Notes
-
[1]
Stuxnet : code malveillant qui, d’après le New York Times du 1er juin 2012, serait d’origine étatique et viserait la destruction des centrifugeuses de l’usine de Natanz afin de ralentir le programme d’enrichissement d’uranium iranien.
-
[2]
Cyber-sécurité : état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.
-
[3]
La cyber-sécurité des systèmes industriels : www.ssi.gouv.fr/systemesindustriels
-
[4]
La cyber-sécurité des systèmes industriels : www.ssi.gouv.fr/systemesindustriels
-
[5]
« Déconnecté » signifie que les postes ne sont pas connectés aux réseaux de l’entreprise. Le seul moyen d’échanger des données est alors l’utilisation de médias amovibles.
-
[6]
L’ANSSI propose deux types de certifications, la Certification de Sécurité de Premier Niveau (CSPN) et la certification conforme aux Critères Communs. cf. http://www.ssi.gouv.fr/fr/certification-qualification/
1Depuis l’affaire Stuxnet [1], la cyber-sécurité [2] des systèmes industriels devient une véritable préoccupation et les initiatives à son sujet se multiplient. Peu préparées, les entreprises se retrouvent désarmées face à cette nouvelle menace. Le sujet est d’autant plus complexe que les systèmes « industriels » n’ont pas été conçus dans ce contexte et qu’ils ne sont pas les seuls concernés, les systèmes « tertiaires », décrits plus loin, le sont également.
2Ces nouveaux problèmes semblent fortement liés aux technologies de l’information et de la communication (TIC). Alors, faut-il faire marche arrière et revenir à un pilotage moins informatisé des installations ? Pour celles qui assurent la protection des biens et des personnes en dernier recours, la question peut se poser mais pour les autres non.
3Quelle démarche faut-il adopter (avoir une approche sûreté ou cyber-sécurité) ? Quelles sont les vulnérabilités fréquemment rencontrées ? Pourquoi ne pas considérer la cyber-sécurité comme une opportunité, un facteur de performance et de réduction des coûts ?
4Autant de questions auxquelles nous essaierons d’apporter un début de réponse. Un certain nombre des éléments présentés sont développés dans le guide de l’ANSSI : la cyber-sécurité des systèmes industriels [3].
Une grande famille de systèmes
5Que se cache-t-il derrière cette appellation mystérieuse de « systèmes industriels » ou, pour utiliser un expression plus anglo-saxonne, d’ « Industrial Control System » (ICS) ? Elle désigne un ensemble de moyens informatisés et automatisés (SCADA, PLC, SIS, RTU, SNCC et autres acronymes bien connus…) assurant le contrôle et le pilotage de procédés « industriels ». L’industrie, le transport, la santé, le traitement d’eau, et bien d’autres secteurs les emploient. Les utilisateurs, les équipementiers, les intégrateurs et les cabinets de conseils impliqués dans les ICS commencent timidement à être sensibilisés à la cyber-sécurité. Ils comprennent peu à peu la nécessité, vitale pour leurs activités, d’améliorer le niveau de sécurité de leurs installations sous peine d’être victimes d’incidents majeurs. Cette sensibilisation à la sécurité n’a pas encore débuté dans le domaine de la Gestion Technique de Bâtiment (GTB), secteur cousin des ICS, dont le but est de piloter des systèmes « tertiaires » comme la ventilation, la climatisation et le chauffage, l’électricité, la sécurité incendie, les ascenseurs, l’eau sanitaire ou encore le contrôle d’accès et la vidéo-protection. La GTB doit pourtant, comme les ICS, intégrer la cyber-sécurité. Si ces domaines d’application sont différents, les technologies utilisées sont similaires et les acteurs appartiennent généralement à une « business unit » en relation avec celle en charge des ICS. Cet écosystème s’est encore agrandi récemment avec l’apparition de ce que l’on pourrait appeler les SmartSystems (SmartGrid, SmartCities, SmartWater….) qui étendent les technologies ICS et GTB à l’échelle d’une ville, d’une région ou d’un pays. Alors que les ICS et GTB doivent traiter le sujet de la cyber-sécurité sur des installations qui n’ont pas été prévues pour cela, les SmartSystems grandiront avec cette nouvelle préoccupation de devoir faire face à ce fléau du 21ème siècle.
