Présentation par Anthony DI PRIMA et Arnaud SOULLIE lors de la 20ème journée thématique SSI de l'OzSSI Sud-Est à Lyon.
Retrouvez l'article dédié sur www.securityinsider-solucom.fr.
Enquête Solucom 2014 : la DRH face aux défis du numérique
Sécurité des SI industriels : enjeux et actions clés
1. 4 février 2015
20ème journée thématique SSI de OzSSI Sud-Est
Anthony Di Prima & Arnaud Soullie
Sécurité des SI Industriels : enjeux et actions clés
2. 2
Qui sommes-nous ?
Risk
Management
Continuité
d’activité
Cyber
sécurité
Identité
numérique
Qualification
PASSI
CERT-Solucom
Solucom, 2ème cabinet* de conseil indépendant en France
Des clients dans le top 200 des grandes entreprises et
administrations, dans tous les secteurs
1400 collaborateurs dont 250 spécialisés dans la gestion des
risques et la cybersécurité
Notre métier
« Donner confiance dans la transformation numérique »
Des offres qui allient des expertises de premier plan
Notre actualité
Inscription : lettresecurite@solucom.fr
* Source : PAC 2014
La Lettre
Risques &
Sécurité
Les dossiers
CERT-Solucom
4 février 2015 - Propriété de Solucom, reproduction interdite
3. 3
Définitions
SI Industriel ou « Système automatisé de contrôle des procédés
industriels »(ANSSI)
Ensemble des moyens humains et matériels ayant pour finalité de
contrôler ou de commander un ensemble de capteurs et d’actionneurs.
« CYBER PHYSICAL SYSTEM »
Un système cyber-physique est un système où des éléments
informatiques collaborent pour le contrôle et la commande
d'entités physiques
SI D’ENTREPRISE MANIPULE DES DONNÉES
≠
SI INDUSTRIEL GÈRE DES INTERFACES AVEC LE MONDE PHYSIQUE
4 février 2015 - Propriété de Solucom, reproduction interdite
4. 4
Où les trouve-t-on ?
Automobile
Agroalimentaire
Pharmaceutique
Énergie
Nucléaire
Réseaux électrique
Réseaux d’eau
Gaz / Pétrole
Transport
Aéronautique
Chimie
Militaire
4 février 2015 - Propriété de Solucom, reproduction interdite
5. 5
Les enjeux
Une cyber-attaque sur un SI d’entreprise
Une cyber-attaque sur un SI Industriel
Image extraite de la bande annonce du film Blackhat
4 février 2015 - Propriété de Solucom, reproduction interdite
6. 6
Cyber-attaque, cyber-vandalisme ou acte de « cyber-guerre » ?
Extrait du manuel juridique sur la cyber-guerre (Tallin/CCDCOE)
En cas de conflit « cyber-armé »,
les SI Industriels en première ligne ?
LA MENACE EST RÉELLE ET SE CONCRÉTISE DE PLUS EN PLUS !
4 février 2015 - Propriété de Solucom, reproduction interdite
7. 7
Incident de 2008 sur un pipeline en Turquie (ligne
Bakou-Tbilissi-Ceyhan)
Initialement qualifié d’accidentel par le
gouvernement turc
Des éléments laissent entendre qu’il s’agissait
d’une cyber-attaque
LE DÉROULEMENT
Explosion du pipeline
Explosion détectée 40 minutes après
l’incident par un agent de sécurité local
60 heures de vidéo de surveillance
supprimées
Qui sont les auteurs : Russie ? PKK ?
LES CONSÉQUENCES
PIPELINE
Intrusion via
vidéosurveillance
Accès physique
sur site
Modification de la
pression
Malware
Sys. Gestion
des alarmes
8. 8
Vol de données avéré au sein de la compagnie
Sud-Coréenne Korea Hydro & Nuclear Power Co.
(KHNP) exploitant la centrale
Une attaque revendiquée par « Le Président du
Groupe Anti-Nucléaire de Hawaï »
Campagne de Spear-Phishing
Infection de 4 postes par un malware
permettant la destruction de fichiers et
de disques durs
Publication sur Twitter des documents
volés
LES FAITS
Des plans de réacteurs divulgués
Des manuels opérateurs disponibles
Aucune atteinte au système industriel, ni les
systèmes de « sûreté » des réacteurs
Réalisation d’un exercice de simulation d’une
cyberattaque de grand ampleur
Qui sont les auteurs : Corée du Nord ? Chine ?
