Pres cyber ensam

* L’ingéniosité au service de la vie

Cyber sécurité des systèmes industriels

Siemens, partenaire de confiance

Non restreinte © Siemens SAS 2016

Sommaire

> La preuve par l'exemple

> Rappel réglementaire

> La cyber sécurité dans les systèmes industriels pour qui ? Pourquoi ?

> Comment se lancer

> Les règles d'hygiène de base

> Cyber sécurité, que fait Siemens en la matière ?

> Organisation

> Certification IEC 62443

> Certification CSPN et qualification

> Pour aller plus loin…

Diffusion non restreinte © Siemens SAS 2016

Janvier 2017 Page 3

Stuxnet le détonateur (été 2010)

Stuxnet est devenu la référence en terme de cyberarme.

Sa complexité et sa technicité implique des mois de développement

et des moyens très importants.


Janvier 2017 Page 4

Des outils pour découvrir les systèmes accessibles sur Internet

http://img.chan4chan.com/img/2009-04-08/armymil_hack.jpg


Janvier 2017 Page 5

Des outils pour découvrir les systèmes accessibles sur Internet


Janvier 2017 Page 6

Comment exploiter les systèmes exposés ?


Janvier 2017 Page 7

Comment exploiter les systèmes exposés ?


Janvier 2017 Page 8

Attaquant niveau étatique

Attaques non ciblées (Virus)

Script Kiddies Attaquant isolé Organisation

privée

Qui attaque les systèmes industriels ?


Janvier 2017 Page 9

Espionnage Rancongiciels Guerre

électronique Cyber

terrorisme

Pourquoi attaquer un système industriel ?

Sommaire




> Comment se lancer



> Organisation





Janvier 2017 Page 11

Les premiers décrets ont été publiés fin mars 2015 (décrets N°2015-349, 350 et 351)

Les arrêtés sectoriels sont en cours de publication depuis juillet 2016.

Loi n° 2013 -1168 (18 décembre 2013) Chapitre IV, Article 22

Actualité Française

Loi de programmation militaire 2014-2019



Les Secteurs d’Activité d’Importance Vitale sont définis par l’arrêté du 2 Juin 2006 (Dispositif SAIV) :

- Activités civiles de l’État

- Activités judiciaires

- Activités militaires de l’État

- Alimentation

- Communications électroniques, audiovisuel et information

- Énergie

- Espace et recherche

- Finances

- Gestion de l’eau

- Industrie

- Santé

- Transports

Quels sont les secteurs concernés ?







Les arrêtés sectoriels



- L’ensemble des travaux sur la protection des systèmes d’importance vitale est coordonné par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

- Agence créée par le décret n°2009-834 du 7 juillet 2009; cette agence dépend du Sécretariat Général de la Défense et de la Sécurité Nationale (SGDSN); services du Premier ministre.

- Depuis début 2013, l’ANSSI anime des groupes de travail pour élaborer guides et référentiels qui serviront à la mise en application de la réglementation sur la protection des systèmes d’information des opérateurs d’importance vitale.

Siemens participe depuis leur origine à l’ensemble de ces groupes de travail en ce qui concerne les systèmes industriels.

Qui fait quoi ?





Début 2014 l’ANSSI a publié deux guides

qui dressent les lignes directrices de ce

que seront les règles à respecter pour les

installations industrielles d’importance

vitale.

Les guides dédiés aux systèmes industriels





Début 2016 l’ANSSI a publié un cas

concret de mise en application des

mesures décrites dans les guides pour la

cyber sécurité des systèmes industriels.

Les guides dédiés aux systèmes industriels : cas concret





Début 2015 l’ANSSI a publié un guide portant sur la formation à la cybersécurité des

systèmes industriels.

Les guides dédiés aux systèmes industriels







Référentiel d’exigences pour les prestataires d’intégration et de maintenance

Début 2016 l’ANSSI a publié un référentiel d’exigences pour les prestataires

d’intégration et de maintenance pour les systèmes industriels

Sommaire




> Comment se lancer



> Organisation






Pour qui pourquoi ?

