La couverture des risques dans la durée

Le durcissement des équipements

En complément d’une architecture et d’un outillage d’administration sécurisés, il convient d’élever le niveau de sécurité de chaque équipement en appliquant un principe de strict nécessaire. Un guide de durcissement générique peut être créé et adapté à chaque technologie identifiée lors de la cartographie du SI Industriel. Celui-ci permet de remédier à une partie des vulnérabilités présentes au niveau des configurations et des systèmes.

L’utilisation de solutions complémentaires peut également apporter un surplus de sécurité :

• Les antivirus connectés au réseau ou non (impliquant une mise à jour manuelle) vont couvrir les postes industriels contre les virus les plus communs ;
• La mise en place de règles strictes sur les pare feux locaux des machines va empêcher les communications, et donc intrusions, sur les ports inutilisés, et filtrer l’origine des flux en fonction des protocoles utilisés, permettant de mieux détecter des tentatives d’attaques ;
• Des solutions de gestion des comptes administrateurs locaux (par exemple LAPS pour Windows) peuvent enfin permettre de gérer les comptes administrateur natifs des postes de manière centralisée et individualisée.

Il arrive cependant qu’il ne soit plus possible de durcir un équipement du fait de sa vétusté, il faut alors travailler avec le Métier sur la gestion de l’obsolescence des équipements, sur leur éventuel remplacement et en dernier recours sur les capacités à les isoler du reste du SI. Des bloqueurs de configuration pourront également permettre, sur des postes vétustes, de restreindre l’installation et l’utilisation de composants à ceux uniquement nécessaire.

Il est important de rappeler que le SI Industriel souffre de certaines vulnérabilités, mais est avant tout l’outil de production du Métier. Le dialogue avec ces équipes est donc primordial à la compréhension de l’utilisation qu’ils en font afin de résoudre ces vulnérabilités en limitant les conséquences au maximum pour le métier.

Le maintien en conditions de sécurité

Lorsque les équipements atteignent le bon niveau de sécurité, il faut prévoir son maintien dans le temps. Différents scénarios de gestion des correctifs de sécurité ou « patchs » peuvent être définis pour répondre également aux besoins du Métier (disponibilité, intégrité) et synchronisés avec la maintenance industrielle :

1. Intégration dans les processus nominaux d’exploitation (par exemple : les processus de qualification / qualité d’une installation peuvent imposer que les équipements soient à jour). La mise à jour et l’administration des équipements tireront ainsi profit des arrêts industriels d’autant plus si une re-certification est nécessaire.

2. Préparation d’un processus de mise à jour « à chaud » en cas de faille de sécurité critique et d’un processus d’isolation préventive d’une ligne de production le temps que le procédé puisse être interrompu ;
3. Identification des équipements redondants ou périphériques sur lesquels une intervention avec simple information des responsables de sites est possible.

Afin de mettre en place ces process de patch, la cartographie réalisée précédemment doit faire apparaître un inventaire précis des équipements devant inclure :

• L’identification des équipements, leur type, localisation et nombre ;
• Les procédés industriels pour lesquels ils sont utilisés et la criticité associée ;
• Le système d’exploitation/lefirmware, les outils et la configuration ainsi que la mention des versions déployées ;
• Les besoins en termes de cybersécurité au regard des procédés supports ;
• La disponibilité de redondance, de mise en tampon des données et de cold spare ;
• La fréquence de patch requise et l’historique de patch.

Le maintien du niveau de sécurité ne se base pas uniquement sur l’application de correctifs de sécurité sur les équipements. Il convient également de :

• Définir le processus de mise à jour des solutions de sécurité installées sur les équipements coupés du réseau ;
• Installer des solutions de nettoyage de média amovibles qui restent très présents sur les sites industriels – certains produits ont l’avantage d’être portables et donc d’analyser le média pendant le déplacement à l’intérieur du site industriel ;
• Assurer la sauvegarde des configurations des équipements et leurs intégrations au DRP afin de garantir une remise en route post-incident qui réponde aux besoins de disponibilité ;
• Mettre en place un suivi de l’IAM[1] Industriel afin d’avoir un contrôle d’accès physique et logique robuste. Cette action permettra aussi d’automatiser de nombreuses actions fastidieuses de revue de comptes parfois encore faites à la main.

La détection des incidents de cyber sécurité

Les mesures citées précédemment permettent de réduire la probabilité d’occurrence des risques et donc d’augmenter la disponibilité des équipements pour le Métier. Il faut néanmoins se préparer au pire et avoir les outils nécessaires à la détection d’un incident pour le remédier au plus vite et garantir un temps d’interruption réduit au maximum.

La mise en place de la détection

La première étape à réaliser est l’activation des fonctions IDPS[2] sur les équipements réseaux afin d’assurer un premier stade de détection et potentiellement de blocage automatique.

