Dans cet article, nous vous proposons notre vision du marché et de la maturité de la cybersécurité des Systèmes d’Information (SI) industriels, ainsi que nos convictions et analyses sur le sujet.

Quelle menace pour les SI Industriels ?

En 2011, la cybersécurité des SI industriels, alors balbutiante, était arrivée d’un coup sur le devant de la scène avec l’attaque Stuxnet et la découverte de la menace étatique dans ce domaine. Pendant une décennie, les Advanced Persistant Threats (APT) ont été considérées comme étant les plus grandes menaces pour la sûreté des systèmes industriels, au travers d’attaques impressionnantes et complexes, comme la série d’attaques « Black Energy » contre le réseau électrique Ukrainien entre 2007 et 2014, ou l’attaque « Triton » contre les systèmes de sûreté d’une usine chimique en Arabie Saoudite en 2017.

Cependant, l’affaire Snake/EKANS en 2020 permet de mettre le doigt sur une tendance en constante augmentation depuis quelques années qui est l’apparition des ransomwares dans les SI Industriels. Ces ransomwares résultent d’attaques opportunistes sur des systèmes vulnérables ou sont des « dégâts collatéraux » d’attaques visant le SI de gestion, comme dans le cas de Colonial Pipeline, en mai 2021.

Avec la pérennisation du modèle économique des ransomwares d’un côté et l’apparition de SI industriels toujours plus connectés, il est réaliste d’attendre une hausse des attaques opportunistes et d’effet de bords de ransomwares sur des SI Industriels.

Devant une menace de plus en plus présente, les entreprises doivent mettre en place des mesures de cybersécurité sur les systèmes industriels et définir des caps stratégiques cohérents, mais cela demande un véritable investissement. C’est pourquoi nous avons travaillé sur cette synthèse des domaines et des solutions existantes pour sécuriser les SI industriels. Ce radar n’est pas exhaustif, mais il a pour but d’éclaircir le sujet en donnant une vision plus globale du sujet.

Méthodologie

Pendant cinq mois, ce radar a été conçu avec cinq experts en cybersécurité des SI Industriels, en plus de la centaine de consultants de l’offre de cybersécurité industrielle de Wavestone.

Ce radar dispose de deux cadrans : un cadran présentant des produits de cybersécurité spécialisés dans les SI industriels et un cadran présentant les différents domaines de la cybersécurité des SI industriels, classés par niveau de maturité

Les produits de cybersécurité industriels sont identifiés comme tels selon les critères suivants :

• Ils répondent à un besoin dans le processus de sécurisation des SI Industriels ;
• Ils sont adaptés à un environnement industriel sur les plans hardware et/ou software :
  • Le matériel est renforcé pour résister à des conditions difficiles et/ou présente une longévité importante ;
  • Les produits de sécurité réseau prennent en compte des protocoles industriels ;
  • Les produits de sécurité des terminaux sont compatibles avec des systèmes plus ou moins obsolètes.

Les domaines de cybersécurité sont également sélectionnés et évalués en se basant sur les observations de nos consultants sur le terrain, auprès de clients variés présents dans des domaines industriels tout aussi variés, mais largement ancrés dans le contexte français.

La suite de cet article revient sur certains domaines, des plus matures au plus émergents. Cette analyse fait écho à et permet de mettre à jour notre publication de 2019 sur les problématiques du maintien en conditions de sécurité des SI Industriels. En effet, si les grands sujets restent les mêmes (e.g. séparation IT/OT), les acteurs et leurs maturités évoluent très vite, amenant de nouvelles problématiques et faisant évoluer les anciennes.

Sur quels piliers s’appuyer pour sécuriser un réseau industriel ?

Ressources humaines, procédures et résilience

Les forces et les faiblesses dans les SI industriels et dans les SI de gestions sont différents. Pour mettre en place des mesures de cybersécurité efficaces dans un SI industriel, il faut d’abord comprendre les leviers déjà présents dans les SI Industriels qui peuvent être utiles dans une démarche de sécurisation cyber.

