Opening things up to corporate ISS is now a necessity… but it also carries risks

Historically, industrial ISs were not connected to corporate ISs, either because there was no need or as a way of limiting the risk of exposure. The majority of interventions were local, with work taking place directly on equipment, or remotely, using specific methods. The management of this work and the operations themselves were mostly local too.

Business functions’ changing needs and the optimization of production processes have brought with them new and less localized requirements (such as remote supervision, remote maintenance, the emergence of the IoT1, the standardization and rationalization of technologies and skills, cyber threats, etc.), which are designed to improve performance and facilitate operations. These challenges have led to a need to digitalize and interconnect industrial and corporate ISs.

Although this is now essential for a company’s business functions to operate effectively, our discussions with operational staff highlight the fact that such changes have also led to risks of intrusion and the propagation of threats between these interconnected ISs. These affect:

• Operations and quality – with potential shutdowns and modifications to production lines resulting in financial, reputational, and even people impacts;
• The security of facilities, where production equipment being seriously compromised can have impacts on both people and the environment.

Mitigating these intrusion and propagation risks and their consequences means implementing security measures in several different stages:

• Industrial IS mapping;
• Putting in place secure network architecture;
• The hardening and security maintenance of the various systems over time;
• And, lastly, putting in place the measures to detect incidents and respond to them.

Regulatory authorities have also been considering these risks. For the most sensitive installations, they are now mandating these types of measures and others too.

Interventions (such as patch management, account audits, integrity control, etc.), sometimes done remotely and often frequently, may now need to be carried out by teams more distant from site operations. These quickly come up against a traditional operating model designed to prioritize the continuity and integrity of operations, quality, hygiene and safety – while minimizing disruptions to production.

How can these measures be implemented without losing sight of the industrial IS’s core purpose – to operate a physical process in the way designed?

Mapping, a prerequisite for dealing with cybersecurity risks on industrial ISS

To assess the risks and control the potential impacts of implementing any new measures, the first step is the IS mapping of your industrial installations, which enables you to:

• Know the systems that need to be administered and kept up to date;
• Identify the users (operators, maintainers, etc.), and therefore those who need to be involved when a change takes place, to manage the operational impacts;
• Evaluate the potential impacts of new vulnerabilities and security breaches in terms of safety, operations, and quality.

Once the mapping process is underway, you will also need to develop formal procedures for updating the map. This means defining the update frequency, according to the level of criticality, and then actively managing the risks.

This is a substantial piece of work requiring dialog and close collaboration with automation and other engineers involved with the installation.

Mitigating risks on an industrial IS by putting in place security architecture

Security isn’t a new concept and it makes sense to follow the established principles for corporate IS architecture and security – adapting them to the particularities of industrial ISs:

• Reducing the risks of propagation and intrusion by clearly partitioning the industrial IS and restricting access to it;
• Securing the administration of the IS by putting in place dedicated administration architecture;
• Equipping administrators with appropriate tools that enable them to make interventions across the entirety of the industrial assets;
• Integrating from the start (as far as possible) interventions made by external maintainers.

These four principles form the cornerstones of securing industrial IS architecture.

Partitioning, the first step in reducing exposure

Corporate and industrial ISs have essentially different goals: one is designed to facilitate the operation of a business (by providing messaging, management systems, collaborative tools, etc.), while the other is used to operate physical processes. In theory, these should be separated, and only certain types of information should be allowed to flow between them. However, feedback from the field tells us that this is rarely the case.

As in any work on IS security, the strict necessity principle should be adopted to limit exposure to cyber threats. Any interconnection between an industrial and corporate IS should serve a specific purpose; for example:

• Sending production orders to SCADA[1];
• Transferring CAM[2] files to digitally controlled machines;
• Collecting production data to enable the control of operations.

An industrial IS must also be internally partitioned to reduce the risk of threat propagation. To do this, you can use the principle of zones and conduits described in the IEC 62443 standard.

In practice, this partitioning has to be carried out in several steps:

• The listing of relevant business activities according to their different levels of sensitivity;
• Grouping activities requiring the same security level into zones (with, potentially, a ”legacy” zone and associated sub-zones);
• Putting in place security rules for each zone according to their needs, as described in standard IEC 62443;
• Checking that the interconnections (conduits) between the different zones comply with security rules;
• Migrating the applications. Ensuring applications are compliant can be a long and difficult task, and it’s best to use a risk analysis to prioritize and manage the work, as well as documenting the nonconformities and associated remediation plans. In addition, the migration process itself may be complex, if you are to avoid an impact on operations.

The particularity of safety ISS

Safety ISs are industrial ISs that enable industrial production systems to be put into a safe state. Before the advent of today’s digital systems, such systems had long been used in mechanical, pneumatic, and electrical forms. The particular importance of ensuring their integrity is therefore well understood. A final partitioning step can be considered to achieve this. However, field observations often tell us that existing arrangements act as a brake that complicates the work. When done rigorously, such separation reduces the risks of propagation and enables distinct levels of security to be implemented for the production IS and safety IS according to their risk levels. However, a disadvantage is that doing this requires a dedicated SCADA system, which is both expensive and not operationally friendly.

Diagram of Industrial IS / Safety IS partitioning scheme

After having launched this process of identifying and partitioning industrial IS, it is time to deal with their administration. How to reconcile security, operational gain and availability of the production tool? We will tell you about it very soon.

[1] SCADA i.e. Supervisory Control And Data Acquisition system

[2] CAM i.e. Computer Aided Manufacturing

[3] DMZ i.e. Demilitarized Zone.

Cet article Saga (1/3) – Feedback from the field and good practices for the protection and the security maintenance of industrial ISs est apparu en premier sur RiskInsight.

La couverture des risques dans la durée

Le durcissement des équipements

En complément d’une architecture et d’un outillage d’administration sécurisés, il convient d’élever le niveau de sécurité de chaque équipement en appliquant un principe de strict nécessaire. Un guide de durcissement générique peut être créé et adapté à chaque technologie identifiée lors de la cartographie du SI Industriel. Celui-ci permet de remédier à une partie des vulnérabilités présentes au niveau des configurations et des systèmes.

L’utilisation de solutions complémentaires peut également apporter un surplus de sécurité :

• Les antivirus connectés au réseau ou non (impliquant une mise à jour manuelle) vont couvrir les postes industriels contre les virus les plus communs ;
• La mise en place de règles strictes sur les pare feux locaux des machines va empêcher les communications, et donc intrusions, sur les ports inutilisés, et filtrer l’origine des flux en fonction des protocoles utilisés, permettant de mieux détecter des tentatives d’attaques ;
• Des solutions de gestion des comptes administrateurs locaux (par exemple LAPS pour Windows) peuvent enfin permettre de gérer les comptes administrateur natifs des postes de manière centralisée et individualisée.

Il arrive cependant qu’il ne soit plus possible de durcir un équipement du fait de sa vétusté, il faut alors travailler avec le Métier sur la gestion de l’obsolescence des équipements, sur leur éventuel remplacement et en dernier recours sur les capacités à les isoler du reste du SI. Des bloqueurs de configuration pourront également permettre, sur des postes vétustes, de restreindre l’installation et l’utilisation de composants à ceux uniquement nécessaire.

Il est important de rappeler que le SI Industriel souffre de certaines vulnérabilités, mais est avant tout l’outil de production du Métier. Le dialogue avec ces équipes est donc primordial à la compréhension de l’utilisation qu’ils en font afin de résoudre ces vulnérabilités en limitant les conséquences au maximum pour le métier.

Le maintien en conditions de sécurité

Lorsque les équipements atteignent le bon niveau de sécurité, il faut prévoir son maintien dans le temps. Différents scénarios de gestion des correctifs de sécurité ou « patchs » peuvent être définis pour répondre également aux besoins du Métier (disponibilité, intégrité) et synchronisés avec la maintenance industrielle :

1. Intégration dans les processus nominaux d’exploitation (par exemple : les processus de qualification / qualité d’une installation peuvent imposer que les équipements soient à jour). La mise à jour et l’administration des équipements tireront ainsi profit des arrêts industriels d’autant plus si une re-certification est nécessaire.

2. Préparation d’un processus de mise à jour « à chaud » en cas de faille de sécurité critique et d’un processus d’isolation préventive d’une ligne de production le temps que le procédé puisse être interrompu ;
3. Identification des équipements redondants ou périphériques sur lesquels une intervention avec simple information des responsables de sites est possible.

Afin de mettre en place ces process de patch, la cartographie réalisée précédemment doit faire apparaître un inventaire précis des équipements devant inclure :

• L’identification des équipements, leur type, localisation et nombre ;
• Les procédés industriels pour lesquels ils sont utilisés et la criticité associée ;
• Le système d’exploitation/lefirmware, les outils et la configuration ainsi que la mention des versions déployées ;
• Les besoins en termes de cybersécurité au regard des procédés supports ;
• La disponibilité de redondance, de mise en tampon des données et de cold spare ;
• La fréquence de patch requise et l’historique de patch.

Le maintien du niveau de sécurité ne se base pas uniquement sur l’application de correctifs de sécurité sur les équipements. Il convient également de :

• Définir le processus de mise à jour des solutions de sécurité installées sur les équipements coupés du réseau ;
• Installer des solutions de nettoyage de média amovibles qui restent très présents sur les sites industriels – certains produits ont l’avantage d’être portables et donc d’analyser le média pendant le déplacement à l’intérieur du site industriel ;
• Assurer la sauvegarde des configurations des équipements et leurs intégrations au DRP afin de garantir une remise en route post-incident qui réponde aux besoins de disponibilité ;
• Mettre en place un suivi de l’IAM[1] Industriel afin d’avoir un contrôle d’accès physique et logique robuste. Cette action permettra aussi d’automatiser de nombreuses actions fastidieuses de revue de comptes parfois encore faites à la main.

La détection des incidents de cyber sécurité

Les mesures citées précédemment permettent de réduire la probabilité d’occurrence des risques et donc d’augmenter la disponibilité des équipements pour le Métier. Il faut néanmoins se préparer au pire et avoir les outils nécessaires à la détection d’un incident pour le remédier au plus vite et garantir un temps d’interruption réduit au maximum.

La mise en place de la détection

La première étape à réaliser est l’activation des fonctions IDPS[2] sur les équipements réseaux afin d’assurer un premier stade de détection et potentiellement de blocage automatique.

Il s’agit ensuite d’assurer la collecte d’informations en déployant un concentrateur sur site. Les logs des équipement réseaux et serveurs pourront ainsi être envoyés aux SIEM[3] existants ou dédiés dans lesquels se feront corrélation et détection. Les SOC[4] et CERT[5] peuvent alors réaliser les opérations d’analyse, de détection et éventuellement de réaction sur incident en se basant sur des scénarios classiques.

L’anticipation de risques spécifiques

Cependant, la détection basée sur des scénarios classiques n’apportera que peu de valeur aux métiers. La prise en compte de l’ensemble des sources (PC, Linux, UNIX…) et la mise en place de sondes dédiées aux SI Industriels capables de s’interfacer avec des systèmes SCADA peut permettre d’améliorer le système de détection. Toutefois, ces solutions peuvent s’avérer coûteuses.

L’élément clé consistera ici à assurer une montée en maturité et en valeur incrémentale et rapide du SOC.

Se préparer à la remédiation

Pour finir, la détection d’un incident ne pourra aboutir à une remédiation efficace que si le Métier est inclus. Tout comme pour les mises à jour d’équipements, il convient donc de revoir les procédures d’arrêt d’urgence avec les utilisateurs du SI Industriel. La formalisation d’un Plan de Réponse à Incident permet de planifier les actions à mener en cas d’incident cyber-industriel.

Des exercices de gestion de crise dédiés au SI Industriel doivent également être menés pour assurer une préparation optimale des équipes et mettre en lumière les éventuels manques.

