View
288
Download
3
Category
Preview:
Citation preview
SÉCURITÉ DES SYSTÈMES D’INFORMATION INDUSTRIELS
MARS 2014
Philippe PRESTIGIACOMO POLYTECH MARSEILLE
AGENDA
VOLET I : PROBLEMATIQUE GENERALE� Présentation des systèmes d’information industriels
� Spécificités des systèmes industriels
VOLET II : ÉTAT DE L’ART DE LA SÉCURITÉ� Difficultés rencontrées pour appliquer les standard s de sécurité
� Menaces, vulnérabilités et impacts potentiels
VOLET III : MESURES DE PROTECTION ET DE PRÉVENTION� Bilan, approche et bonnes pratiques de sécurité
� Référentiels et guides utiles - Contacts en cas d’in cidents
DÉMONSTRATION� Prise de contrôle d’un drone
2 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
PROBLEMATIQUE GÉNÉRALEVOLET I
3 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
SYSTÈME D’INFORMATION INDUSTRIEL
Les systèmes d’automatisme ou systèmes de contrôleindustriel sont utilisés pour de multiples applications� Usine classique : chimie, agro, automobile, pharma , production
d’énergie…
� Sites plus vastes : traitement de l’eau, des résea ux de transport…
� Gestion de bâtiment (aéroport, hôpitaux…)
� Propulsion de navire
� Santé : biomédicale, laboratoire d’analyse …
4 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Les systèmes industriels contrôlent les infrastructures critiquesdepuis les réseaux électriques au traitement de l'eau, del'industrie chimique aux transports. Ils sont présents partout.
PROBLÉMATIQUE
Historiquement� Systèmes d’information industriels basées sur des technol ogies
propriétaires et isolées du monde extérieur
� Protection des accès physiques jugée suffisante, la sécuri télogique n’étant pas une préoccupation majeure
Aujourd’hui� Systèmes basés sur des technologies répandues, ouvertes et
standardisées
� Communication directe établie entre les systèmes d’inform ationindustriels et les systèmes d’information de gestion de l’e ntreprise
5 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Cette évolution des techniques expose ces systèmes auxmenaces actuelles qui ciblent les systèmes d’information degestion
PROBLÉMATIQUE
Spécificités des systèmes d’information industriels� Disponibilité
� Durée de vie des équipements
� Multiples technologies et fournisseurs
� Couvertures géographiques
� Effets indésirables de la mise en œuvre de la sécurité
� Interconnexion au système d’information de gestion de l’en treprise
� Télémaintenance
6 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
La sécurisation des systèmes industriels passent par lacompréhension de leurs spécificités et de leurs contraintes
SYSTEME INDUSTRIEL
7 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Régulation et automatismeCapteur / actionneur
Superviseur Elaboration des ordres - calculateur de process -
Pilotage historisation - gestion des processus industriels (MES)
Fonctions centralesfinance, compta, info centre
DOMAINES D’EXPLOITATION
8 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Industrie Transports Energie Défense
DISPONIBILITE
9 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Au sein de ces installations, les automatismes assu rent
� Le bon fonctionnement / les délais de production
� La sécurité des biens et personnes
� La conformité avec les exigences réglementaires sur l’environnement
� La conformité avec les exigences réglementaires en terme qualité (traçabilité notamment)
L’arrêt même momentané peut avoir des conséquencesgraves sur la sécurité des personnes.