Il s’agit ensuite d’assurer la collecte d’informations en déployant un concentrateur sur site. Les logs des équipement réseaux et serveurs pourront ainsi être envoyés aux SIEM[3] existants ou dédiés dans lesquels se feront corrélation et détection. Les SOC[4] et CERT[5] peuvent alors réaliser les opérations d’analyse, de détection et éventuellement de réaction sur incident en se basant sur des scénarios classiques.

L’anticipation de risques spécifiques

Cependant, la détection basée sur des scénarios classiques n’apportera que peu de valeur aux métiers. La prise en compte de l’ensemble des sources (PC, Linux, UNIX…) et la mise en place de sondes dédiées aux SI Industriels capables de s’interfacer avec des systèmes SCADA peut permettre d’améliorer le système de détection. Toutefois, ces solutions peuvent s’avérer coûteuses.

L’élément clé consistera ici à assurer une montée en maturité et en valeur incrémentale et rapide du SOC.

Se préparer à la remédiation

Pour finir, la détection d’un incident ne pourra aboutir à une remédiation efficace que si le Métier est inclus. Tout comme pour les mises à jour d’équipements, il convient donc de revoir les procédures d’arrêt d’urgence avec les utilisateurs du SI Industriel. La formalisation d’un Plan de Réponse à Incident permet de planifier les actions à mener en cas d’incident cyber-industriel.

Des exercices de gestion de crise dédiés au SI Industriel doivent également être menés pour assurer une préparation optimale des équipes et mettre en lumière les éventuels manques.

Une approche progressive et participative garantira le succès de la démarche

La mise en conditions de sécurité d’un SI Industriel est un chantier complexe qui ne peut être faite qu’avec le Métier. Il convient donc de travailler avec lui de manière progressive et participative sur chacun des chantiers suivants :

• Prendre connaissance de son SI Industriel en réalisant une cartographie en priorisant les éléments les plus critiques ;
• Mitiger les risques sur le SI Industriel en mettant en place l’état de l’art de l’architecture réseau sécurisée et définir les processus d’administration – les SI de Sûreté, par leur criticité, devront faire l’objet d’une attention particulière ;
• Atteindre un niveau de sécurité adéquat par le durcissement et le maintien en conditions de sécurité des équipements dans le temps – des discussions pourront notamment avoir lieu avec les fournisseurs et constructeurs d’équipements ;
• Mettre en place les outils nécessaires à la détection d’incident de sécurité, qui peuvent avoir une influence sur la production, et définir les processus de réaction.

Toutes ces actions ne peuvent pas toujours être menées en parallèle. La définition d’une feuille de route claire va permettre la priorisation des différentes actions pour pouvoir maitriser les coûts et maximiser l’apport pour le Métier.

Si ce vaste chantier est souvent initialisé en central, l’enjeu reste de pouvoir embarquer les sites, parfois répartis dans le monde entier, pour assurer une sécurité pérenne dans le temps. Nous observons, en général, une démarche en deux temps :

1. Un programme cybersécurité pluriannuel (souvent 3 ans) pour un budget de 10 à 15 millions d’euros visant à :

• Réaliser l’inventaire des SI Industriels ;
• Élever le niveau de sécurité du parc existant par la mise en place de protections souvent périmétriques et de filtrage ainsi que la remédiation des vulnérabilités les plus critiques – la définition de procédures est ici nécessaire ;
• Faire émerger un premier réseau de coordinateurs cybersécurité locaux ;

2. La création d’une filière cybersécurité industrielle et de la gouvernance associée réunissant :

• Le cadrage des activités clés à piloter par les acteurs locaux ;
• La construction participative d’outils pour aider ce réseau de responsable locaux à opérer les activités de cybersécurité sur le contenu ;
• La construction des moyens de pilotage de la montée en maturité et de gestion du changement (matrices de maturité, outils de modélisation budgétaire par site, définition d’indicateurs de pilotage, services centraux consommables par les sites…).

La mise en place de la gouvernance peut démarrer après le programme et tirer ainsi profit du premier réseau de correspondants sensibilisés à la cybersécurité bâti par le programme.

Une fois construite, il s’agit ensuite de l’animer et de piloter la progression des sites et des systèmes industriels à la fois en termes de niveau de sécurité et de niveau de maturité.

Cette animation réunit en général :

• Un réseau responsables cybersécurité locaux de 0,5 à 2 ETP[6] par site en charge de réaliser les projets, d’implémenter les activités récurrentes de cybersécurité, d’améliorer continuellement la sécurité et de reporter ;
• Une équipe centrale de 3 à 10 ETP pilotant globalement et appuyant les responsables locaux notamment en termes d’expertise.

[1] IAM i.e. Identity and Access Management.

[2] IDPS i.e. Introduction Detection and Prevention Systems.

[3] SIEM i.e. Security Incident and Event Management.

[4] SOC i.e. Security Operation Center.

[5] CERT i.e. Computer Emergency Response Team.

[6] Ces chiffres peuvent varier significativement en fonction de la taille de l’entreprise et du nombre de sites locaux, il s’agit d’une moyenne observée dans de grandes organisations internationales que Wavestone accompagne.

