SÉCURITÉ DES SYSTÈMES D’INFORMATION INDUSTRIELS
MARS 2014
AGENDA
VOLET I : PROBLEMATIQUE GENERALE
Présentation des systèmes d’information industriels Spécificités des systèmes industriels
VOLET II : ÉTAT DE L’ART DE LA SÉCURITÉ
Difficultés rencontrées pour appliquer les standards de sécurité Menaces, vulnérabilités et impacts potentiels
VOLET III : MESURES DE PROTECTION ET DE PRÉVENTION
Bilan, approche et bonnes pratiques de sécurité
Référentiels et guides utiles - Contacts en cas d’incidents
DÉMONSTRATION
Prise de contrôle d’un drone
PROBLEMATIQUE GÉNÉRALE
VOLET I
SYSTÈME D’INFORMATION INDUSTRIEL
Les systèmes d’automatisme ou systèmes de contrôle industriel sont utilisés pour de multiples applications
Usine classique : chimie, agro, automobile, pharma, production d’énergie…
Sites plus vastes : traitement de l’eau, des réseaux de transport…
Gestion de bâtiment (aéroport, hôpitaux…) Propulsion de navire
Santé : biomédicale, laboratoire d’analyse …
Les systèmes industriels contrôlent les infrastructures critiques
depuis les réseaux électriques au traitement de l'eau, de
l'industrie chimique aux transports. Ils sont présents partout.
PROBLÉMATIQUE
Historiquement
Systèmes d’information industriels basées sur des technologies propriétaires et isolées du monde extérieur
Protection des accès physiques jugée suffisante, la sécurité logique n’étant pas une préoccupation majeure
Aujourd’hui
Systèmes basés sur des technologies répandues, ouvertes et standardisées
Communication directe établie entre les systèmes d’information industriels et les systèmes d’information de gestion de l’entreprise
Cette évolution des techniques expose ces systèmes aux
menaces actuelles qui ciblent les systèmes d’information de
gestion
PROBLÉMATIQUE
Spécificités des systèmes d’information industriels
Disponibilité
Durée de vie des équipements
Multiples technologies et fournisseurs Couvertures géographiques
Effets indésirables de la mise en œuvre de la sécurité
Interconnexion au système d’information de gestion de l’entreprise Télémaintenance
La sécurisation des systèmes industriels passent par la
compréhension de leurs spécificités et de leurs contraintes
SYSTEME INDUSTRIEL
Régulation et automatisme Capteur / actionneur Superviseur Elaboration des ordres - calculateur de process -
Pilotage historisation - gestion des
processus industriels (MES)
Fonctions centrales finance, compta, info centre
DOMAINES D’EXPLOITATION
Industrie Transports Energie Défense
DISPONIBILITE
Au sein de ces installations, les automatismes assurent Le bon fonctionnement / les délais de production
La sécurité des biens et personnes
La conformité avec les exigences réglementaires sur l’environnement
La conformité avec les exigences réglementaires en terme qualité (traçabilité notamment)
L’arrêt même momentané peut avoir des conséquences
graves sur la sécurité des personnes.
DURÉE DE VIE
Entre 10 et 15 ans selon la machine Fonctionne 24h/24 et 7j/7
Peu ou pas d’arrêt de maintenance
Difficultés pour le support et des pièces de rechange
Difficultés de mettre régulièrement à jour les équipements
MULTIPLES TECHNOLOGIES - FOURNISSEURS
Installation hétérogène : cohabitation de technologies et de générations différentes
Modification ou extension des installations Fenêtre technologique entre 15 à 20 ans
Difficultés pour déployer une même solution de sécurité sur
l’ensemble des équipements
ENVIRONNEMENTS
Des conditions environnementales extrêmes :
Atmosphère humide, poussiéreuse, explosive, corrosive Température
Pression
Chocs et vibrations Radiations
Difficulté de trouver des produits de sécurité répondant aux
critères
GÉOGRAPHIE
Installation très étendue
Site industriel avec des superficies importantes : 15.000 à 20.000 m² Réseaux nationaux avec des filiales disposant d’une grande autonomie locale
Multiples sites interconnectés
Nécessité pour certains systèmes de disposer d’accès à distance via Internet - Equipements connectés sur Internet afin de faciliter leur exploitation
Difficulté de sécuriser chaque site
Besoin croissant en télémaintenance
INTERVENANTS
Interlocuteurs avec des cultures et sensibilités différentes
Électroniciens, automaticiens, qualiticiens
Turn-over important du personnel en production
Intérimaire Sous-traitant
Quid de la confidentialité des données sur les postes SCADA – recette de fabrication….