DURÉE DE VIE
10 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Entre 10 et 15 ans selon la machine
Fonctionne 24h/24 et 7j/7
Peu ou pas d’arrêt de maintenance
Difficultés pour le support et des pièces de rechangeDifficultés de mettre régulièrement à jour les équipements
MULTIPLES TECHNOLOGIES - FOURNISSEURS
11 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Installation hétérogène : cohabitation de technolog ies et de générations différentes
Modification ou extension des installations
Fenêtre technologique entre 15 à 20 ans
Difficultés pour déployer une même solution de sécurité sur l’ensemble des équipements
ENVIRONNEMENTS
12 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Des conditions environnementales extrêmes :� Atmosphère humide, poussiéreuse, explosive, corrosi ve
� Température
� Pression
� Chocs et vibrations
� Radiations
Difficulté de trouver des produits de sécurité répondant aux critères
GÉOGRAPHIE
13 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Installation très étendue� Site industriel avec des superficies importantes : 15.000 à 20.000 m²
� Réseaux nationaux avec des filiales disposant d’une grandeautonomie locale
� Multiples sites interconnectés
� Nécessité pour certains systèmes de disposer d’accès à dist ancevia Internet - Equipements connectés sur Internet afin de fa ciliterleur exploitation
Difficulté de sécuriser chaque siteBesoin croissant en télémaintenance
INTERVENANTS
14 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Interlocuteurs avec des cultures et sensibilités di fférentes� Électroniciens, automaticiens, qualiticiens
Turn-over important du personnel en production � Intérimaire
� Sous-traitant
� Quid de la confidentialité des données sur les post es SCADA –recette de fabrication….
Difficulté de maitriser l’ensemble des intervenants. Il fautcomprendre le métier et les problématiques, savoir dialogueravec l’ensemble des interlocuteurs
PROTOCOLES
15 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Protocoles ouvert ou propriétaires� Protocoles historiques non IP / non Ethernet (indus trial ethernet,
modbus-tcp, profinet, DNP3)
� Sans authentification, ni chiffrement des données t ransportées
� Absence de gestion des transactions en mode connect é
Nécessité d’avoir des équipements de filtrage compatiblesDifficultés de trouver des produits de sécurité répondant aux critères
ETAT DE L’ART DE LA SÉCURITÉVOLET II
16 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
SÉCURITÉ EMBARQUÉE ET SÉCURITÉ RÉSEAU
17 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Ressources limitées Versus fonctions de sécurité em barquées dans les systèmes� Filtrage des flux : Pare-feu
� Centralisation des journaux d’événements
Temps de réponse courts Versus équipements de filtr age réseau� Sondes de détection d’intrusion (HIDS / HIPS)
� Filtrage des flux : Pare-feu
Compatibilité protocolaire� Inspection des paquets en profondeur
Difficultés d’embarquer des fonctions de sécurité évoluéesL’équipement de filtrage doit être compatible avec lesprotocoles en présence.
SÉCURITÉ RÉSEAU VERSUS MAILLAGE DU RÉSEAU
18 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Communication pair à pair et non client-serveur� Tous les équipements communiquent entre eux
� Le dysfonctionnement d’un équipement peut entrainer un dysfonctionnement du système entier - Tous sont crit iques
Il est alors nécessaire de protéger chaque équipement. Cequi peut être long et coûteux
PATCH MANAGEMENT
19 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Durée de déploiement incompatible avec les contrain tes de productivité� Nombreux équipements à des distances variables
� Durée de déploiement importante
Risque d’indisponibilité� Effets inattendus entrainant un disfonctionnement p artiel ou total
Peu de possibilité de déploiement� Peu d’arrêts planifiés
Le contexte industriel laisse peu de créneaux temporels pourdéployer les patchs de sécurité.
CONTRÔLE D’ACCÈS LOGIQUE
20 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Temps de réaction� En situation de crise la contrainte du contrôle d’a ccès peut faire
perdre du temps
Ambiance peu propice à la biométrie� Graisse, port de gant, masques, …
Compatibilité sur l’ensemble de l’installation� Technologies et générations de machines différentes
Le contrôle d’accès pourrait être source de stress et de pertede temps.
ANTIVIRUS
21 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Risque d’indisponibilité des processus , chaines de fabrication � Faux positif entrainant la suppression / Mise en quarantain e d’un fichier
essentiel
� Conséquences multiples : perte de visualisation / contrôle du systèmede contrôle-commande, arrêt de fonctionnement automatisé dusystème
Difficulté pour mettre à jour la base virale� A cause du cloisonnement des réseaux de gestion et industriels, la
mise à jour peut être complexe
L’architecture antivirale à déployer doit prendre en compteles ressources disponibles sur les automates et les postesde pilotage.