LES CONSÉQUENCES
CENTRALE NUCLÉAIRE
9. 9
Publication par le BSI de son rapport annuel
Mention d’une attaque de type APT sur une
aciérie allemande (haut fourneau)
Attaque ayant entrainée des dommages
physiques
LE DÉROULEMENT
Plusieurs équipements compromis
Impossibilité d’arrêter le haut fourneau
dans des conditions normales
L’arrêt dans des conditions dégradées
provoque des dommages irréversibles
sur l’installation
Qui sont les auteurs ?
LES CONSÉQUENCES
ACIÉRIE
spear-phishingsocial-engineering
intrusion réseau
de production
Intrusion
réseau bureautique
10.
11. 11
La presse relaie d’avantage
Le mot « SCADA » dans toutes les bouches
La découverte des vulnérabilités s’accélère
Les indémodables mot de passe « hard-
codés »
Protocoles: HART, CAN, DNP3
…et bien d’autres
Outils et exploits de plus en plus accessibles
Des SI Industriels toujours autant exposés
SHODAN !!
Des besoins d’ouvertures grandissants
Big Data ?
Démocratisation Immobilisme
Exposition
Les constats d’audits mettent en avant
toujours autant de faiblesses sur les SI
Industriels
Des initiatives de sécurisation encore trop peu
nombreuses
Une règlementation qui se fait attendre…
Une certaine montée en pression
Une menace qui peut être très élevée
Un potentiel d’attaque jusqu’au niveau
étatique
Mais des cas « publics » encore assez
rare…!?
Menace
4 février 2015 - Propriété de Solucom, reproduction interdite
12. 12
Exposition
Faciles à découvrir grâce aux
services comme SHODAN
4 février 2015 - Propriété de Solucom, reproduction interdite
13. 13
QUELLES SONT LES PROBLÉMATIQUES
SÉCURITÉ DES SI INDUSTRIELS ?
Cloisonnement
réseau
Supervision
sécurité
Organisation
sécurité &
sensibilisation
Gestion des
vulnérabilités
Gestion des tiers
Sécurité des
protocoles
Des constats qui n’ont rien de nouveau
Des budgets toujours aussi faibles /
Secteur industriel en crise !?€
15. 15
Le protocole Modbus
Protocole de communication série inventé en 1979 par Modicon, qui sera
racheté par Schneider Electric
Pensé pour une utilisation industrielle
Pas de royalties
Désormais un des standards de communication industriel
Protocole maître / esclave
Le maître envoie régulièrement des
requêtes à l’escalve
Pas de notion de contexte : l’esclave
renvoie une valeur brute, le mapitre doit
connaître son format
FONCTIONNEMENT
Pas de chiffrement
Pas d’authentification
SÉCURITÉ
4 février 2015 - Propriété de Solucom, reproduction interdite
16. 16
SOLUCOM
Attacki
ng
plcs
Never do this
on LIVE production systems
DÉMOS
JAMAIS SUR DES SYSTÈMES
EN PRODUCTION
4 février 2015 - Propriété de Solucom, reproduction interdite
17. 17
Fonctionnement standard : les lumières rouge, orange et
verte s’allument séquentiellement
Objectif : perturber ce fonctionnement pour engendrer le
chaos
Comment faire ?
Envoyer des commandes Modbus
Ces commandes sont non-authentifiées
Possibilité d’utiliser ce même protocole pour
programmer l’automate
DEMO #1 : FEU ROUGE
4 février 2015 - Propriété de Solucom, reproduction interdite
18. 18
Fonctionnement standard : la centrifugeuse tourne à la
vitesse 1 ou 2 et l’IHM indique à l ’opérateur la vitesse
courante
Objectif : Perturber ce fonctionnement pour abîmer le
matériel
Comment faire ?
Utiliser le protocole S7 propriétaire Siemens pour
dialoguer avec l’automate
Envoyer des commandes pour modifier la vitesse
Envoyer des commandes pour modifier la consigne
affichée
DEMO #2 : CENTRIFUGEUSE
4 février 2015 - Propriété de Solucom, reproduction interdite
19.
20. Une menace trop élevée
pour pouvoir y faire face ?
Un gap à franchir trop grand ?
