité d’arrêter le haut fourneau dans des conditions normales  L’arrêt dans des conditions dégradées provoque des dommages irréversibles sur l’installation  Qui sont les auteurs ? LES CONSÉQUENCES ACIÉRIE spear-phishingsocial-engineering intrusion réseau de production Intrusion réseau bureautique    
11  La presse relaie d’avantage  Le mot « SCADA » dans toutes les bouches  La découverte des vulnérabilités s’accélère  Les indémodables mot de passe « hard- codés »  Protocoles: HART, CAN, DNP3  …et bien d’autres  Outils et exploits de plus en plus accessibles  Des SI Industriels toujours autant exposés  SHODAN !!  Des besoins d’ouvertures grandissants  Big Data ? Démocratisation Immobilisme Exposition  Les constats d’audits mettent en avant toujours autant de faiblesses sur les SI Industriels  Des initiatives de sécurisation encore trop peu nombreuses  Une règlementation qui se fait attendre… Une certaine montée en pression  Une menace qui peut être très élevée  Un potentiel d’attaque jusqu’au niveau étatique  Mais des cas « publics » encore assez rare…!? Menace 4 février 2015 - Propriété de Solucom, reproduction interdite
12 Exposition  Faciles à découvrir grâce aux services comme SHODAN 4 février 2015 - Propriété de Solucom, reproduction interdite
13 QUELLES SONT LES PROBLÉMATIQUES SÉCURITÉ DES SI INDUSTRIELS ? Cloisonnement réseau Supervision sécurité Organisation sécurité & sensibilisation Gestion des vulnérabilités Gestion des tiers Sécurité des protocoles Des constats qui n’ont rien de nouveau Des budgets toujours aussi faibles / Secteur industriel en crise !?€
14 PROTOCOLE MODBUS 4 février 2015 - Propriété de Solucom, reproduction interdite
15 Le protocole Modbus  Protocole de communication série inventé en 1979 par Modicon, qui sera racheté par Schneider Electric  Pensé pour une utilisation industrielle  Pas de royalties  Désormais un des standards de communication industriel  Protocole maître / esclave  Le maître envoie régulièrement des requêtes à l’escalve  Pas de notion de contexte : l’esclave renvoie une valeur brute, le mapitre doit connaître son format FONCTIONNEMENT  Pas de chiffrement  Pas d’authentification SÉCURITÉ 4 février 2015 - Propriété de Solucom, reproduction interdite
16 SOLUCOM Attacki ng plcs Never do this on LIVE production systems DÉMOS JAMAIS SUR DES SYSTÈMES EN PRODUCTION 4 février 2015 - Propriété de Solucom, reproduction interdite
17  Fonctionnement standard : les lumières rouge, orange et verte s’allument séquentiellement  Objectif : perturber ce fonctionnement pour engendrer le chaos  Comment faire ?  Envoyer des commandes Modbus  Ces commandes sont non-authentifiées  Possibilité d’utiliser ce même protocole pour programmer l’automate DEMO #1 : FEU ROUGE 4 février 2015 - Propriété de Solucom, reproduction interdite
18  Fonctionnement standard : la centrifugeuse tourne à la vitesse 1 ou 2 et l’IHM indique à l ’opérateur la vitesse courante  Objectif : Perturber ce fonctionnement pour abîmer le matériel  Comment faire ?  Utiliser le protocole S7 propriétaire Siemens pour dialoguer avec l’automate  Envoyer des commandes pour modifier la vitesse  Envoyer des commandes pour modifier la consigne affichée DEMO #2 : CENTRIFUGEUSE 4 février 2015 - Propriété de Solucom, reproduction interdite
Une menace trop élevée pour pouvoir y faire face ? Un gap à franchir trop grand ? MAIS ALORS QUE DOIT ON FAIRE ?
21 S’appuyer sur les travaux en cours 2008 - Livre blanc sur la défense et la sécurité nationale - Création de l’ANSSI 2012 - Rapport « Bockel » - 1er guide « introductif »pour la sécurité des SI Industriel par l’ANSSI Février 2013 - Groupe de travail piloté par l’ANSSI pour apporter des réponses à la sécurisation des infrastructures industrielles Décembre 2013 - Loi de programmation militaire : projet de cadre minimum à respecter pour les OIV et en particulier pour les systèmes industriels Janvier 2014 - l’ANSSI publie deux nouveaux guides pour la cybersécurité des systèmes industriels 2015 ?? Décrets et Arrêtés ?? Méthode de classification et mesures principales Mesures détaillées …pour les opérateurs « critiques » 4 février 2015 - Propriété de Solucom, reproduction interdite
22 …et pour les autres  Profitez de l’élan !!  Soyez pragmatique  Donnez vous une cible réaliste  Priorisez et itérez 4 février 2015 - Propriété de Solucom, reproduction interdite
23 QUELLES ACTIONS CLÉS POUR DÉMARRER ?
24 Gouvernance globale de la sécurité des SI Industriels  Afin d’augmenter le niveau de sécurité dans la durée il faut mettre en place une gouvernance globale de la sécurité des SII  Un Responsable de la Sécurité des SI Industriels doit être nommé afin de définir, mettre en œuvre et animer cette gouvernance  Le RSSII doit être capable de jouer le facilitateur entre les différentes sphères et pouvoir s’appuyer sur les acteurs incontournables du SI Industriel DSI Sphère industrielle RSSII Sphère métier Sûreté Sécurité SI, RSSI 4 février 2015 - Propriété de Solucom, reproduction interdite
25 Initier la démarche de sécurisation : plusieurs approches Analyse de risquesAudit Bilan de conformité Les trois approches peuvent être utilisées ou combinées Elles doivent aussi être l’occasion de mobiliser la direction générale et les directions métiers dont l’engagement et l’implication dans la durée sont nécessaires  Sur les sites les plus sensibles ou ayant connu un incident récent  Permet d’identifier rapidement les vulnérabilités et les zones non protégées  Permet de définir des premières actions simples  Demander à chaque site d’évaluer son niveau de sécurité sur la base d’un questionnaire  Moins concrète et fiable  Permet d’avoir une vision globale plus rapidement  Appliquée à un processus industriel  Permet d’estimer les impacts financiers, humains et environnementaux en cas d’incident  Permet de prioriser un plan d’actions Le duo gagnant !! 4 février 2015 - Propriété de Solucom, reproduction interdite
26 Approche > focus sur l’analyse de risques  Démarche proposée quasiment dans tous les standards/référentiels/normes:  ANSSI :  ISA/IEC 62443 : 4 février 2015 - Propriété de Solucom, reproduction interdite
27 Approche > focus sur l’analyse de risques  Pourquoi l’analyse de risques ?  Prise en compte du risque « cyber »  Meilleur moyen pour comprendre le métier  Permet d’établir le contact/une relation avec l’ensemble des acteurs du SI industriel  L’approche par les risques bien comprise du « Top management »  Quelle méthode ?  « Bon sang, mais c’est bien sûr ! »  EBIOS !!  Oui ça marche ! 4 février 2015 - Propriété de Solucom, reproduction interdite
28 Approche > focus sur l’analyse de risques  « Pourquoi une étude de risques ? On en a déjà fait plein! »  Limite : ces méthodes ne prennent pas en considération l’acte de malveillance. Il est attendu que les systèmes et les opérateurs remplissent pleinement leur fonction HAZOP HAZard and OPerability study FMECA Failure Modes, Effects and Criticality Analysis LOPA Layer of Protection Analysis FTA Fault Tree Analysis CAPITALISER SUR LES ÉTUDES MENÉES AU TITRE DE LA SÛRETÉ ! (ENCORE FAUT IL AVOIR À DISPOSITION CES ÉTUDES…) 4 février 2015 - Propriété de Solucom, reproduction interdite
29 Approche > focus sur l’analyse de risques  HAZOP, exemple : Cause Dérive Évènement Redouté Conséquence Gravité Barrières de sécurité Recommandation Défaillance pompe P1 Débit haut Surremplissage cuve C1 Épandage produit toxique 2 (décès personnel) Capteur seuil haut - Défaillance vanne V1 Perte de surpression Entrée d’oxygène dans équipement E1 Explosion 3 (décès population hors site) Alarme Sonde Inspection - 4 février 2015 - Propriété de Solucom, reproduction interdite
