View
25
Download
3
Category
Preview:
Citation preview
* L’ingéniosité au service de la vie
Cyber sécurité des systèmes industriels
Siemens, partenaire de confiance
Non restreinte © Siemens SAS 2016
Sommaire
> La preuve par l'exemple
> Rappel réglementaire
> La cyber sécurité dans les systèmes industriels pour qui ? Pourquoi ?
> Comment se lancer
> Les règles d'hygiène de base
> Cyber sécurité, que fait Siemens en la matière ?
> Organisation
> Certification IEC 62443
> Certification CSPN et qualification
> Pour aller plus loin…
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 3
Stuxnet le détonateur (été 2010)
Stuxnet est devenu la référence en terme de cyberarme.
Sa complexité et sa technicité implique des mois de développement
et des moyens très importants.
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 4
Des outils pour découvrir les systèmes accessibles sur Internet
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 5
Des outils pour découvrir les systèmes accessibles sur Internet
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 6
Comment exploiter les systèmes exposés ?
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 7
Comment exploiter les systèmes exposés ?
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 8
Attaquant niveau étatique
Attaques non ciblées (Virus)
Script Kiddies Attaquant isolé Organisation
privée
Qui attaque les systèmes industriels ?
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 9
Espionnage Rancongiciels Guerre
électronique Cyber
terrorisme
Pourquoi attaquer un système industriel ?
Sommaire
> La preuve par l'exemple
> Rappel réglementaire
> La cyber sécurité dans les systèmes industriels pour qui ? Pourquoi ?
> Comment se lancer
> Les règles d'hygiène de base
> Cyber sécurité, que fait Siemens en la matière ?
> Organisation
> Certification IEC 62443
> Certification CSPN et qualification
> Pour aller plus loin…
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 11
Les premiers décrets ont été publiés fin mars 2015 (décrets N°2015-349, 350 et 351)
Les arrêtés sectoriels sont en cours de publication depuis juillet 2016.
Loi n° 2013 -1168 (18 décembre 2013) Chapitre IV, Article 22
Actualité Française
Loi de programmation militaire 2014-2019
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 12
Les Secteurs d’Activité d’Importance Vitale sont définis par l’arrêté du 2 Juin 2006 (Dispositif SAIV) :
- Activités civiles de l’État
- Activités judiciaires
- Activités militaires de l’État
- Alimentation
- Communications électroniques, audiovisuel et information
- Énergie
- Espace et recherche
- Finances
- Gestion de l’eau
- Industrie
- Santé
- Transports
Quels sont les secteurs concernés ?
Actualité Française
Loi de programmation militaire 2014-2019
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 13
Actualité Française
Loi de programmation militaire 2014-2019
Les arrêtés sectoriels
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 14
- L’ensemble des travaux sur la protection des systèmes d’importance vitale est coordonné par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
- Agence créée par le décret n°2009-834 du 7 juillet 2009; cette agence dépend du Sécretariat Général de la Défense et de la Sécurité Nationale (SGDSN); services du Premier ministre.
- Depuis début 2013, l’ANSSI anime des groupes de travail pour élaborer guides et référentiels qui serviront à la mise en application de la réglementation sur la protection des systèmes d’information des opérateurs d’importance vitale.
Siemens participe depuis leur origine à l’ensemble de ces groupes de travail en ce qui concerne les systèmes industriels.
Qui fait quoi ?
Actualité Française
Loi de programmation militaire 2014-2019
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 15
Début 2014 l’ANSSI a publié deux guides
qui dressent les lignes directrices de ce
que seront les règles à respecter pour les
installations industrielles d’importance
vitale.
Les guides dédiés aux systèmes industriels
Actualité Française
Loi de programmation militaire 2014-2019
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 16
Début 2016 l’ANSSI a publié un cas
concret de mise en application des
mesures décrites dans les guides pour la
cyber sécurité des systèmes industriels.
Les guides dédiés aux systèmes industriels : cas concret
Actualité Française
Loi de programmation militaire 2014-2019
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 17
Début 2015 l’ANSSI a publié un guide portant sur la formation à la cybersécurité des
systèmes industriels.
Les guides dédiés aux systèmes industriels
Actualité Française
Loi de programmation militaire 2014-2019
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 18
Actualité Française
Loi de programmation militaire 2014-2019
Référentiel d’exigences pour les prestataires d’intégration et de maintenance
Début 2016 l’ANSSI a publié un référentiel d’exigences pour les prestataires
d’intégration et de maintenance pour les systèmes industriels
Sommaire
> La preuve par l'exemple
> Rappel réglementaire
> La cyber sécurité dans les systèmes industriels pour qui ? Pourquoi ?
> Comment se lancer
> Les règles d'hygiène de base
> Cyber sécurité, que fait Siemens en la matière ?
> Organisation
> Certification IEC 62443
> Certification CSPN et qualification
> Pour aller plus loin…
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 20
Pour qui pourquoi ?