MAIS ALORS QUE DOIT ON FAIRE ?
21. 21
S’appuyer sur les travaux en cours
2008
- Livre blanc sur
la défense et la
sécurité
nationale
- Création de
l’ANSSI
2012
- Rapport « Bockel »
- 1er guide
« introductif »pour la
sécurité des SI
Industriel par
l’ANSSI
Février 2013
- Groupe de travail
piloté par l’ANSSI
pour apporter des
réponses à la
sécurisation des
infrastructures
industrielles
Décembre 2013
- Loi de
programmation
militaire : projet de
cadre minimum à
respecter pour les OIV
et en particulier pour
les systèmes
industriels
Janvier 2014
- l’ANSSI publie deux
nouveaux guides
pour la
cybersécurité des
systèmes
industriels
2015 ??
Décrets et
Arrêtés
??
Méthode de
classification et
mesures principales
Mesures détaillées
…pour les opérateurs « critiques »
4 février 2015 - Propriété de Solucom, reproduction interdite
22. 22
…et pour les autres
Profitez de l’élan !!
Soyez pragmatique
Donnez vous une cible réaliste
Priorisez et itérez
4 février 2015 - Propriété de Solucom, reproduction interdite
24. 24
Gouvernance globale de la sécurité des SI Industriels
Afin d’augmenter le niveau de sécurité dans la durée il faut mettre en place une
gouvernance globale de la sécurité des SII
Un Responsable de la
Sécurité des SI Industriels
doit être nommé afin de
définir, mettre en œuvre et
animer cette gouvernance
Le RSSII doit être capable de
jouer le facilitateur entre les
différentes sphères et
pouvoir s’appuyer sur les
acteurs incontournables du
SI Industriel
DSI
Sphère
industrielle
RSSII
Sphère
métier
Sûreté
Sécurité SI,
RSSI
4 février 2015 - Propriété de Solucom, reproduction interdite
25. 25
Initier la démarche de sécurisation : plusieurs approches
Analyse de risquesAudit Bilan de conformité
Les trois approches peuvent être utilisées ou combinées
Elles doivent aussi être l’occasion de mobiliser la direction générale et les directions métiers
dont l’engagement et l’implication dans la durée sont nécessaires
Sur les sites les plus
sensibles ou ayant connu un
incident récent
Permet d’identifier
rapidement les vulnérabilités
et les zones non protégées
Permet de définir des
premières actions simples
Demander à chaque site
d’évaluer son niveau de
sécurité sur la base d’un
questionnaire
Moins concrète et fiable
Permet d’avoir une vision
globale plus rapidement
Appliquée à un processus
industriel
Permet d’estimer les impacts
financiers, humains et
environnementaux en cas
d’incident
Permet de prioriser un plan
d’actions
Le duo gagnant !!
4 février 2015 - Propriété de Solucom, reproduction interdite
26. 26
Approche > focus sur l’analyse de risques
Démarche proposée quasiment dans tous les standards/référentiels/normes:
ANSSI :
ISA/IEC 62443 :
4 février 2015 - Propriété de Solucom, reproduction interdite
27. 27
Approche > focus sur l’analyse de risques
Pourquoi l’analyse de risques ?
Prise en compte du risque « cyber »
Meilleur moyen pour comprendre le métier
Permet d’établir le contact/une relation avec l’ensemble des acteurs du SI
industriel
L’approche par les risques bien comprise du « Top management »
Quelle méthode ?
« Bon sang, mais c’est bien sûr ! »
EBIOS !!
Oui ça marche !
4 février 2015 - Propriété de Solucom, reproduction interdite
28. 28
Approche > focus sur l’analyse de risques
« Pourquoi une étude de risques ? On en a déjà fait plein! »
Limite : ces méthodes ne prennent pas en considération l’acte de
malveillance. Il est attendu que les systèmes et les opérateurs
remplissent pleinement leur fonction
HAZOP
HAZard and
OPerability study
FMECA
Failure Modes,
Effects and
Criticality Analysis
LOPA
Layer of
Protection
Analysis
FTA
Fault Tree
Analysis
CAPITALISER SUR LES ÉTUDES MENÉES AU TITRE DE LA SÛRETÉ !