30 Approche > focus sur l’analyse de risques Étude du contexte Étude des évènements redoutés Étude des scénarios de menaces Étude des mesures de sécurité Étude des risques  Métriques adaptées  Étude orientée « impacts » EBIOS  Identification des processus industriels  Identification des évènements redoutés (gravité)  Détermination des biens supports à compromettre  Identification des barrières physiques et instrumentées (SIS) HAZOP Adaptation Capitalisation 4 février 2015 - Propriété de Solucom, reproduction interdite
31 Approche > focus sur l’analyse de risques  Dans le cas où le SIS est très intégré au SNCC et qu’il repose en grande partie sur une infrastructure matérielle et une couche applicative mutualisée, cela peut constituer un vecteur d’attaque pour la compromission du SIS  Des contrôles supplémentaires peuvent être mis en place afin de maîtriser l’intégrité de la configuration SIS (suivi de version, requalifications…) Domaine Active Directory P Autres postes et serveurs du domaine Applicatif procédé Fonctions Process Fonctions Sureté Réseau mutualisé Fond de panier contrôleur Contrôleur Process Contrôleur SIS Configuration Supervision Équipements procédé Dédié Process Dédié SIS Mutualisé Si le SIS peut être considéré comme un élément de réduction du risque dans les approches de sûreté, il est à considérer dans les études de risque cyber comme un bien support à part entière et attaquable !! 4 février 2015 - Propriété de Solucom, reproduction interdite
32 Approche > focus sur l’analyse de risques Le plan d’actions ne doit pas s’apparenter à l’ascension de l’Everest !! Établir différents paliers progressifs Donner une vision des risques résiduels pour chaque palier Mettre en œuvre et obtenir des premiers succès !! 4 février 2015 - Propriété de Solucom, reproduction interdite
33 Cloisonner les réseaux selon leur criticité Contrairement aux besoins fonctionnels, les besoins de sécurité sont souvent mal identifiés. SI de GestionSI Industriel Remonter l’information vers le SI de Gestion ? - Surveillance de la production - Émission de factures - Big Data Permettre la maintenance à distance ?  Exigences de sécurité  Mesures de protection Fournisseur & Mainteneur Définir des niveaux de sécurité  Regroupement physique et logique de systèmes informatiques  Importance comparable en terme de sécurité  À chaque zone est associé un niveau de criticité et des règles associées Définir des zones Appliquer les mesures de protection  Cloisonnement aux frontières (pare-feux et diodes)  Filtrage des flux  Contrôle d’accès et authentification des utilisateurs …et progressivement 4 février 2015 - Propriété de Solucom, reproduction interdite
34 Cloisonner les réseaux > focus sur les solutions  Segmentation par VLAN (et filtrage associé !)  Mise en place de firewalls  Utilisation de DMZ pour l’échange de données  Équipements de filtrage avec inspection protocolaire (DPI)  Diodes réseau  Solutions de cloisonnement avancé : seclabs (matériel), PolyXene (logiciel), … Des solutions classiques … …et d’autres plus « avancées » Un besoin réel : échanger des données entre les réseaux industriels et de gestion, via le réseau et/ou via des périphériques amovibles 4 février 2015 - Propriété de Solucom, reproduction interdite
35 Traiter les urgences sans négliger la sécurisation à moyen terme Mise en place de solutions palliatives Modifications en profondeurs  Les changements sur un réseau de production sont complexes à organiser :  Impact sur la disponibilité de l’installation  Remise en cause de l’homologation de sûreté  La Gestion des correctifs de sécurité a un cycle de mise en œuvre trop court par rapport au cycle de vie d’une installation industrielle 4 février 2015 - Propriété de Solucom, reproduction interdite
36 Patch management et solutions palliatives Avantages Inconvénients Requiert une forte expertise Manque d’exhaustivité Pas une solution valable à long terme Peu dépendant des produits Impact sur le process facile à mesurer Retour en arrière plus aisé  Parmi ces mesures palliatives figurent :  La reconfiguration d’équipement  L’ajustement des règles de filtrage réseau  La personnalisation des règles IDS  … Ces mesures visent à contrer les tentatives d’exploitation de vulnérabilités connues et non corrigées Tendance : Utilisation de solutions de type « Whitelisting » sur la partie SCADA  La gestion des correctifs de sécurité est souvent incompatible avec les contraintes des SI Industriels  Il est possible de compenser cette difficulté par l’application de mesures palliatives (workaround) 4 février 2015 - Propriété de Solucom, reproduction interdite
37 Sécuriser les équipements et les protocoles Équipements simples Peu de mémoire, de puissance de calcul Considérés comme « électroniques » plutôt qu’ « informatiques » Protocoles spécifiques Pas de prise en compte de la sécurité Protocoles de communication adaptés de protocoles « série historique » Vulnérabilités Authentification faible Mots de passe par défaut Mots de passe par « hardcodés » Équipements Informations échangées en clair Possibilité de rejeu Pas d’authentification Protocoles Les API et protocoles associés sont bâtis sur des contraintes de disponibilité et de longévité. Il faut avoir conscience de leurs vulnérabilités pour y pallier quand cela est possible. La sécurisation des équipements et protocoles ne pourra venir que des fournisseurs. 4 février 2015 - Propriété de Solucom, reproduction interdite
38 Maitrise de la sous-traitance et de la maintenance Les fournisseurs / éditeurs sont encore trop souvent dans une posture « dominatrice » Certains points dans la maîtrise de la sous-traitance et de la maintenance sont à surveiller de près :  Mise en œuvre de maintenance à distance :  Les accès doivent être sécurisés : authentification forte / chiffrement  Attention à la maintenance à distance par Internet et/ou depuis l’étranger  Conditions de garantie  En cas de modification (installation d’antivirus ou de correctif de sécurité)  Configuration à la livraison, les équipements sont souvent livrés avec  leurs configurations par défaut  des configurations non durcies @  Gestion de fournisseurs multiples :  Limiter les entrées/sorties des personnels de maintenance / intervention  Contrôler afin de limiter l’introduction de composants malveillants 4 février 2015 - Propriété de Solucom, reproduction interdite
39 Supervision de la sécurité  L’intégration à un SOC « central » est rendue difficile par l’ouverture des flux qu’elle nécessite mais doit être étudiée  La mise en œuvre d’un SOC local est essentielle  Mettre en place des dispositifs de surveillance tels que les IDS, IPS ou des pare-feux avec capacités de “Deep Packet Inspection” permet de pouvoir détecter et réagir face aux incidents de sécurité SCADA : Supervisory Control and Data Acquisition La supervision est au cœur des systèmes SCADA, c’est même leur but premier. Cependant, il s’agit de superviser le fonctionnement et la sûreté. La supervision au sens sécurité est quasi inexistante Supervision Remontée de logs Analyse de flux critiques 4 février 2015 - Propriété de Solucom, reproduction interdite
40 En conclusion Il faut faire face à la réalité. La menace est réelle et le fossé se creuse entre niveau de cybersécurité des installations et le niveau des attaquants. N’attendons pas un évènement majeur pour adresser le sujet !! Les méthodes éprouvées du monde de l’IT conventionnel peuvent s’adapter aux spécificités du monde industriel. Il faut donc combiner les savoir-faire !! La mobilisation des directions métiers est aussi une nécessité pour la sécurisation de l’entreprise de bout en bout dans une approche globale. Cela passe également par des investissements significatifs (build et run) !! 4 février 2015 - Propriété de Solucom, reproduction interdite
www.solucom.fr Anthony DI PRIMA Manager Tel : +33 (0)1 49 03 84 63 Mobile : +33 (0)6 69 28 15 95 Mail : anthony.diprima@solucom.fr Contact

