Guide Securite Industrielle Version Finale

Matriser la SSI
pour les systmes

industriels
La cyberscurit des systmes industriels
Table des matires

Avant-propos 5
Objectifs du guide

7
1 - Contexte et enjeux de la cyberscurit des systmes industriels 9
1.1 -
Mythes et ralits des SI industriels
1.1.1 - Ralits des systmes dinformation de gestion et des systmes dinformation

industriels
9
1.1.2 - Quelques mythes concernant les systmes dinformation industriels
1.2 -
Les enjeux de la cyberscurit des systmes industriels
10
12
1.2.1 - Gnralits sur les attaques
12
1.2.2 - Les ngligences humaines
12
1.2.3 - Vulnrabilits des systmes dinformation industriels
13
1.2.4 - Les impacts potentiels sur les systmes industriels
13
2-
Mthode de dploiement de la SSI 15
2.1 -
Rappel du rle de la SSI
15
2.2 -
Les grands principes de la SSI
15
2.2.1 - Sensibilisation des personnels
16
2.2.2 - Cartographie des installations et analyse de risque
16
2.2.3 - Prvention: concept de la dfense en profondeur
17
2.2.4 - Surveillance des installations et dtection des incidents
2.2.6 - Veille sur les menaces et les vulnrabilits
18
19
2.2.7 - Les plans de reprise et de continuit dactivit (PRA / PCA /DRP)

2.3 -
17
18
2.2.5 - Traitement des incidents, chane dalerte
Une approche globale et structure
19
2.3.1 - Une volont tous les niveaux (engagement de la direction)
19
2.3.2 - Prise en compte de la SSI dans les projets
20
2.3.3 - Prise en compte de la SSI dans les AMDEC / HAZOP
21
2.3.4 - Prise en compte de la SSI dans la maintenance
22
2.3.5 - Prise en compte de la SSI dans les achats
23
Annexe A: Vulnrabilits frquemment rencontres 25

Annexe B : Bonnes pratiques (check-list)
27
Annexe C : Sigles et acronymes
35
Annexe D : Rfrences bibliographiques
37
AVANT-PROPOS
Alors quelle faisait, il y a encore peu, figure de science rserve quelques experts, la scurit
des systmes dinformation a merg ces dernires annes vers une prise de conscience
gnrale. Le Livre blanc sur la dfense et la scurit nationale tablissait en 2008 que la
cyberscurit tait un enjeu majeur des quinze annes venir, et mettait dj en exergue
limprieuse ncessit de protger les systmes dimportance vitale.
Depuis le Livre blanc, une prise de conscience a bien eu lieu, mme si elle sest faite
marche force, au rythme des attaques et des incidents subis par les pays les plus
dvelopps. Indisponibilit massive du rseau, attaques contre des systmes dinformation
gouvernementaux, espionnage dentreprises stratgiques, oprations de dstabilisation et
pannes en tous genres ont malheureusement occup lactualit des trois dernires annes.
Les systmes industriels, mme lorsquils ne sont pas connects Internet, sont exposs
ces risques. Le ver Stuxnet, apparu en 2010, est la preuve tangible que nos pires craintes
dattaques sur des installations sensibles peuvent se raliser. En 2009 un adolescent ingnieux
et inconscient a fait drailler via Internet un tramway en Pologne, dmontrant la vulnrabilit
du systme daiguillage. On pourrait galement parler de rupture de pipeline ou encore de
pollution des eaux... Ce ne sont malheureusement pas les exemples qui manquent.
Les systmes industriels sont donc tout autant concerns, et probablement mme davantage,
que les autres systmes dinformation par les enjeux de la cyberscurit.
Le dfi est l : comme lensemble de la socit, les industries ont bien souvent intgr le
numrique au fil de leau et sans stratgie initiale, des systmes htrognes sinterconnectant
avec comme soucis majeurs la productivit, lefficacit et la sret mais rarement la scurit...
Faut-il relever ce dfi ? La question ne se pose pas tant les enjeux sont considrables ! Ce
serait comme se demander si on peut se passer de contrle daccs physique aux installations
sensibles, ou de mesures sanitaires pour protger ses salaris, les citoyens et lenvironnement.
Les industries ont un atout pour la scurit de leurs systmes dinformation : elles ont une
forte culture de la sret de fonctionnement de leurs installations, et disposent le plus souvent
en interne de comptences en matire de cyberscurit pour leurs systmes bureautiques. Il
faut dsormais que ces deux cultures se rencontrent et que les forces sunissent pour protger
convenablement les systmes industriels.
Il revient aux directions gnrales den prendre la dcision, de mandater formellement un
coordinateur SSI pour renforcer la scurit des systmes industriels et de lui en donner les
moyens matriels, financiers, organisationnels et humains.
Le guide sur la cyberscurit des systmes industriels publi par lAgence nationale de la
scurit des systmes dinformation est fait pour accompagner les entreprises dans cette
dmarche. Il vous est prsent ici dans sa premire version publique. Il est destin voluer
avec les usages, mais aussi avec vos contributions et retours dexprience.
Il saccompagne dun cas pratique destin illustrer des situations prsentant des risques pour
les entreprises et en exposer leur traitement.
Enfin, ce guide ne sadresse pas uniquement aux industries; son contenu sapplique galement
sans que cette liste soit exhaustive aux data centers, aux smartgrids, aux systmes de
gestion technique des btiments (GTB), de gestion technique centralise (GTC), mais aussi
de nombreux systmes embarqus.
Les publications de lANSSI sont diffuses sur son site Internet :