Cet article Saga (3/3) – Retours d’expérience et bonnes pratiques pour protéger et maintenir en condition de sécurité des SI Industriels est apparu en premier sur RiskInsight.

L’administration, point névralgique de l’architecture réseau

L’administration d’un SI est essentielle pour garantir sa disponibilité et sa sécurité. Dans un programme de sécurisation d’un SI, il convient de prendre en compte les objectifs que l’on souhaite atteindre afin d’obtenir le modèle le plus adapté. Dans notre cas, les bonnes pratiques que nous observons sur le terrain consistent à :

• Créer un réseau d’administration isolé du réseau de production et étendu à la fois en central et localement pour protéger les flux d’administration afin d’éviter des pertes d’intégrité sur des flux de pilotage d’opérations sensibles ;
• Protéger les équipements d’administration pour éviter une prise de contrôle directe de ces éléments critiques par un attaquant ;
• Homogénéiser au maximum les pratiques et standardiser les équipements afin de faciliter les déploiements d’une architecture d’administration sécurisée voire centralisée, et le maintien dans le temps du niveau de sécurité – cela pouvant se faire en mutualisant les ressources dans une équipe centrale et dédiée.

Attention, nous ne traitons ici que l’administration de l’infrastructure des SI Industriels. L’administration des automates, par exemple, est faite par le métier pour ce qui est de la configuration et passera par le poste de configuration et de maintenance dédié, en cas de besoin de mise à jour.

La première étape consiste à créer la structure du réseau d’administration isolé et étendu. Cet objectif peut être atteint au travers des mesures suivantes :

• Dans une optique d’optimisation et de mutualisation des ressources, le réseau d’administration est construit autour d’un ou plusieurs datacenters, notamment pour assurer le DRP[1].
• Afin de réduire le risque de propagation par rebond depuis un site infecté, le réseau WAN[2] mis en place entre le datacenter et les sites industriels peut être configuré en hub and spoke[3] pour assurer une isolation entre chaque site.
• Pour pouvoir garantir l’intégrité et la confidentialité des flux d’administration, ceux-ci doivent être isolés au sein d’une VRF[4] spécifique ou d’un réseau VPN[5] d’administration entre le datacenter et chaque site. La mise en place de ce réseau dédié à l’administration se fait notamment par l’utilisation d’équipements télécom, de sécurité et d’interfaces dédiées sur les serveurs.
• Pour les sites les plus importants, le risque d’intrusion depuis le LAN utilisateur peut être réduit par la mise en place d’un LAN[6] d’administration accessible uniquement depuis le LAN d’administration du datacenter. Une telle architecture doit cependant prévoir une solution de résilience dans le cas où le WAN venait à être coupé pour permettre aux sites d’y accéder directement mais aussi pour les équipements qui ne sont tout simplement pas maintenables à distance.
• Les entreprises ayant de nombreux sites peuvent également utiliser un boitier standardisé embarquant toutes les fonctions de sécurité nécessaires à l’interconnexion d’un site. Cela facilite en effet la configuration et le maintien en conditions de sécurité.

Figure 1 – Schéma d’interconnexion d’un site standard ou avec SCADA

La deuxième étape consiste à brancher les équipements d’administration et les équipements à administrer sur ce réseau en les protégeant d’une compromission.

Figure 2 – Schéma d’interconnexion d’un site autonome

Il arrive également d’avoir une partie du SI complétement déconnectée pour des raisons diverses. Ce SI étant déconnecté, il ne présente pas de risque SSI mais uniquement un risque métier. Son état déconnecté abaisse cependant son niveau d’exposition et donc le risque d’intrusion. Il est donc opportun de réaliser une analyse de risques pour décider de la façon de procéder. Les moyens seront alors adaptés en allant d’une simple procédure d’administration locale jusqu’à la mise en place d’une infrastructure d’administration dédiée, celle-ci pouvant se révéler coûteuse.

Ces différentes briques réseau permettent ainsi aux administrateurs centraux d’accéder aux équipements. Il faut cependant leur donner accès aux outils nécessaires.

L’outillage des administrateurs, comment prévoir leurs besoins en garantissant la sécurité

La gestion des SI de Gestion et Industriel étant généralement distincte, l’outillage mis en œuvre est dédié, bien qu’il puisse s’appuyer sur des produits identiques. La mise en place de cet outillage va permettre de répondre à plusieurs objectifs :

• Assurer le contrôle d’accès sur les interfaces d’administration pour réduire la probabilité d’obtention de capacités d’attaque et d’utilisation frauduleuse des outils ;
• Tracer les actions des administrateurs pour réduire les impacts potentiels d’une attaque en se créant des moyens de détection et réaction et en assurant la facilité d’investigation à posteriori.

Cela se traduit par la mise en œuvre d’une chaîne d’administration.