Recomendados

Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016Blandine Delaporte
 
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Wavestone
 
AG TWEED 2015 - pitchs
AG TWEED 2015 - pitchsAG TWEED 2015 - pitchs
AG TWEED 2015 - pitchsCluster TWEED
 
Siemens produits-cvc-systemes-gtb-2013
Siemens produits-cvc-systemes-gtb-2013Siemens produits-cvc-systemes-gtb-2013
Siemens produits-cvc-systemes-gtb-2013e-genieclimatique
 
PLC Maintenance
PLC MaintenancePLC Maintenance
PLC MaintenanceHamed AL Aamri
 
Relais bluetooth - Balance connectée
Relais bluetooth - Balance connectéeRelais bluetooth - Balance connectée
Relais bluetooth - Balance connectéePeronnin Eric
 
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Wavestone
 
Accélérer l’innovation !
Accélérer l’innovation !Accélérer l’innovation !
Accélérer l’innovation !Wavestone
 

Recomendados

Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016Rapport de Sécurité Check Point 2016
Rapport de Sécurité Check Point 2016Blandine Delaporte
 
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Wavestone
 
AG TWEED 2015 - pitchs
AG TWEED 2015 - pitchsAG TWEED 2015 - pitchs
AG TWEED 2015 - pitchsCluster TWEED
 
Siemens produits-cvc-systemes-gtb-2013
Siemens produits-cvc-systemes-gtb-2013Siemens produits-cvc-systemes-gtb-2013
Siemens produits-cvc-systemes-gtb-2013e-genieclimatique
 
PLC Maintenance
PLC MaintenancePLC Maintenance
PLC MaintenanceHamed AL Aamri
 
Relais bluetooth - Balance connectée
Relais bluetooth - Balance connectéeRelais bluetooth - Balance connectée
Relais bluetooth - Balance connectéePeronnin Eric
 
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Wavestone
 
Accélérer l’innovation !
Accélérer l’innovation !Accélérer l’innovation !
Accélérer l’innovation !Wavestone
 
Supervision industrielle www.automate pro.blogspot.com
Supervision industrielle www.automate pro.blogspot.comSupervision industrielle www.automate pro.blogspot.com
Supervision industrielle www.automate pro.blogspot.comAdnane Ahmidani
 
