Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

SI Industriel en 2017 : incidents enjeux et...parades

avril 2017 par Marc Jacob

Pour sa nouvelle conférence, le CLUSIF a choisi pour thème les réseaux SCADA. Ces réseaux sont aujourd’hui de plus en plus la cible de pirates informatiques à la recherche de gain mais aussi pour détruire ou perturber des infrastructures critiques. Le problème est d’autant plus crucial que ces systèmes sont souvent obsolètes du fait de leurs standards et qu’ils sont difficilement sécurisables…

Thierry Chiofalo, administrateur du CLUSIF a présenté le sujet en montrant que les systèmes industriels sont de plus en plus informatisées tant sur les lignes de production que sur les réseaux d’adduction d’eau, de l’énergie... ces systèmes touchent à la fois la sécurité des personnes, la santé publique, les services vitaux comme les réseaux d’eau, d’énergie... aujourd’hui des incidents existent comme on l’a vu avec entre autre Stunext, mais d’autres exemples voient le jour. C’est pour cela que des processus de Sécurité doivent être mis en place tant au niveau des parties prenantes, des outils techniques...

Anthony Di Prima

Les systèmes SCADA sous le feux des attaques

Anthony Di Prima, animateur du groupe de travail Sécurité SCADA au CLUSIF qui a été créé en 2013, a fait le point sur les enseignements à tirer lors d’incidents de sécurité. Un livrable sera publié le 21 avril sur le site du CLUSIF. Ce document propose un panorama des incidents dans le monde afin de tirer des enseignements pour prévenir que ce type de problème ne se reproduise. Les incidents répertoriés l’ont été sur des bases ouvertes donc vérifiables avec des sources multiples. Les impacts de ces incidents ont tous été décrits. Pour chaque incident deux fiches ont été conçues :
-  La première décrit le scénario d’attaque et son impact.
-  La deuxième explique l’incidence de l’impact soit humain, écologique, économique... mais propose aussi une appréciation de l’attaquant et la complexité de l’attaque. Le déroulé de l’attaque a été aussi analysé. Enfin des recommandations ont été formulées afin type d’incident ne se reproduise pas.

Enfin, une synthèse a été réalisée. Dans ce premier livrable, une vingtaine d’incidents ont été répertoriés. Parmi les évènements répertoriés, on trouve une attaque sur une éolienne, sur une station d’épuration, un déni de Service sur une chaîne automobile, des détournements de drones, le cas Target a été évoqué du fait de l’utilisation des stations de climatisation.... l’objectif est d’enrichir ces fiches.

Les pays les plus touchés sont aujourd’hui les plus industrialisés donc en premier lieu les États-Unis, l’Europe... par ailleurs, il semble que plus l’attaque est élaborée plus son impact est élevé. Par contre, la plus grande partie des incidents sont réalisés avec des attaques peu complexes, ce qui dénote une faible prise en compte des menaces mais aussi des problèmes de bonnes pratiques. Dans la majorité des cas, les motivations sont essentiellement financières. Avant les années 2005/2009, on constate peu d’attaques sur les SCADA par contre depuis Stuxnet, elles se multiplient.

En conclusion, ces attaques se propagent du fait de l’utilisation d’OS du marché, mais aussi de l’ouverture des systèmes sur le monde IP. Pour remédier, il est nécessaire de mettre en place des procédures d’isolement, maîtriser les accès, de déployer des outils et des procédures de sécurisation. Pour l’avenir, on peut s’attendre à une explosion des attaques du fait de l’émergence des IoT. Cependant, on peut penser que les législations type LPM, RGPD devraient amener à renforcer la sécurité de ces systèmes sans compter l’amélioration des procédures de sécurisation de l’Etat comme l’ANSSI.

Puis il a cité l’exemple de l’arrêt d’une éolienne avec les erreurs de communication de la part des dirigeants, ou celui de l’arrêt de la distribution d’eau potable dans l’état de Géorgie au États-Unis suite à un problème d’intrusion physique qui dénote des problèmes de révocation des droits d’accès....