Une approche progressive et participative garantira le succès de la démarche

La mise en conditions de sécurité d’un SI Industriel est un chantier complexe qui ne peut être faite qu’avec le Métier. Il convient donc de travailler avec lui de manière progressive et participative sur chacun des chantiers suivants :

• Prendre connaissance de son SI Industriel en réalisant une cartographie en priorisant les éléments les plus critiques ;
• Mitiger les risques sur le SI Industriel en mettant en place l’état de l’art de l’architecture réseau sécurisée et définir les processus d’administration – les SI de Sûreté, par leur criticité, devront faire l’objet d’une attention particulière ;
• Atteindre un niveau de sécurité adéquat par le durcissement et le maintien en conditions de sécurité des équipements dans le temps – des discussions pourront notamment avoir lieu avec les fournisseurs et constructeurs d’équipements ;
• Mettre en place les outils nécessaires à la détection d’incident de sécurité, qui peuvent avoir une influence sur la production, et définir les processus de réaction.

Toutes ces actions ne peuvent pas toujours être menées en parallèle. La définition d’une feuille de route claire va permettre la priorisation des différentes actions pour pouvoir maitriser les coûts et maximiser l’apport pour le Métier.

Si ce vaste chantier est souvent initialisé en central, l’enjeu reste de pouvoir embarquer les sites, parfois répartis dans le monde entier, pour assurer une sécurité pérenne dans le temps. Nous observons, en général, une démarche en deux temps :

1. Un programme cybersécurité pluriannuel (souvent 3 ans) pour un budget de 10 à 15 millions d’euros visant à :

• Réaliser l’inventaire des SI Industriels ;
• Élever le niveau de sécurité du parc existant par la mise en place de protections souvent périmétriques et de filtrage ainsi que la remédiation des vulnérabilités les plus critiques – la définition de procédures est ici nécessaire ;
• Faire émerger un premier réseau de coordinateurs cybersécurité locaux ;

2. La création d’une filière cybersécurité industrielle et de la gouvernance associée réunissant :

• Le cadrage des activités clés à piloter par les acteurs locaux ;
• La construction participative d’outils pour aider ce réseau de responsable locaux à opérer les activités de cybersécurité sur le contenu ;
• La construction des moyens de pilotage de la montée en maturité et de gestion du changement (matrices de maturité, outils de modélisation budgétaire par site, définition d’indicateurs de pilotage, services centraux consommables par les sites…).

La mise en place de la gouvernance peut démarrer après le programme et tirer ainsi profit du premier réseau de correspondants sensibilisés à la cybersécurité bâti par le programme.

Une fois construite, il s’agit ensuite de l’animer et de piloter la progression des sites et des systèmes industriels à la fois en termes de niveau de sécurité et de niveau de maturité.

Cette animation réunit en général :

• Un réseau responsables cybersécurité locaux de 0,5 à 2 ETP[6] par site en charge de réaliser les projets, d’implémenter les activités récurrentes de cybersécurité, d’améliorer continuellement la sécurité et de reporter ;
• Une équipe centrale de 3 à 10 ETP pilotant globalement et appuyant les responsables locaux notamment en termes d’expertise.

[1] IAM i.e. Identity and Access Management.

[2] IDPS i.e. Introduction Detection and Prevention Systems.

[3] SIEM i.e. Security Incident and Event Management.

[4] SOC i.e. Security Operation Center.

[5] CERT i.e. Computer Emergency Response Team.

[6] Ces chiffres peuvent varier significativement en fonction de la taille de l’entreprise et du nombre de sites locaux, il s’agit d’une moyenne observée dans de grandes organisations internationales que Wavestone accompagne.

Cet article Saga (3/3) – Retours d’expérience et bonnes pratiques pour protéger et maintenir en condition de sécurité des SI Industriels est apparu en premier sur RiskInsight.

Here is a little background on the study released during the Vivatech event dedicated to startup and technological innovation, called “How are startups shaping the future of road mobility?” in which a chapter was dedicated to cybersecurity.

The automotive industry must now consider cybersecurity as an integral part of how cars are built, just as physical safety became a critical part of how cars were built in the late 20th century.

Many people in this field caught on leading to the creation of many startups on the topic. Today, no less than 20 startups try to provide solutions to face automotive cyber risks.

Cybersecurity, yes, but with a different approach

Those startups show that the challenges to be handled are almost the same as those usually encountered in other sectors but need to be addressed differently.

Due to the current specificities and constraints related to the automotive industry and connected car in particular, startups are having to adapt existing cybersecurity concepts and solutions while innovating including:

• Manufacturing costs;
• Proprietary and specific technologies for embedded materials, with little security originally integrated (e.g. CAN – Controller Area Network);
• Systems with long lifetime and complicated upgrade capacity;
• Limited processing capacity;
• Architecture complexity.

4 main cybersecurity objectives are addressed by startups in the field, through the products and services they propose:

• protect hardware, firmware and software, as well as related processed-data which is a true challenge especially when having to implement cryptography mechanisms requiring significant computational
• ensuring only legitimate communications are allowed to ensuring no-one is able to take unauthorized control of  a car, while protecting data in transit which is essential for privacy;
• detecting abnormal events and reacting accordingly in order to prevent any intrusion or cyber attacks on a car as well as a whole fleet;
• managing systems lifecycle, particularly related-vulnerabilities is  becoming a major concern all the more so when a car has a 15 to 20 year life;

It appears clearly that intrusion detection and threats prevention are two of the most covered topics as 70% of the automotive cybersecurity startups are offering related solutions. One can say that the market and car manufacturer kept in mind what happened to the Jeep Cherokee. However this figure may originates from the fact that is probably easier to provide security at the car boundary rather to integrate cybersecurity in the current constraint in-vehicle architecture and components.

One another key point is that vehicles have a lot in commons and share, for some aspects, the same characteristics with the Internet Of Things. That’s why it is not surprising to see startups like Prove&Run or IoT.BZH coming from this world and offering embedded software and hardware oriented security services and solutions to the automotive market.

Cybersecurity startups anticipate future connected car architectures

Even if startups mainly offer solutions and services to secure existing systems and architectures within modern vehicles, there is a trend today showing some of them are anticipating and building cybersecurity solutions for the forthcoming systems and architectures.

The startup Argus Cyber Security* is a good example. One of its first products was the “CAN firewall”, to protect the historical CAN network which is still the reference protocol in  current vehicles. The startup has since developed new solutions like the “In-Vehicle Network Protection Suite” to support a wide array of network protocols – CAN and CAN-FD, FlexRay, Ethernet (with SOME/IP, DoIP etc.), etc. – and thus defend current and future vehicle architectures.

Another example is Arilou Technologies*, which recently designed a new cybersecurity tool called the “Ethernet Security Hub” especially for protecting future connected and autonomous vehicles equipped with Ethernet networks rather than CAN networks.

Major actors invest in startups at an unprecedented pace

The ongoing creation of cybersecurity startups in the automotive industry over the past years highlights the fact that cybersecurity has become a top concern in the sector.

Established automotive companies, like car and equipment manufacturers, know this well.

Some focus on hiring new talents and/or developing technologies in-house but most of them are very aggressive in investing or buying startups at an unprecedented pace. Are they afraid of the potential competition? Are they unable to provide these innovations with their own R&D teams? Do they want to
accelerate with the integration of new ways of working and new teams? The answer is certainly a combination of these 3 factors as the connected and autonomous car represents a major shift in their organization and strategy.

This fast movement is clearly visible when looking at the list of the latest startups acquisitions below:

• Founded in 2013, ADVANCED TELEMATIC SYSTEMS was acquired by HERE in 2018;
• Founded in 2013, ARGUS CYBER SECURITY was acquired by Continental in 2017;
• Founded in 2012, TRUSTPOINT INNOVATION TECHNOLOGIES was acquired by ETAS (Bosch) in 2017, which had already acquired the cybersecurity company Escrypt in 2012;
• Founded in 2012, TOWERSEC was acquired by Harman in 2016, which was in turn acquired by Samsung in 2017;
• Founded in 2010, ARILOU TECHNOLOGIES was acquired by NNG in 2016;
• Etc.

In addition to these acquisitions, many actors also invest in startups and build partnerships with them, like Denso for example, which recently invested over $2 Million in Dellfer, a startup that was founded in 2016.
Besides, startups are not the only ones to be concerned. Some established companies in the field are also concerned, highlighting the market dynamism on the topic. For instance, Thales and Vector recently formed a joint-venture to work on addressing cybersecurity challenges related to the connected and autonomous car.

A new area of risks is rising

The arrival of autonomous cars is a new challenge for cybersecurity. Many new risk scenarios will have to be taken into account, mainly in the field of attacks on artificial intelligence, advanced sensors security and even automated response to cyber events.

To face this new challenge, solutions are only at a development phase and not particularly dedicated to the automotive sector. Many researchers like Nicolas Papernot or Ian Goodfellow are currently working on how to prevent Adversarial Attacks which aim at deceiving AI and which could lead, if applied to an autonomous car, to safety issues.

Breakthrough solutions are probably being developed by startups from the Zeroth. AI accelerator, an Artificial Intelligence and Machine Learning focused startup accelerator.

Although they will undoubtedly provide bleeding edge solutions to these complex problems, no one has declared working on the automotive field yet.

Certainly, cybersecurity and safety will have to be addressed jointly to make autonomous vehicles a reality.

Cet article Connected cars: When cybersecurity comes into play est apparu en premier sur RiskInsight.

Last year, the National Health Service England (NHS) faced its most important cybersecurity crisis due to the Wannacry ransomware attack. In October 2017, the National Audit Office (NAO) published a report showing that at least 34% of trusts in England were disrupted, and around 19,494 patient appointments canceled including canceled patient operations. This was mainly due to the fact that the information system managing the appointments, the patients’ records or test results were infected by the ransomware.

However, the report points out that medical devices such as MRI scanners (that have Windows XP embedded within them) were also locked by the ransomware. Only 1,220 devices were infected representing 1% of the overall amount, because several equipments were disconnected to avoid the ransomware propagation. So why the healthcare sector suffered from such an attack and how come the ransomware spread that easily?

Healthcare cybersecurity: Low maturity level

The NAO report highlighted the challenges that the NHS had to face to tackle the attack. These challenges seem similar to the ones that several industries and manufacturers have been facing showing that an analogy of the healthcare information systems and the industrial control systems (ICS) have the same weaknesses.

Indeed, both ICS and Health Information Systems (HIS)face the same cybersecurity challenges, among them:

• The wide use of legacy devices and operating systems (such as Windows XP);
• The length of the window of exposure of these systems (the window of exposure is the time between the vulnerability disclosure and the patching of the system): the vendors support or the quality guidelines and regulations may represent obstacles for a fast patching (a recent survey conducted on 3000 security professionals working for healthcare and pharmaceutical organizations, show that 57% of the respondents had experienced at least a data breach which was conducted after the exploitation of a vulnerability for which a patch had been previously released);
• Critical and unsecure devices directly connected to the Internet exposing the medical network. For example, McAfee published a report explaining how they exploited an unsecure and connected Picture Archiving and Communication System (PACS – device that stores and shares images coming from imaging devices such as scanners) to use personal medical data;
• Lack of security by design: several organizations and researchers have been alerting on several flows affecting medical devices such as pacemakers (Cyber-flaw affects 745,000 pacemakers – BBC), insulin pumps (J&J warns diabetic patients: Insulin pump vulnerable to hacking – Reuters) or infusion pumps (Black hat conference [PDF])

A growing threat on the healthcare sector

The low cybersecurity maturity level of the healthcare sector combined with the continuous interest of some actors on personal data or life threatening made the threat skyrocket these past few years. Indeed, several cybersecurity companies have been alerting on a growing number of cyber threat actors who are targeting healthcare sector, for example:

• In the last newsletter was reported that a US hospital was hit by Samsam ransomware in January 2018. Samsam is only one of the numerous ransomware that targeted hospitals among them Locky;
• In March 2018, Kaspersky researchers discovered that a Chinese-speaking group used PlugX malware (remote access tool which has been used previously by several groups since 2012) in pharmaceutical organizations for stealing information;
• In April 2018, Symantec identified a new attack group named Orangeworm. This group has been targeting healthcare sector companies (equipments manufactures, pharmaceutical, health organizations) for several years. Orangeworm has been using a backdoor called Kwampirs which collects data in the infected systems. This malware propagates easily in Windows XP devices.