Industrie 4.0 : la fusion d’internet et des usines
Industrie 4.0 : la fusion d’internet et des usines Industrie 4.0 : la fusion d’internet et des usines
Industrie 4.0 : la fusion d’internet et des usines Fabernovel
 
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...Thierry Pertus
 
Deep Dive on Amazon Relational Database Service (November 2016)
Deep Dive on Amazon Relational Database Service (November 2016)Deep Dive on Amazon Relational Database Service (November 2016)
Deep Dive on Amazon Relational Database Service (November 2016)Julien SIMON
 
Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016Blandine Delaporte
 
Nouveau - AUGIERBOX II
Nouveau - AUGIERBOX IINouveau - AUGIERBOX II
Nouveau - AUGIERBOX IIKarim Hassaouan
 
Recetriohipervinculo 1 im_joanasosa
Recetriohipervinculo 1 im_joanasosaRecetriohipervinculo 1 im_joanasosa
Recetriohipervinculo 1 im_joanasosaantonio12345h
 
Guide de securite php
Guide de securite phpGuide de securite php
Guide de securite phpbelfkih
 
Cm 1
Cm 1Cm 1
Cm 1Dominique Bergogne
 
Les Français et la relation homme machine
Les Français et la relation homme machineLes Français et la relation homme machine
Les Français et la relation homme machineIpsos France
 
Rkn instruction de_mise_en_service_des_regulateur_v2
Rkn instruction de_mise_en_service_des_regulateur_v2Rkn instruction de_mise_en_service_des_regulateur_v2
Rkn instruction de_mise_en_service_des_regulateur_v2e-genieclimatique
 
Ppt RepréSentant Industriel
Ppt RepréSentant IndustrielPpt RepréSentant Industriel
Ppt RepréSentant Industrielmaudelabrosse
 
Automation
AutomationAutomation
Automationjinalsinh
 
Plateforme Ouverte de Supervision et de Traçabilité pour les Environnements C...
Plateforme Ouverte de Supervision et de Traçabilité pour les Environnements C...Plateforme Ouverte de Supervision et de Traçabilité pour les Environnements C...
Plateforme Ouverte de Supervision et de Traçabilité pour les Environnements C...Anthony Gelibert
 
Monde de l'énergie & informatique, la mutation industrielle
Monde de l'énergie & informatique, la mutation industrielleMonde de l'énergie & informatique, la mutation industrielle
Monde de l'énergie & informatique, la mutation industrielleVelossity
 
Introduction à la sécurité des applications web avec php [fr]
Introduction à la sécurité des applications web avec php [fr]Introduction à la sécurité des applications web avec php [fr]
Introduction à la sécurité des applications web avec php [fr]Wixiweb
 
La Gestion intelligente de l'éclairage par Philips
La Gestion intelligente de l'éclairage par PhilipsLa Gestion intelligente de l'éclairage par Philips
La Gestion intelligente de l'éclairage par PhilipsGroupement Interprofessionnel du Luminaire
 
Bank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeBank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeWavestone
 
Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Wavestone
 
Bank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeBank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeWavestone
 
Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Wavestone
 
Solucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseSolucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseWavestone
 

Mais conteúdo relacionado

Destaque

Supervision industrielle www.automate pro.blogspot.com
Supervision industrielle www.automate pro.blogspot.comSupervision industrielle www.automate pro.blogspot.com
Supervision industrielle www.automate pro.blogspot.comAdnane Ahmidani
 
Industrie 4.0 : la fusion d’internet et des usines
Industrie 4.0 : la fusion d’internet et des usines Industrie 4.0 : la fusion d’internet et des usines
Industrie 4.0 : la fusion d’internet et des usines Fabernovel
 
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...Thierry Pertus
 
Deep Dive on Amazon Relational Database Service (November 2016)
Deep Dive on Amazon Relational Database Service (November 2016)Deep Dive on Amazon Relational Database Service (November 2016)
Deep Dive on Amazon Relational Database Service (November 2016)Julien SIMON
 
Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016Blandine Delaporte
 
Recetriohipervinculo 1 im_joanasosa
Recetriohipervinculo 1 im_joanasosaRecetriohipervinculo 1 im_joanasosa
Recetriohipervinculo 1 im_joanasosaantonio12345h
 
Guide de securite php
Guide de securite phpGuide de securite php
Guide de securite phpbelfkih
 
Les Français et la relation homme machine
Les Français et la relation homme machineLes Français et la relation homme machine
Les Français et la relation homme machineIpsos France
 
Rkn instruction de_mise_en_service_des_regulateur_v2
Rkn instruction de_mise_en_service_des_regulateur_v2Rkn instruction de_mise_en_service_des_regulateur_v2
Rkn instruction de_mise_en_service_des_regulateur_v2e-genieclimatique
 
Ppt RepréSentant Industriel
Ppt RepréSentant IndustrielPpt RepréSentant Industriel
Ppt RepréSentant Industrielmaudelabrosse
 
Plateforme Ouverte de Supervision et de Traçabilité pour les Environnements C...
Plateforme Ouverte de Supervision et de Traçabilité pour les Environnements C...Plateforme Ouverte de Supervision et de Traçabilité pour les Environnements C...
Plateforme Ouverte de Supervision et de Traçabilité pour les Environnements C...Anthony Gelibert
 
Monde de l'énergie & informatique, la mutation industrielle
Monde de l'énergie & informatique, la mutation industrielleMonde de l'énergie & informatique, la mutation industrielle
Monde de l'énergie & informatique, la mutation industrielleVelossity
 
Introduction à la sécurité des applications web avec php [fr]
Introduction à la sécurité des applications web avec php [fr]Introduction à la sécurité des applications web avec php [fr]
Introduction à la sécurité des applications web avec php [fr]Wixiweb
 

Destaque (17)

Supervision industrielle www.automate pro.blogspot.com
Supervision industrielle www.automate pro.blogspot.comSupervision industrielle www.automate pro.blogspot.com
Supervision industrielle www.automate pro.blogspot.com
 