Difficulté de maitriser l’ensemble des intervenants. Il faut
comprendre le métier et les problématiques, savoir dialoguer
avec l’ensemble des interlocuteurs
PROTOCOLES
Protocoles ouvert ou propriétaires
Protocoles historiques non IP / non Ethernet (industrial ethernet, modbus-tcp, profinet, DNP3)
Sans authentification, ni chiffrement des données transportées Absence de gestion des transactions en mode connecté
Nécessité d’avoir des équipements de filtrage compatibles
Difficultés de trouver des produits de sécurité répondant aux
critères
ETAT DE L’ART DE LA SÉCURITÉ
VOLET II
SÉCURITÉ EMBARQUÉE ET SÉCURITÉ RÉSEAU
Ressources limitées Versus fonctions de sécurité embarquées dans les systèmes
Filtrage des flux : Pare-feu
Centralisation des journaux d’événements
Temps de réponse courts Versus équipements de filtrage réseau
Sondes de détection d’intrusion (HIDS / HIPS) Filtrage des flux : Pare-feu
Compatibilité protocolaire
Inspection des paquets en profondeur
Difficultés d’embarquer des fonctions de sécurité évoluées
L’équipement de filtrage doit être compatible avec les
protocoles en présence.
SÉCURITÉ RÉSEAU VERSUS MAILLAGE DU RÉSEAU
Communication pair à pair et non client-serveur
Tous les équipements communiquent entre eux
Le dysfonctionnement d’un équipement peut entrainer un dysfonctionnement du système entier - Tous sont critiques
Il est alors nécessaire de protéger chaque équipement. Ce
qui peut être long et coûteux
PATCH MANAGEMENT
Durée de déploiement incompatible avec les contraintes de productivité
Nombreux équipements à des distances variables Durée de déploiement importante
Risque d’indisponibilité
Effets inattendus entrainant un disfonctionnement partiel ou total
Peu de possibilité de déploiement
Peu d’arrêts planifiés
Le contexte industriel laisse peu de créneaux temporels pour
déployer les patchs de sécurité.
CONTRÔLE D’ACCÈS LOGIQUE
Temps de réaction
En situation de crise la contrainte du contrôle d’accès peut faire perdre du temps
Ambiance peu propice à la biométrie
Graisse, port de gant, masques, …
Compatibilité sur l’ensemble de l’installation
Technologies et générations de machines différentes
Le contrôle d’accès pourrait être source de stress et de perte
de temps.
ANTIVIRUS
Risque d’indisponibilité des processus , chaines de fabrication
Faux positif entrainant la suppression / Mise en quarantaine d’un fichier essentiel
Conséquences multiples : perte de visualisation / contrôle du système de contrôle-commande, arrêt de fonctionnement automatisé du système
Difficulté pour mettre à jour la base virale
A cause du cloisonnement des réseaux de gestion et industriels, la mise à jour peut être complexe
L’architecture antivirale à déployer doit prendre en compte
les ressources disponibles sur les automates et les postes
de pilotage.
SURVEILLANCE
Difficultés pour se connecter à tous les équipements
Protocoles propriétaire Technologies différentes
Traçabilités des informations
Absence de fonctionnalité de journalisation embarquée
Compétences
Analyse des événements dans le périmètre
Difficultés d’analyser les évènements provenant d’un
système industriel. Pour cela, il est nécessaire d’avoir des
compétences en sécurité et en automatisme industriel.
MENACES ET VULNÉRABILITÉS
ATTAQUE - Exploitation concrète d’une vulnérabilité d’un système qui conduit à des conséquences plus ou moins grave sur la fonctionnalité ou les données du système.
Typologie des attaques
Attaques génériques
- 30 Millions de nouveaux malwares en 2012
› CONFICKER, 2009
Attaques ciblées
- Informatique conventionnelle
› FLAME, 2010
› ACAD, 2012
› SHAMOON, 2012
- Systèmes industriels
› STUXNET, 2010
› DUQU, 2011
CAS DE STUXNET : QUELLE ÉTAIT LA CIBLE ?
Le Siemens Organization Block 35 (process watchdog) est modifié par Stuxnet – Il gère des opérations critiques qui requièrent des temps de réponse inférieurs à 100 ms
La cible pourrait être la centrale de Bushehr, en construction mais aussi des centrifugeuses sur le site de Natanz
Famille de PLC concernée :
6ES7-417 et 6ES7-315-2 -> cibles complexes !
* multiples ProfiBus * Puissance CPU
VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS
Vulnérabilités intrinsèques aux systèmes industriels
Peu de prise en compte de la sécurité lors des phases de conception, d’installation, d’exploitation et de maintenance
Automates et composants industriels en production avec des configuration par défauts et mots de passe par défaut
Informations accessibles – les manuels techniques sont disponibles assez facilement- avec les mots de passe par défaut.
Une culture et une expérience des opérationnels différentes du monde informatique : Connexion à l’Internet et ignorance de la menace extérieure
Des opérateurs non formés à la sécurité informatique
ORGANISATION DE LA SECURITE
Responsable sécurité rattaché
Production (le plus souvent) Département technique
Hygiène Qualité Sécurité et Environnement (HQSE) Maintenance
Services généraux
Responsabilités variables et diffuses des systèmes
informatiques et de leur sécurité
ETUDE AREVA – EURIWARE 2010
Un retour d’expérience sur
une cinquantaine d’industriels français montre le manque de maturité en sécurité des
systèmes d’information
industriels.