Protecting against

In order to curb the number of security incidents in the healthcare sector, several measures can be, and in some cases have already been, implemented among them:

• Design of a global cybersecurity governance by implementing a cybersecurity policy;
• Conduction of awareness campaigns towards the hospital staff on the cybersecurity threats;
• Implementation of patch management procedure in order to reduce the window of exposure of the system (a combined work with the vendors and the regulation organizations may be required so the patching covers the largest amount of device as possible);
• Network segregation into several levels of protection matching the level of criticality (medical devices should be highly protected).

Several governmental agencies and institutions have been publishing reports and guidelines in order to help healthcare organizations and the medical devices suppliers in securing their network or providing more secure medical devices. You will find here after some of the documents:

• Cyber security and resilience for Smart Hospitals – ENISA
• Security and Resilience in eHealth Infrastructures and Services – ENISA
• Guide Pratique : Règles pour les dispositifs connectés d’un Système d’Information de Santé – Agence des systèmes d’information partagés de santé [PDF]
• Information for Healthcare Organizations about FDA’s “Guidance for Industry: Cybersecurity for Networked Medical Devices Containing Off-The-Shelf (OTS) Software” – FDA
• The U.S Food & Drug Administration released its Medical Device Safety Action Plan in April 2018

>>Latest news

	Aerial tramway with security holes Golem.de, April 19th Two white hackers found the control system of a new aerial tramway in the internet without any security measures. According to them, the commands were sent unencrypted, the authentication wasn’t provided and the web application was vulnerable to cross-site scritping and HTTP header injection attacks. Link to the article
	Patch Plugs More Than a Dozen Vulnerabilities Affecting Industrial Secure Router Series Tripwire, April 16th Cisco Talos published a report revealing several vulnerabilities affecting the Moxa EDR-810 industrial secure router with firewall/NAT/VPN and manager layer 2 switch functions. This router sets perimetric security for critical assets such as pumping/treatment systems in water stations, Distributed Control Systems (DCS) in oil and gas stations … Many of the flaws received a CVSS score of 8.8. Moxa released an updated version of the firmware. Link to the article
	Advisory: Hostile state actors compromising UK organisations with focus on engineering and industrial control companies NCSC, April 5th The National Cyber Security Centre (NCSC) published an advisory revealing that several ongoing attacks have been targeting mainly engineering and industrial control companies since March 2017. The attacks are involving the harvesting of credentials using strategic web compromises and spear-phishing. The advisory also refers to the Department of Homeland Security (DHS) and FBI joint Technical Alert (see below for more information). Link to the advisory
	Sentryo Provides Anomaly Detection Technology to Siemens to Address the Cybersecurity Challenges of industrial infrastructures Sentryo, April Siemens and Sentryo signed an agreement in which Siemens AG will provide Sentryo ICS CyberVision solution to its clients among Siemens products and services. Sentryo’s solution is an asset management and anomaly detection tool designed for Industrial Control Systems. Link to the press release [FR][PDF]
	ISA announces newly published ISA/IEC 62443-4-1-2018 security standard Automation.com, March 28th The international Society of Automation released the Part 4-1 of the ISA/IEC 62443 standard. This part tackles the Product Security Development Life-Cycle Requirements. “It defines a secure development life-cycle for developing and maintaining secure products.” This includes several concepts such as security by design, patch management and product end-of-life. Link to the article
	Schneider Electric Launches Cybersecurity Virtual Academy ISS Source, March 27th Schneider Electric launched the Cybersecurity Virtual Academy which is a website that provides several materials to raise the awareness of the cybersecurity risks in the industrial control systems. Link to the article
	Threat landscape for industrial automation systems in H2 2017 Kaspersky lab, March 26th Kaspersky has published a report on the threat landscape over the industrial control systems during the second semester of 2017. In the report, Kaspersky analyses the vulnerabilities discovered by the ICS-CERT and the ones identified by Kaspersky Lab ICS Cert. Here are some figures given in the report: 322 vulnerabilities were identified by ICS-CERT and more than 50% of them are impacting the energy sector; 3,3% of industrial automation system computers were attacked by cryptocurrency mining programs during the period from February 2017 to January 2018; 10,8% of all ICS systems were attacked by botnet agents during 2017. The mains sources of botnet agent attacks on ICS systems in 2017 were internet, removable media and email messages; The Kaspersky figures show also a certain decrease on the number of attacks on ICS systems between 2016 and 2017. This can be explained by the fact that more and more companies are training their employees and began implementing simple cybersecurity measures. Link to the report
	Draft NIST Special Publication 800-160 Volume 2, Systems Security Engineering: Cyber Resiliency Considerations for the Engineering of Trustworthy Secure Systems NIST, March 21st The National Institute of Standards and Technology (NIST) released a public draft of the NIST SP 800-160 Volume 2, Systems Security Engineering: Cyber Resiliency Considerations for the engineering of Trustworthy Secure Systems. This document aims to provide guidelines to organizations on how to apply cyber resiliency concepts during the engineering of systems. These guidelines may be applied on new systems, modification of systems, Critical infrastructure systems … Link to the release | Link to the document [PDF]
	Russian Government Cyber Activity Targeting Energy and Other Critical Infrastructure Sectors US-CERT, March 15th The Department of Homeland Security (DHS) and the Federal Bureau of Investigation (FBI) published a joint Technical Alert in which give details on how the Russian government targeted several American organizations operating in the energy, nuclear, water, commercial facilities aviation and critical manufacturing sectors (DHS and FBI have already warned about this threat in another alert published in October). The alert analyzed the attacks using the Lockheed Cyber Kill Chain (stage1:reconnaissance, stage 2: weaponization, stage 3: delivery, stage 4: exploitation, stage 5: installation, stage 6: command & control, stage 7: actions and objectives). The threat actors after gaining access to their victims information system, they conducted reconnaissance operations within the network. They mainly focused on identifying and browsing file servers. They viewed information and files regarding Industrial Control Systems (ICS) or Supervisory Control And Data Acquisition (SCADA) systems. Link to the alert
	‘Cyber event’ disrupts power in Mich. – but don’t blame hackers E&E News, March 8th An employee of a public utility that provides electricity in Michigan (Consumers Energy) inadvertently cut the electricity to about 15000 consumers. During an “internal testing” the employee overstepped his authority in a control center leading to the outage. The utility the event as a “cyber event” and reported it to the department of Energy even tought the outage had nothing to do with a malware or cyber attack. Since the event, the company adjusted the access controls. Link to the news
	A Qualitative View of 2017 Across vulnerabilities, threats, and lessons learned in hunting and incident response Dragos, March Dragos published 3 reports in which they reveal their findings and analysis regarding the industrial control systems vulnerabilities during 2017, the industrial threat landscape incident response and hunting lessons. Some of the results of these reports are the following:  “64% of 2017 ICS-related vulnerability patches don’t fully eliminate the risk because the components were insecure by design”; 5 activity groups are working on developing tools and malwares (as Crashoverride that attacked the Ukrainian electric grid in 2016); The main infection vectors are: unprotected interconnectivity with IT systems, removable media, unprotected interfacility connection and phishing. Link to the Vulnerabilities report [PDF] Link to the threat activity groups report [PDF] Link to the hunting and responding report [PDF]
	Siemens report: Mideast’s oil and gas sector needs readiness boost as cyber risk grows Siemens, March A recent report published by Siemens shows that the Middle East facing more and more attacks targeting Operational Technology (OT) (according to the report 30% of the attacks are targeting OT). The report gives the results of a survey on 176 individuals working in the Middle East who are responsible for overseeing the cybersecurity of their organisations. Here are some figures: “75% of organizations have suffered at least one security compromise that resulted in the loss of confidential information or disruption to operations in the OT environment over the past 12 months”; “68% of respondents say the top cyber security threat is the negligent of careless insider”; “31% of respondents say their organization’s industrial control systems” protection and security are adequate”. Link to the press release
	NERC Full Notice of Penalty regarding Unidentified Registered Entity NERC, February 28th The North American Electric Reliability Corporation (NERC) files a Notice of Penalty of two million seven hundred thousand dollars ($ 2,700,000), in accordance with the Federal Energy Regulatory Commission (FERC), regarding noncompliance by an Unidentified Registered Entity (URE). Indeed, a third-party URE contractor failed to comply with the information protection program and copied very sensitive data, including records associated with Critical Computer Assets (CCA), from the URE environment on its own unsecured environment. While the data was on the contractor’s network, a subset of data was available online without the need to enter a username or password for a total of 70 days. This exposed information increases the risk of a malicious attacker gaining both physical and remote access to URE’s systems and access to internal CCAs. Link to the article

>>Main ICS vulnerabilities

>>Upcoming ICS events

Jun. 30-1	Nuit du Hack Paris, France
Jun. 18	IEEE Workshop on Smart Industries (IEEE SIW) Taormina, Italy
Jun. 15	European Maritime Cyber Risk Management Summit London, UK
May. 22-23	Annual Nuclear Industrial Control Cybersecurity and Resilience Conference (ICCS) Warrington, UK
May. 3-4	Global Cyber Security in Healthcare & Pharma Summit London, UK

Cet article Industrial Control Systems Cybersecurity News #2 – Radiology of the cybersecurity level of the healthcare sector est apparu en premier sur RiskInsight.

Industrial Control Systems (ICS) are complex systems that aim to control industrial processes. ICS can be found in several sectors: energy, nuclear, transport, chemistry… In brief these systems control many of the critical productive assets of companies or states making their compromise by adversaries a high risk on the environment or people’s lives.

Thus, the cybersecurity of these systems is crucial. Moreover, securing these systems may be challenging due to their complexity (mainly because ICS are a mix of technologies and their lifetime is longer than usual information systems’).

In order to meet our clients’ needs and answer to their future concerns, Wavestone has been conducting an ICS cybersecurity watch where every recent study, attack or incident and report regarding the security of Industrial Control Systems are studied. In 2017, more than 80 news were reported from which we can retrieve a lot of teachings.

So, what did we notice this year?

First of all, ICS had its share of attacks. However, this year’s attacks, more than the other years’, had an unusual worldwide impact. Indeed, while ICS attacks were usually localized on a device (for instance on health devices), factory (for example a cryptomining malware found in a water utility – for more information see below) or a region (Dallas emergency sirens ignition in April 2017), 2017’s attacks started locally and spread quickly impacting several production lines in the world (WannaCry and NotPetya).

During 2017, many attacks have been reported in the news. Moreover, we noticed that several national agencies, governments or political figures alerted on ongoing attacks or attempts on critical infrastructure. The sector that was the most targeted seems to be the Energy sector. Indeed, several news were reported from Turkey (in January), USA (in March, July), Baltic States (in May), UK (in July) and Ireland (in July) showing that this sector was a privileged target by hackers (state sponsored or not).

The energy sector wasn’t the only hot topic of the year, as a matter of fact, autonomous cars cybersecurity hit many times the headlines (even if that topic may or may not be considered as related to industrial control systems). This is mainly due to the fact that cars’ cybersecurity is a new market. Therefore, cybersecurity experts and researchers try to find vulnerabilities and exploits (for example vulnerability found in airbag control units), while car manufacturers launch partnerships and initiatives showing that cybersecurity is now one of their main concerns (for example GM invited ethical hackers to try and hack its cars).