Industrie 4.0 : la fusion d’internet et des usines
Industrie 4.0 : la fusion d’internet et des usines Industrie 4.0 : la fusion d’internet et des usines
Industrie 4.0 : la fusion d’internet et des usines
 
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
 
Deep Dive on Amazon Relational Database Service (November 2016)
Deep Dive on Amazon Relational Database Service (November 2016)Deep Dive on Amazon Relational Database Service (November 2016)
Deep Dive on Amazon Relational Database Service (November 2016)
 
Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016Rapport Threat Intelligence Check Point du 19 décembre 2016
Rapport Threat Intelligence Check Point du 19 décembre 2016
 
Nouveau - AUGIERBOX II
Nouveau - AUGIERBOX IINouveau - AUGIERBOX II
Nouveau - AUGIERBOX II
 
Recetriohipervinculo 1 im_joanasosa
Recetriohipervinculo 1 im_joanasosaRecetriohipervinculo 1 im_joanasosa
Recetriohipervinculo 1 im_joanasosa
 
Guide de securite php
Guide de securite phpGuide de securite php
Guide de securite php
 
Cm 1
Cm 1Cm 1
Cm 1
 
Les Français et la relation homme machine
Les Français et la relation homme machineLes Français et la relation homme machine
Les Français et la relation homme machine
 
Rkn instruction de_mise_en_service_des_regulateur_v2
Rkn instruction de_mise_en_service_des_regulateur_v2Rkn instruction de_mise_en_service_des_regulateur_v2
Rkn instruction de_mise_en_service_des_regulateur_v2
 
Ppt RepréSentant Industriel
Ppt RepréSentant IndustrielPpt RepréSentant Industriel
Ppt RepréSentant Industriel
 
Automation
AutomationAutomation
Automation
 
Plateforme Ouverte de Supervision et de Traçabilité pour les Environnements C...
Plateforme Ouverte de Supervision et de Traçabilité pour les Environnements C...Plateforme Ouverte de Supervision et de Traçabilité pour les Environnements C...
Plateforme Ouverte de Supervision et de Traçabilité pour les Environnements C...
 
Monde de l'énergie & informatique, la mutation industrielle
Monde de l'énergie & informatique, la mutation industrielleMonde de l'énergie & informatique, la mutation industrielle
Monde de l'énergie & informatique, la mutation industrielle
 
Introduction à la sécurité des applications web avec php [fr]
Introduction à la sécurité des applications web avec php [fr]Introduction à la sécurité des applications web avec php [fr]
Introduction à la sécurité des applications web avec php [fr]
 
La Gestion intelligente de l'éclairage par Philips
La Gestion intelligente de l'éclairage par PhilipsLa Gestion intelligente de l'éclairage par Philips
La Gestion intelligente de l'éclairage par Philips
 

Mais de Wavestone

Bank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeBank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeWavestone
 
Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Wavestone
 
Bank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeBank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeWavestone
 
Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Wavestone
 
Solucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseSolucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseWavestone
 
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?Wavestone
 
Physical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or diePhysical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or dieWavestone
 
Bank Insight - Piloter la relation client
Bank Insight - Piloter la relation clientBank Insight - Piloter la relation client
Bank Insight - Piloter la relation clientWavestone
 
BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101Wavestone
 
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'AssuranceSynthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'AssuranceWavestone
 
The Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devicesThe Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devicesWavestone
 
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...Wavestone
 
Réseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourirRéseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourirWavestone
 
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Wavestone
 
Carrefour des organisations n°77
Carrefour des organisations n°77Carrefour des organisations n°77
Carrefour des organisations n°77Wavestone
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Wavestone
 
Solucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance SpeakerSolucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance SpeakerWavestone
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webWavestone
 
Les Français et la banque : bouleversements en vue !
Les Français et la banque : bouleversements en vue !Les Français et la banque : bouleversements en vue !
Les Français et la banque : bouleversements en vue !Wavestone
 
Enquête Solucom 2014 : la DRH face aux défis du numérique
Enquête Solucom 2014 : la DRH face aux défis du numériqueEnquête Solucom 2014 : la DRH face aux défis du numérique
Enquête Solucom 2014 : la DRH face aux défis du numériqueWavestone
 

Mais de Wavestone (20)

Bank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeBank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnée
 
Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !
 
Bank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeBank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigme
 
Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”
 
Solucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseSolucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presse
 
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
 
Physical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or diePhysical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or die
 
Bank Insight - Piloter la relation client
Bank Insight - Piloter la relation clientBank Insight - Piloter la relation client
Bank Insight - Piloter la relation client
 
BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101
 
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'AssuranceSynthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
 
The Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devicesThe Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devices
 
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
 
Réseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourirRéseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourir
 
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
 
Carrefour des organisations n°77
Carrefour des organisations n°77Carrefour des organisations n°77
Carrefour des organisations n°77
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
 
Solucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance SpeakerSolucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance Speaker
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201web
 
Les Français et la banque : bouleversements en vue !
Les Français et la banque : bouleversements en vue !Les Français et la banque : bouleversements en vue !
Les Français et la banque : bouleversements en vue !
 
Enquête Solucom 2014 : la DRH face aux défis du numérique
Enquête Solucom 2014 : la DRH face aux défis du numériqueEnquête Solucom 2014 : la DRH face aux défis du numérique
Enquête Solucom 2014 : la DRH face aux défis du numérique
 