(ENCORE FAUT IL AVOIR À DISPOSITION CES ÉTUDES…)
4 février 2015 - Propriété de Solucom, reproduction interdite
29. 29
Approche > focus sur l’analyse de risques
HAZOP, exemple :
Cause Dérive Évènement Redouté Conséquence Gravité Barrières de sécurité Recommandation
Défaillance pompe P1 Débit haut
Surremplissage cuve
C1
Épandage produit
toxique
2 (décès personnel) Capteur seuil haut -
Défaillance vanne V1
Perte de
surpression
Entrée d’oxygène dans
équipement E1
Explosion
3 (décès population
hors site)
Alarme
Sonde
Inspection
-
4 février 2015 - Propriété de Solucom, reproduction interdite
30. 30
Approche > focus sur l’analyse de risques
Étude du
contexte
Étude des
évènements
redoutés
Étude des
scénarios de
menaces
Étude des
mesures de
sécurité
Étude des
risques
Métriques adaptées
Étude orientée « impacts »
EBIOS
Identification des processus industriels
Identification des évènements redoutés
(gravité)
Détermination des biens supports à
compromettre
Identification des barrières physiques et
instrumentées (SIS)
HAZOP
Adaptation
Capitalisation
4 février 2015 - Propriété de Solucom, reproduction interdite
31. 31
Approche > focus sur l’analyse de risques
Dans le cas où le SIS est très intégré au SNCC et qu’il repose en grande partie sur une
infrastructure matérielle et une couche applicative mutualisée, cela peut constituer un vecteur
d’attaque pour la compromission du SIS
Des contrôles supplémentaires peuvent être mis en place afin de maîtriser l’intégrité de la
configuration SIS (suivi de version, requalifications…)
Domaine Active Directory
P
Autres
postes et
serveurs du
domaine
Applicatif procédé
Fonctions
Process
Fonctions
Sureté
Réseau
mutualisé
Fond de panier contrôleur
Contrôleur
Process
Contrôleur
SIS
Configuration Supervision
Équipements
procédé
Dédié Process
Dédié SIS
Mutualisé
Si le SIS peut être considéré comme un élément de réduction du risque dans les
approches de sûreté, il est à considérer dans les études de risque cyber comme un
bien support à part entière et attaquable !!
4 février 2015 - Propriété de Solucom, reproduction interdite
32. 32
Approche > focus sur l’analyse de risques
Le plan d’actions ne doit pas s’apparenter à l’ascension de l’Everest !!
Établir différents paliers progressifs
Donner une vision des risques résiduels pour chaque palier
Mettre en œuvre et obtenir des premiers succès !!
4 février 2015 - Propriété de Solucom, reproduction interdite
33. 33
Cloisonner les réseaux selon leur criticité
Contrairement aux besoins fonctionnels,
les besoins de sécurité sont souvent mal identifiés.
SI de GestionSI Industriel
Remonter l’information vers le SI de Gestion ?
- Surveillance de la production
- Émission de factures
- Big Data
Permettre la maintenance à distance ?
Exigences de sécurité
Mesures de protection
Fournisseur &
Mainteneur
Définir des niveaux de sécurité
Regroupement physique et logique de systèmes informatiques
Importance comparable en terme de sécurité
À chaque zone est associé un niveau de criticité et des règles
associées
Définir des zones
Appliquer les mesures de protection
Cloisonnement aux frontières (pare-feux et diodes)
Filtrage des flux
Contrôle d’accès et authentification des utilisateurs
…et progressivement
4 février 2015 - Propriété de Solucom, reproduction interdite
34. 34
Cloisonner les réseaux > focus sur les solutions
Segmentation par VLAN (et filtrage associé !)