Finally, the ICS cybersecurity market tends to grow as demonstrated by the several fundraisings and partnerships signed during this year. In a broader perspective, we can notice three kinds of actors in the ICS cybersecurity market:

• ICS cybersecurity companies: usually small-sized companies or start-ups. They are pure-players that develop and put in the market ICS-dedicated solutions (Sentryo, CyberX, Nozomi …);
• ICS vendors: we noticed last year, some vendors that conceive ICS launched partnerships with ICS cybersecurity companies to improve their systems’ security (for example Siemens-PAS partnership in September, Schneider-Claroty partnership in August);
• IT security companies: these companies (well known in the IT world) tailor their solutions for industrial context. They show a growing interest for ICS by publishing reports and attack analysis (for example Kaspersky, McAfee).*

So, what is coming next?

It may be easy to say that the ICS cybersecurity will still (unfortunately) hit the headlines. Especially with alerts of attacks targeting life threatening system such as the safety instrumented systems controllers. But, we may see more and more news on specific sectors such as maritime, transport, health… that weren’t somehow as exposed in the media as the energy or nuclear sector. The ICS cybersecurity market may continue to grow especially with partnerships and acquisitions. Industrial Control Systems will continue to face new threats, challenges and changes.

>>Latest news:

	CyberX raises $18 million in series B funding to combat rising threats to IIoT and critical infrastructure, bringing total funding to $30 million (CyberX, February 27th) CyberX announced that the company raised $18 million dollars to develop threat detection in the Industrial Internet of Things (IIoT) and critical infrastructures. The company develops a threat monitoring and risk mitigation platform that includes ICS-specific threat intelligence. Link to the press release
	Fun with Modbus 0x5A (Security Insider, February 9th) During the last edition of Defcon in Las Vegas, Wavestone presented its latest study regarding the ModBus protocol cybersecurity and specifically the function 90. An attacker may thanks to this function start, stop a controller or force it to send a determined output value,  Link to the article
	ICS detection challenge results (Dale Peterson, February 7th) At the S4x18 in January, took place the ICS Detection Challenge. The 4 companies that completed the challenge are: Claroty, Gravwell, Nozomi Networks and Security Matters. The first part of the challenge consists on evaluating the ICS Detection class of 3 products which are: Claroty, Nozomi Networks and Security Matters. It was won by Claroty over Nozomi Networks and Security Matters. The competitors’ products had to detect cyber-attacks and incidents occurring on an oil&gas company. Link to the results The second part which consists in the asset detection phase was also won by Claroty even though Nozomi provided the most details in their asset inventory. Link to the results
	Water utility in Europe hit by cryptocurrency malware mining attack (eWeek, February 7th) The security firm Radiflow discovered a cryptocurrency mining malware in the network of a water service provider in Europe. The malware was downloaded from a malicious advertising site infecting the Human Machine Interface and then spread to the SCADA network that was still running Microsoft Windows XP OS. The malware degraded the system performance. Tough the degradation wasn’t noticed by the operators. Link to the article
	Ukraine power distributor plans cyber defense system for $20 million (Reuters, February 6th) Ukraine’s state-run power distributor Ukrenergo, which was a target for cyber-attacks in the past two years (December 2016 and December 2017), will invest up to $20 million in a new cyber defense system. The acting head of Ukrainian state power distributor Ukrenergo, told that the company and international consultants had identified about 20 threats that would be eliminated with the new system. The main goal of this system is to make “physically impossible for external threats to affect the Ukrainian energy system”. Link to the article
	Increasing number of industrial systems accessible from web (study Security Week, February 2nd) According to a new report published by Positive Technologies, the number of industrial control systems (ICS) accessible from the Internet has increased significantly during the past year. Most of vulnerabilities of these systems could be exploited remotely without needing to obtain any privileges in advance. The most common types of vulnerabilities were remote code execution (24%), information disclosure (17%), and buffer overflows (12%).Most of these systems are accessible via HTTP, followed by the Fox building automation protocol associated with Honeywell’s Niagara framework, Ethernet/IP, BACnet, and the Lantronix discovery protocol. Link to the article | Link to the report [PDF]
	Flaws in gas station software let hackers change prices, steal fuel, erase evidence (Motherboard, January 31st) Security researchers were able to connect to a web interface that manages gas station thanks to Shodan (search engine of connected devices). After using the default admin login and password, and then a hardcoded username and password, the researchers were able to shut down fuel pumps, hijack credit card payments, and steal card numbers. Link to the article
	Government warns critical industry firms to prepare for cyberattacks (Sky news, January 29th) All companies which are involved in critical industry and essential services, such as energy, transport, water, health and digital infrastructure, have been warned by the British government that they face sanctions if they do not include cybersecurity rules in their systems.The fines come as the government implements the Network and Information Systems (NIS) Directive, which would cover events such as the WannaCry attack. Link to the article
	Gemalto licensing tool exposes ICS, corporate systems to attacks (Security week, January 22nd) Kaspersky Lab researchers found 14 vulnerabilities in Gemalto Sentinel LDK (software) and the associated USB Dongle (SafeNet). The USB dongle is used to activate the software. When connected, drivers are installed and the port 1947 is added to the list of exceptions in the Windows firewall. This port can be exploited to identify remotely accessible devices. Link to the article
	SamSam ransomware hits hospitals, city councils, ICS firms (Bleeping Computer, January 19th) Samsam ransomware hit several hospitals, city councils and an ICS firm. Hancock Health admitted paying the ransom ($55.000) even though they had backups. The Samsam ransomware spread by brute forcing RDP connections. Link to the article
	Industrial systems scrambling to catch up with Meltdown, Spectre (The Register, January 18th) Meltdown and Spectre vulnerabilities also had an impact on industrial control systems. Some vendors decided to publicly communicate about their vulnerable products (OSISoft for example), other vendors like Emerson and General electric keep the information only for their customers and finally some vendors are still investigating if their products are vulnerable to Meltdown and Spectre. Link to the article For more information on Meltdown and Spectre vulnerabilities, you can read this post by Wavestone on Security Insider [French]
	Researchers find 147 vulnerabilities in 34 SCADA mobile applications (SC Magazine, January 11th) IoActive and Embedi researchers found 147 vulnerabilities in 34 mobile applications used in tandem with Supervisory Control and Data Acquisition (SCADA) systems. The top vulnerabilities were: code tampering flaws, insecure authorization, insecure data storage… This security weaknesses could allow an attacker to compromise industrial network infrastructure by exploiting the vulnerable applications. Link to the article
	Industrial Cybersecurity Firm Nozomi Networks Raises $15 Million (Security Week, January 10th) Nozomi is an industrial cybersecurity firm that has recently raised $23.8 million. Nozomi’s offering which is “SCADAguardian”, consists on using machine learning and behavioral analysis to detect zero-day attacks in real-time. This technology allows rapid response to alerts by ICS incident alerting and notification systems. The company said the additional funding will be used to support worldwide expansion of marketing, sales, support and product innovation. Link to the article

>>Main ICS vulnerabilities

>>Recent and upcoming ICS events

Apr. 24-26	ICS Cyber security London, UK
Apr. 24-26	Industrial control systems (ICS) Cyber Security Conference Singapore
Apr. 9-10	Cyber Security for critical assets MENA Dubai, UAE
Mar. 27-29	Cyber Security for Energy & Utilities Abu Dhabi, UAE
Mar. 13-14	Maritime Cyber Security London, U.K
Mar. 6-7	Cyber Security for critical assets USA Houston, USA

Cet article Industrial Control System Cybersecurity News #1 – What to remember from 2017? est apparu en premier sur RiskInsight.

Pourquoi assurer son SI industriel ?

On définit les systèmes d’information industriels comme des systèmes « logiques » permettant de piloter des outils de production « physiques » (chaînes de montage, machines-outils, fours, scanners médicaux, climatisations, aiguillages, pipelines…). De plus en plus ouverts, ils se positionnent comme un intermédiaire entre le système d’information « classique » de l’entreprise, et sa chaine de production physique.

De par son positionnement clé pour l’entreprise, la sensibilité des données et systèmes qu’il manipule et son ouverture accrue sur le SI de l’entreprise (voire parfois sur internet), le SI industriel devient de plus en plus souvent la cible d’attaques aux motivations différentes (destruction, espionnage, gain financier…). Les récentes attaques révélées en Allemagne par le BSI avec la compromission du système de contrôle du haut fourneau ou en Corée du Sud avec le vol de données sur les réacteurs nucléaires ne font que confirmer la probabilité d’attaques de ces systèmes.

En plus des dommages matériels (destruction de ses outils de production) et immatériels (frais de reconstruction des données, frais d’expertise…) pour l’entreprise, les conséquences de ces attaques peuvent être considérables et dépasser le cadre même de l’entreprise : fuite radioactive, déraillement d’un train…

Face à ce risque majeur, et l’impossibilité à la fois d’empêcher la totalité des attaques et d’absorber l’ensemble des impacts, le besoin d’assurabilité de ces systèmes se fait ressentir.

Les assurances traditionnelles ne répondent pas au besoin

Les assurances traditionnelles, et notamment les assurances « Dommages », peuvent répondre à certains risques liés aux SI industriels. Elles permettent notamment de couvrir les dommages matériels liés à une panne informatique, ou à un incendie. De même, les polices « Responsabilité Civile » peuvent couvrir les dommages aux tiers suite à un incident sur le SI industriel.

Pour autant ces contrats traditionnels trouvent parfois leurs limites dans un contexte cyber.

En effet, ces assurances couvrent très rarement les dommages immatériels, quel que soit le scénario de sinistre, et encore moins si le scénario est une cyberattaque. De fait, les frais de reconstitution des données et d’expertise technique (par exemple pour les investigations numériques suite à une attaque) sont rarement couverts par ces assurances.

De plus, la plupart de ces contrats ont des exclusions liées la cause du sinistre et excluent les cyberattaques. Il est parfois possible de « racheter » ces exclusions moyennant une hausse de la prime annuelle, mais ce n’est pas toujours le cas et la couverture se limite quasiment toujours aux dommages matériels.

La cyberassurance est-elle la solution ?

Se présentant comme l’assurance des risques cyber, on pourrait naturellement imaginer qu’elle couvre complètement les besoins d’assurance des SI industriels relatifs au risque de cyberattaque. Malheureusement, il n’en est rien : si certains contrats commencent à proposer des solutions couvrant la particularité logique/physique des SI industriels, la plupart n’y répond que partiellement.

Le premier frein à la couverture totale est le fait que la cyberassurance couvre majoritairement les dommages immatériels, puisque destinée principalement aux systèmes d’information « classiques ». En effet, l’impact naturel associé à une cyberattaque est une atteinte aux données, et non au matériel. Avec cette approche, de nombreux frais sont couverts : frais de reconstruction des données, frais d’expertise, frais de notification, frais de justice…. Pour autant, l’ensemble des dommages matériels, et notamment sur les systèmes physiques industriels détruits, ne sont pratiquement jamais couverts, ce qui entraine un manque notable dans la couverture du risque pour un SI industriel, et peut ainsi freiner la souscription d’une cyberassurance.

Par ailleurs, au vu des impacts importants liés aux SI industriels qui peuvent dépasser le cadre même de l’entreprise, certains assureurs excluent directement dans leur police la couverture de l’ensemble des frais liés à ces systèmes, qu’ils soient immatériels ou matériels. Le risque n’est alors pas (ou peu) couvert.

Une évolution en vue ?

Cependant, avec la demande croissante des acteurs de l’industrie, les cyberassureurs commencent à intégrer la couverture des dommages matériels (voire humains) à leur police. Pour autant, il est à noter que des sous-limites (limitation de garantie pour certains frais) contraignantes y sont souvent associées, ce qui peut parfois en limiter considérablement l’intérêt. Cependant, dans un marché fortement concurrentiel et compte tenu des impacts associés, cet argument peut rapidement apparaitre comme différenciateur.