Les enjeux de la cyber-sécurité des ICS, GTB et SmartSystems
6Que l’on considère les ICS, les GTB ou les Smart-Systems, l’objectif de cyber-sécurité est commun : traiter les risques de malveillance d’individus ou groupes d’individus exploitant les vulnérabilités des systèmes informatisés et automatisés dans le but de nuire (dé-crédibiliser, saboter, voler, détruire…). Les attaquants peuvent être d’origines très diverses et mener leurs attaques depuis de multiples endroits, y compris depuis les installations elles-mêmes. De l’employé corrompu aux organisations idéologiques, étatiques ou terroristes, les motivations des attaquants sont multiples (vengeance, idéologie, concurrence, défi, buzz …). Les enjeux de la cyber-sécurité paraissent souvent abstraits et lointains pour la famille GTB. « Qui voudrait nous attaquer ? », « Nos installations « tertiaires » ne sont pas critiques contrairement aux ICS ou aux futurs SmartSystems » entend-t-on fréquemment. Pourtant, la coupure de la climatisation d’une salle informatique, la perte du réseau ondulé d’un hôpital ou encore de fausses alarmes incendie provoquant l’évacuation d’un bâtiment, à la suite d’un simple virus introduit dans la GTB conduisent à des conséquences bien réelles.
Dualité entre sûreté et cyber-sécurité
7Les pannes consécutives à la défaillance d’équipements sont bien connues et provoquent déjà des incidents. Les spécialistes de la sûreté de fonctionnement (SDF) connaissent le sujet. Alors où est la nouveauté ? Si l’analyse statistique, utilisée en SDF, et les techniques de redondance sont des méthodes efficaces pour traiter le risque de défaillances d’équipements, elles ne couvrent pas les risques de cyber-attaques. S’il parait peu probable que deux systèmes redondants tombent en panne en même temps, il est en revanche probable qu’un attaquant ait la volonté de prendre le contrôle simultanément de ces deux systèmes s’il en a la possibilité. Il est aisé pour un attaquant de répéter à l’infini des commandes malveillantes sur un grand nombre de systèmes et de leurrer les utilisateurs par de fausses informations pour provoquer un incident. De plus, contrairement à la SDF, les menaces dans le monde cyber-évoluent rapidement. Des vulnérabilités sur les produits et technologies sont détectées quotidiennement. Les outils du « cyber-attaquant » deviennent chaque jour plus efficaces et à la portée d’un nombre grandissant d’individus. Cette dualité entre le monde de la SDF et de la cyber-sécurité est un frein. Les modes de pensée sont difficiles à changer. Pourtant, il est urgent de parvenir à décloisonner ces deux mondes. Les standards de sûreté doivent s’adapter pour prendre en compte la cyber-sécurité et éviter que l’intégrité des Systèmes Instrumentés de Sécurité (SIS) assurant la protection de la vie de personnes puisse être remise en cause par une attaque informatique.
La cyber-sécurité : par où commencer ?
8Face à ce rapide mais inquiétant constat, la question récurrente est « comment aborder le sujet dans un contexte où la pression sur les coûts, le manque de ressources et de compétences sont omniprésents ? ». Il n’existe pas de recette miracle mais il est possible d’identifier des pistes à explorer en fonction de son contexte. Le pragmatisme, le bon sens, le regard critique, la concertation, la pédagogie, la mutualisation des compétences, l’analyse de risques, la planification, et l’application des bonnes pratiques sont autant d’ingrédients à utiliser. Mais il faut trouver les bonnes proportions et le bon mode opératoire. Pour ce faire, il convient de ne pas commettre l’erreur de vouloir appliquer brutalement des normes et guides de bonnes pratiques sans, au préalable, se les approprier et les adapter à ses besoins. Le risque étant sinon de déployer des solutions inadaptées, aux coûts importants dont personne n’a le réel contrôle et pour une efficacité réduite. Le résultat peut même mener à une fausse impression de sécurité.
