Sécurité des SI industriels : enjeux et actions clés

4 février 2015

20ème journée thématique SSI de OzSSI Sud-Est

Anthony Di Prima & Arnaud Soullie

Sécurité des SI Industriels : enjeux et actions clés

2

Qui sommes-nous ?

RiskManagement

Continuité d’activité

Cybersécurité

Identité numérique

QualificationPASSI

CERT-Solucom

Solucom, 2ème cabinet* de conseil indépendant en France Des clients dans le top 200 des grandes entreprises et

administrations, dans tous les secteurs

1400 collaborateurs dont 250 spécialisés dans la gestion des risques et la cybersécurité

Notre métier

« Donner confiance dans la transformation numérique »

Des offres qui allient des expertises de premier plan

Notre actualité

Inscription : [email protected]

* Source : PAC 2014

La Lettre Risques & Sécurité

Les dossiers CERT-Solucom

4 février 2015 - Propriété de Solucom, reproduction interdite

mailto:[email protected]

3

Définitions

SI Industriel ou « Système automatisé de contrôle des procédés industriels » (ANSSI)

Ensemble des moyens humains et matériels ayant pour finalité de contrôler ou de commander un ensemble de capteurs et d’actionneurs.

« CYBER PHYSICAL SYSTEM » Un système cyber-physique est un système où des éléments

informatiques collaborent pour le contrôle et la commande d'entités physiques

SI D’ENTREPRISE MANIPULE DES DONNÉES≠

SI INDUSTRIEL GÈRE DES INTERFACES AVEC LE MONDE PHYSIQUE


4

Où les trouve-t-on ?

Automobile

Agroalimentaire

Pharmaceutique

Énergie Nucléaire Réseaux électrique Réseaux d’eau Gaz / Pétrole

Transport

Aéronautique

Chimie

Militaire


5

Les enjeux

Une cyber-attaque sur un SI d’entreprise

Une cyber-attaque sur un SI Industriel

Image extraite de la bande annonce du film Blackhat


6

Cyber-attaque, cyber-vandalisme ou acte de « cyber-guerre » ?

Extrait du manuel juridique sur la cyber-guerre (Tallin/CCDCOE)

En cas de conflit « cyber-armé »,les SI Industriels en première ligne ?

LA MENACE EST RÉELLE ET SE CONCRÉTISE DE PLUS EN PLUS !


7

Incident de 2008 sur un pipeline en Turquie (ligne Bakou-Tbilissi-Ceyhan)

Initialement qualifié d’accidentel par le gouvernement turc

Des éléments laissent entendre qu’il s’agissait d’une cyber-attaque

LE DÉROULEMENT

Explosion du pipeline Explosion détectée 40 minutes après

l’incident par un agent de sécurité local 60 heures de vidéo de surveillance

supprimées

Qui sont les auteurs : Russie ? PKK ?

LES CONSÉQUENCES

PIPELINE

Intrusion viavidéosurveillance

Accès physiquesur site

Modification de lapression

MalwareSys. Gestiondes alarmes

8

Vol de données avéré au sein de la compagnie Sud-Coréenne Korea Hydro & Nuclear Power Co. (KHNP) exploitant la centrale

Une attaque revendiquée par « Le Président du Groupe Anti-Nucléaire de Hawaï »

Campagne de Spear-Phishing Infection de 4 postes par un malware

permettant la destruction de fichiers et de disques durs

Publication sur Twitter des documents volés

LES FAITS

Des plans de réacteurs divulgués Des manuels opérateurs disponibles Aucune atteinte au système industriel, ni les

systèmes de « sûreté » des réacteurs Réalisation d’un exercice de simulation d’une

cyberattaque de grand ampleur

Qui sont les auteurs : Corée du Nord ? Chine ?

LES CONSÉQUENCES

CENTRALE NUCLÉAIRE

9

Publication par le BSI de son rapport annuel Mention d’une attaque de type APT sur une

aciérie allemande (haut fourneau) Attaque ayant entrainée des dommages

physiques

LE DÉROULEMENT Plusieurs équipements compromis Impossibilité d’arrêter le haut fourneau

dans des conditions normales L’arrêt dans des conditions dégradées

provoque des dommages irréversibles sur l’installation

Qui sont les auteurs ?

LES CONSÉQUENCES

ACIÉRIE

spear-phishingsocial-engineering

intrusion réseaude production

Intrusionréseau bureautique

11

La presse relaie d’avantage Le mot « SCADA » dans toutes les bouches La découverte des vulnérabilités s’accélère

Les indémodables mot de passe

« hard-codés » Protocoles: HART, CAN, DNP3 …et bien d’autres

Outils et exploits de plus en plus accessibles

Des SI Industriels toujours autant exposés

SHODAN !! Des besoins d’ouvertures grandissants Big Data ?