Tout d’abord, les opérateurs dans les réseaux de production industriels connaissent très bien les procédés et le fonctionnement habituel du système de production. De plus, les procédures en cas d’incident sont beaucoup plus développées que dans le cas des SI de gestion. L’un dans l’autre, ces éléments permettent de détecter efficacement les dysfonctionnements et de réagir de manière appropriée. Une mesure intéressante à mettre en place est donc de développer cette capacité de résilience en ajoutant des procédures de détection d’incidents cyber en se basant sur les connaissances actuelles des équipes.

Connaissance du réseau

Connaitre son réseau facilite la sécurisation du SI, permet le maintien en conditions de sécurité en permettant l’analyse des risques, la segmentation du réseau, la gestion des vulnérabilités et des patchs, la conformité règlementaire, etc.

Il est possible de réaliser cet inventaire exhaustif à la main sur un base régulière, notamment en se basant sur les outils de maintenance industrielle. Pour aller plus loin, il est possible d’automatiser la tâche grâce à des outils de cartographie gratuits (Dragos CyberLens, GrassMarlin). Enfin, des sondes (Nozomi, Claroty, Dragos, etc.) permettent d’aller beaucoup plus loin en automatisant la détection d’anomalies sur le réseau voire en aidant à la réponse à incident.

Sauvegarde et restauration

La meilleur arme de résilience contre les ransomwares est la sauvegarde systématique et si possible hors ligne des données critiques pour le système de production. C’est d’ailleurs une pratique de plus en plus courante dans les SI Industriels.

Toutefois, des conditions supplémentaires sont nécessaires pour que les sauvegardes soient vraiment utiles. Premièrement, il faut cerner toutes les données nécessaires au fonctionnement du système. Ces données peuvent être des données techniques (configuration des machines par exemple) ou des données métier et peuvent être identifiées avec le métier notamment lors d’une analyse de risques. Enfin, il faut s’assurer de sa capacité à restaurer un système fonctionnel à partir des sauvegardes effectuées, notamment pour les systèmes certifiés.

Quelles sont les opportunités en 2021 ?

Notre étude nous a permis de mettre en évidence des mesures efficaces pour augmenter le niveau de sécurité d’un SI industriel.

Segmenter son réseau

Bien que ce sujet soit présent depuis plusieurs années, la segmentation réseau est une étape importante à passer pour sécuriser un réseau industriel. Elle permet de prévenir très efficacement la propagation d’une attaque et donc son impact.

Outre l’utilisation de pare-feu adaptés, un projet de segmentation du réseau repose sur des équipes d’architecture et d’intégration compétentes et disposant de temps et de moyens suffisants. La segmentation d’un réseau est un équilibre à trouver entre la sécurité et les besoins métiers. L’utilisation des nouvelles technologies réseau « Software Defined » peut permettre la mise en œuvre de cette segmentation de manière plus agile.

Séparer le réseau de gestion et le réseau industriel

L’ouverture des SI industriels aux SI de gestion est aujourd’hui nécessaire mais est également un vecteur de risques.

Les solutions à mettre en œuvre dépendent de la criticité du réseau industriel et des flux nécessaires entre les deux réseaux. Il faut privilégier un unique point de passage entre les deux réseaux afin de pouvoir garder le contrôle sur cette interface particulièrement critique.

Un éventail complet de produits existe, du pare-feu à la diode de données. Le mieux étant d’assembler plusieurs de ces solutions au sein d’une DMZ, pour bien maitriser les services qui peuvent communiquer entre les deux réseaux.

La séparation IT/OT va bien au-delà de la question du réseau, abordée ci-dessus. Sur le plan de l’identité, il faut également aborder la séparation de l’Active Directory (AD) entre le réseau de gestion et le réseau industriel. D’un point de vue sécurité, le mieux est de séparer ces deux AD pour éviter la propagation des attaques si les ressources sont disponibles. Toutefois, les AD peuvent également être reliés en contrôlant de très près les flux autorisés et/ou en prévoyant des solutions de remédiation en cas de compromission d’un des deux AD.

Identifier les utilisateurs du réseau

Une particularité de la gestion de l’identité dans un SI industriel est la présence marquée de postes partagés. Dans cette situation, une solution adaptée doit permettre à plusieurs utilisateurs de travailler sur la même machine de manière authentifiée permettant ainsi d’identifier les actions de chacun.