Sécurité industrielle



Spécifications Rédaction des cahiers des charges

(Client final ou bureau d’études)

Etudes

Réalisations

Exploitation

Maintenance

Conception des systèmes

(Bureau d’études et intégrateurs)

Installation et mise en production

(Intégrateurs)

Fonctionnement normal

(client final ou exploitant)

Prédictive, préventive ou curative

(client final ou société de service)

• Equipementiers

• Organismes de formation

• Cabinets d’audit et de conseil

Cycle de vie d’une installation

La clé de la protection des installations

Sommaire




> Comment se lancer ?



> Organisation







De nombreuses idées reçues

70% à 80%

Moyens organisationnels

20% à 30%

Moyens techniques



Protection physique et

contrôle d’accès pour les

installations

+

Protection de l’intégrité

des systèmes via des

fonctions de sécurités

adaptées (liste blanches..)

+ Services sécurité pour la

protection tout au long du

cycle de vie des

l’installations

+

Intégration de la sécurité

dans les procédures et

implémentations de

mesures technique

+

Segmentation des

réseaux de production et

séparation d’avec les

réseaux bureautiques

+

* Sur la base de l’ IEC 62443

Accès distants

sécurisés ou supprimés

si inutiles

+


La défense en profondeur




Les grandes étapes

- Cartographie

- Gestion sauvegardes

- Gestion

d’obsolescence

- Accès aux

équipements

- Intervention

…

- Classification des

installations

- Rôles and

responsabilités

- Audits et tests de

sécurité

- Mise en place d’une

gestion de crise

… Analyse de risques // Formation

- Cloisonnement des

systèmes

-Durcissement des

configurations

-- Accès distant

…

- Gestion des comptes

- Gestion de

l’authentification

- Interconnexion avec

les systèmes

bureautiques

- Gestion des

équipements terminaux

…

- Gestion des

vulnérabilités produits

- Mise en place du

management des

vulnérabilités

- Gestion des logs

- Surveillance de l’état

de la menace

- Surveillance continue

…

ETAPE 1

Audit

Connaitre son niveau de

sécurité & développer une

stratégie de cyber sécurité

ETAPE 2

Implémentation

Conception et mise en place

des mesures de sécurité

ETAPE 3

Surveillance

Surveillance continue des

installations et réponses à

incidents

Sommaire







> Organisation






Les règles d’ hygiène de base



Les règles d’ hygiène de base

En collaboration avec la CGPME l’ANSSI a édité un guide contenant les règles de

base en hygiène informatique pour les PME

Sommaire







> Organisation







Une organisation pour gérer tous les aspects de la sécurité industrielle

Réseau de sécurité

Marketing

Service & Support

R&D

Management Produit

Partenaires extérieurs

Mise en place d’un réseau de sécurité pour : 1. réagir rapidement en cas d’urgence (incidents de sécurité…) 2. coordonner tous les sujets relevant de la sécurité



Normes

IEC 62443

siemens se met en conformité



1er constructeur certifié sur la base de l’IEC 62443-4-1

7 sites de développement certifiés sur la base de

l’ IEC 62443-4-1

pcs 7 1er SNCC certifié IEC 62443-3-3 / IEC 62443-4-1



ProductCERT : Computer Emergency Response Team

Un CERT dédié aux produits



ProductCERT : restez informés

Suivez-nous sur Twitter ou via notre flux Rss



Quid des hackers ?

C’est bien connu les hackers respectent les preconisations des constructeurs !



Certifications : Achilles (Wurldtech)

Premier équipementier avec la certification Achilles Niveau 2 depuis 2012

+ Protection contre les

attaques DoS

+ Comportement défini en

cas d'attaque

• Disponibilité accrue

• Protection de la pile IP

CPU certifiées

LOGO!

S7- 300 PN/DP

S7- 400 PN/DP

S7- 1500 PN/DP

S7- 1200

S7- 400 HF CPU V6.0

S7- 410-5H

CPs certifiés

CP343-1 Advanced

CP443-1 Advanced

CP1543-1

CP1628

Station DP certifiées

ET200 PN/DP CPUs

Pare-feu certifiés

SCALANCE S602, S612,

S623, S627-2M



Certifications

Achilles (Wurldtech)

Fuzzing

Les tests de robustesse

Vérifier le comportement de l’équipement lorsque les informations qu’il reçoit via le réseau sont erronées (Taille, Syntaxe, Contenu….)