Figure 3 – Schéma de principe de la chaîne d’administration

Afin de centraliser les accès et de maintenir un contrôle fin sur les autorisations, un bastion d’administration doit être mis en place. Les comptes génériques sont joués par le bastion et protégés dans son coffre-fort numérique. Le bastion assure également la traçabilité des actions et diminue le risque de vol de comptes à privilèges génériques. Le bastion peut également sécuriser les flux d’administration en réalisant de la translation de protocole (Telnet[8] vers SSH[9] par exemple).

Pour les équipements ayant un niveau de maturité sécurité suffisant (gestion fine des droits, traçabilité, comptes nominatifs), il peut être envisagé d’assurer leur administration directement, sans passer par un bastion (cela peut notamment être le cas pour des équipements télécom).

La mise en place d’un poste d’administration dédié, où seront installés les outils nécessaires au Métier, nécessite la mise en place d’un processus d’installation de ces outils afin de maintenir le niveau de sécurité de ce poste mais aussi de connaître la liste des outils déployés sur le SI.

La prise en compte des mainteneurs externes

Enfin, il est primordial de sécuriser l’accès des tiers mainteneurs afin de limiter les risques provenant d’accès abusifs ou non cadrés (infection du SI après installation d’un outil non validé, perte de donnée liée à un tiers malicieux, indisponibilité des équipements, …).

La mise en œuvre d’un point d’accès externe avec une authentification forte est nécessaire afin de garantir l’identité des utilisateurs. Ce point d’accès permet aux mainteneurs d’accéder à un poste de rebond maîtrisé et durci par le client tout en assurant la traçabilité des actions. Sur ce point, les clients les plus avancés mettent en œuvre des solutions permettant de ne donner accès au SI que durant la durée de l’intervention et cela uniquement après validation interne.

Les postes de configuration et de maintenance, dédiés au site et aux automates, doivent quant à eux faire l’objet d’un suivi particulier pour être mis à jour et rester en conditions de sécurité, notamment pour ce qui est des outils déployés.

Pour aller plus loin, on peut s’intéresser au Groupe de Travail de l’ANSSI[12] sur la Cybersécurité des Systèmes Industriels et à son référentiel PIMSEC[13] qui recommande un certain nombre d’exigences de sécurité à appliquer contractuellement à ses prestataires intervenants sur le SI Industriel.

Nous avons à présent une connaissance de nos équipements et des solutions pour les sécuriser et les administrer. Cependant, les enjeux de cybersécurité évoluent dans le temps, il est donc primordial de garantir un niveau de sécurité dans le temps et de déployer des moyens de détection adéquats. Comment ? Ce sera le sujet de notre prochaine article !

[1] Disaster Recovery Plan i.e. Plan de Reprise d’Activité.

[2] WAN i.e. Wide Area Network.

[3] Réseau Hub and Spoke i.e. Réseau en étoile autour du data center.

[4] Virtual Routing and Forwarding i.e. un plan de routage virtuel.

[5] VPN i.e. Virtual Private Network.

[6] LAN i.e. Local Area Network.

[7] VLAN i.e. Virtual Local Area Network, ou Virtual LAN

[8] Telnet i.e. Terminal Network, Telecommunication Network ou encore Teletype Network

[9] SSH i.e. Secure Shell

[10] RDP i.e. Remote Desktop Protocol

[11] Loi de Programmation Militaire servant à identifier et sécuriser les organisations et les SI d’Importance vitale.

[12] ANSSI i.e. Agence Nationale de la Sécurité des Systèmes d’Information.

[13] PMSEC i.e. Référentiel d’exigences de sécurité pour les prestataires d’intégration et de maintenance de Systèmes Industriels.

Cet article Saga (2/3) – Retours d’expérience et bonnes pratiques pour protéger et maintenir en condition de sécurité des SI industriels est apparu en premier sur RiskInsight.

L’ouverture au SI de Gestion, une nécessité mais un vecteur de risques  

Historiquement, le SI Industriel n’était pas interconnecté avec le SI de Gestion, par absence de besoin ou par recherche d’une limitation de son exposition. L’essentiel des actions se faisait localement, directement sur les équipements ou à distance avec des moyens spécifiques, avec une gouvernance et des opérations souvent elles-mêmes locales.   

L’évolution des besoins Métier et l’optimisation des procédés de production ont fait émerger de nouveaux enjeux moins locaux (supervision à distance, télémaintenance, émergence de l’IoT, standardisation et rationalisation des technologies et des compétences, cyber menaces, etc.) dans le but d’accroitre la performance et le confort des opérations. Ces enjeux ont amené un besoin de numérisation et d’interconnexion entre les SI Industriels et les SI de Gestion.  

Bien que nécessaires au bon fonctionnement des Métiers, nos échanges avec les opérationnels montrent bien que ces interconnexions ont eu pour conséquence de générer des risques d’intrusion et de propagation entre ces systèmes d’informations :  

• Sur les opérations et la qualité avec de potentiels arrêts ou altérations de lignes de production entraînant des impacts financiers, d’image voire humains ;  

• Sur la sécurité des installations en cas de compromission grave d’outils de production pouvant avoir des impacts sur l’humain ou l’environnement.  