Dans ce cas, le modèle où chaque utilisateur dispose de sa propre session Windows n’est pas adapté. Une solution possible est de mettre en place une session Windows générique sur laquelle l’utilisateur s’authentifie de manière simple et rapide grâce à un badge et un logiciel de Fast Switching.

Quels sont les prochains grand chantiers de la cybersécurité des SI industriels ?

SOC

Les Security Operation Centers (SOC) spécialisés dans les SI industriels sont en train d’émerger chez plusieurs Managed Security Services Providers (MSSP). Toutefois, il ne faut pas considérer ces SOC comme des solutions miracles : c’est avant tout en connaissant votre métier et toutes ses particularités que le SOC pourra être efficace.

Un aspect capital lors de la mise en place d’un SOC industriel est de bien cerner un périmètre à la mesure de la maturité cyber du SI. Dans un SOC cyber industriel, seuls les incidents cyber doivent être traités, sans considération pour les événements purement opérationnels classiques, qui sont déjà pris en charge par le système de supervision métier.

Sécurité des tiers

La gestion de la Supply Chain, en IT comme en OT, est en train de devenir un des sujets cyber les plus importants. L’attaque de REvil contre Kayesa et ses clients en juillet 2021 donne une idée des possibilités offertes par une attaque de la Supply Chain : l’attaque change d’échelle et peut toucher des centaines voire des milliers d’organisations d’un coup. Evidemment, les SI industriels font également appel à des tiers et ne sont donc pas à l’abri. On pourrait imaginer la compromission d’un fournisseur d’automate par exemple.

Les attaques sur les tiers peuvent prendre différentes formes, dont voici quelques exemples :

• Accès au SI suite à la mise à jour d’un logiciel ;
• Pillage des données stockées chez un tiers ;
• Accès au SI via un accès distant, par exemple utilisé par le tiers pour faire de la maintenance

Afin de se protéger de ces attaques, il convient de connaitre ses fournisseurs et le risque lié à chacun d’entre eux. Les tiers à risques peuvent ensuite faire l’objet de mesures pour réduire les chances de compromission comme un Plan Assurance Sécurité (PAS) ou des audits réguliers.

Les accès distants au SI peuvent être contrôlés par des solutions de bastion ou de gestion des accès privilégiés (PAM), qui permettent de surveiller toutes les actions faites par le tiers et de gérer finement ses droits. Toutefois, cette solution peut être contraignante et il convient de prendre en compte le besoin de l’utilisateur pour proposer la solution la plus pertinente.

Cloud

Encore principalement cantonné à des fonctions annexes telles que la gestion des stocks et de l’approvisionnement, le cloud fait petit à petit son arrivée dans les SI industriels avec le développement de l’industrie 4.0, en permettant par exemple d’avoir une gestion plus globale des terminaux IoT dans les sites de production ou d’optimiser le dimensionnement des serveurs.

Mais cette arrivée pose aussi des problèmes de sécurité. Certaines de ces problématiques ont déjà été traitées avec la démocratisation du cloud dans les SI de gestion, mais d’autres sont encore à résoudre. Comment gérer la sécurité des terminaux IoT ? Comment intégrer des systèmes cloud dans des environnements critiques, très réglementés ? A qui sont confiées les données et quelle règlementation s’applique ?

Cet article Quelles sont les tendances et les enjeux en cybersécurité industrielle en 2021 ? est apparu en premier sur RiskInsight.

Faisons un détour par une page d’histoire, avant de nous plonger dans le cœur de notre sujet :

• Au XVIII^e siècle, la machine à vapeur de James Watt et l’exploitation du charbon changent la manière de travailler. L’utilisation de machines hydrauliques fait évoluer les ateliers artisanaux en des usines bien plus performantes : la 1^re révolution industrielle bat son plein.
• Ensuite, la 2^e révolution industrielle connue pour le taylorisme et la production en série repose sur l’utilisation de l’électricité et du pétrole. Les longues chaînes d’assemblage, chères à Charlie Chaplin, viennent remplacer les machines hydrauliques et à vapeur désormais désuètes.
• Le développement des nouvelles technologies de l’information, dès 1970, épaulant les opérateurs dans les tâches les plus difficiles caractérise la 3^e révolution industrielle. Elle permet notamment une robotisation accrue et production de plus grandes séries.