Protection des SCADA : de l’organisation et des outils

Ce RSSI explique que dans son entreprise, il gère aujourd’hui un incident de sécurité par jour. Ainsi, il explique qu’il faut qu’il y ait un support fort de la direction. Selon lui, les systèmes industriels ont une durée de vie compris entre 10 et 20 ans, il faut donc vivre avec l’obsolescence. Ainsi, le patch management est important car les pirates informatique utilisent régulièrement des vulnérabilités non patchées. Il a aussi pointé la faiblesse des Commandes Control. Suite aux différentes attaques dans le monde sur des concurrents de son entreprise ses managers se sont alarmés et depuis surveillent de près les problèmes cyber. Ainsi une stratégie de Cybersécurité a été développée en partant de la gouvernance au déploiement d’outils. De plus la Cybersécurité doit être pensé dans un ensemble d’acteur indépendant en entre autre utilisant des « outils cyber by design ». Il faut en outre réaliser des diagnostics approfondis et proposer des solutions qualifiées. Enfin, il est nécessaire de sensibiliser le personnel et réaliser des tests après les sessions.

Faites converger Sûreté et Sécurité

Pour cet autre RSSI, il faut aujourd’hui faire converger la sûreté de fonctionnement et la Cybersécurité. Dans son entreprise qui est soumise à la LPM, divers enjeux sont apparus comme la nécessité de cyber résilience.... il fallait prendre en compte les aspects de Cybersécurité et de sûreté et fiabilité de fonctionnement. Dans le cas de son entreprise, il considère qu’une panne de sûreté de fonctionnement est remédiable en quelques heures ou jours, par contre une attaque cyber peut avoir des incidences plus importantes tant au niveau de la durée que des sites concernés. Ainsi, il a utilisé la méthode EBIOS pour faire de l’analyse de risques. Des échelles de survenance d’attaques ont été réalisées. Pour lui, centraliser des systèmes permet au final de mieux les protéger grâce à l’amélioration des niveaux de détection. Suite à son analyse, il a été nécessaire dans son entreprise de revoir la robustesse de son PRA. Dans son organisation les métiers et la DSI ont travaillé de concert pour rehausser les niveaux de sûreté et de Cybersécurité.

Tous les SCADA seraient compromis

Lors de la table ronde, animé par Henri Codron, Vice-Président du CLUSIF, Frédéric Daniel d’Orange Cyberdefense a fait part d’une étude mène depuis 6 ans sur la Sécurité des systèmes industriels. En premier les OS sont le plus souvent non patchés, la gestion des mots de passe en quasi inexistant de même que la détection des malwares. Ainsi, les rebonds sont assez faciles. Il est nécessaire de mettre en place une gouvernance, mais aussi faire de l’analyse de risques en faisant un inventaire détaillé de ses systèmes. Selon l’enquête entre 10 et 20% des systèmes SCADA était infecté par des malware, il faut aussi couper des ports, activer des firewalls... Pour Patrick Bock, expert Sécurité aujourd’hui chez Sentryo, explique que 100% des industriels ont subi des malwares dans ces usines. Il cite le cas d’une usine arrêté durant une semaine suite à une attaque virale. Il a aussi rencontré régulièrement dans les usines des cryptolockers. L’autre principal source d’incidents est les sous-traitants. Il considère qu’actuellement, il y a de nombreux incidents sur des sites industriels qui sont non ciblés. Par contre, avec l’augmentation de la surface d’attaques, les risques devraient se multiplier. Pour limiter les risques, il faut contrôler les accès, segmenter les réseaux, avoir des capacités de détection des menaces et enfin, il faut sensibiliser les utilisateurs.

Pour ce RSSI, si les risques inhérents à la sûreté sont bien identifiés et compris par les managers, il n’en est pas de même en matière de Cybersécurité. La deuxième difficulté est de faire comprendre à la direction qu’un attaquant pour le même scénario d’indisponibilité entre une attaque physique et une attaque cyber bien plus difficile et coûteuse à réaliser, peut tout de même se produire.

Pour ce Responsable sûreté de fonctionnement, le numérique lui permet d’améliorer la sûreté de fonctionnement. Pour lui, il est important de réduire la complexité issue de la digitalisation. Il faut qu’un opérateur puisse passer en mode manuel. Dans son secteur des directives internationales ont été émises qui introduit des règles de fonctionnement mais aussi des pistes de R&D améliorer la sûreté de fonctionnement.

Arnaud Soulier Manager chez Wavestone a présenté le projet de recherche Diode qui permet d’améliorer la Sécurité des systèmes SCADA.

Au final, les systèmes SCADA doivent être mis sous haute surveillance si on veut éviter le pire...




Voir les articles précédents

    

Voir les articles suivants