La mitigation de ces risques d’intrusion et de propagation et de leur conséquence nécessite de mettre en place des activités et mesures de sécurité en différentes étapes :  

• La cartographie du SI Industriel ;  
• La mise en place d’une architecture réseau sécurisée ; 
• Le durcissement puis le maintien en conditions de sécurité des différents systèmes ;  
• Enfin, la mise en place de moyens de détection d’incident et de réaction.  

Les autorités se sont par ailleurs penchées sur le sujet et imposent ces mesures, et d’autres encore, sur les périmètres les plus sensibles.  

Des interventions parfois distantes et potentiellement fréquentes (patch management, revue de compte, contrôle d’intégrité etc.), d’équipes plus éloignées des opérations, peuvent alors être nécessaires et se heurter à un modèle opérationnel historique pensé pour privilégier la continuité et l’intégrité des opérations, la qualité, l’hygiène et la sûreté, tout en minimisant les disruptions.  

Comment mettre en place ces mesures sans pour autant perdre de vue la finalité du SI Industriel : faire fonctionner un procédé physique de façon nominale ?  

La cartographie, un prérequis au traitement des risques de cybersécurité sur les SI Industriels  

Afin d’évaluer les risques et maîtriser les impacts potentiels des mesures, la première action à mener et de construire une cartographie SI des installations Industrielles permettant :  

• De connaître les systèmes à administrer et à maintenir à jour ;  
• D’identifier les utilisateurs Métier et donc les interlocuteurs à impliquer lorsqu’un changement est nécessaire, pour en maîtriser les impacts opérationnels ;  
• D’évaluer les impacts potentiels de nouvelles vulnérabilités et failles de sécurité en matière de sûreté, d’opérations et de qualité.  

Une fois que le processus de cartographie est lancé, il faut également formaliser la procédure de mise à jour de cette même cartographie en définissant une fréquence de mise à jour par degré de criticité puis s’atteler au traitement des risques.   

Ce chantier conséquent va donc requérir un dialogue et une collaboration étroite avec les automaticiens et les membres de l’ingénierie 

La mitigation des risques sur le SI INDUSTRIEL par la mise en place d’une architecture de sécurité  

La sécurité n’étant pas un sujet nouveau, il parait donc logique de vouloir suivre les principes d’architecture et de sécurité des SI de Gestion pour les SI Industriels tout en les adaptant à leurs spécificités : 

• Réduire les risques de propagation et d’intrusion en assurant un cloisonnement du SI Industriel et en restreignant les accès ;  
• Sécuriser l’administration du SI en mettant en place une architecture d’administration dédiée ; 
• Equiper les administrateurs avec les outils adéquats pour intervenir sur l’ensemble du parc Industriel ;  
• Intégrer dès le départ, lorsque cela est possible, l’intervention des mainteneurs externes. 

Ces quatre principes sont les pierres angulaires de la sécurisation de l’architecture d’un SI Industriel.  

Le cloisonnement, le début de la réduction de l’exposition  

Les SI de Gestion et Industriels n’ont, par essence, pas les mêmes buts : l’un sert à faire fonctionner une entreprise (messagerie, gestion, outils collaboratifs…) tandis que l’autre sert à opérer des procédés physiques. Théoriquement, ils devraient être cloisonnés et seuls certains flux autorisés mais le retour terrain montre que c’est rarement le cas.  

Comme dans toute démarche de sécurisation d’un SI, il convient d’adopter le principe de strict nécessaire afin de limiter l’exposition aux cybermenaces. Les interconnexions entre la Gestion et l’Industriel ne doivent répondre qu’à des besoins spécifiques comme par exemple :  

• L’envoi des ordres de productions aux SCADA[1] ;  
• Le transfert des fichiers de FAO[2] aux machines à commandes numériques ;  
• La remontée des données de productions pour garantir un pilotage des opérations. 

Le SI Industriel se doit également d’être cloisonné en son sein afin de réduire le risque de propagation. Pour ce faire, nous pouvons suivre le principe de zones et conduits tel que décrit dans la norme IEC 62443.   

En pratique, nous pouvons effectuer ce cloisonnement en plusieurs étapes : 

• Lister les fonctions Métier avec différents niveaux de sûreté ;  
• Rassembler les fonctions de même niveau de forme de zones (avec potentiellement une zone « legacy » et ses sous-zones) ;  
• Mettre en place les règles de sécurité par zone en fonction de leurs besoins tels que décrits dans la norme IEC 62443 ;  
• Vérifier que les interconnexions (conduits) entres les différentes zones respectent les règles de sécurité ;  
• Migrer les applications – la mise en conformité des applications peut être longue et difficile et il peut ici être opportun de procéder par analyse de risques pour prioriser et piloter, et de lister les non-conformités et les plans de remédiations associés. De même la migration elle-même peut être complexe pour s’assurer de ne pas impacter les opérations.  