SURVEILLANCE
22 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Difficultés pour se connecter à tous les équipement s� Protocoles propriétaire
� Technologies différentes
Traçabilités des informations� Absence de fonctionnalité de journalisation embarqu ée
Compétences � Analyse des événements dans le périmètre
Difficultés d’analyser les évènements provenant d’unsystème industriel. Pour cela, il est nécessaire d’avoir descompétences en sécurité et en automatisme industriel.
MENACES ET VULNÉRABILITÉS
23 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
ATTAQUE - Exploitation concrète d’une vulnérabilité d’un système qui conduit à des conséquences plusou moins grave sur la fonctionnalité ou les données du système.
Typologie des attaques� Attaques génériques
- 30 Millions de nouveaux malwares en 2012› CONFICKER, 2009
� Attaques ciblées- Informatique conventionnelle
› FLAME, 2010› ACAD, 2012› SHAMOON, 2012
- Systèmes industriels› STUXNET, 2010› DUQU, 2011
CAS DE STUXNET : QUELLE ÉTAIT LA CIBLE ?
24 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Le Siemens Organization Block 35 (processwatchdog) est modifié par Stuxnet – Il gèredes opérations critiques qui requièrent destemps de réponse inférieurs à 100 ms
La cible pourrait être la centralede Bushehr, en construction maisaussi des centrifugeuses sur lesite de Natanz
Famille de PLC concernée :6ES7-417 et 6ES7-315-2 -> cibles complexes !* multiples ProfiBus * Puissance CPU
VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS
25 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Vulnérabilités intrinsèques aux systèmes industriel s
� Peu de prise en compte de la sécurité lors des phases de concep tion,d’installation, d’exploitation et de maintenance
� Automates et composants industriels en production avec desconfiguration par défauts et mots de passe par défaut
� Informations accessibles – les manuels techniques sont dis poniblesassez facilement- avec les mots de passe par défaut.
� Une culture et une expérience des opérationnels différente s du mondeinformatique : Connexion à l’Internet et ignorance de la men aceextérieure
� Des opérateurs non formés à la sécurité informatique
ORGANISATION DE LA SECURITE
Responsable sécurité rattaché � Production (le plus souvent)
� Département technique
� Hygiène Qualité Sécurité et Environnement (HQSE)
� Maintenance
� Services généraux
26 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Responsabilités variables et diffuses des systèmes informatiques et de leur sécurité
ETUDE AREVA – EURIWARE 2010
27 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Un retour d’expérience sur une cinquantaine d’industriels français montre le manque de maturité en sécurité des systèmes d’information industriels.
IMPACTS
28 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Dommages matériels et/ou corporels� Responsabilité civil ou pénale
Impact environnemental� Pollution du site de production et de l’environneme nt
Perte de chiffre d’affaire� Interruption de la production
� Modification des paramètre de fabrication
Vol de données� Secret de fabrication, avantage pour la concurrence
MESURES DE PROTECTION ET DE PRÉVENTION
VOLET III
29 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
CONSTAT
30 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Difficultés d’appliquer les standards de sécurité des syst èmesd’information de gestion
Une approche différente à construire pour les systèmesd’information industriels « tout en adaptant les recettesexistantes de sécurité »
La gestion du risque, la maîtrise des techniques desécurisation deviennent des compétences indispensablespour les entreprises dans les secteurs industriels.