Mise en place de firewalls
Utilisation de DMZ pour l’échange de données
Équipements de filtrage avec inspection protocolaire (DPI)
Diodes réseau
Solutions de cloisonnement avancé : seclabs (matériel), PolyXene (logiciel), …
Des solutions classiques …
…et d’autres plus « avancées »
Un besoin réel : échanger des données entre les réseaux industriels et de
gestion, via le réseau et/ou via des périphériques amovibles
4 février 2015 - Propriété de Solucom, reproduction interdite
35. 35
Traiter les urgences sans négliger la sécurisation à moyen terme
Mise en place de solutions palliatives
Modifications en profondeurs
Les changements sur un réseau de production sont complexes à organiser :
Impact sur la disponibilité de l’installation
Remise en cause de l’homologation de sûreté
La Gestion des correctifs de sécurité a un cycle de mise en œuvre trop
court par rapport au cycle de vie d’une installation industrielle
4 février 2015 - Propriété de Solucom, reproduction interdite
36. 36
Patch management et solutions palliatives
Avantages Inconvénients
Requiert une forte
expertise
Manque
d’exhaustivité
Pas une solution
valable à long
terme
Peu dépendant
des produits
Impact sur le
process facile à
mesurer
Retour en arrière
plus aisé
Parmi ces mesures palliatives figurent :
La reconfiguration d’équipement
L’ajustement des règles de filtrage réseau
La personnalisation des règles IDS
…
Ces mesures visent à contrer les tentatives
d’exploitation de vulnérabilités connues et
non corrigées
Tendance :
Utilisation de solutions de type « Whitelisting »
sur la partie SCADA
La gestion des correctifs de sécurité est souvent incompatible avec les contraintes
des SI Industriels
Il est possible de compenser cette difficulté par l’application de mesures palliatives
(workaround)
4 février 2015 - Propriété de Solucom, reproduction interdite
37. 37
Sécuriser les équipements et les protocoles
Équipements
simples
Peu de mémoire, de
puissance de calcul
Considérés comme
« électroniques »
plutôt qu’
« informatiques »
Protocoles
spécifiques
Pas de prise en
compte de la sécurité
Protocoles de
communication
adaptés de
protocoles « série
historique »
Vulnérabilités
Authentification
faible
Mots de passe par
défaut
Mots de passe par
« hardcodés »
Équipements
Informations
échangées en clair
Possibilité de rejeu
Pas
d’authentification
Protocoles
Les API et protocoles associés sont bâtis sur des contraintes de disponibilité et de longévité.
Il faut avoir conscience de leurs vulnérabilités pour y pallier quand cela est possible.
La sécurisation des équipements et protocoles ne pourra venir que des fournisseurs.
4 février 2015 - Propriété de Solucom, reproduction interdite
38. 38
Maitrise de la sous-traitance et de la maintenance
Les fournisseurs / éditeurs sont encore trop
souvent dans une posture « dominatrice »
Certains points dans la maîtrise de la
sous-traitance et de la maintenance sont
à surveiller de près :
Mise en œuvre de maintenance à distance :
Les accès doivent être sécurisés : authentification forte / chiffrement
Attention à la maintenance à distance par Internet et/ou depuis l’étranger
Conditions de garantie
En cas de modification (installation d’antivirus ou de correctif de sécurité)
Configuration à la livraison, les équipements sont souvent livrés avec
leurs configurations par défaut
des configurations non durcies
@
Gestion de fournisseurs multiples :
Limiter les entrées/sorties des personnels de maintenance / intervention
Contrôler afin de limiter l’introduction de composants malveillants
4 février 2015 - Propriété de Solucom, reproduction interdite
39. 39
Supervision de la sécurité
L’intégration à un SOC « central » est rendue difficile
par l’ouverture des flux qu’elle nécessite mais doit
être étudiée
La mise en œuvre d’un SOC local est essentielle
Mettre en place des dispositifs de surveillance tels
que les IDS, IPS ou des pare-feux avec capacités de
“Deep Packet Inspection” permet de pouvoir
détecter et réagir face aux incidents de sécurité
SCADA : Supervisory Control and Data Acquisition
La supervision est au cœur des systèmes SCADA,
c’est même leur but premier.
Cependant, il s’agit de superviser le fonctionnement et la sûreté.
La supervision au sens sécurité est quasi inexistante
Supervision
Remontée de
logs
Analyse de flux
critiques
4 février 2015 - Propriété de Solucom, reproduction interdite
40. 40
En conclusion
Il faut faire face à la réalité. La menace est réelle et le fossé se creuse
entre niveau de cybersécurité des installations et le niveau des attaquants.
N’attendons pas un évènement majeur pour adresser le sujet !!
Les méthodes éprouvées du monde de l’IT conventionnel peuvent
s’adapter aux spécificités du monde industriel.
Il faut donc combiner les savoir-faire !!
La mobilisation des directions métiers est aussi une nécessité pour la
sécurisation de l’entreprise de bout en bout dans une approche globale.
Cela passe également par des investissements significatifs (build et run) !!
4 février 2015 - Propriété de Solucom, reproduction interdite