Il existe un « vide » dans la couverture assurantielle des risques cyber pour les systèmes d’information industriels. Les assurances traditionnelles montrent un certain nombre de limites en excluant souvent les scénarios cyber, et a contrario les cyberassurances couvrent rarement les dommages matériels, pourtant centre de coût clé des SI industriels. Pour autant, les cyberassurances commencent à proposer des solutions avec une couverture plus globale incluant les dommages matériels. Mais la demande doit continuer d’augmenter et le marché se démocratiser pour atteindre une couverture optimale des SI industriels. Pour 2016 ?

Cet article Assurer son système d’information industriel contre une cyberattaque, c’est possible ? est apparu en premier sur RiskInsight.

Cet article Dossier – La Responsabilité Environnementale (Partie 2) est apparu en premier sur Insurance speaker.

Cet article Dossier – La Responsabilité Environnementale (Partie 2) est apparu en premier sur RiskInsight.

Cet article Dossier – La Responsabilité Environnementale (partie 1) est apparu en premier sur Insurance speaker.

Cet article Dossier – La Responsabilité Environnementale (partie 1) est apparu en premier sur RiskInsight.

Il ne s’agit pas de la seule méthode qui peut être imaginée pour pirater un avion, et la maintenance au sol peut aussi être un moment de choix pour s’infiltrer dans le système informatique d’un avion.
Quels sont les risques et comment s’en prémunir ?

Piratage d’un avion depuis le siège passager : un scénario probable ?

Si le récit fait par Chris Roberts a rendu quelques experts dubitatifs, le FBI prend la menace très au sérieux. En effet, l’événement a suscité l’ouverture d’un mandat d’investigation. Celui-ci a révélé que le matériel saisi à sa descente d’avion par le bureau fédéral se composait notamment d’un câble réseau modifié qui lui aurait permis de connecter son ordinateur au système.

Quelle réalité du risque ?

L’utilisation de plus en plus courante de technologies standardisées ou universelles (type port Ethernet) à la différence des particularités de la construction aéronautique conduit à faciliter les cyberattaques puisqu’elles nécessitent moins de connaissances spécifiques à l’aviation.

En raison de l’utilisation de réseaux multiplexés, des passerelles existent entre le système destiné aux passagers et le système avionique qui permet de contrôler l’avion (navigation, communication, pilote automatique…).

Quels scenarii de risque ?

Plusieurs scenarii peuvent être imaginés à partir de ces risques d’intrusion. En effet, le piratage des outils informatiques des autres passagers par le biais du WiFi ou d’un câble Ethernet branché sur le système ouvert est une possibilité. Il serait également possible d’accéder aux informations de communication de l’avion pour diffuser de faux messages sur les écrans des passagers afin de créer des mouvements de panique.

Mais on pourrait également imaginer des injections de logiciels malveillants, des actions sur des systèmes critiques (désactivation ou activation d’équipements de sécurité…).

Maintenance au sol : des avions connectés par 3G ou Wi-Fi

Aujourd’hui, les opérations de maintenance logicielle sur les avions les plus modernes (B787, A380 et A350) peuvent être réalisées à distance. Elles nécessitent une suite logicielle sol, développée par le constructeur, déployée dans la zone de confiance de la compagnie. Ce système sol communique avec l’appareil, lorsqu’il est au sol uniquement, par une connexion 3G ou Wi-Fi avec l’avion afin d’opérer diverses opérations de maintenance informatique. La chaîne de liaison se veut très sécurisée : infrastructure d’authentification en partie cloisonnée, lien VPN, signature de tous les composants. Néanmoins, elle constitue une faille potentielle supplémentaire d’intrusion et de corruption du système.

Quels risques peuvent être identifiés ?

Dans ce cas de figure, le risque de sabotage est prépondérant. Les fonctions avioniques critiques ont peu de chances d’être touchées. Mais des données EFB erronées donneraient déjà des sueurs froides aux pilotes. Les EFB (Electronic Flight Bag) sont des équipements d’aide au vol (carte, approche d’aéroport, procédures…). Une intervention frauduleuse sur ces données semble alors plus probable par une corruption du système que par une attaque directe de l’avion. En effet, elle ne permettrait pas de contourner les mécanismes de signature électronique. Néanmoins, elle est loin d’être infaillible. En effet, de nombreuses attaques reposent désormais sur du vol de certificats, voire des attaques par rebond visant déjà l’émetteur des certificats afin de produire des certificats falsifiés, qui permettent par la suite de conduire l’attaque finale.

Comment atténuer les risques ?

Face à la multiplication des cyberattaques, une coordination européenne est nécessaire pour mettre à jour les mécanismes de sécurité. Elle permettrait d’assurer leur bon déroulement, afin de tenir compte des attaques et des failles les plus récentes. Elle développerait également davantage la certification des systèmes au sol comme à bord. Ces opérations sont potentiellement complexes dans le monde de l’aérien avec les principes de certification des équipements.

La mise en place d’une évaluation du risque selon une approche holistique, qui prendrait en compte tous les cas de figure possibles (risques internes et externes à l’entreprise), permettrait une meilleure identification des acteurs se connectant aux systèmes impliqués dans le fonctionnement de l’aviation civile.

Les récentes annonces sur la sécurité des automobiles connectées montrent que les problèmes de cybersécurité sont de plus en plus prégnants dans les systèmes embarqués, quel que soit le secteur d’activité !

Cet article Cybersécurité dans l’aérien : pirater un avion, c’est possible ? est apparu en premier sur RiskInsight.

Quels sont les risques de ces évolutions dans l’environnement aérien ? Comment s’en prémunir ?

Pourquoi le passage au protocole IP

Le protocole IP va devenir le standard général d’échange de données pour le contrôle aérien, dans le but de mettre en place un système de communication performant entre le sol et l’avion, ainsi qu’entre les avions eux-mêmes.

Les avions, naviguant désormais très précisément, peuvent ainsi négocier des ajustements de trajectoire en permanence. À terme, l’usage du protocole IP et des moyens de navigation satellitaires permettront de fluidifier le trafic aérien et d’améliorer la performance de l’espace aérien. Cette nouvelle génération de gestion du trafic aérien est mise en place aux États-Unis (programme NextGen) comme en Europe (programme SESAR – Single European Sky Air Traffic Management Research).

De nombreux acteurs seront connectés en même temps par le biais du système de gestion des données au sol SWIM (System Wide Information Management). Ce système permet de connecter de nombreux services comme la météo, le contrôle aérien, ainsi que différentes informations transmises par les compagnies aériennes et les aéroports.

À quels risques doit faire face l’environnement aérien ?

L’augmentation de la connectivité entre les différents systèmes d’information multiplie donc les possibles points d’entrée pour une attaque informatique. Des vulnérabilités nouvelles sont à prendre en compte, notamment par l’attaque des points les plus faibles comme les systèmes d’information des compagnies aériennes qui sont, par nature, plus ouverts vers le monde extérieur. Même si des systèmes de protection peuvent être mis en place pour protéger les différents SI communicant entre eux, la découverte et l’exploitation d’une faille n’est jamais qu’une question de temps.

Par ailleurs, les aéronefs communiquent sur le réseau hertzien, notamment avec des liaisons de données non cryptées (ADS-B – Automatic Dependent Surveillance Broadcast). Il est donc possible de capter des données en mode lecture en se connectant à la bonne fréquence et, par exemple, de géolocaliser des avions facilement. C’est ce que font certains sites internet comme flightradar24 qui présente une carte des avions en temps réel.

Des attaques par déni de service ou dans l’objectif de déstructurer le système afin de provoquer une crise de confiance (forcer l’envoi de fausses informations) sont donc plausibles. Elles pourraient rendre des centres de contrôles, et donc des espaces aériens entiers, inopérants pour des durées potentiellement longues comme dans le cas des avions de LOT.

Face aux diverses menaces, comment réagir ?

Le rapport du GAO est un signal d’alerte pour les problématiques similaires que peut rencontrer l’Europe notamment avec le programme SESAR. Il est nécessaire de réestimer les programmes en cours à l’aune de la cybersécurité. Une plus grande coordination à l’échelle européenne permettrait de prendre conscience d’un plus grand nombre de risques et de mettre en place des mesures de protection appropriées.

Le développement d’un domaine réglementaire fixant clairement les dispositifs de gouvernance et dont les rôles de chacun permettraient également de coordonner les efforts de chaque acteur afin d’éviter les redondances ou les impasses sur certains sujets de sécurité.

Toutes ces thématiques sont actuellement un sujet d’intérêt pour nombre d’autorités européennes comme en témoignent l’étude lancée par la SESAR Joint Undertaking en mai 2014 et la conférence  organisée par l’EASA (European Aviation Safety Agency) sur la cybersécurité pour l’aérien en mai dernier. À l’échelle de la France, des groupes de travail existent sur ces sujets au niveau de l’ANSSI et de la DGAC.

Les risques sont donc connus, les acteurs identifiés, il faut maintenant aller vite et bien accompagner les acteurs qui conçoivent les systèmes pour éviter l’apparition de dispositifs vulnérables qui ne pourraient pas, notamment, être mis à jour en cas d’apparition de nouvelles menaces !

Cet article Passage au protocole IP : quelles conséquences pour la cybersécurité dans l’espace aérien ? est apparu en premier sur RiskInsight.

Cet article Quand Pacifica et Airbus Defence and Space s’allient contre les risques climatiques agricoles est apparu en premier sur Insurance speaker.

Cet article Quand Pacifica et Airbus Defence and Space s’allient contre les risques climatiques agricoles est apparu en premier sur RiskInsight.

Une multitude de textes

La liste est longue, c’est pourquoi il conviendra de s’appuyer sur le (ou les) référentiel(s) le(s) plus adapté(s) : secteur, niveau de criticité de son installation. À ce titre, le CLUSIF, par l’intermédiaire du groupe de travail sur la sécurité des systèmes industriels, animé notamment par Solucom, a publié un panorama des référentiels en la matière. Pas moins d’une cinquantaine de documents ont été analysés et des fiches de lecture permettent d’en avoir une vision synthétique. Les documents ont été répertoriés et catégorisés : des plus introductifs aux plus exhaustifs, allant de quelques pages à plus d’un millier, le guide du CLUSIF précise à quels lecteurs ils sont le plus adaptés (filières SSI ou SII, concepteur/intégrateur/mainteneur).

Les objectifs de ces référentiels sont multiples. Ils peuvent être utilisés comme un véritable outil pour réaliser des audits de sites, définir sa stratégie et les actions associées ou plus simplement évaluer son degré d’alignement et de conformité au standard retenu. De tous, l’IEC 62443 est sans doute le référentiel le plus connu du milieu et propose de nombreux guides qui tentent d’adresser l’ensemble des pans de la sécurité de ces SI. L’ISO a également apporté sa pierre à l’édifice avec la récente norme ISO 27019.

Les États publient également des guides nationaux. Au Royaume-Uni, le CPNI (Center for the Protection of National Infrastructure) propose plusieurs guides thématiques autour de la sécurité des SI industriels. Aux États-Unis, plusieurs entités (DHS, DoE…) ont élaboré des guides sectoriels. Enfin en France, l’ANSSI a également publié ses propres guides.

Certains secteurs ont apporté une réponse propre à leurs spécificités respectives comme l’AIEA qui propose son guide pour les installations nucléaires ou encore le NERC CIP qui oblige les différents opérateurs électriques à être conformes à ses standards.

La réglementation : arme d’amélioration massive de la sécurité ?

Cette abondance de littérature montre qu’il n’y a pas de réel consensus en la matière aujourd’hui. De plus, l’application des bonnes pratiques édictées dans ces documents ne reste finalement qu’un acte de volontariat de la part des entités concernées. Comme cela est souvent le cas, l’adoption de pratiques généralisées passe par la mise en place d’une réglementation (SEVESO par exemple). Et c’est bien ce qu’envisage l’État français au travers de la LPM (Loi de Programmation Militaire) : rendre obligatoire l’adoption de certaines mesures de cybersécurité pour les OIV.