Sécurité industrielle
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 21
Spécifications Rédaction des cahiers des charges
(Client final ou bureau d’études)
Etudes
Réalisations
Exploitation
Maintenance
Conception des systèmes
(Bureau d’études et intégrateurs)
Installation et mise en production
(Intégrateurs)
Fonctionnement normal
(client final ou exploitant)
Prédictive, préventive ou curative
(client final ou société de service)
• Equipementiers
• Organismes de formation
• Cabinets d’audit et de conseil
Cycle de vie d’une installation
La clé de la protection des installations
Sommaire
> La preuve par l'exemple
> Rappel réglementaire
> La cyber sécurité dans les systèmes industriels pour qui ? Pourquoi ?
> Comment se lancer ?
> Les règles d'hygiène de base
> Cyber sécurité, que fait Siemens en la matière ?
> Organisation
> Certification IEC 62443
> Certification CSPN et qualification
> Pour aller plus loin…
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 23
Sécurité industrielle
De nombreuses idées reçues
70% à 80%
Moyens organisationnels
20% à 30%
Moyens techniques
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 24
Protection physique et
contrôle d’accès pour les
installations
+
Protection de l’intégrité
des systèmes via des
fonctions de sécurités
adaptées (liste blanches..)
+ Services sécurité pour la
protection tout au long du
cycle de vie des
l’installations
+
Intégration de la sécurité
dans les procédures et
implémentations de
mesures technique
+
Segmentation des
réseaux de production et
séparation d’avec les
réseaux bureautiques
+
* Sur la base de l’ IEC 62443
Accès distants
sécurisés ou supprimés
si inutiles
+
Sécurité industrielle
La défense en profondeur
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 25
Sécurité industrielle
Les grandes étapes
- Cartographie
- Gestion sauvegardes
- Gestion
d’obsolescence
- Accès aux
équipements
- Intervention
…
- Classification des
installations
- Rôles and
responsabilités
- Audits et tests de
sécurité
- Mise en place d’une
gestion de crise
… Analyse de risques // Formation
- Cloisonnement des
systèmes
-Durcissement des
configurations
-- Accès distant
…
- Gestion des comptes
- Gestion de
l’authentification
- Interconnexion avec
les systèmes
bureautiques
- Gestion des
équipements terminaux
…
- Gestion des
vulnérabilités produits
- Mise en place du
management des
vulnérabilités
- Gestion des logs
- Surveillance de l’état
de la menace
- Surveillance continue
…
ETAPE 1
Audit
Connaitre son niveau de
sécurité & développer une
stratégie de cyber sécurité
ETAPE 2
Implémentation
Conception et mise en place
des mesures de sécurité
ETAPE 3
Surveillance
Surveillance continue des
installations et réponses à
incidents
Sommaire
> La preuve par l'exemple
> Rappel réglementaire
> La cyber sécurité dans les systèmes industriels pour qui ? Pourquoi ?
> Comment se lancer ?
> Les règles d'hygiène de base
> Cyber sécurité, que fait Siemens en la matière ?
> Organisation
> Certification IEC 62443
> Certification CSPN et qualification
> Pour aller plus loin…
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 27
Les règles d’ hygiène de base
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 28
Les règles d’ hygiène de base
En collaboration avec la CGPME l’ANSSI a édité un guide contenant les règles de
base en hygiène informatique pour les PME
Sommaire
> La preuve par l'exemple
> Rappel réglementaire
> La cyber sécurité dans les systèmes industriels pour qui ? Pourquoi ?
> Comment se lancer ?
> Les règles d'hygiène de base
> Cyber sécurité, que fait Siemens en la matière ?
> Organisation
> Certification IEC 62443
> Certification CSPN et qualification
> Pour aller plus loin…
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 30
Sécurité industrielle
Une organisation pour gérer tous les aspects de la sécurité industrielle
Réseau de sécurité
Marketing
Service & Support
R&D
Management Produit
Partenaires extérieurs
Mise en place d’un réseau de sécurité pour : 1. réagir rapidement en cas d’urgence (incidents de sécurité…) 2. coordonner tous les sujets relevant de la sécurité
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 31
Normes
IEC 62443
siemens se met en conformité
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 32
1er constructeur certifié sur la base de l’IEC 62443-4-1
7 sites de développement certifiés sur la base de
l’ IEC 62443-4-1
pcs 7 1er SNCC certifié IEC 62443-3-3 / IEC 62443-4-1
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 33
ProductCERT : Computer Emergency Response Team
Un CERT dédié aux produits
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 34
ProductCERT : restez informés
Suivez-nous sur Twitter ou via notre flux Rss
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 35
Quid des hackers ?
C’est bien connu les hackers respectent les preconisations des constructeurs !
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 36
Certifications : Achilles (Wurldtech)
Premier équipementier avec la certification Achilles Niveau 2 depuis 2012
+ Protection contre les
attaques DoS
+ Comportement défini en
cas d'attaque
• Disponibilité accrue
• Protection de la pile IP
CPU certifiées
LOGO!