Démocratisation Immobilisme

Exposition

Les constats d’audits mettent en avant

toujours autant de faiblesses sur les SI

Industriels Des initiatives de sécurisation encore trop peu

nombreuses Une règlementation qui se fait attendre…

Une certaine montée en pression

Une menace qui peut être très élevée Un potentiel d’attaque jusqu’au niveau

étatique

Mais des cas « publics » encore assez

rare…!?

Menace


12

Exposition

Faciles à découvrir grâce aux services comme SHODAN


13

QUELLES SONT LES PROBLÉMATIQUES SÉCURITÉ DES SI INDUSTRIELS ?

Cloisonnement réseau

Supervision sécurité

Organisation sécurité & sensibilisation

Gestion des vulnérabilités

Gestion des tiersSécurité des protocoles

Des constats qui n’ont rien de nouveau

Des budgets toujours aussi faibles / Secteur industriel en crise !?€

14

PROTOCOLE MODBUS


15

Le protocole Modbus

Protocole de communication série inventé en 1979 par Modicon, qui sera racheté par Schneider Electric

Pensé pour une utilisation industrielle Pas de royalties Désormais un des standards de communication industriel

Protocole maître / esclave Le maître envoie régulièrement des

requêtes à l’escalve Pas de notion de contexte : l’esclave

renvoie une valeur brute, le mapitre doit connaître son format

FONCTIONNEMENT

Pas de chiffrement Pas d’authentification

SÉCURITÉ


16

SOLUCOMAttack

ing plcs

Never do thison LIVE production

systemsDÉMOS JAMAIS SUR DES SYSTÈMES EN

PRODUCTION


17

Fonctionnement standard : les lumières rouge, orange et verte s’allument séquentiellement

Objectif : perturber ce fonctionnement pour engendrer le chaos

Comment faire ? Envoyer des commandes Modbus Ces commandes sont non-authentifiées Possibilité d’utiliser ce même protocole pour

programmer l’automate

DEMO #1 : FEU ROUGE


18

Fonctionnement standard : la centrifugeuse tourne à la vitesse 1 ou 2 et l’IHM indique à l ’opérateur la vitesse courante

Objectif : Perturber ce fonctionnement pour abîmer le matériel

Comment faire ? Utiliser le protocole S7 propriétaire Siemens pour

dialoguer avec l’automate Envoyer des commandes pour modifier la vitesse Envoyer des commandes pour modifier la consigne

affichée

DEMO #2 : CENTRIFUGEUSE


Une menace trop élevéepour pouvoir y faire face ?

Un gap à franchir trop grand ?

MAIS ALORS QUE DOIT ON FAIRE ?

21

S’appuyer sur les travaux en cours

2008

- Livre blanc sur la défense et la sécurité nationale

- Création de l’ANSSI

2012

- Rapport « Bockel »

- 1er guide « introductif »pour la sécurité des SI Industriel par l’ANSSI

Février 2013

- Groupe de travail piloté par l’ANSSI pour apporter des réponses à la sécurisation des infrastructures industrielles

Décembre 2013

- Loi de programmation militaire : projet de cadre minimum à respecter pour les OIV et en particulier pour les systèmes industriels

Janvier 2014

- l’ANSSI publie deux nouveaux guides pour la cybersécurité des systèmes industriels

2015 ??

Décrets et Arrêtés

??

Méthode de classification et mesures principales

Mesures détaillées

Étude sur des

OIV pilotes

…pour les opérateurs « critiques »


22

…et pour les autres

Profitez de l’élan !!

Soyez pragmatique

Donnez vous une cible réaliste

Priorisez et itérez


23

QUELLES ACTIONS CLÉS POUR DÉMARRER ?

24

Gouvernance globale de la sécurité des SI Industriels

Afin d’augmenter le niveau de sécurité dans la durée il faut mettre en place une gouvernance globale de la sécurité des SII

Un Responsable de la Sécurité des SI Industriels doit être nommé afin de définir, mettre en œuvre et animer cette gouvernance

Le RSSII doit être capable de jouer le facilitateur entre les différentes sphères et pouvoir s’appuyer sur les acteurs incontournables du SI Industriel

DSI

Sphère industrielle

RSSII

Sphère métier

SûretéSécurité SI,

RSSI


25

Initier la démarche de sécurisation : plusieurs approches

Analyse de risquesAudit Bilan de conformité

Les trois approches peuvent être utilisées ou combinéesElles doivent aussi être l’occasion de mobiliser la direction générale et les directions métiers

dont l’engagement et l’implication dans la durée sont nécessaires

Sur les sites les plus sensibles ou ayant connu un incident récent

Permet d’identifier rapidement les vulnérabilités et les zones non protégées

Permet de définir des premières actions simples

Demander à chaque site d’évaluer son niveau de sécurité sur la base d’un questionnaire

Moins concrète et fiable

Permet d’avoir une vision globale plus rapidement

Appliquée à un processus industriel

Permet d’estimer les impacts financiers, humains et environnementaux en cas d’incident

Permet de prioriser un plan d’actions

Le duo gagnant !!