Mais ces avancées françaises ne doivent pas faire oublier la nécessité d’une approche plus globale, a minima européenne. En effet, au-delà des mesures organisationnelles et techniques, La LPM prévoit également le recours à des produits labellisés. Il ne s’agit là que d’un schéma franco-français. Les efforts requis pour obtenir cette labélisation peuvent apparaître comme un frein pour des constructeurs/éditeurs à portée internationale. Avoir une reconnaissance européenne ou internationale de la sécurité de leur produit est donc un élément déterminant et qui aboutira à un réel retour sur investissement.

Dans ce domaine, des directives européennes sont également attendues, en particulier celle dédiée à la sécurité des réseaux et des infrastructures (NIS). Elles légitimeront davantage les initiatives sur le territoire français. L’ENISA a d’ailleurs publié les bases d’un schéma de certification de la sécurité des Smart Grid à portée européenne. Avec une approche progressive, ce que tend à faire l’État français, la réglementation obtiendra l’adhésion des industriels. La tendance va vers une adaptation des mesures avec une personnalisation opérateur par opérateur sans pour autant s’éloigner d’une cible ambitieuse. La publication prochaine des décrets d’application, puis des arrêtés de la LPM, permettra de le vérifier.

Enfin, pour ceux qui ne sont pas immédiatement concernés en tant qu’opérateur critique, nul doute qu’ils bénéficieront de l’élan global de ces démarches et pourront bien évidement s’en inspirer en complément des guides, normes et standards déjà existants.

Cet article Normes, standards et réglementations : de réels leviers pour la sécurisation des SI Industriels ? est apparu en premier sur RiskInsight.

Le contexte : une menace persistante et croissante

Dans le courant des années 90, un certain nombre de producteurs de biens de consommation électroniques (Compaq, Intel, Sun Microsystèmes…) ont commencé à s’inquiéter du volume des pertes financières associées au vol de leurs marchandises. À cette époque, l’industrie électronique américaine chiffrait ses pertes pour vol à environ 3 millions de dollars US par an (chiffre estimé à 60 milliards de dollar US aujourd’hui, tous biens manufacturés confondus). Sous l’impulsion de trois responsables de la sécurité industrielle de ces sociétés, l’association TAPA s’est réunie pour la première fois en juin 1997, avec pour objectif de développer des normes et recommandations pour renforcer la sécurité et diminuer les vols.

Que vole-t-on aujourd’hui ? Des produits manufacturés, des produits électroniques de grande consommation, des produits alimentaires et boissons, des métaux, du textile, prêt à porter…Ces produits sont « prélevés » tout au long de la chaîne logistique. L’évolution de la menace est maintenant telle que l’enjeu n’est plus d’éviter le vol, mais de mettre en place des dispositifs afin de minimiser les impacts sur la supply chain et ses acteurs. TAPA fournit ainsi des éléments pour développer une protection active de la chaîne logistique.

TAPA, qu’est-ce que c’est ?

TAPA est un réseau de professionnels composé de membres appartenant à 3 cercles distincts. Le premier cercle regroupe les professionnels qui assurent tout au long de la supply chain des rôles de fabrication, transport, stockage, assurance. Le deuxième cercle comprend des professionnels qui offrent des services de sécurité à ceux du premier cercle. Le dernier cercle regroupe les acteurs du secteur public, les auditeurs sécurité, ainsi que les enseignants et étudiants spécialisés sur le crime organisé / droit / logistique.

Une animation est par ailleurs assurée sur une base régionale (Amérique, Europe / Afrique / Moyen Orient, Asie / Pacifique), au travers de rencontres, les « TAPA « T » meetings ».

TAPA est également un ensemble de normes. La première norme établie par la TAPA est la C-TPAT (2001), qui regroupe un ensemble de recommandations pour améliorer la sécurité des frontières des États-Unis. En 2005 la norme TSR (Trucking Security Requirements) a été diffusée. Elle vise à établir des critères d’évaluation de la sécurité des transports. Cette même année, la norme FSR (Freight Supplier security Requirement) a été élaborée : elle fixe des exigences de sécurité sur l’ensemble de la supply chain. En 2011, la norme FSR a évolué pour se focaliser sur les exigences sécurité des entrepôts : Facility Security Requirement.

Depuis 2011, deux nouvelles normes ont été déployées : l’une (TACSS) pour l’aérien, l’autre pour les Parcs de stationnement (IRU/ transpark).

TAPA est enfin une base de données. Dénommée « IIS » pour « Incident Information Service », cette base répertorie par région les incidents. Elle permet d’identifier les tendances et « zones à risque ». Elle formalise un profil du risque encouru pour chacun de ses membres. Elle constitue également un vecteur d’échange d’informations entre acteurs de la supply chain et agents de protection.

Quels apports du TAPA pour les entreprises ?

Les normes et recommandations TAPA permettent à tout professionnel de se faire rapidement une idée de la maturité sécurité de son organisation. Nous recommandons en particulier la norme FSR 2011 « Freight supplier minimum security requirement » à tout responsable industriel (logistique, fabrication, sécurité), car cette norme permet d’effectuer un balayage large de tous les dispositifs – défenses au sens de J. Reason – qu’il convient de mettre en place.

Nombre de sociétés se focalisent en effet sur les dispositifs techniques et « oublient » qu’au-delà de ces systèmes il convient de mettre en place une organisation et des moyens de traitement de l’information.

En dernier lieu, le volet humain n’est pas oublié. En effet, une organisation industrielle qui ne s’appuie pas sur des hommes sensibilisés, entraînés et formés pour répondre aux menaces quotidiennes, est une organisation vulnérable et faiblement résiliente. Au-delà du caractère « terrain » de ces normes, celles-ci s’inscrivent parfaitement dans toute démarche ISO 28000.

Cet article TAPA ou la sécurité des transports de marchandises…vous connaissez ? est apparu en premier sur RiskInsight.

Les initiatives posent la question de la sécurité de l’information

Un système de transports intelligents, quel qu’il soit, permet de diffuser et partager de l’information, de la traiter de manière autonome et intelligente. Les objectifs de telles évolutions ? Ils sont multiples : optimiser la gestion de trafic, améliorer la sécurité routière, aider à développer la multi-modalité, etc.

De tels usages nécessitent l’échange de nombreuses informations, entre les véhicules, ou entre les véhicules et les infrastructures routières : vitesse, positionnement GPS, changement de trajectoire, alertes sur le trafic… Protection des données à caractère personnel, préservation de l’intégrité des informations, disponibilité des dispositifs qui concourent à la sécurité routière : les enjeux de sécurité de ces informations ressortent clairement comme essentiels pour que la voiture connectée de demain donne confiance aux usagers.

Ces transformations font aujourd’hui l’objet de réflexions de standardisation et de normalisation menées par divers groupes de travail (l’ISO, la Commission européenne de normalisation,  et l’ETSI – European Telecommunications Standards Institute). Ces organismes mènent des réflexions qui portent par exemple sur les formats de messages à utiliser, les canaux de communications envisageables (Wi-Fi véhiculaire, réseaux cellulaires ou réseau satellite) ou la sécurisation des protocoles de communication.

En complément, de nombreux consortiums européens (Drive C2X, CAR2CAR, FOTsis) mènent des réflexions sur le déploiement de systèmes routiers collaboratifs. Certains d’entre eux peuvent intégrer le sujet de la sécurité de l’information.

Si ces réflexions portent sur un périmètre plus ou moins large, mener un projet lié aux voitures connectées implique de revenir sur les usages et d’identifier les risques puis les mesures de sécurité à mettre en place sur l’ensemble des briques du dispositif : la voiture, les bornes, les systèmes d’informations du gestionnaire, etc.

Focus sur le véhicule : la prise de contrôle par un hacker est-elle réellement possible ?

Les attaques informatiques sur des systèmes embarqués de véhicules ne sont pas une nouveauté en soi. Des démonstrations d’attaques ont été réalisées par manipulation physique des boîtiers. Mais aujourd’hui il est indispensable d’intégrer la dimension communicante du véhicule, et donc la capacité à prendre le contrôle à distance. En effet, les voitures ont historiquement été conçues pour fonctionner en système fermé, sans ou avec très peu d’interactions avec le monde extérieur. La multiplication des connexions des véhicules avec le monde extérieur constitue de nouvelles surfaces d’attaque.

Le « car hacking » est donc possible, et pour la sécurité de l’information dans les véhicules de demain, les constructeurs intègrent la cybersécurité dans les réflexions sur l’architecture technique du véhicule avec notamment la mise en œuvre d’un cloisonnement entre les réseaux de fonctionnement liés au système de conduite (freinage par exemple) et les réseaux liés « aux médias » et à la sécurisation du boîtier de communication.

Au-delà des projets en cours, comment anticiper la « smart security » dans le transport routier ?

Si le sujet est innovant, la démarche de sécurité est en somme « classique » : intégrer la sécurité dans toutes les phases du projet ! Il s’agit d’un point essentiel pour mener la réflexion sur l’ensemble des briques. Dans un premier temps, analyser les usages et donc les besoins de sécurité. Ensuite, comprendre les fonctions, l’architecture de sécurité et donc les menaces et vulnérabilités. Puis, en fonction des risques, les mesures de sécurité à mettre en place puis à maintenir doivent être définies qu’elles soient techniques ou organisationnelles.

Une spécificité néanmoins liée au caractère innovant : mener une veille permanente sur le sujet. Quels nouveaux projets peuvent présenter des adhérences ? Quels nouveaux standards ? Quels travaux des chercheurs sur les vulnérabilités, sur les solutions ? Quels consortiums, groupes de travail portent une réflexion sur une brique ? Le secteur est en pleine transformation, et son évolution doit donc être suivie.

Cet article Voiture connectée : quels enjeux de sécurité de l’information ? est apparu en premier sur RiskInsight.

Cloisonnement et segmentation : standards et réglementations se mettent d’accord

Pour traiter ces risques, trois méthodologies issues de l’IEC 62443, du NIST SP-800-82 et du guide de l’ANSSI, sont usuellement retenues.

L’IEC 62443 (ISA99) a établi les concepts de « zones » et de « conduits » avec pour chacun un niveau de sécurité (Security Level – SL) et des règles bien spécifiques. Le découpage en zones peut s’établir d’un point de vue physique (bâtiment, atelier) ou logique (répartition par processus industriel ou par fonction).

Toutes les zones communiquent entres elles par un conduit et peuvent également être imbriquées, dans une logique de défense en profondeur. Selon le niveau de criticité des zones et des conduits, des règles de sécurité sont définies et peuvent être plus ou moins restrictives. La détermination du niveau de sécurité d’une zone (ou d’un conduit) s’effectue au travers d’une analyse de risque. Concrètement, il correspond au niveau de robustesse des mesures de sécurité à implémenter permettant de faire face à des menaces plus ou moins évoluées. Pour l’IEC, il s’agira de segmenter et d’isoler physiquement les SI Industriels des SI de gestion et aussi de cloisonner les systèmes critiques (systèmes de sûreté) des systèmes de conduite des procédés.

Le NIST, au travers de sa publication spé- ciale pour les systèmes industriels, expose de bonnes pratiques d’architectures sécurisées sans promouvoir un modèle en particulier. Il consacre un chapitre entier au thème de la sécurisation des architectures des SI Industriels. Il met en avant le cloisonnement entre SI de gestion et SI Industriels en proposant des architectures type à base de DMZ, de firewall voire de diode. De bonnes pratiques et une matrice de flux type sont même proposées avec un focus pour des flux plus spécifiques.