Analyse de risques vs bonnes pratiques
9L’analyse de risques (AR) est régulièrement présentée comme le point de départ de toute démarche. Il est en effet important d’adapter les mesures qui seront déployées aux risques identifiés, de ne pas en oublier et de ne pas les surestimer. Elle peut être longue et fastidieuse suivant la taille et la complexité des installations ainsi que le niveau de maturité des intervenants dans ce domaine. Il est parfois tentant de se contenter d’appliquer quelques bonnes pratiques. Si certaines sont réalisables rapidement sans recourir à une AR, seule cette dernière permet d’avoir une réelle vision des moyens à mettre en œuvre face à l’importance du système à protéger. Prenons une analogie simple : si une bonne pratique consiste à fermer la porte à clé de votre maison, celle-ci ne sera plus suffisante si vos biens ont beaucoup de valeur. En effet, il faudra peut-être faire installer une porte blindée. Si cette valeur augmente, il sera alors envisageable d’investir dans d’autres moyens de protection : alarme, vidéo-protection ou gardiennage seront peut-être nécessaires. Ainsi, le niveau de sécurité s’adapte aux enjeux. On ne protège pas un appartement comme la salle des coffres d’une banque. Seule l’AR permet de définir les bons dispositifs à installer et de ne pas tomber dans le piège de la « sur-sécurité », aussi néfaste que l’absence de sécurité.
Comment se protéger d’un Stuxnet ?
10Il semble ambitieux de vouloir proposer une réponse simple à cette question. L’enjeu prioritaire n’est pas de faire face à une attaque ciblée de grande envergure du type Stuxnet, mais d’empêcher dans un premier temps l’attaquant opportuniste de rentrer. En effet, une majorité d’ICS et de GTB se trouvent malheureusement aujourd’hui dans le cas d’une maison dont la porte est ouverte. Il est donc urgent de la fermer. Pour illustrer ce propos, de nombreux équipements sont encore vulnérables au virus Conficker, quatre ans après son apparition, alors que l’application d’un simple correctif suffit à résoudre le problème !
Des mythes fortement enracinés
11Les mythes et légendes, comme ceux cités dans le guide de l’ANSSI [4], sont de véritables fléaux pour la cyber-sécurité. La liste, non exhaustive, pourrait être complétée par d’autres idées reçues comme « plus c’est cher, meilleur c’est » ou « mon voisin a déployé cette solution donc je l’utilise également ». Arrêtons de penser qu’un pare-feu isolant le monde industriel du monde de gestion est une réponse. L’histoire a montré que l’on pouvait atteindre des systèmes pourtant déconnectés du reste de la planète. De même, arrêtons de penser que le déploiement d’antivirus est la réponse à tous les problèmes. Cela apporte parfois plus des contraintes que de bénéfices, surtout sur des postes « déconnectés [5] », et procure un faux sentiment de sécurité. Le virus Flame, détecté des années après sa mise en service, montre l’efficacité parfois limitée des antivirus. Travailler sur le durcissement des configurations peut être dans certains cas une réponse plus efficace.
Une autre vision de la cyber-sécurité
12Pourquoi aborder la sécurité comme une contrainte, une dépense supplémentaire sans retour sur investissement et non comme un facteur de performance et une source de réduction des coûts ?
13Déployer des solutions de passerelles sécurisées pour échanger des données entre des réseaux déconnectés afin de remplacer les échanges manuels par médias amovibles peut d’une part être plus fiable et sécurisé et d’autre part simplifier le travail des utilisateurs (gain en efficacité).
14Empêcher que n’importe qui puisse modifier un programme automate, contrôler l’intégrité et l’authenticité des applications installées, diminuent les risques de mauvaises manipulations (volontaires ou non). La sécurité apporte de la rigueur, renforce la robustesse des installations et donc la productivité.
15Cloisonner les réseaux, utiliser des logiciels peu liés à d’autres briques de logiciels, réaliser une cartographie des flux sont autant d’actions qui pourront faciliter, par la suite, la gestion de l’obsolescence.
16Gérer des mots de passe et privilèges utilisateurs de manière centralisée et non plus individuellement dans les applications pourra apporter de la simplicité et de l’efficacité.
17Ajouter une puce au badge utilisé pour le contrôle d’accès pour s’authentifier pourrait simplifier certaines procédures. Tous les employés, y compris les sous-traitants disposent d’un tel badge et pourront bénéficier en même temps d’un accès au système d’information. Cela peut résoudre la question des mots de passe génériques. De plus, les employés rendront simultanément leurs accès physiques et leurs accès aux systèmes d’informations en quittant le site. Si cette solution peut s’avérer pratique, elle peut également constituer un vecteur d’attaque fort dans le cas d’une mauvaise mise en œuvre.