La particularité des SI de sureté   

Les SI de sûreté sont les SI Industriels permettant de mettre en condition de sûreté les systèmes Industriels de production. Ils ont longtemps été mécaniques, puis pneumatiques, électriques avant d’être numérisés.  On comprend donc l’importance d’en assurer spécifiquement l’intégrité. Un dernier chantier de cloisonnement peut donc être envisagé pour le permettre. Cependant, on se rend bien souvent compte sur le terrain que l’existant peut être un frein et donc rendre ce chantier complexe.   

Lorsqu’elle est réalisée de manière stricte, la séparation permet de réduire les risques de propagation, d’avoir des niveaux de sécurité distincts entre SI de production et SI de sûreté en fonction de leurs niveaux de risques. Elle a cependant l’inconvénient de nécessiter un système SCADA dédié et est donc coûteuse et non ergonomique pour les opérations.   

Figure 1 - Schéma de cloisonnement SI Industriel / SI de Sûreté (SIS)  

Après avoir lancée cette démarche d’identification et de cloisonnement des SI Industriels, il convient de traiter de leur administration. Comment concilier sécurité, gain opérationnel et disponibilité de l’outil de production ? Nous vous en parlerons très prochainement. 

[1] SCADA i.e. Supervisory Control And Data Acquisition system

[2] FAO i.e. Fabrication Assistée par Ordinateur

[3] DMZ i.e. Demilitarized Zone.

Cet article Saga (1/3) – Retours d’expérience et bonnes pratiques pour protéger et maintenir en condition de sécurité des SI industriels est apparu en premier sur RiskInsight.

Face à ce constat, les entreprises se sont rapidement interrogées sur les moyens de protection possibles.  Le marché s’est adapté. Aujourd’hui, deux stratégies se dessinent, entre solutions historiques manuelles et solutions novatrices hybrides (Cloud et/ou on-premise).

Une question se pose toutefois : la mise en œuvre d’une telle solution de protection, certes adaptée aux besoins, suffit-elle pour s’assurer d’une efficacité solide en cas d’attaque avérée ? La réponse est non !

Imaginez, vous avez subi pendant plusieurs jours les effets d’une attaque DDoS, avec des conséquences inacceptables pour le maintien de vos activités. Vous décidez de mettre en place une solution de protection ad hoc. Le projet démarre, vous choisissez une solution, elle est installée et fonctionne. Vous voilà enfin équipé d’une solution d’une efficacité prometteuse. Avec un simple ordre de bascule à donner à votre équipe de production ou à un fournisseur, la solution sera mise en route. Vous êtes confiant.

Activation, surveillance, désactivation : les 3 piliers d’une stratégie de protection anti DDoS

Pour autant, vous pourriez avoir oublié de répondre à un certain nombre de questions clés.

Sur quels critères de détection et à quels seuils serez-vous en mesure de passer l’ordre d’activation de la solution ? Serez-vous assez réactif pour qu’il ne soit pas trop tard vis-à-vis des impacts business ? L’échelle du temps DDoS est proche du ¼ d’heure… Une fois la solution activée, quelles seront les premières actions à entreprendre ? Avez-vous identifié ou contrôlerez-vous les effets de bord qu’elles pourront engendrer sur votre environnement de production ? Faudra-il communiquer aux clients, au réseau commercial ? Durant l’attaque, êtes-vous certain d’être apte à communiquer efficacement avec votre prestataire en charge de la solution ? Pourrez-vous aisément constater l’efficacité de ses services ? Connait-il votre contexte, votre infrastructure ? Est-il à jour des derniers changements pour éviter une protection partielle ? Par analogie avec l’ordre d’activation, saurez-vous quand et comment décider du retour à la normale ? Enfin, avez-vous suffisamment de visibilité pour déterminer si l’attaque continue ou non en amont des barrières défensives ?

Les retours d’expérience montrent que la mise en place d’une solution protectrice seule, sans réponse à l’ensemble de ces questions, ne suffit pas.

Aussi ne faut-il pas se cantonner à la simple souscription d’un service de protection : des moyens et des processus de détection, d’activation, de communication, d’arbitrage et retour à la normale devront être élaborés et régulièrement expérimentés. Les actions majeures devront être rigoureusement formalisées : le déclenchement de la solution de protection et le retour à la normale (qui décide, qui réalise, sur quelles informations, avec quelle réactivité…). Par ailleurs, le volet surveillance et gestion de crise pendant l’attaque ne doit pas être négligé (quels moyens pour vérifier que l’attaque a toujours lieu, avec quel effet, quels seuils/indicateurs pour déclencher les escalades).

Tests et exercices : les garant de la bonne gestion d’une attaque DDoS

Au-delà de la formalisation, trois types de tests s’avèrent indispensables.

Les plus simples sont les tests de « bascule à vide » : sans contrainte de temps particulière, il s’agit de mettre en action les différents modes opératoires liés à l’activation, au maintien ou à la désactivation de la solution de protection. Au-delà de permettre la formation des équipes concernées, ces tests permettent de juger la qualité des procédures techniques ; ils permettront également leur amélioration continue afin d’assurer au mieux leur efficacité en cas d’attaque.