S7- 300 PN/DP
S7- 400 PN/DP
S7- 1500 PN/DP
S7- 1200
S7- 400 HF CPU V6.0
S7- 410-5H
CPs certifiés
CP343-1 Advanced
CP443-1 Advanced
CP1543-1
CP1628
Station DP certifiées
ET200 PN/DP CPUs
Pare-feu certifiés
SCALANCE S602, S612,
S623, S627-2M
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 37
Certifications
Achilles (Wurldtech)
Fuzzing
Les tests de robustesse
Vérifier le comportement de l’équipement lorsque les informations qu’il reçoit via le réseau sont erronées (Taille, Syntaxe, Contenu….)
Communication normale du système
Trafic de test
Equipement testé
Visualisation des résultats des tests
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 38
Certification de Sécurité de Premier Niveau (CSPN)
La certification de sécurité de premier niveau permet d’attester que le produit a subi avec succès une évaluation de
sécurité par un centre d’évaluation agréé par l’ANSSI, l’évaluation ayant pour caractéristiques principales :
• d’être conduite en temps et en ressources humaines (charge) contraints ;
• d’analyser la conformité du produit à ses spécifications de sécurité ;
• de mesurer l’efficacité des fonctions de sécurité.
CESTI : Centre d’Evaluation de la Sécurité des Technologies de l’Information agréé par l’ANSSI
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 39
Cybersécurité des systèmes Industriels
La règlementation française en pointe
Début 2015 l’ANSSI a publié des profils de protection pour certains équipements
industriels, ces documents émanent du groupe de travail sur la cybersécurité des
systèmes industriels.
Il est donc depuis cette publication possible de faire certifier par l’état français des
équipements pour les systèmes industriels.
Les produits concernés à ce jour sont:
- Automates
- Pare feu industriels
- Commutateurs industriels
- VPN
- Point d’accès wifi industriels
- Logiciel d’ingéniérie
- Scada / MES server
- Scada / MES client
- Historian
Siemens participe à ce groupe de travail depuis sa création début 2013.
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 40
Cybersécurité des systèmes Industriels
La règlementation française en pointe
En juillet 2015 l’ANSSI publie la méthodologie retenue pour la
certification des automates programmables.
Extrait:
« La charge prévue pour la réalisation de l’évaluation des API est de
50 hommes*jours pour un API et 10 hommes*jours
supplémentaires pour la partie cryptographique (contre 25 + 10
dans la méthodologie CSPN). »
Trois laboratoires sont agréés pour la certification des automates
programmables:
- Amossys
- Lexfo
-Oppida
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 41
Certification de Sécurité de Premier Niveau (CSPN)
Comment ça se déroule ?
La démarche
Le Centre d’évaluation (CESTI) va vérifier la conformité du produit à ses spécifications de
sécurité.
Les spécifications de sécurité sont décrites dans la cible de sécurité.
Dans le cas des systèmes industriels les cibles de sécurité sont issues du groupe de travail
sur la cybersécurité des systèmes industriels (GTCSI).
Siemens a participé à l’ensemble des travaux depuis début 2013.
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 42
Certification de Sécurité de Premier Niveau (CSPN)
La plateforme de tests
Les conditions de test
L’attaquant n’a pas accès physiquement à l’automate.
Du point de vue logiciel, « tous les coups sont permis ».
TIA Portal / WinCC
IHM
CPU SIMATIC
S7-1500
E/S Déportées
Attaquant
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 43
Cybersécurité des systèmes Industriels
Un long chemin parcouru
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 44
Certification de Sécurité de Premier Niveau (CSPN)
Le certificat « S7-1500 »
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 45
Vers un offre certifiée…
Une première en France !
TIA Portal / WinCC
IHM
CPU SIMATIC
S7-1500
E/S Déportées
Attaquant
Pour sécuriser une architecture, un automate certifié seul ne suffit pas …
… il faut donc faire certifier différents équipements…
… et en 1er lieu, les équipements de communication !
COMMUTATEUR
XM-400
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 46
Certification de Sécurité de Premier Niveau (CSPN)
Le certificat « XM-400 »
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 47
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 48
Prestataires d’intégration et de maintenance
La mise en œuvre est primordiale
Afin d’accompagner au mieux ses clients Siemens prépare la mise en œuvre du référentiel d’exigences pour les
prestataires d’intégration et de maintenance.
Bénéfices client - Une sécurité accrue des installations
- Une préparation sereine de l’homologation des installations
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 49
Cyber sécurité des systèmes industriels
Un écosystème Français en pointe
Un écosystème unique de produits et solutions pour la protection des installations industrielles se met en place.
Diffusion non restreinte © Siemens SAS 2016
Janvier 2017 Page 50
Partenaire de référence pour la cyber sécurité des systèmes industriels
Siemens 1er industriel disposant en France d’une solution d’automatismes (S7-1500) et d’un commutateur (XM-400) certifiée et qualifiée par l’ANSSI
Siemens forme ses équipes pour intervenir chez ses clients
dans des conditions de sécurité optimales
(prestataires d’intégration et de maintenance)
Siemens fait évoluer son organisation en fonction des enjeux
de la cyber sécurité des systèmes industriels
(product and solution security office)
Siemens 1er industriel dont les sites de développement et le SNCC Simatic PCS7 sont certifiés sur la base de la norme internationale IEC 62443-4-1
Recommended