Sécurité des SI industriels : enjeux et actions clés

  • 1. 4 février 2015 20ème journée thématique SSI de OzSSI Sud-Est Anthony Di Prima & Arnaud Soullie Sécurité des SI Industriels : enjeux et actions clés
  • 2. 2 Qui sommes-nous ? Risk Management Continuité d’activité Cyber sécurité Identité numérique Qualification PASSI CERT-Solucom  Solucom, 2ème cabinet* de conseil indépendant en France  Des clients dans le top 200 des grandes entreprises et administrations, dans tous les secteurs  1400 collaborateurs dont 250 spécialisés dans la gestion des risques et la cybersécurité  Notre métier « Donner confiance dans la transformation numérique »  Des offres qui allient des expertises de premier plan Notre actualité Inscription : lettresecurite@solucom.fr * Source : PAC 2014 La Lettre Risques & Sécurité Les dossiers CERT-Solucom 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 3. 3 Définitions  SI Industriel ou « Système automatisé de contrôle des procédés industriels »(ANSSI)  Ensemble des moyens humains et matériels ayant pour finalité de contrôler ou de commander un ensemble de capteurs et d’actionneurs.  « CYBER PHYSICAL SYSTEM »  Un système cyber-physique est un système où des éléments informatiques collaborent pour le contrôle et la commande d'entités physiques SI D’ENTREPRISE MANIPULE DES DONNÉES ≠ SI INDUSTRIEL GÈRE DES INTERFACES AVEC LE MONDE PHYSIQUE 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 4. 4 Où les trouve-t-on ?  Automobile  Agroalimentaire  Pharmaceutique  Énergie  Nucléaire  Réseaux électrique  Réseaux d’eau  Gaz / Pétrole  Transport  Aéronautique  Chimie  Militaire 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 5. 5 Les enjeux  Une cyber-attaque sur un SI d’entreprise  Une cyber-attaque sur un SI Industriel Image extraite de la bande annonce du film Blackhat 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 6. 6 Cyber-attaque, cyber-vandalisme ou acte de « cyber-guerre » ?  Extrait du manuel juridique sur la cyber-guerre (Tallin/CCDCOE)  En cas de conflit « cyber-armé », les SI Industriels en première ligne ? LA MENACE EST RÉELLE ET SE CONCRÉTISE DE PLUS EN PLUS ! 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 7. 7  Incident de 2008 sur un pipeline en Turquie (ligne Bakou-Tbilissi-Ceyhan)  Initialement qualifié d’accidentel par le gouvernement turc  Des éléments laissent entendre qu’il s’agissait d’une cyber-attaque LE DÉROULEMENT  Explosion du pipeline  Explosion détectée 40 minutes après l’incident par un agent de sécurité local  60 heures de vidéo de surveillance supprimées  Qui sont les auteurs : Russie ? PKK ? LES CONSÉQUENCES PIPELINE Intrusion via vidéosurveillance Accès physique sur site Modification de la pression Malware Sys. Gestion des alarmes    
  • 8. 8  Vol de données avéré au sein de la compagnie Sud-Coréenne Korea Hydro & Nuclear Power Co. (KHNP) exploitant la centrale  Une attaque revendiquée par « Le Président du Groupe Anti-Nucléaire de Hawaï »  Campagne de Spear-Phishing  Infection de 4 postes par un malware permettant la destruction de fichiers et de disques durs  Publication sur Twitter des documents volés LES FAITS  Des plans de réacteurs divulgués  Des manuels opérateurs disponibles  Aucune atteinte au système industriel, ni les systèmes de « sûreté » des réacteurs   Réalisation d’un exercice de simulation d’une cyberattaque de grand ampleur  Qui sont les auteurs : Corée du Nord ? Chine ? LES CONSÉQUENCES CENTRALE NUCLÉAIRE
  • 9. 9  Publication par le BSI de son rapport annuel  Mention d’une attaque de type APT sur une aciérie allemande (haut fourneau)  Attaque ayant entrainée des dommages physiques LE DÉROULEMENT  Plusieurs équipements compromis  Impossibilité d’arrêter le haut fourneau dans des conditions normales  L’arrêt dans des conditions dégradées provoque des dommages irréversibles sur l’installation  Qui sont les auteurs ? LES CONSÉQUENCES ACIÉRIE spear-phishingsocial-engineering intrusion réseau de production Intrusion réseau bureautique    
  • 10.
  • 11. 11  La presse relaie d’avantage  Le mot « SCADA » dans toutes les bouches  La découverte des vulnérabilités s’accélère  Les indémodables mot de passe « hard- codés »  Protocoles: HART, CAN, DNP3  …et bien d’autres  Outils et exploits de plus en plus accessibles  Des SI Industriels toujours autant exposés  SHODAN !!  Des besoins d’ouvertures grandissants  Big Data ? Démocratisation Immobilisme Exposition  Les constats d’audits mettent en avant toujours autant de faiblesses sur les SI Industriels  Des initiatives de sécurisation encore trop peu nombreuses  Une règlementation qui se fait attendre… Une certaine montée en pression  Une menace qui peut être très élevée  Un potentiel d’attaque jusqu’au niveau étatique  Mais des cas « publics » encore assez rare…!? Menace 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 12. 12 Exposition  Faciles à découvrir grâce aux services comme SHODAN 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 13. 13 QUELLES SONT LES PROBLÉMATIQUES SÉCURITÉ DES SI INDUSTRIELS ? Cloisonnement réseau Supervision sécurité Organisation sécurité & sensibilisation Gestion des vulnérabilités Gestion des tiers Sécurité des protocoles Des constats qui n’ont rien de nouveau Des budgets toujours aussi faibles / Secteur industriel en crise !?€
  • 14. 14 PROTOCOLE MODBUS 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 15. 15 Le protocole Modbus  Protocole de communication série inventé en 1979 par Modicon, qui sera racheté par Schneider Electric  Pensé pour une utilisation industrielle  Pas de royalties  Désormais un des standards de communication industriel  Protocole maître / esclave  Le maître envoie régulièrement des requêtes à l’escalve  Pas de notion de contexte : l’esclave renvoie une valeur brute, le mapitre doit connaître son format FONCTIONNEMENT  Pas de chiffrement  Pas d’authentification SÉCURITÉ 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 16. 16 SOLUCOM Attacki ng plcs Never do this on LIVE production systems DÉMOS JAMAIS SUR DES SYSTÈMES EN PRODUCTION 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 17. 17  Fonctionnement standard : les lumières rouge, orange et verte s’allument séquentiellement  Objectif : perturber ce fonctionnement pour engendrer le chaos  Comment faire ?  Envoyer des commandes Modbus  Ces commandes sont non-authentifiées  Possibilité d’utiliser ce même protocole pour programmer l’automate DEMO #1 : FEU ROUGE 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 18. 18  Fonctionnement standard : la centrifugeuse tourne à la vitesse 1 ou 2 et l’IHM indique à l ’opérateur la vitesse courante  Objectif : Perturber ce fonctionnement pour abîmer le matériel  Comment faire ?  Utiliser le protocole S7 propriétaire Siemens pour dialoguer avec l’automate  Envoyer des commandes pour modifier la vitesse  Envoyer des commandes pour modifier la consigne affichée DEMO #2 : CENTRIFUGEUSE 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 19.