En France, l’ANSSI prévoit de catégoriser les SI Industriels en 3 classes distinctes selon leur criticité. Trois niveaux sont définis ; la détermination du niveau pour une installation s’effectue au travers de critères tels que connectivité, fonctionnalités, niveau d’exposition, attractivité pour un attaquant, vraisemblance et impacts en cas d’attaque. Pour chacune des classes, des règles plus ou moins strictes font émerger entre autres des principes forts d’architectures sécurisées. Cette démarche peut être itérative. Il est possible de découper l’installation industrielle en plusieurs zones et d’établir pour chacune d’elles son niveau de classe. Cela rejoint l’approche de l’IEC 62443 au détail près qu’ici, la méthodologie de l’ANSSI établit les niveaux de classe en priorité au regard des impacts pour la population, l’environnement et l’économie nationale sans se soucier de l’impact direct pour l’entreprise concernée.

Quelle que soit la méthodologie mise en œuvre, le constat final reste le même : segmentation et cloisonnement constituent des briques essentielles en vue de protéger les SI Industriels. Mais l’expérience montre que segmenter et cloisonner n’est pas toujours simple…

Besoin métier et sécurité : la quadrature du cercle ?

Dans bien des cas, on observe un besoin élevé de remonter vers le SI de gestion des données « procédé » en vue de les analyser. Et ce pour différentes raisons : calcul d’optimisation, calcul financier, supply chain, Big data…

Selon la méthode de l’ANSSI, une installation de classe 3 ne peut communiquer avec le SI de gestion que de façon unidirectionnelle via l’utilisation d’une diode. Mettre en œuvre ce genre de technologie peut parfois relever de l’impossible : impossibilité d’avoir du temps réel, incompatibilité des solutions d’historisation des données procédé… Dans ce cas, on découpera l’installation en sous-systèmes de façon à pouvoir lui attribuer différents niveaux de classe. Un sous-système de classe 2 peut communiquer de façon bidirectionnelle avec le SI de gestion, tandis que le sous-système le plus critique de classe 3 n’est autorisé à communiquer unidirectionnellement qu’avec ce sous-système de classe 2. Cette approche peut notamment être considérée pour les systèmes de sûreté.

Si dans certains cas cela peut sembler réaliste, c’est parfois beaucoup plus complexe. L’exemple d’installations s’appuyant sur des SNCC (Système Numérique de Contrôle Commande) montre que les systèmes de sûreté, ou Systèmes instrumentés de sécurité (SIS), peuvent être totalement imbriqués avec les systèmes de conduite : mutualisation des capteurs pour les automates de conduite et de sûreté, automates assurant à la fois des fonctions de conduite et de sûreté.

Deux solutions opposées sont possibles

Deux solutions extrêmes sont peut-être à envisager. La première consisterait à revoir un certain nombre de process supports associés au procédé industriel pour permettre un cloisonnement fort des SI Industriels vis-à-vis des SI de gestion. La deuxième serait de revenir à des solutions « moins connectées » : désimbrication totale du SIS, dédoublement des capteurs, automates / contrôleurs de sûreté dédiés et isolés, recours à la logique « câblée », automates et contrôleurs non « modifiables ». Ces deux solutions peuvent sonner comme un retour en arrière. Le meilleur compromis réside sans doute dans une approche plus souple, fondée sur le bon sens et une gestion réaliste du risque.

Cet article Architecture de sécurité des SI Industriels : de la théorie à la pratique est apparu en premier sur RiskInsight.

Une sécurisation insuffisante, voire inexistante

Les automates programmables industriels (API), en charge de l’interface avec le monde physique, n’intègrent souvent que peu de fonctions de sécurité et les failles de sécurité publiques les concernant sont nombreuses. L’ICS-CERT a ainsi publié près d’une centaine de bulletins de vulnérabilités sur des composants industriels. Les protocoles de communication utilisés sont un des maillons faibles de la chaîne. Ces protocoles, parmi lesquels on peut citer Modbus, permettent l’échange de consignes ou de valeurs en clair, sans chiffrement.

De même, les possibilités d’authentification des actions sont souvent limitées, permettant à n’importe quel attaquant ayant accès au réseau de modifier les consignes des automates et ainsi d’influer sur leur comportement. Les interfaces d’administration des automates sont par ailleurs souvent protégées par des mots de passe par défaut, jamais changés, et qui parfois ne peuvent pas l’être. Les systèmes plus intégrés appelés SNCC (Systèmes Numériques de Contrôle-Commande) ne sont pas garants d’une sécurité accrue, les protocoles propriétaires utilisés n’apportant pas forcément une réelle couche de sécurité.

La situation est identique pour les PC de supervision ou de programmation qui sont souvent des équipements reposant sur des technologies standard, tels que des systèmes d’exploitation Microsoft Windows. Malheureusement, l’expérience sécurité acquise sur le SI de gestion pour ces équipements profite rarement à leur sécurisation sur la partie industrielle. Les étapes de durcissement sécurité sont rares, de même que l’application de correctifs de sécurité, ou encore la présence d’un antivirus. Il est fréquent de pouvoir prendre le contrôle de ces systèmes par l’exploitation d’une faille de sécurité datant de près de 6 ans.

Un cloisonnement tout à fait relatif

De plus, les équipements du SI Industriel sont très largement interfacés avec les SI de gestion. Le cloisonnement entre ces deux mondes est souvent permissif. Il arrive même que le filtrage autorise l’accès à certains équipements industriels depuis l’ensemble du réseau interne d’une entreprise, ce qui peut représenter plusieurs dizaines de milliers de machines.
Les postes de programmation et clés USB constituent également des vecteurs d’attaques puisqu’ils sont connectés à des réseaux de niveau de sécurité hétérogène, voire à des environnements non-maîtrisés (par exemple dans le cas de sous-traitants).

Pire encore, il arrive trop souvent que des équipements industriels soient accessibles directement sur internet. Il existe même des moteurs de recherche dédiés à la recherche d’équipements exposés sur internet, Shodan étant le plus connu. Près de 1500 équipements Modbus sont ainsi recensés en France sur Shodan et plus de 20 000 dans le monde.

Un constat d’échec ?

Il ne s’agit néanmoins pas de se lamenter. Bien que le niveau de sécurité actuellement constaté soit faible, il est possible de mener des actions d’amélioration. Au-delà des concepts d’architecture qui permettent de cloisonner ces équipements vulnérables, la vraie, seule solution à long terme consiste à développer de nouveaux produits, sécurisés by design. Bien sûr, les fruits de ce travail ne se verront que sur les nouvelles installations, et pas avant plusieurs dizaines d’années. On peut espérer que la prise de conscience globale des parties prenantes, ainsi que l’implication des instances gouvernementales accélèrent ce changement.
En attendant il semble aujourd’hui nécessaire de déporter les fonctions sécurité sur des équipements dédiés, comme des passerelles encapsulant le trafic réseau dans un tunnel chiffré, ou bien des pare-feu ou IPS disposant de modules spécifiques aux protocoles industriels.

Enfin, il faut également savoir tirer parti d’une des faiblesses des SI Industriels : leur durée de vie et la complexité de changements. En effet, la mise en place d’une supervision sécurité sera facilitée par le caractère figé des réseaux industriels : il est rare que de nouveaux équipements soient installés ou que la topologie réseau soit modifiée. De même, l’emploi d’une solution de contrôle d’exécution par liste blanche sera plus facile sur un PC industriel n’exécutant qu’un seul logiciel de supervision que sur un poste de travail bureautique.

1 – http://www.rapid7.com/db/modules/auxiliary/scanner/scada/modbusclient
2 – https://github.com/arnaudsoullie/metasploit-framework/blob/modicon_stux_transfer/modules/auxiliary/admin/scada/modicon_stux_transfer.rb
3 – https://github.com/arnaudsoullie/scan7

Cet article Niveau de sécurité des SI Industriels : les vulnérabilités les plus courantes est apparu en premier sur RiskInsight.

Initier la démarche de sécurisation

Avant d’entreprendre de grands chantiers de sécurité, il est important de savoir d’où l’on part. Le SII est-il vulnérable ? Dans quelle mesure est-il ouvert sur l’extérieur ? Quel est son véritable niveau d’exposition face aux nouvelles menaces ?

Trois approches différentes permettent de répondre à ces questions. L’audit « flash » sur les sites les plus sensibles ou ayant connu un incident récent, permet d’identifier rapidement les vulnérabilités et les zones non protégées. L’analyse de risques d’un processus industriel permet de son côté d’estimer les impacts financiers, humains et environnementaux en cas d’incident. Un bilan de conformité consiste quant à lui à demander à chaque site industriel d’évaluer son niveau de sécurité sur la base d’un questionnaire. Si cette dernière approche est moins concrète et fiable, elle permet d’avoir une vision globale plus rapidement. Il n’y a pas de chemin type : les trois approches peuvent être utilisées ou combinées. Elles doivent aussi être l’occasion de mobiliser la direction générale et les directions métiers dont l’engagement et l’implication dans la durée sont nécessaires.

Mettre en place une filière sécurité des SI industriels

La mise en place d’une gouvernance globale de la sécurité des SII est essentielle pour augmenter le niveau de sécurité dans la durée. Cela passe par la nomination d’un Responsable de la sécurité des SII chargé de la définir, de la mettre en œuvre et de l’animer. Qu’il vienne du Métier, du monde de la DSI, de la sécurité SI ou du monde industriel (automatisme, sûreté, etc.), il doit être capable de jouer le rôle de facilitateur entre ces différentes sphères. La connaissance du métier industriel et les qualités humaines sont donc à privilégier lors de son identification plutôt qu’une expertise en sécurité. Son rattachement peut être à étudier en fonction du contexte de l’entreprise : s’il est courant qu’il fasse partie des équipes sécurité SI, il est parfois directement rattaché aux Métiers concernés.

Le Responsable de la sécurité des SII pourra s’appuyer sur un réseau de correspondants qui se feront le relais de la stratégie et des actions sur les différents sites industriels. Il développera également des relations étroites avec des acteurs incontournables du SII :

Intégrer la sécurité dès la conception

Cet article SI industriel et sécurité : oser la transformation (partie 2) est apparu en premier sur RiskInsight.

 Des systèmes bien spécifiques…

Les SII permettent d’assurer le pilotage des outils de production (chaînes de montage, machines-outils, fours, scanners médicaux, climatisations, aiguillages, pipelines, etc.). De plus en plus ouverts, ils deviennent une vraie passerelle entre les processus de production et le Système d’Information de Gestion (SIG) de l’entreprise.Un SII est souvent modélisé en différentes  couches. La première couche concerne le  procédé physique lui-même. La seconde regroupe les capteurs, actuateurs, actionneurs et autres composants électroniques intelligents (IED) qui interagissent physiquement avec le procédé. La troisième couche assure la supervision et le pilotage du procédé. Elle est composée d’éléments tels que les SCADA (Supervisory Control and Data Acquisition), des automates ou PLC (Programmable Logic Controller) et des équipements distants, les RTU (Remote Terminal Unit). La quatrième couche regroupe les fonctions et outils de management des opérations de production.

Enfin, la cinquième et dernière couche est tournée vers les fonctions avancées de planification, la logistique ou l’approvisionnement, souvent interfacée avec les ERP. Initialement développés pour l’industrie, les  systèmes construits sur le même modèle se sont largement répandus. Systèmes embarqués dans les voitures ou avions, imagerie  médicale (scanner, IRM, etc.), systèmes plus  étendus comme les smart grids, etc. : les SII sont devenus omniprésents !

 …et des menaces accrues

À l’origine les SII étaient isolés au sein d’un  site ou d’une usine, mais aujourd’hui ils  se doivent d’être largement interconnectés pour accroître productivité et compétitivité.
Cette interconnexion permet de nombreux nouveaux usages mais augmente considérablement l’exposition aux cyberattaques. La majorité de ces systèmes n’ont en effet pas été conçus pour une ouverture sécurisée et sont d’autant plus vulnérables.