Des tests de « bascule en conditions réelles » sont ensuite requis : à l’opposé de la « bascule à vide », une attaque simulée sera ici commanditée auprès d’un organisme tiers afin que les équipes techniques puissent s’exercer en conditions réelles. Les mêmes modes opératoires techniques seront mis à l’épreuve, dans un objectif cependant différent : le respect des échéances théoriques.

Des exercices de « gestion de crise » sont également à prévoir. Complémentaires des deux premières séries ci-dessus, il s’agit là de se focaliser sur l’expérimentation de la gestion de crise et non sur les aspects techniques. Ces tests permettront de juger la qualité de la gestion en répondant notamment aux bonnes questions en dehors de la sphère technique et en intégrant la communication, le juridique ou encore la relation clients. Chaque tâche trouve-t-elle rapidement son porteur ? L’ordonnancement prévu est-il respecté ? Les moyens nécessaires sont-ils accessibles (matériels, salles, interlocuteurs, etc.) ? Les rôles prédéfinis de chacun sont-ils connus de tous et à l’avance ? La remontée des informations au Responsable de crise est-elle correctement réalisée ?

Les solutions techniques ne peuvent suffire à gérer toutes les composantes d’une attaque DDos. Nécessaire et complémentaire, la mise en place d’une organisation interne apte à gérer l’attaque et la crise doit être considérée par les entreprises pour se protéger correctement et efficacement.

Cet article Lutte anti-DDoS : la technique ne suffit pas, organisons-nous ! est apparu en premier sur RiskInsight.

Il est aujourd’hui nécessaire d’allier des mesures à la fois techniques et organisationnelles permettant de répondre à deux enjeux cruciaux : la détection (avant l’attaque) et la réaction (après l’attaque).

Un choix technologique et stratégique

Les mesures techniques visent à mettre en place une protection physique par le biais d’équipements de sécurité, pouvant s’opérer à deux niveaux : en amont du SI (au niveau des réseaux de l’opérateur) et directement en frontal (sur le site à protéger).

Plusieurs stratégies sont alors possibles :

• Une protection exclusivement manuelle : il s’agit de la mise en place de filtrages spécifiques par l’opérateur et de la configuration d’équipements de sécurité du SI. Cette stratégie à faible coût, pouvant être qualifiée de « protection par défaut », est aujourd’hui la plus communément utilisée.
• Un « boîtier anti-DDoS » en frontal : proche du SI, ce boîtier sert de « bouclier » et permet une protection immédiate, avec réinjection du trafic légitime. Il nécessite en revanche une expertise interne conséquente etpeut ainsi entraîner d’importants coûts récurrents, en plus des coûts liés à l’investissement . De plus, sans protection en amont du SI, le niveau de protection offert par le boîtier face aux attaques volumétriques est limité à la capacité du lien réseau qui le précède. Utilisé seul, un tel boîtier montre rapidement ses limites.

• Une protection Cloud, en amont : située dans le Cloud ou le réseau opérateur, cette protection permet de bénéficier d’un service et d’une expertise externalisés. Grâce à ses mécanismes de redirection ponctuelle ou permanente, de nettoyage du trafic et de réinjection, elle permet la gestion d’attaques à forte volumétrie. Cette solution entraîne en revanche des coûts élevés et ne permet pas de se protéger contre l’ensemble des différents types d’attaques.

• Une stratégie hybride : il s’agit ici d’allier deux des trois premières stratégies, à savoir une protection distante dite « Cloud » et un boîtier physique, en frontal du SI. Malgré un coût logiquement le plus élevé, les avantages viennent s’additionner et permettent de faire face à l’évolution de la menace. Les attaques à la fois volumétriques et par saturation de table d’état, aux niveaux réseau ou applicatif peuvent ici être maîtrisées et la continuité du service est assurée.

Ce choix de stratégie reste complexe et diffèrera évidemment d’une entreprise à l’autre en fonction des besoins en matière de sécurité. Il dépendra en effet de son niveau d’exposition à la menace et de la gravité des impacts en cas d’attaque.

Des réponses également organisationnelles

Au-delà de la protection physique, il est important d’acquérir un certain nombre de bonnes pratiques permettant une gestion de crise optimale en cas d’attaque.

Ces mesures organisationnelles peuvent être classées en trois étapes chronologiques :

Bien qu’elles soient aujourd’hui démocratisées, inévitables pour la plupart et parfois ravageuses, les attaques par déni de service distribué engendrent des impacts pouvant être relativement maîtrisés, pourvu que la question de la protection ait été traitée à temps par l’entreprise.

Malheureusement, force est de constater que peu d’entreprises ont aujourd’hui procédé à l’acquisition d’une protection adaptée à la menace cybercriminelle actuelle.

L’actualité forte dans ce domaine les sensibilise néanmoins et sera sans doute un catalyseur de la mise en place de ces mesures

Cet article DDoS, quelle stratégie de protection ? est apparu en premier sur RiskInsight.