APPROCHE STRUCTURÉE
Bonnes pratiques de sécurité – les classiques� Politiques de sécurité,
� Veille de vulnérabilités,
� Evaluation de la sécurité & audit,
� Plan de continuité - gestion de crise et exercice de simulation
31 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
APPROCHE STRUCTURÉE
32 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Organisation de la sécurité� Identification d’un responsable sécurité industriel
� Analyse de risques
� Sensibiliser le personnel
Mise à niveau par paliers successifs� Inventaires - Projet de remplacement des équipements
obsolètes
� Dispositif contractuel pour les fournisseurs
Maintenance� Plan de maintenance des composants sensibles
� Sécurité physique, protection des locaux techniques et des armoires
ET ENSUITE LA TECHNIQUE
33 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Mesures techniques� Patch management : Antivirus et correctifs
� Cloisonnement et contrôle des flux entre les SI ind ustriel et de gestion
� Whitelisting : liste des blanches des applications a utorisées
� Télémaintenance et télégestion limitées et contrôlé es avec une traçabilité renforcée
� Accès à internet limité ou interdit
� Déploiement de moyens de surveillance et de détecti on
GUIDES PRATIQUES
34 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
ANSSI� Guide d’hygiène informatique
• Connaitre son SI et ses utilisateurs
• Maîtriser le réseau
• Mettre à niveau les logiciels
• Authentifier l’utilisateur
• Sécuriser les équipements terminaux
• Sécuriser l’intérieur du réseau
• Protéger le réseau interne de l’Internet
• Surveiller les systèmes
• Sécuriser l’administration du réseau
• Contrôler l’accès aux locaux et la sécurité physique
• Organiser la réaction en cas d’incident
• Sensibiliser
• Faire auditer la sécurité
• Guide SSI des systèmes industriels
CONTACTS
35 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
La DPSD
La police� DCPJ/OCLCTIC, DCRI, PP/BEFTI,
La gendarmerie� IRCGN, STRJD, NTECH
La justice
En cas d’incident :
Office Central de Lutte contre la Criminalité liées aux Technologies de l’Information et de la Communication (OCLCTIC)
101 Rue des 3 Fontanot - 92000 NANTERRETel : 01.49.27.49.27
"info-escroqueries" 08 11 02 02 17
QUELQUES SITES
Sites gouvernementaux
� ANSSI
- http://www.ssi.gouv.fr/
� Portail de la sécurité informatique
- http://www.securite-informatique.gouv.fr
� Rapport du Sénateur Bockel sur la Cyberdéfense
- http://www.senat.fr/rap/r11-681_mono.html
Sites d’information� www.clusif.fr
� Magazine sur la sécurité
- http://www.mag-securs.com- http://boutique.ed-diamond.com/ (revue MISC)
� Séminaires
- http://www.forum-fic.com/2014/fr/- http://www.gsdays.fr/- https://www.lesassisesdelasecurite.com/
36 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
DÉMONSTRATION
37 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Prise de contrôle d’un drone
Remerciements à la DCNS pour leur aide dans l’élaboration de la démonstration
PRESENTATION
Cette démonstration est réalisée dans le cadre de la journéeOZSSI afin d’illustrer le besoin de prendre en compte lasécurité en amont dans les projets de développement deproduits industriels
Ecole POLYECH GENIE INDUSTRIEL & INFORMATIQUE 4A
Equipe POLYHACK-Drone� Sébastien MONNERY
� Sébastien MINEO
� Sébastien OHANIAN
Equipe encadrée par Philippe PRESTIGIACOMO
38 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
DEMONSTRATION
Scénario� Objectif :
- Récupérer le contrôle d’un drone en exploitant l’absence d’authen. Robuste
� Contexte :- Le drone est allumé, et son propriétaire est connecté au réseau wifi de l’appareil.
� Méthode d’attaque :- Passage de la carte wifi en mode écoute- Identification des réseaux wifi- Identification des appareils connectés au wifi ciblé (propriétaire du drone)- Désauthentification du propriétaire légitime par le pirate- Connexion du pirate au drone
� Technologies utilisées- Ordinateur doté de l’Operating System KALI – Plateforme d’audit de sécurité- Suite logicielle utilisée dans KALI : AirCrack- Application AR FreeFlight pour le contrôle du DRONE (sur tablette/téléphone Androïd)
39 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
DEMONSTRATION
Wifi
Propriétaire Pirate
40 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
DEMONSTRATION
Wifi
PiratePropriétaire
41 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
DEMONSTRATION
Wifi
PiratePropriétaire
42 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
CAPTURE DES FLUX RÉSEAUX
Commandes envoyées au DRONE
43 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
CONCLUSION
Voici les vulnérabilités identifiées lors de la con ception du drone:
- Absence d’authentification robuste entre le pilote et le drone
- Absence de chiffrement des communications
- Absence de gestion des privilèges
Défauts de sécurité dans de nombreux automates industriels et militaires !
44 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
FIN DE LA DEMONSTRATION
MERCI POUR VOTRE ATTENTION
45 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Recommended