Cette 4^e révolution industrielle marque l’arrivée de nouvelles technologies toujours plus connectées aboutissant à un haut niveau de dépendance à l’informatique

L’Industrie 4.0 regroupe un ensemble d’avancées technologiques et d’outils techniques permettant d’optimiser des processus industriels.

Prenons un exemple concret d’un cas d’usage :

Une entreprise a besoin d’accélérer sa cadence de production et de robotiser une partie de ses actions pour gagner du temps. Par exemple, des actions de vissage. Elle choisit d’utiliser pour cela un robot collaboratif, aussi appelé « cobot »[1] capable de réaliser des actions en simultané ou sur un même espace de travail qu’un opérateur. Celui-ci aura la charge de présenter les pièces à visser au cobot.

La mise en place de ce binôme permet, en plus de réduire le délai d’exécution, d’augmenter la qualité du produit fini.

Les cas d’usage liés à l’Industrie 4.0 augmentent le risque cyber pesant sur les processus métiers. Deux raisons à cela : la nécessité de nouvelles interconnexions des systèmes industriels avec l’extérieur et l’augmentation de l’impact potentiel en cas de compromission.

Quels sont les impacts pour la cybersécurité dans toute cette histoire ? Si nous poursuivons avec ce cobot, le vissage, initialement effectué manuellement par un opérateur, est maintenant facilité par l’utilisation du cobot. Le cobot doit être connecté pour recevoir des ordres et être mis à jour.

• L’opération manuelle est remplacée par une opération informatisée maintenant exposée à une cyberattaque

Sur un robot classique, une « cage de sécurité » est présente pour éviter une intrusion d’un opérateur pendant le fonctionnement de la machine-outil. Sur un cobot, comme il y a collaboration avec l’opérateur cette protection n’existe pas. Un impact en cas de contact entre le tournevis du cobot et la main de l’opérateur serait particulièrement grave pour celui-ci !

• L’introduction de nouvelles technologies peut augmenter la gravité d’une attaque cyber

Et cela n’est pas la seule conséquence d’une utilisation non sécurisée d’une telle technologie :

• La modification d’une valeur dans le cobot concernant le couple de vissage peut entrainer un défaut de qualité en cas de mauvais serrage ;
• L’importance plus élevée des opérations assistées implique qu’en cas de défaillance, l’impact sera plus fort sur la production… ce qui va rapidement induire un impact financier.

Résumons de manière un peu simpliste :

La question est maintenant de savoir comment traiter ces risques, sans bloquer les demandes légitimes des opérationnels. Spoiler : non, refuser le projet n’est pas la solution !

Les équipes responsables de la cybersécurité peuvent anticiper les besoins de mise en place de technologies 4.0 par l’établissement de fiches réflexes adaptées

D’un point de vue technique nous pouvons regrouper les avancées liées à l’Industrie 4.0 autour de quelques grandes thématiques : réalité augmentée, objet connecté, fabrication additive… En amont des projets et avec quelques acteurs métiers bien renseignés autour de la table, il est possible d’anticiper les demandes potentielles.

L’objectif pour l’équipe cybersécurité va être alors de dresser le portrait-robot des cas d’usage type, en déduire les risques potentiels et commencer à identifier des mesures de sécurité adaptées pour y répondre. C’est aussi l’occasion de proposer des check-lists « Industrie 4.0 » pour sensibiliser en amont des projets.

Concrètement, voici un exemple de fiche réflexe type appliquée à notre cobot vu précédemment :

En se préparant en amont, les équipes cybersécurité sont plus pertinentes et efficaces lorsqu’un nouveau projet est sur le point de démarrer.

Prêt à se lancer dans un projet « 4.0 » ? C’est l’occasion idéale d’accompagner le métier dans la transformation de son usine en proposant des services de cybersécurité adaptés.

L’avantage des projets « Industrie 4.0 » consiste dans leur capacité à faire évoluer en profondeur les fondations, parfois un peu poussiéreuses, des systèmes et réseaux déjà installés en usine.