26

Approche > focus sur l’analyse de risques

Démarche proposée quasiment dans tous les standards/référentiels/normes: ANSSI :

ISA/IEC 62443 :


27


Pourquoi l’analyse de risques ? Prise en compte du risque « cyber » Meilleur moyen pour comprendre le métier Permet d’établir le contact/une relation avec l’ensemble des acteurs du SI

industriel L’approche par les risques bien comprise du « Top management »

Quelle méthode ? « Bon sang, mais c’est bien sûr ! »

EBIOS !!

Oui ça marche !


28


« Pourquoi une étude de risques ? On en a déjà fait plein! »

Limite : ces méthodes ne prennent pas en considération l’acte de malveillance. Il est attendu que les systèmes et les opérateurs remplissent pleinement leur fonction

HAZOP

HAZard and OPerability study

FMECA

Failure Modes, Effects and

Criticality Analysis

LOPA

Layer of Protection Analysis

FTA

Fault Tree Analysis

CAPITALISER SUR LES ÉTUDES MENÉES AU TITRE DE LA SÛRETÉ !

(ENCORE FAUT IL AVOIR À DISPOSITION CES ÉTUDES…)


29


HAZOP, exemple :

Cause Dérive Évènement Redouté Conséquence Gravité Barrières de sécurité Recommandation

Défaillance pompe P1 Débit haut Surremplissage cuve C1

Épandage produit toxique 2 (décès personnel) Capteur seuil haut -

Défaillance vanne V1 Perte de surpression

Entrée d’oxygène dans équipement E1 Explosion 3 (décès population

hors site)

AlarmeSonde

Inspection-


30


Étude du contexte

Étude des évènements

redoutés

Étude des scénarios de

menaces

Étude des mesures de

sécurité

Étude des risques

Métriques adaptées

Étude orientée « impacts »EBIOS

Identification des processus industriels

Identification des évènements redoutés (gravité)

Détermination des biens supports à compromettre

Identification des barrières physiques et instrumentées (SIS)

HAZOP

Adaptation

Capitalisation


31


Dans le cas où le SIS est très intégré au SNCC et qu’il repose en grande partie sur une infrastructure matérielle et une couche applicative mutualisée, cela peut constituer un vecteur d’attaque pour la compromission du SIS

Des contrôles supplémentaires peuvent être mis en place afin de maîtriser l’intégrité de la configuration SIS (suivi de version, requalifications…)

Domaine Active Directory

P

Autres postes et

serveurs du domaine

Applicatif procédé

Fonctions

Process

Fonctions

Sureté

Réseau mutualisé

Fond de panier contrôleur

Contrôleur

Process

Contrôleur

SIS

Configuration SupervisionÉquipements

procédé

Dédié Process

Dédié SIS

Mutualisé

Si le SIS peut être considéré comme un élément de réduction du risque dans les approches de sûreté, il est à considérer dans les études de risque cyber comme un

bien support à part entière et attaquable !!


32


Le plan d’actions ne doit pas s’apparenter à l’ascension de l’Everest !!

Établir différents paliers progressifs

Donner une vision des risques résiduels pour chaque palier

Mettre en œuvre et obtenir des premiers succès !!


33

Cloisonner les réseaux selon leur criticité

Contrairement aux besoins fonctionnels,les besoins de sécurité sont souvent mal identifiés.

SI de GestionSI Industriel

Remonter l’information vers le SI de Gestion ?- Surveillance de la production- Émission de factures- Big Data

Permettre la maintenance à distance ?