18Ces pistes sont bien évidemment à étudier au cas par cas mais montrent que l’approche cyber-sécurité peut être un vecteur d’efficacité.
Les multiples vecteurs d’attaques et de vulnérabilités
19Les vulnérabilités et vecteurs d’attaques sur les ICS et GTB sont multiples. Les connaître et les identifier est l’étape indispensable pour y faire face. Les détailler tous mériterait un ouvrage complet. Néanmoins quelques questions reviennent régulièrement.
Les réseaux sans fil
20Comment sécuriser les réseaux sans fil (WiFi, GSM, GPRS, etc.) ? L’apparition de protocoles plus fiables (WPA2 pour le WiFi par exemple) laisse à penser que les risques d’attaques sont faibles. Mais, si fiables soient-ils, ces protocoles sont-ils implémentés correctement ? Les équipements sont-ils configurés correctement par les utilisateurs ? Par ailleurs, quel sera leur niveau de sécurité dans quelques années ? Il n’est pas rare de rencontrer aujourd’hui des équipements utilisant des protocoles dont le niveau de sécurité est faible (le protocole WEP pour le WiFi par exemple) parce que les utilisateurs ne se tiennent pas informés de l’état des menaces et des vulnérabilités ou ne prennent pas la peine de mettre à jour les solutions déployées.
La télémaintenance
21Les risques liés à la télémaintenance ne sont pas anodins même si des solutions comme les VPN apportent de la sécurité. Le problème déjà évoqué des mauvaises implémentations et configurations rendra la solution vulnérable. De plus, les mauvaises pratiques (connexions depuis des PC dont le niveau de sécurité est faible, mots de passe enregistrés dans le PC ou sur un papier à proximité, etc.), sont fréquentes. Le vol des identifiants de connexion (mots de passe, cartes à puce, etc.) permettra à un attaquant de se connecter de manière légitime aux installations et de réaliser ce qu’il veut, et pour le coup, de manière sécurisée. Pour maîtriser la télémaintenance, il faut d’une part maîtriser le canal de communication et d’autre part les équipements et utilisateurs « distants », ce qui est bien plus complexe.
Les web services
22L’emploi des Web services dans les composants se généralise. Les contrôleurs, les SCADA, voire les capteurs et actionneurs intelligents, qu’ils soient industriels ou tertiaires, embarquent des serveurs Web. Pratiques à utiliser et standards, peu d’entre eux offrent un niveau de sécurité acceptable. Pourtant, les rendre plus sécurisés n’est pas nécessairement complexe ni plus consommateur en ressources.
Les systèmes accessibles sur Internet
23Les ICS et GTB connectés à Internet avec un niveau de protection trop faible, voire inexistant, sont fréquents. Il s’agit souvent de « petites installations » (gestion du chauffage de bâtiments, distribution d’eau etc.) mais les impacts, en cas d’incident, sont rarement négligeables pour leurs propriétaires. De telles pratiques sont très fortement déconseillées. Des moteurs de recherche, disponibles gratuitement sur Internet, permettent à n’importe qui de localiser ces installations et donc d’y avoir accès.
Les consoles de programmation et de maintenance
24Tout le monde pense aux clés USB comme vecteur de contamination. Mais les consoles de programmation et de maintenance le sont également lorsqu’elles ne sont pas dédiées à une installation donnée et appartiennent à des intervenants extérieurs. Rarement durcis, ces ordinateurs sont connectés à différents réseaux (industriels et bureautiques), chez différents clients puis à Internet. Ils peuvent contenir les codes sources des programmes automates et applications de SCADA de nombreuses installations, constituant ainsi une mine d’informations pour un attaquant. Ces équipements s’avèrent être de véritables menaces s’ils sont mal maîtrisés.
Les équipements piégés
25Enfin, il faut prendre en compte le risque que les équipements et logiciels soient livrés déjà « piégés » sur le site. Ils peuvent être compromis par l’insertion de codes malveillants lors de leur fabrication ou de leur développement chez les équipementiers ou les intégrateurs. Ces codes malveillants sont très difficiles à détecter même lors des tests fonctionnels classiquement réalisés sur site avant la mise en service des installations. Les systèmes d’information des fournisseurs sont, d’une manière générale, critiques et peuvent également constituer une cible pour les attaquants.