  • 20. Une menace trop élevée pour pouvoir y faire face ? Un gap à franchir trop grand ? MAIS ALORS QUE DOIT ON FAIRE ?
  • 21. 21 S’appuyer sur les travaux en cours 2008 - Livre blanc sur la défense et la sécurité nationale - Création de l’ANSSI 2012 - Rapport « Bockel » - 1er guide « introductif »pour la sécurité des SI Industriel par l’ANSSI Février 2013 - Groupe de travail piloté par l’ANSSI pour apporter des réponses à la sécurisation des infrastructures industrielles Décembre 2013 - Loi de programmation militaire : projet de cadre minimum à respecter pour les OIV et en particulier pour les systèmes industriels Janvier 2014 - l’ANSSI publie deux nouveaux guides pour la cybersécurité des systèmes industriels 2015 ?? Décrets et Arrêtés ?? Méthode de classification et mesures principales Mesures détaillées …pour les opérateurs « critiques » 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 22. 22 …et pour les autres  Profitez de l’élan !!  Soyez pragmatique  Donnez vous une cible réaliste  Priorisez et itérez 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 23. 23 QUELLES ACTIONS CLÉS POUR DÉMARRER ?
  • 24. 24 Gouvernance globale de la sécurité des SI Industriels  Afin d’augmenter le niveau de sécurité dans la durée il faut mettre en place une gouvernance globale de la sécurité des SII  Un Responsable de la Sécurité des SI Industriels doit être nommé afin de définir, mettre en œuvre et animer cette gouvernance  Le RSSII doit être capable de jouer le facilitateur entre les différentes sphères et pouvoir s’appuyer sur les acteurs incontournables du SI Industriel DSI Sphère industrielle RSSII Sphère métier Sûreté Sécurité SI, RSSI 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 25. 25 Initier la démarche de sécurisation : plusieurs approches Analyse de risquesAudit Bilan de conformité Les trois approches peuvent être utilisées ou combinées Elles doivent aussi être l’occasion de mobiliser la direction générale et les directions métiers dont l’engagement et l’implication dans la durée sont nécessaires  Sur les sites les plus sensibles ou ayant connu un incident récent  Permet d’identifier rapidement les vulnérabilités et les zones non protégées  Permet de définir des premières actions simples  Demander à chaque site d’évaluer son niveau de sécurité sur la base d’un questionnaire  Moins concrète et fiable  Permet d’avoir une vision globale plus rapidement  Appliquée à un processus industriel  Permet d’estimer les impacts financiers, humains et environnementaux en cas d’incident  Permet de prioriser un plan d’actions Le duo gagnant !! 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 26. 26 Approche > focus sur l’analyse de risques  Démarche proposée quasiment dans tous les standards/référentiels/normes:  ANSSI :  ISA/IEC 62443 : 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 27. 27 Approche > focus sur l’analyse de risques  Pourquoi l’analyse de risques ?  Prise en compte du risque « cyber »  Meilleur moyen pour comprendre le métier  Permet d’établir le contact/une relation avec l’ensemble des acteurs du SI industriel  L’approche par les risques bien comprise du « Top management »  Quelle méthode ?  « Bon sang, mais c’est bien sûr ! »  EBIOS !!  Oui ça marche ! 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 28. 28 Approche > focus sur l’analyse de risques  « Pourquoi une étude de risques ? On en a déjà fait plein! »  Limite : ces méthodes ne prennent pas en considération l’acte de malveillance. Il est attendu que les systèmes et les opérateurs remplissent pleinement leur fonction HAZOP HAZard and OPerability study FMECA Failure Modes, Effects and Criticality Analysis LOPA Layer of Protection Analysis FTA Fault Tree Analysis CAPITALISER SUR LES ÉTUDES MENÉES AU TITRE DE LA SÛRETÉ ! (ENCORE FAUT IL AVOIR À DISPOSITION CES ÉTUDES…) 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 29. 29 Approche > focus sur l’analyse de risques  HAZOP, exemple : Cause Dérive Évènement Redouté Conséquence Gravité Barrières de sécurité Recommandation Défaillance pompe P1 Débit haut Surremplissage cuve C1 Épandage produit toxique 2 (décès personnel) Capteur seuil haut - Défaillance vanne V1 Perte de surpression Entrée d’oxygène dans équipement E1 Explosion 3 (décès population hors site) Alarme Sonde Inspection - 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 30. 30 Approche > focus sur l’analyse de risques Étude du contexte Étude des évènements redoutés Étude des scénarios de menaces Étude des mesures de sécurité Étude des risques  Métriques adaptées  Étude orientée « impacts » EBIOS  Identification des processus industriels  Identification des évènements redoutés (gravité)  Détermination des biens supports à compromettre  Identification des barrières physiques et instrumentées (SIS) HAZOP Adaptation Capitalisation 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 31. 31 Approche > focus sur l’analyse de risques  Dans le cas où le SIS est très intégré au SNCC et qu’il repose en grande partie sur une infrastructure matérielle et une couche applicative mutualisée, cela peut constituer un vecteur d’attaque pour la compromission du SIS  Des contrôles supplémentaires peuvent être mis en place afin de maîtriser l’intégrité de la configuration SIS (suivi de version, requalifications…) Domaine Active Directory P Autres postes et serveurs du domaine Applicatif procédé Fonctions Process Fonctions Sureté Réseau mutualisé Fond de panier contrôleur Contrôleur Process Contrôleur SIS Configuration Supervision Équipements procédé Dédié Process Dédié SIS Mutualisé Si le SIS peut être considéré comme un élément de réduction du risque dans les approches de sûreté, il est à considérer dans les études de risque cyber comme un bien support à part entière et attaquable !! 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 32. 