Communication normale du système

Trafic de test

Equipement testé

Visualisation des résultats des tests



Certification de Sécurité de Premier Niveau (CSPN)

La certification de sécurité de premier niveau permet d’attester que le produit a subi avec succès une évaluation de

sécurité par un centre d’évaluation agréé par l’ANSSI, l’évaluation ayant pour caractéristiques principales :

• d’être conduite en temps et en ressources humaines (charge) contraints ;

• d’analyser la conformité du produit à ses spécifications de sécurité ;

• de mesurer l’efficacité des fonctions de sécurité.

CESTI : Centre d’Evaluation de la Sécurité des Technologies de l’Information agréé par l’ANSSI



Cybersécurité des systèmes Industriels

La règlementation française en pointe

Début 2015 l’ANSSI a publié des profils de protection pour certains équipements

industriels, ces documents émanent du groupe de travail sur la cybersécurité des

systèmes industriels.

Il est donc depuis cette publication possible de faire certifier par l’état français des

équipements pour les systèmes industriels.

Les produits concernés à ce jour sont:

- Automates

- Pare feu industriels

- Commutateurs industriels

- VPN

- Point d’accès wifi industriels

- Logiciel d’ingéniérie

- Scada / MES server

- Scada / MES client

- Historian

Siemens participe à ce groupe de travail depuis sa création début 2013.




La règlementation française en pointe

En juillet 2015 l’ANSSI publie la méthodologie retenue pour la

certification des automates programmables.

Extrait:

« La charge prévue pour la réalisation de l’évaluation des API est de

50 hommes*jours pour un API et 10 hommes*jours

supplémentaires pour la partie cryptographique (contre 25 + 10

dans la méthodologie CSPN). »

Trois laboratoires sont agréés pour la certification des automates

programmables:

- Amossys

- Lexfo

-Oppida




Comment ça se déroule ?

La démarche

Le Centre d’évaluation (CESTI) va vérifier la conformité du produit à ses spécifications de

sécurité.

Les spécifications de sécurité sont décrites dans la cible de sécurité.

Dans le cas des systèmes industriels les cibles de sécurité sont issues du groupe de travail

sur la cybersécurité des systèmes industriels (GTCSI).

Siemens a participé à l’ensemble des travaux depuis début 2013.




La plateforme de tests

Les conditions de test

L’attaquant n’a pas accès physiquement à l’automate.

Du point de vue logiciel, « tous les coups sont permis ».

TIA Portal / WinCC

IHM

CPU SIMATIC

S7-1500

E/S Déportées

Attaquant




Un long chemin parcouru




Le certificat « S7-1500 »



Vers un offre certifiée…

Une première en France !

TIA Portal / WinCC

IHM

CPU SIMATIC

S7-1500

E/S Déportées

Attaquant

Pour sécuriser une architecture, un automate certifié seul ne suffit pas …

… il faut donc faire certifier différents équipements…

… et en 1er lieu, les équipements de communication !

COMMUTATEUR

XM-400




Le certificat « XM-400 »





Prestataires d’intégration et de maintenance

La mise en œuvre est primordiale

Afin d’accompagner au mieux ses clients Siemens prépare la mise en œuvre du référentiel d’exigences pour les

prestataires d’intégration et de maintenance.

Bénéfices client - Une sécurité accrue des installations

- Une préparation sereine de l’homologation des installations



Cyber sécurité des systèmes industriels

Un écosystème Français en pointe

Un écosystème unique de produits et solutions pour la protection des installations industrielles se met en place.



Partenaire de référence pour la cyber sécurité des systèmes industriels

Siemens 1er industriel disposant en France d’une solution d’automatismes (S7-1500) et d’un commutateur (XM-400) certifiée et qualifiée par l’ANSSI

Siemens forme ses équipes pour intervenir chez ses clients

dans des conditions de sécurité optimales

(prestataires d’intégration et de maintenance)

Siemens fait évoluer son organisation en fonction des enjeux

de la cyber sécurité des systèmes industriels

(product and solution security office)

Siemens 1er industriel dont les sites de développement et le SNCC Simatic PCS7 sont certifiés sur la base de la norme internationale IEC 62443-4-1

Technology

Pres cyber ensam