Un projet de convoyeur a-t-il besoin d’échanger des informations avec l’extérieur de l’usine ? C’est l’occasion de proposer un serveur d’échange de fichiers sécurisés dans votre DMZ[2] industrielle (en absence de celle-ci, c’est également le bon moment pour y réfléchir…). Un système de réalité augmentée a-t-il besoin d’une connexion sans fil plus stable ? C’est le moment d’engager une réflexion sur le renforcement du contrôle des appareils pouvant s’y connecter…

Au risque de reprendre des évidences ici, l’idéal est d’arriver en amont des projets, par une approche constructive, plutôt qu’à travers une PSSI[3] de 100 pages et des guides de normes et règles techniques non adaptés aux cas d’usages présentés.

Pour l’analyse de risques d’un projet « Industrie 4.0 », la méthode d’analyse de risques EBIOS RM facilite les échanges par le partage de scénarios stratégiques compréhensibles par le métier

Une fois les discussions engagées autour d’un projet concret, il est utile de réaliser une analyse de risques qui servira de support aux discussions. Sa profondeur et sa méthode vont dépendre de la taille et des risques du projet.

Cette analyse va permettre d’affiner les objectifs que l’on souhaite protéger, prendre du recul sur l’écosystème en place et définir des scénarios d’attaques les plus probants.

Voici quelques exemples de scénarios fréquemment retrouvés :

• Le sabotage logique à des fins financières (version longue du scénario Ransomware) : Une attaque ciblée ou non, permettant de rendre les équipements indisponibles en vue d’un gain financier.
• L’arrêt/ralentissement de la production : Sabotage ciblé en vue d’obtenir un avantage concurrentiel, une revanche par idéologie ou juste par défi peut être opéré par un concurrent malveillant, un vengeur, un terroriste, un activiste ou voir même un amateur en quête de frissons. Attention également à ne pas oublier les erreurs de manipulation !
• L’altération de la qualité de la pièce produite: sabotage plutôt sophistiqué et ciblé impactant la qualité des produits pour décrédibiliser l’entreprise ou simplement créer des dégâts.

La conclusion de l’analyse de risques va permettre de définir précisément les mesures de cybersécurité à mettre en place et les risques résiduels associés.

Sortir du modèle tout « château fort », à savoir tout miser sur l’isolement de son SI industriel et la sécurité périmétrique, et proposer des mesures de sécurité adaptées : détection plus fine, chiffrement, MCS[4]… en quelque sorte, c’est le moment de passer aux mesures “4.0”

Nos retours d’expérience montrent que la définition d’un plan d’actions est un travail d’équilibriste dans ces projets « 4.0 ». En effet, en appliquant un modèle de sécurité trop restrictif, à base de zones et conduits type IEC 62443-3-3, nous courrons à l’incompréhension entre les parties prenantes. En effet les solutions métiers ne sont pas toutes compatibles, pas toutes matures et n’ont pas encore intégré les standards que nous aimerions voir appliquer.

Alors que faire ? Une piste pourrait être de proposer des mesures de sécurité adaptées, des mesures « 4.0 » (pour l’environnement industriel en tout cas) mais qui ont déjà fait leurs preuves dans d’autres environnements :

• Pour éviter une propagation d’une menace, renforcer les moyens de détection, surtout les flux en provenance et à destination des SI industriels. C’est le moment d’en profiter pour faire un accostage avec le SOC Groupe si ce n’est pas déjà fait.
• Afin de s’assurer de l’intégrité et la traçabilité des données transmises/reçues​, on peut mettre en place du chiffrement et de l’authentification. Vous avez déjà une PKI Groupe ? Pourquoi ne pas réfléchir à l’étendre aux périmètres industriels.
• C’est également le bon moment pour renforcer son processus de MCO / MCS. La solution est connectée avec l’extérieur ? Plus d’excuse pour ne pas installer un antivirus, le mettre à jour, installer les patchs de sécurité de son OS favori, etc. Ce point est à anticiper en amont de l’achat de la solution, plutôt qu’une fois le produit déjà installé !
• Enfin la solution est critique pour le métier ? Un volet cyber résilience doit être anticipé pour pouvoir reconstruire rapidement la solution et repartir en cas d’attaque.