32 Approche > focus sur l’analyse de risques Le plan d’actions ne doit pas s’apparenter à l’ascension de l’Everest !! Établir différents paliers progressifs Donner une vision des risques résiduels pour chaque palier Mettre en œuvre et obtenir des premiers succès !! 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 33. 33 Cloisonner les réseaux selon leur criticité Contrairement aux besoins fonctionnels, les besoins de sécurité sont souvent mal identifiés. SI de GestionSI Industriel Remonter l’information vers le SI de Gestion ? - Surveillance de la production - Émission de factures - Big Data Permettre la maintenance à distance ?  Exigences de sécurité  Mesures de protection Fournisseur & Mainteneur Définir des niveaux de sécurité  Regroupement physique et logique de systèmes informatiques  Importance comparable en terme de sécurité  À chaque zone est associé un niveau de criticité et des règles associées Définir des zones Appliquer les mesures de protection  Cloisonnement aux frontières (pare-feux et diodes)  Filtrage des flux  Contrôle d’accès et authentification des utilisateurs …et progressivement 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 34. 34 Cloisonner les réseaux > focus sur les solutions  Segmentation par VLAN (et filtrage associé !)  Mise en place de firewalls  Utilisation de DMZ pour l’échange de données  Équipements de filtrage avec inspection protocolaire (DPI)  Diodes réseau  Solutions de cloisonnement avancé : seclabs (matériel), PolyXene (logiciel), … Des solutions classiques … …et d’autres plus « avancées » Un besoin réel : échanger des données entre les réseaux industriels et de gestion, via le réseau et/ou via des périphériques amovibles 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 35. 35 Traiter les urgences sans négliger la sécurisation à moyen terme Mise en place de solutions palliatives Modifications en profondeurs  Les changements sur un réseau de production sont complexes à organiser :  Impact sur la disponibilité de l’installation  Remise en cause de l’homologation de sûreté  La Gestion des correctifs de sécurité a un cycle de mise en œuvre trop court par rapport au cycle de vie d’une installation industrielle 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 36. 36 Patch management et solutions palliatives Avantages Inconvénients Requiert une forte expertise Manque d’exhaustivité Pas une solution valable à long terme Peu dépendant des produits Impact sur le process facile à mesurer Retour en arrière plus aisé  Parmi ces mesures palliatives figurent :  La reconfiguration d’équipement  L’ajustement des règles de filtrage réseau  La personnalisation des règles IDS  … Ces mesures visent à contrer les tentatives d’exploitation de vulnérabilités connues et non corrigées Tendance : Utilisation de solutions de type « Whitelisting » sur la partie SCADA  La gestion des correctifs de sécurité est souvent incompatible avec les contraintes des SI Industriels  Il est possible de compenser cette difficulté par l’application de mesures palliatives (workaround) 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 37. 37 Sécuriser les équipements et les protocoles Équipements simples Peu de mémoire, de puissance de calcul Considérés comme « électroniques » plutôt qu’ « informatiques » Protocoles spécifiques Pas de prise en compte de la sécurité Protocoles de communication adaptés de protocoles « série historique » Vulnérabilités Authentification faible Mots de passe par défaut Mots de passe par « hardcodés » Équipements Informations échangées en clair Possibilité de rejeu Pas d’authentification Protocoles Les API et protocoles associés sont bâtis sur des contraintes de disponibilité et de longévité. Il faut avoir conscience de leurs vulnérabilités pour y pallier quand cela est possible. La sécurisation des équipements et protocoles ne pourra venir que des fournisseurs. 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 38. 38 Maitrise de la sous-traitance et de la maintenance Les fournisseurs / éditeurs sont encore trop souvent dans une posture « dominatrice » Certains points dans la maîtrise de la sous-traitance et de la maintenance sont à surveiller de près :  Mise en œuvre de maintenance à distance :  Les accès doivent être sécurisés : authentification forte / chiffrement  Attention à la maintenance à distance par Internet et/ou depuis l’étranger  Conditions de garantie  En cas de modification (installation d’antivirus ou de correctif de sécurité)  Configuration à la livraison, les équipements sont souvent livrés avec  leurs configurations par défaut  des configurations non durcies @  Gestion de fournisseurs multiples :  Limiter les entrées/sorties des personnels de maintenance / intervention  Contrôler afin de limiter l’introduction de composants malveillants 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 39. 39 Supervision de la sécurité  L’intégration à un SOC « central » est rendue difficile par l’ouverture des flux qu’elle nécessite mais doit être étudiée  La mise en œuvre d’un SOC local est essentielle  Mettre en place des dispositifs de surveillance tels que les IDS, IPS ou des pare-feux avec capacités de “Deep Packet Inspection” permet de pouvoir détecter et réagir face aux incidents de sécurité SCADA : Supervisory Control and Data Acquisition La supervision est au cœur des systèmes SCADA, c’est même leur but premier. Cependant, il s’agit de superviser le fonctionnement et la sûreté. La supervision au sens sécurité est quasi inexistante Supervision Remontée de logs Analyse de flux critiques 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 40. 40 En conclusion Il faut faire face à la réalité. La menace est réelle et le fossé se creuse entre niveau de cybersécurité des installations et le niveau des attaquants. N’attendons pas un évènement majeur pour adresser le sujet !! Les méthodes éprouvées du monde de l’IT conventionnel peuvent s’adapter aux spécificités du monde industriel. Il faut donc combiner les savoir-faire !! La mobilisation des directions métiers est aussi une nécessité pour la sécurisation de l’entreprise de bout en bout dans une approche globale. Cela passe également par des investissements significatifs (build et run) !! 4 février 2015 - Propriété de Solucom, reproduction interdite
  • 41. www.solucom.fr Anthony DI PRIMA Manager Tel : +33 (0)1 49 03 84 63 Mobile : +33 (0)6 69 28 15 95 Mail : anthony.diprima@solucom.fr Contact