Un apport des DLP complémentaire à la lutte contre l’intrusion et au contrôle d’accès

Une fuite d’information peut provenir de trois sources différentes. L’attaquant externe est souvent celui qui vient à l’esprit en premier. Cependant, l’expérience montre que ce sont les utilisateurs internes, autorisés ou non, qui font fuir le plus d’information.

Suivant la position de celui qui fait fuir l’information, trois grandes étapes peuvent être enchaînées : intrusion, accès à l’information, diffusion de l’information – dont la nécessité dépend des accès initiaux de l’acteur à l’origine de la fuite d’information. À chacune de ces étapes, des solutions de sécurité permettant de réduire le risque existent.

Il convient d’agir à toutes les étapes d’une fuite d’information en s’appuyant sur des mesures allant de la sécurité physique aux solutions de Digital Right Management (DRM), en passant par le chiffrement de flux, le cloisonnement, ou encore la gestion des accès et des habilitations…

Si de telles mesures sont déjà mises en œuvre, les outils de DLP permettent alors essentiellement de se prémunir contre des erreurs ou malveillances d’utilisateurs ayant un accès légitime à l’information. En ce sens, ils permettent d’apporter une protection au plus proche de la donnée.

Des solutions fonctionnellement matures

Les mécanismes de contrôle des DLP sont mis en œuvre à travers des règles ou politiques centralisées permettant d’analyser les traitements faits sur la donnée quelle que soit sa nature ou son support.

Grâce à des agents déployés sur le réseau et/ou sur les postes de travail, le DLP va pouvoir empêcher la copie d’un fichier sur un périphérique externe, l’envoi d’un document sensible par email, l’impression d’un document ou encore la publication d’une information confidentielle sur les réseaux sociaux.

Après analyse et filtrage des données par la solution DLP, différentes mesures de prévention peuvent être prises, avec un impact plus ou moins élevé pour l’utilisateur : alertes, demande de justification, blocage…

Enfin, il convient de noter que les acteurs du marché mettent de plus en plus l’accent sur le contexte d’utilisation de la donnée. Certains éditeurs proposent ainsi des fonctionnalités de gouvernance au sein de leur solution de DLP permettant par exemple de savoir exactement où se trouvent les données sensibles et qui y a accès.

Le marché des DLP est donc de plus en plus mature : la couverture fonctionnelle proposée est élevée et évolutive, la gestion de l’impact sur les collaborateurs de plus en plus souple. Néanmoins, les retours d’expérience restent limités par rapport à ce que l’on pourrait attendre.

La raison de ce paradoxe vient du fait que les métiers sont trop souvent insuffisamment impliqués dans les projets de DLP, alors même que ces projets n’ont que peu de chance d’aboutir sans eux, en particulier vu le volet RH nécessairement associé.

Adopter une approche par les résultats pour mobiliser les métiers

Il est illusoire de vouloir protéger toutes ses données dans tous les cas d’usage imaginables. Une approche purement technique visant un périmètre exhaustif n’a que peu de chance de convaincre, particulièrement dans la conjoncture économique actuelle.

Une approche par les résultats mêlant ciblage précis, démarche outillée, accompagnement et visibilité est donc à favoriser dès la sélection de la solution. Une fois les objectifs atteints sur un périmètre prioritaire, on peut envisager de l’élargir.

La première étape, primordiale, est donc la définition du périmètre prioritaire de données à protéger et des cas d’usage fonctionnels à traiter. Identifier les dix données les plus critiques, s’appuyer sur des situations fonctionnelles avérées, commencer par un nombre limités de supports pour réduire les aléas techniques sont autant de facteurs clés de succès.

La définition des processus de surveillance (politiques d’interaction avec les utilisateurs, processus en cas d’alerte…) ne doit également pas être négligée. Sur ce volet, et dès le début du projet, il est important de mobiliser les fonctions RH de l’entreprise pour valider le mode de mise en œuvre de la démarche DLP (alerte, blocage, journalisation…), construire les processus de gouvernance associés et au final envisager un passage devant les instances représentatives du personnel.

Lorsque le cadrage global du périmètre fonctionnel est effectivement achevé, la phase de sélection de la solution peut être entamée. Une démarche outillée impliquant la réalisation d’une maquette est indispensable pour s’assurer de l’adéquation de la solution aux cas d’usages fonctionnels identifiés et évaluer les résultats envisageables.

En cas de résultats satisfaisants, un déploiement progressif est à envisager avec un leitmotiv : la sensibilisation des utilisateurs.

Enfin, en mode récurrent, l’intégration à un SOC (Security Operation Center) peut permettre de bénéficier de la maturité de la gestion opérationnelle de la sécurité pour optimiser la surveillance d’une part et l’accompagnement et la visibilité fournis aux métiers d’autre part.

Cet article Le paradoxe des projets de Data Leak Prevention (DLP) : une problématique clé, des solutions matures… mais une mise en œuvre qui fait encore peur est apparu en premier sur RiskInsight.