Exigences de sécurité Mesures de protection

Fournisseur &Mainteneur

Définir des niveaux de sécurité

Regroupement physique et logique de systèmes informatiques Importance comparable en terme de sécurité À chaque zone est associé un niveau de criticité et des règles

associées

Définir des zones

Appliquer les mesures de protection Cloisonnement aux frontières (pare-feux et diodes) Filtrage des flux Contrôle d’accès et authentification des utilisateurs

…et progressivement


34

Cloisonner les réseaux > focus sur les solutions

Segmentation par VLAN (et filtrage associé !) Mise en place de firewalls Utilisation de DMZ pour l’échange de données Équipements de filtrage avec inspection protocolaire (DPI)

Diodes réseau Solutions de cloisonnement avancé : seclabs (matériel), PolyXene (logiciel), …

Des solutions classiques …

…et d’autres plus « avancées »

Un besoin réel : échanger des données entre les réseaux industriels et de gestion, via le réseau et/ou via des périphériques amovibles


35

Traiter les urgences sans négliger la sécurisation à moyen terme

Arrêt de production

Changement de

fournisseur

Mise en place de solutions palliatives

Modifications en profondeurs

Les changements sur un réseau de production sont complexes à organiser : Impact sur la disponibilité de l’installation Remise en cause de l’homologation de sûreté

La Gestion des correctifs de sécurité a un cycle de mise en œuvre trop court par rapport au cycle de vie d’une installation industrielle


36

Patch management et solutions palliatives

Avantages Inconvénients

Requiert une forte expertise

Manque d’exhaustivité

Pas une solution valable à long

terme

Peu dépendant des produits

Impact sur le process facile à

mesurer

Retour en arrière plus aisé

Parmi ces mesures palliatives figurent : La reconfiguration d’équipement L’ajustement des règles de filtrage réseau La personnalisation des règles IDS …

Ces mesures visent à contrer les tentatives d’exploitation de vulnérabilités connues et

non corrigées

Tendance :Utilisation de solutions de type « Whitelisting »

sur la partie SCADA

La gestion des correctifs de sécurité est souvent incompatible avec les contraintes des SI Industriels

Il est possible de compenser cette difficulté par l’application de mesures palliatives (workaround)


37

Sécuriser les équipements et les protocoles

Équipements simples

Peu de mémoire, de puissance de calcul

Considérés comme « électroniques »

plutôt qu’ « informatiques »

Protocoles spécifiques

Pas de prise en compte de la sécurité

Protocoles de communication

adaptés de protocoles « série

historique »

VulnérabilitésAuthentification

faible

Mots de passe par défaut

Mots de passe par « hardcodés »

Équipements

Informations échangées en clair

Possibilité de rejeu

Pas d’authentification

Protocoles

Les API et protocoles associés sont bâtis sur des contraintes de disponibilité et de longévité.Il faut avoir conscience de leurs vulnérabilités pour y pallier quand cela est possible.La sécurisation des équipements et protocoles ne pourra venir que des fournisseurs.


38

Maitrise de la sous-traitance et de la maintenance

Les fournisseurs / éditeurs sont encore tropsouvent dans une posture « dominatrice »

Certains points dans la maîtrise de lasous-traitance et de la maintenance sontà surveiller de près :

Mise en œuvre de maintenance à distance : Les accès doivent être sécurisés : authentification forte / chiffrement Attention à la maintenance à distance par Internet et/ou depuis l’étranger

Conditions de garantie En cas de modification (installation d’antivirus ou de correctif de sécurité)

Configuration à la livraison, les équipements sont souvent livrés avec leurs configurations par défaut des configurations non durcies

@

Gestion de fournisseurs multiples : Limiter les entrées/sorties des personnels de maintenance / intervention Contrôler afin de limiter l’introduction de composants malveillants


39

Supervision de la sécurité

L’intégration à un SOC « central » est rendue difficile par l’ouverture des flux qu’elle nécessite mais doit être étudiée

La mise en œuvre d’un SOC local est essentielle

Mettre en place des dispositifs de surveillance tels que les IDS, IPS ou des pare-feux avec capacités de “Deep Packet Inspection” permet de pouvoir détecter et réagir face aux incidents de sécurité

SCADA : Supervisory Control and Data Acquisition

La supervision est au cœur des systèmes SCADA,c’est même leur but premier.

Cependant, il s’agit de superviser le fonctionnement et la sûreté.La supervision au sens sécurité est quasi inexistante

Supervision

Remontée de logs

Analyse de flux critiques


40

En conclusion

Il faut faire face à la réalité. La menace est réelle et le fossé se creuse entre niveau de cybersécurité des installations et le niveau des attaquants.

N’attendons pas un évènement majeur pour adresser le sujet !!

Les méthodes éprouvées du monde de l’IT conventionnel peuvent s’adapter aux spécificités du monde industriel.

Il faut donc combiner les savoir-faire !!

La mobilisation des directions métiers est aussi une nécessité pour la sécurisation de l’entreprise de bout en bout dans une approche globale.

Cela passe également par des investissements significatifs (build et run) !!


www.solucom.fr

Anthony DI PRIMA

Manager

Tel : +33 (0)1 49 03 84 63

Mobile : +33 (0)6 69 28 15 95

Mail : [email protected]

Contact

Business

Sécurité des SI industriels : enjeux et actions clés