IMPACTS
Dommages matériels et/ou corporels
Responsabilité civil ou pénale
Impact environnemental
Pollution du site de production et de l’environnement
Perte de chiffre d’affaire
Interruption de la production
Modification des paramètre de fabrication
Vol de données
Secret de fabrication, avantage pour la concurrence
MESURES DE PROTECTION ET DE PRÉVENTION
VOLET III
CONSTAT
Difficultés d’appliquer les standards de sécurité des systèmes d’information de gestion
Une approche différente à construire pour les systèmes d’information industriels « tout en adaptant les recettes existantes de sécurité »
La gestion du risque, la maîtrise des techniques de
sécurisation deviennent des compétences indispensables
pour les entreprises dans les secteurs industriels.
APPROCHE STRUCTURÉE
Bonnes pratiques de sécurité – les classiques
Politiques de sécurité, Veille de vulnérabilités,
Evaluation de la sécurité & audit,
Plan de continuité - gestion de crise et exercice de
simulation
APPROCHE STRUCTURÉE
Organisation de la sécurité
Identification d’un responsable sécurité industriel Analyse de risques
Sensibiliser le personnel
Mise à niveau par paliers successifs
Inventaires - Projet de remplacement des équipements obsolètes
Dispositif contractuel pour les fournisseurs
Maintenance
Plan de maintenance des composants sensibles
Sécurité physique, protection des locaux techniques et des
armoires
ET ENSUITE LA TECHNIQUE
Mesures techniques
Patch management : Antivirus et correctifs
Cloisonnement et contrôle des flux entre les SI industriel et de gestion Whitelisting : liste des blanches des applications autorisées
Télémaintenance et télégestion limitées et contrôlées avec une traçabilité renforcée
Accès à internet limité ou interdit
Déploiement de moyens de surveillance et de détection
GUIDES PRATIQUES
ANSSI
Guide d’hygiène informatique
• Connaitre son SI et ses utilisateurs
• Maîtriser le réseau
• Mettre à niveau les logiciels
• Authentifier l’utilisateur
• Sécuriser les équipements terminaux
• Sécuriser l’intérieur du réseau
• Protéger le réseau interne de l’Internet
• Surveiller les systèmes
• Sécuriser l’administration du réseau
• Contrôler l’accès aux locaux et la sécurité physique
• Organiser la réaction en cas d’incident
• Sensibiliser
• Faire auditer la sécurité
• Guide SSI des systèmes industriels
CONTACTS
La DPSD La police
DCPJ/OCLCTIC, DCRI, PP/BEFTI,
La gendarmerie
IRCGN, STRJD, NTECH
La justice
En cas d’incident :
Office Central de Lutte contre la Criminalité liées aux Technologies de l’Information et de la
Communication (OCLCTIC)
101 Rue des 3 Fontanot - 92000 NANTERRE
Tel : 01.49.27.49.27
"info-escroqueries"
08 11 02 02 17
QUELQUES SITES
Sites gouvernementaux
ANSSI
- http://www.ssi.gouv.fr/
Portail de la sécurité informatique
- http://www.securite-informatique.gouv.fr
Rapport du Sénateur Bockel sur la Cyberdéfense
- http://www.senat.fr/rap/r11-681_mono.html
Sites d’information
www.clusif.fr
Magazine sur la sécurité
- http://www.mag-securs.com
- http://boutique.ed-diamond.com/ (revue MISC)
Séminaires
- http://www.forum-fic.com/2014/fr/
- http://www.gsdays.fr/
DÉMONSTRATION
Prise de contrôle d’un drone
Remerciements à la DCNS pour leur aide
dans l’élaboration de la démonstration
PRESENTATION
Cette démonstration est réalisée dans le cadre de la journée OZSSI afin d’illustrer le besoin de prendre en compte la sécurité en amont dans les projets de développement de produits industriels
Ecole POLYECH GENIE INDUSTRIEL & INFORMATIQUE 4A
Equipe POLYHACK-Drone
Sébastien MONNERY Sébastien MINEO
Sébastien OHANIAN
Equipe encadrée par Philippe PRESTIGIACOMO
DEMONSTRATION
Scénario
Objectif :
- Récupérer le contrôle d’un drone en exploitant l’absence d’authen. Robuste
Contexte :
- Le drone est allumé, et son propriétaire est connecté au réseau wifi de l’appareil.
Méthode d’attaque :
- Passage de la carte wifi en mode écoute - Identification des réseaux wifi
- Identification des appareils connectés au wifi ciblé (propriétaire du drone) - Désauthentification du propriétaire légitime par le pirate
- Connexion du pirate au drone
Technologies utilisées
- Ordinateur doté de l’Operating System KALI – Plateforme d’audit de sécurité - Suite logicielle utilisée dans KALI : AirCrack
- Application AR FreeFlight pour le contrôle du DRONE (sur tablette/téléphone Androïd)
DEMONSTRATION
Wifi
Propriétaire Pirate
DEMONSTRATION
Wifi
Pirate
Propriétaire
DEMONSTRATION
Wifi
Pirate
Propriétaire
CAPTURE DES FLUX RÉSEAUX
Commandes envoyées au DRONE