Comme nous venons de le voir, les solutions ne manquent pas, mais nécessitent un accompagnement adapté de la part des équipes cybersécurité et de dépasser les modèles théoriques. Alors, profitons de ces projets « 4.0 » pour faire évoluer nos modèles de cybersécurité industrielle sans apriori !

[1] https://commons.wikimedia.org/wiki/File:Cobot.jpg licence CC : https://creativecommons.org/licenses/by-sa/4.0/deed.en

[2] Zone démilitarisée, ici la zone réseau tampon entre le SI Industriel et le SI de gestion

[3] Politique de Sécurité des Système d’Information

[4] Maintien en Conditions de Sécurité

Cet article La cybersécurité industrielle à l’ère de l’Industrie 4.0 : comment sécuriser ces nouveaux cas d’usage et accompagner les projets métiers ? est apparu en premier sur RiskInsight.

Wavestone possède depuis plusieurs années des démonstrateurs sur la sécurité des systèmes industriels. En particulier, vous avez peut-être déjà rencontré notre maquette de train et bras robotiques avec un capture the Flag physique !

Cette maquette de train est principalement utilisée pour des workshops dans des conférences de sécurité (Black Hat Europe 2014, BruCON 2015 & 2017, DEF CON 2016 & 2018, Bsides LV, etc.), ou des cours en école d’ingénieurs (EPITA, Mines, ESIEA, Télécom Sud Paris, etc.).

En plus des conférences et des cours en école, nous avons tourné cet été une vidéo de la maquette afin de présenter les principales attaques sur les systèmes industriels, et en particulier l’insécurité des protocoles industriels.

La première partie de la vidéo rappelle ce que sont les systèmes industriels et présente les principales familles de risques et vulnérabilités sur ces systèmes :

• Des défauts d’organisation et de sensibilisation des acteurs
• L’absence de supervision de sécurité
• L’absence de mécanismes de sécurité dans les équipements et les protocoles
• La non-maitrise des sous-traitants et de la maintenance
• La ségrégation inexistante des réseaux
• L’absence de patch management

La seconde partie de la vidéo rentre plus dans la pratique, avec tout d’abord la présentation de la maquette : les automates, la supervision ainsi que le fonctionnement général.
L’objectif est d’attaquer les automates : il faut arrêter le train et attraper son drapeau à l’aide des bras robotiques.
Différents outils de lecture et écriture de registres sont alors présentés :

• S7getDB pour les automates Siemens
• Mbtget pour les automates Schneider

Enfin, nous concluons sur le fait qu’il est relativement
facile de piloter les automates de manière illégitime avec des outils
implémentant les protocoles de communication industriel. Par ailleurs, bien que
de nouvelles gammes d’automates, plus robustes, existent chez certains
constructeurs, la première étape de sécurisation consiste à cloisonner et
filtrer ses réseaux industriels

• Outils pour la lecture et l’écriture de registres (Modbus ou S7)
  • Mbtget – outil perl pour les requêtes de lecture/écriture Modbus https://github.com/sourceperl/mbtget
  • S7get et S7getDB – outil python pour les requêtes de lecture/écriture sur les automates Siemens développé par Wavestone : https://github.com/wavestone-cdt/s7-get
• Modbusclient – module Metasploit pour les requêtes de lecture/écriture Modbus (contribution Wavestone) : https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/scanner/scada/modbusclient.rb
• Outils utilisant la fonction 90 de Modbus pour l’administration (un article détaillé est par ailleurs disponible ici : https://www.securityinsider-wavestone.com/2018/02/fun-with-modbus-0x5a.html
• Modicon_command_CTv2 – module Metasploit pour arrêter/démarrer une CPU (contribution Wavestone) : https://github.com/wavestone-cdt/fun-with-modbus-0x5a/blob/master/modicon_command_CTv2.rb
• Modicon_stux_transfer_ASO – module Metasploit pour télécharger le programme d’un automate (contribution Wavestone) : https://github.com/wavestone-cdt/fun-with-modbus-0x5a/blob/master/modicon_stux_transfer_ASO.rb
• Schneider – module pour forcer les entrées / sorties d’un automate développé par Wavestone : https://github.com/wavestone-cdt/fun-with-modbus-0x5a/blob/master/schneider.rb

Cet article Pentesting ICS 101 est apparu en premier sur RiskInsight.