Se préparer à subir un incident
26Pour terminer, il est important d’être conscient que, malgré toutes les mesures de protection et de prévention, un incident peut se produire. De même que l’on se prépare à faire face à un accident, un incendie en prévoyant des moyens de secours, en déroulant régulièrement des exercices, il faut aujourd’hui se préparer et s’exercer à faire face à une cyber-attaque. Il en va de la survie des entreprises et organismes. La difficulté est de détecter une attaque. Des virus peuvent sévir pendant des années avant d’être détectés ; un attaquant peut exfiltrer des données des installations et agir pendant des années sans être vu. La détection est donc une activité fondamentale.
Conclusion : une responsabilité individuelle et collective
27L’apport des TIC est indéniable pour les installations d’ICS et de GTB. Revenir en arrière est difficilement envisageable. Mais l’utilisation de ces nouvelles technologies, issues du monde de l’informatique traditionnelle, implique d’accepter les contraintes qui vont avec. Il est vrai qu’elles peuvent être complexes à gérer lorsque cela n’a pas été prévu lors de la conception des installations. Une majorité d’entre elles, construites lorsque la cyber-sécurité était considérée comme un scénario de science-fiction, se trouvent malheureusement dans ce cas de figure. Chacun des acteurs a sa part de responsabilités dans le projet. Les fournisseurs doivent proposer des produits et services adaptés à la hauteur des enjeux de la cyber-sécurité. Les intégrateurs doivent monter en compétences dans ce domaine. Les acheteurs doivent s’assurer qu’il est bien prévu dans les marchés des exigences en matière de cyber-sécurité. Enfin, les utilisateurs doivent, au quotidien, adapter leurs comportements. Exprimer clairement ses attentes dans les cahiers des charges est fondamental. Il est important d’imposer des choix, d’exiger l’utilisation de produits certifiés [6] et de prévoir des clauses concernant par exemple l’audit des fournisseurs. Le guide sur La cyber-sécurité des systèmes industriels publié par l’ANSSI, fournit de plus amples informations et bonnes pratiques afin de vous aider à améliorer la sécurité des installations industrielles et tertiaires.
Bibliographie
Bibliographie
- ANSSI, « Cyber-sécurité des systèmes industriels », www.ssi.gouv.fr/systemesindustriels, 2012.
- ENISA, « Resilience of Networks and Services and Critical Information Infrastructure Protection », http://www.enisa.europa.eu/activities/Resilience-and-CIIP
- US-CERT, « Overview of Cyber- Vulnerabilities », http://www.us-cert.gov/control_systems/csvuls.html
- L. Piètre-Cambacédes, Thèse : « Des relations entre sûreté et sécurité », 2010.
- D. E. Sanger, « Obama Order Sped Up Wave of Cyberattaks against Iran », New York Times, 1er juin 2012.
- Wiliam T. Shaw, « Cybersecurity for SCADA Systems », Pennwell, 2006.
- J. Weiss, « Protecting Industrial Control Systems from Electronic Threats », Momentum Press, 2010.
Notes
-
[1]
Stuxnet : code malveillant qui, d’après le New York Times du 1er juin 2012, serait d’origine étatique et viserait la destruction des centrifugeuses de l’usine de Natanz afin de ralentir le programme d’enrichissement d’uranium iranien.
-
[2]
Cyber-sécurité : état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.
-
[3]
La cyber-sécurité des systèmes industriels : www.ssi.gouv.fr/systemesindustriels
-
[4]
La cyber-sécurité des systèmes industriels : www.ssi.gouv.fr/systemesindustriels
-
[5]
« Déconnecté » signifie que les postes ne sont pas connectés aux réseaux de l’entreprise. Le seul moyen d’échanger des données est alors l’utilisation de médias amovibles.
-
[6]
L’ANSSI propose deux types de certifications, la Certification de Sécurité de Premier Niveau (CSPN) et la certification conforme aux Critères Communs. cf. http://www.ssi.gouv.fr/fr/certification-qualification/