Ainsi, depuis plusieurs années les attaques d’États ou d’individus malveillants se multiplient. Les conséquences peuvent être considérables pour la sécurité des biens et des personnes, avec des scénarios graves menant par exemple au déversement de produits toxiques dans des systèmes de gestion des eaux ou l’explosion de pipelines. Des risques de confidentialité sont également présents : l’accès aux chaînes de production autorise l’accès à des secrets de fabrication industriels et le vol de propriété intellectuelle.

Les États réagissent pour faire face aux menaces sur ces systèmes. Sur le continent nord-Américain, la conformité au standard NERC-CIP est devenue obligatoire pour les opérateurs de réseaux électriques. En France, l’ANSSI a déjà lancé plusieurs initiatives qui visent à définir un cadre de protection minimum pour les installations les plus critiques. Les entreprises doivent donc dès maintenant se préparer pour être en capacité de répondre à ces nouvelles exigences.

 Penser la sécurité des SII différemment

La sécurisation des SII nécessite d’intégrer de nouvelles contraintes pour définir des solutions adaptées. En effet, vouloir appliquer les bonnes pratiques de sécurité conventionnelles serait une erreur car les SI industriels présentent des caractéristiques différentes des SI de gestion.

L’échelle de temps est bien spécifique. Les lignes de production sont souvent conçues pour une durée de vie de l’ordre de 10 à 15 ans, parfois même au-delà. Par exemple, dans certains secteurs comme celui des réseaux électriques, les équipements sont censés être en place pendant plusieurs dizaines d’années.

La disponibilité et la sûreté sont au cœur des attentions. Dans cet univers spécifique, le critère de disponibilité est primordial. De plus, dans les environnements à risques (SEVESO, nucléaire, etc.) le maintien des fonctions de sûreté qui assurent la protection des hommeset de l’environnement est essentiel.

Les fournisseurs imposent des solutions packagées de bout en bout. Et ils sont souvent réticents à appliquer les bonnes pratiques de sécurité, même lorsque leurs systèmes reposent sur des solutions peu sécurisées issues des SI de gestion… Si des améliorations ont déjà été notées, le chemin à parcourir reste long.

Les contextes d’implantation sont particuliers et rendent le maintien en condition opérationnelle de la sécurité complexe. Il n’est pas rare d’avoir une partie du système (voire le système entier) localisée des sites distants, parfois inoccupés, difficiles d’accès, et où les conditions peuvent être « hostiles ».

Cela concerne par exemple les SII présents sur les plates-formes pétrolières, les pipelines gaziers ou pétroliers, ou encore les réseaux d’eau.

Dans ces conditions, comment initier une démarche de sécurisation ? Quelles sont les premières étapes ? (à suivre).

Cet article SI industriel et sécurité : oser la transformation (partie 1) est apparu en premier sur RiskInsight.

Cette nouvelle norme s’inscrit à la suite de publications de guide ou de référentiels en matière de sécurité des SI industriels. Qu’ils proviennent d’agences gouvernementales (NSA, BSI, ANSSI, ENISA), de différentes organisations sectorielles (AIEA, NERC…) ou d’organismes de normalisation et de standardisation nationaux ou internationaux (NIST, IEC, ISO), la plupart de ces documents s’adressent aux personnes en prise directe avec les systèmes industriels. Leur compréhension s’avère ainsi souvent difficile pour les RSSI ou DSI qui voient les réseaux industriels arriver dans leur périmètre.

Tous ces acteurs s’accordent néanmoins sur une chose :  une démarche volontaire de sécurisation des SI industriels est indispensable. La norme 27019 est-elle le bon outil pour cela ?  Que faut-il en retenir ?

ISO 27019 : la petite sœur de l’ISO 27002 pour le secteur de l’énergie

Cette norme se présente comme un complément à l’ISO 27002. Le document reprend la structure de ce guide de bonnes pratiques tout en y intégrant les spécificités des SI industriels, notamment par l’ajout de nouvelles sections.

L’ISO 27019 complète et donne des précisions quant à la mise en œuvre de mesures de sécurité dans le contexte particulier des systèmes industriels du secteur de l’énergie. Cependant, les informations qu’elle apporte s’appliquent à d’autres secteurs, dès lors que cohabitent SI bureautique et SI industriel.

Il s’agit donc d’une base de départ particulièrement utile pour un RSSI à qui revient la responsabilité de la sécurité sur le périmètre du système d’information industriel et qui ne sait pas par où commencer. Déjà familier des standards de la famille ISO 27000, il n’aura aucun mal à utiliser ce guide complémentaire.

Un concentré de sécurité pour les SI Industriels

En se focalisant uniquement sur les spécificités des SI industriels, l’ISO 27019 tente d’aller à l’essentiel. Parmi les mesures de sécurité qu’elle propose, nous pouvons relever les points suivants.

Les exigences d’inventaires sont précises et incluent des exemples d’actifs de type industriel (plans des réseaux de distributions, données de mesures et télémesures, données de paramétrage des équipements, SCADA, logiciel de gestion et d’optimisation de l’énergie, système de planification, automates, RTU, équipements de protection incendie et sismique, IED, capteurs…).

Le document  rappelle à plusieurs reprises à quel point il est essentiel de veiller à l’identification des risques relatifs à l’écosystème industriel. Les intégrateurs, fournisseurs et personnels de maintenance, l’interconnexion avec des systèmes tiers, la difficulté de protéger des équipements situés dans des lieux difficiles d’accès ou inoccupés, des lieux publics, ou encore des locaux de tiers sont mentionnés.

Les principes de cloisonnement sont largement abordés. Ils reposent sur les concepts de zones et de conduits mis en avant dans l’IEC 62443. Il s’agit alors d’envisager des zones plus ou moins étanches en fonction des niveaux de criticité de chaque pan du SI industriel et du SI de gestion.

L’ISO 27019 souligne également les risques provenant des systèmes dits « historiques », potentiellement très vulnérables car rarement – voire jamais – tenus à jour. Il faut les identifier, en avoir une cartographie précise pour ensuite assurer une supervision et des contrôles adaptés, voire envisager d’en isoler certains.

En termes d’évolution du SI industriel, le recours à des simulateurs et des environnements dédiés de développements est recommandé sans pour autant être une obligation suivant le contexte. La mise en place de mesures particulières pour protéger les codes automates est également mentionnée.

Enfin, le fait de prendre en compte les aspects sécurité dans les contrats avec les tiers est précisé, en particulier avec les opérateurs télécoms : mesures de gestion de crises et de communication d’urgence en cas de blackout, anticipation du risque de surcharge…

Cette liste n’est certes pas exhaustive mais donne un premier aperçu de la déclinaison des mesures de l’ISO 27002 dans un contexte industriel. Une lecture détaillée est nécessaire pour appréhender ce sujet dans son ensemble.

Au-delà de la sécurité, la nécessité d’intégrer les responsables sureté aux réflexions

Des  mesures additionnelles concernent la problématique de « sûreté ». Tant au niveau d’un site et des bâtiments (localisation de salles, risque de séismes, inondation, manipulation de matières dangereuse, incendies…) qu’au niveau des installations (isolation et protection des systèmes de sureté, interdiction d’accès à distance, journalisation…), il est nécessaire pour le RSSI de travailler conjointement avec les équipes sureté en place. Il s’agit d’un facteur clé de succès de la sécurisation des SI Industriels.

Alors, l’ISO 27019 peut-elle vraiment aider ?

Les initiatives de l’ISO se veulent être des consensus. L’ISO 27019 permettra surtout de se poser les bonnes questions et de dresser un premier bilan de l’alignement de son SI industriel vis-à-vis de la norme. Toutes les réponses ne s’y trouvent certes pas, mais les questions soulevées incitent les RSSI et l’ensemble des responsables des SI industriels à réfléchir ensemble pour concevoir la sécurité des SI Industriels de demain.

Si l’ISO 27002 est devenue LA référence en matière de sécurité des SI d’entreprise, il est encore trop tôt pour se prononcer vis-à-vis de l’ISO 27019. De prochaines évolutions sont déjà à prévoir tout simplement parce que la structure adoptée est en ligne avec la version 2005 de l’ISO 27002. Une nouvelle version de l’ISO 27002 est attendue prochainement et sa structure a été entièrement revue.

Dans tous les cas, l’ISO 27019 est certainement le moyen le plus simple pour les RSSI d’aborder les spécificités des systèmes industriels !

Cet article Sécuriser un SI Industriel : la norme ISO 27019 peut-elle (vraiment) vous aider ? est apparu en premier sur RiskInsight.

Une situation souvent désastreuse sur le plan de la sécurité de l’information

Les réseaux industriels et leurs composants les plus emblématiques, systèmes SCADA et automate (PLC/API) sont souvent dans des postures de sécurité très faible. Ils ont été construits par des équipes d’automaticiens alors peu confrontés aux problématiques des technologies telles qu’IP ou encore Windows qui ont pourtant depuis envahi les chaînes de production. Nos audits le montrent clairement : en termes d’architecture comme en termes de sécurisation unitaire des composants, beaucoup reste à faire. Avec un problème majeur : des équipements et des protocoles vulnérables « par construction » !

Des solutions d’attentes ont vu le jour

Dans ce contexte, de nombreuses solutions de sécurité ont vu le jour. Elles permettent de compenser une partie des vulnérabilités des systèmes. Nous pouvons en particulier citer les pare-feux industriels, tels ceux conçus par la société Tofino ou encore Industrial Defender. Des solutions plus classiques de sécurité (pare-feu, détection d’intrusion…) peuvent également être utilisées et dans une certaine mesure adaptées aux technologies des réseaux industriels.

Un réveil tardif des constructeurs

Il aura fallu un cas d’attaque de l’ampleur de Stuxnet pour que les constructeurs comprennent les enjeux autour de la sécurité des systèmes industriels. Ce réveil, certes tardif – mais mieux vaut tard que jamais- entraîne aujourd’hui des avancées significatives chez les constructeurs informatiques. On voit ainsi peu à peu apparaître le chiffrement des échanges, la capacité à mettre à jour plus simplement les équipements, des designs types intégrant les exigences sécurité, le durcissement des configurations par défaut…  Il est même question de signatures de code déployé sur les automates !

Quelle stratégie adopter à long terme : protéger ou reconstruire ?

Il s’agit d’un débat qui fait rage actuellement et oppose deux camps aux stratégies différentes. Les partisans de la reconstruction prônent un remplacement volontariste, sur un délai de deux ou trois ans des anciens équipements par des nouveaux, mieux sécurisés. Bien que cela soit possible, la question de l’investissement nécessaire se pose particulièrement en ces temps de crise. En effet, les lignes de production sont souvent conçues pour une durée de vie de 10 à 15 ans ; changer l’ensemble des équipements a un coût non négligeable, à la fois financier mais aussi en perte d’exploitation potentielle sur des systèmes où la disponibilité est cruciale.

D’autres préconisent l’ajout de couches de sécurité additionnelles. Cela n’a cependant jamais été une solution idéale et nécessite également des investissements importants, complexifie les architectures et fait courir de nouveaux risques en particulier sur la disponibilité.

Je reste persuadé que la bonne approche est à trouver dans un compromis entre ces deux solutions. Et en particulier, qu’elle dépend de l’analyse de risques à réaliser sur chacun des systèmes de production concernés. Dans certains cas, un changement pourra être salutaire et permettra une sécurisation au plus près de la production, de manière fiable et pérenne. Dans d’autres cas, l’ajout de mécanismes complémentaires sera suffisant en attendant le renouvellement des systèmes.

Il s’agit donc de prendre le recul nécessaire pour choisir la ou les bonnes solutions  sans oublier que les solutions techniques seules ne font pas tout. Bien souvent dans ces projets, une meilleure gestion des accès, une refonte de l’architecture sur la base des équipements déjà en place, une revue des filtrages en place et surtout une sensibilisation / formation des équipes d’automaticiens apportent beaucoup plus que l’ajout de fonctions de sécurité pure !

Cet article Réseaux industriels : protéger ou reconstruire ? est apparu en premier sur RiskInsight.