http://www.ssi.gouv.fr/publications/
Toutes remarques sur ce guide peuvent tre adresses : systemes_industriels@ssi.gouv.fr
OBJECTIFS DU GUIDE
Ce guide sattache tudier la scurit des systmes dinformation industriels. Bien que
spcifiques chaque installation, ils se composent le plus souvent des lments suivants:
automates Programmables Industriels (API ou PLC);
systmes Numriques de Contrle-Commande (SNCC) ;
systmes Instruments de Scurit (SIS)1 ;
capteurs et actionneurs(intelligents ou non);
bus de terrain;
logiciels de supervision et de contrle: SCADA;
logiciels de gestion de production assiste par ordinateur (GPAO, MES);
logiciels dingnierie et de maintenance;
systmes embarqus.
Les systmes industriels utilisent aujourdhui abondamment les technologies de linformation

alors quils nont pas t conus pour faire face aux menaces quelles introduisent. Les
exemples de publication de vulnrabilits des systmes industriels sont aujourdhui nombreux
(protocoles Modbus et OPC par exemple).
Cest pourquoi il est ncessaire de les intgrer dans la rflexion gnrale sur la scurit
des systmes dinformation de lentreprise2.
Lobjectif de ce guide nest pas de dresser un inventaire exhaustif de recommandations ni
dnumrer lensemble des composants dun systme industriel. Il propose une dmarche de
sensibilisation et de mise en uvre de bonnes pratiques pour accompagner les entreprises
dans le dploiement de la scurit.
Il nexiste pas de solution idale ou passe-partout. Lannexe B prsente des bonnes pratiques
possibles. Chaque installation prsente des particularits et des risques propres quil convient
danalyser pour dployer des solutions adaptes en limitant les impacts sur lactivit mtier
de lentreprise.
La scurisation dune installation engendre des cots, bien souvent difficiles estimer. Les
gains apports le sont galement. Nanmoins, ce processus de scurisation protge les
investissements et la production de lentreprise. Cest pourquoi, il est important de dfinir
les bons objectifs et de les adapter aux besoins. Paradoxalement, la sur-scurit peut
provoquer des effets contraires ceux recherchs et nuire aux performances industrielles.
Les sigles et acronymes utiliss dans le document sont reprise en annexe C.
1
Le terme scurit dsigne ici la scurit des biens et des personnes. Certains domaines parlent alors de
sret.
2
Le systme dinformation dentreprise regroupe lensemble des systmes dinformation dune entreprise, cest
dire les systmes dinformation de gestion (systmes dinformation destins aux services et applications de bureautique,
de gestion des ressources humaines, de relations clients ou encore de gestion intgre) et industriels.
1 - CONTEXTE ET ENJEUX DE LA CYBERSCURIT

DES SYSTMES INSDUSTRIELS
1.1 - Mythes et ralits des SI industriels
1.1.1 - Ralits des systmes dinformation de gestion et des systmes
dinformation industriels
Bien quutilisant de plus en plus des technologies standardises de linformatique classique
ou conventionnelle (IT), les systmes industriels prsentent des spcificits propres aux
contextes dans lesquels ils sont utiliss. Ils se diffrencient des systmes dinformation de gestion
par le fait quils pilotent des installations physiques (units et chanes de production, units
de distribution deau, dnergie, infrastructures routires, ferroviaires); certains assurent en
outre des fonctions de protection des biens et des personnes ou de lenvironnement.
Systmes
dinformation Systmes dinformation industriels
de gestion
piloter des installations (physique,
concret), rguler des procds, acqurir
et traiter des donnes
contraintes
mtier
et
contraintes
contraintes
mtier
et
Aspects
temps rel , contraintes de sret de
contraintes de confidentialit
Fonctionnels
fonctionnement (SdF) , disponibilit 24/7
automaticiens,
instrumentistes
Culture des
informaticiens
lectrotechniciens, spcialistes en gnie
intervenants
du procd
ateliers de production : poussire,
Environnement salle serveur climatise, temprature, vibrations,
bureau voire domicile
lectromagntisme, produits nocifs
physique
proximit, environnement extrieur, etc.
dans des entrepts, des usines, sur la voie
majoritairement dans des
publique, dans la campagne (stations
L o c a l i s a t i o n locaux ferms (bureau, de pompage, sous-stations lectriques,
domicile dans le cas du
gographique
etc.), des lieux isols, en mer, dans lair
tltravail)
et dans lespace
environ
5
ans
plus de 10 ans (parfois 30 ou 40 ans)
Dure de vie
la multitude de paramtres et la
Gestion des
analyse post incident
complexit de lenvironnement limite la
incidents
reproductibilit de lincident
des systmes temps rel et robustes par
des systmes standards; des
rapport aux conditions difficiles des
systmes durcis face aux
Composants
milieux industriels ; des systmes sur
attaques informatiques
EPROM, sans disque dur
Objectif des
systmes
traiter des donnes
Systmes
dinformation Systmes dinformation industriels
de gestion
la grande dure de vie des installations
la
compatibilit
des
conduit une superposition des
H t r o g n i t composants est une exigence vagues technologiques successives sur
des composants technique (homognit et un mme site entrainant un phnomne
interoprabilit).
dobsolescence des matriels et logiciels.
1.1.2 - Quelques mythes concernant les systmes dinformation industriels

Il existe un certain nombre de mythes relatifs aux systmes dinformation industriels. Les plus
communment admis sont examins ici.
Le mythe
La ralit
Les systmes dinformation industriels sont souvent
connects aux rseaux de gestion et parfois
directement Internet.
Les cls USB et les consoles de maintenance sont par

Mes rseaux industriels sont isols, ailleurs des vecteurs majeurs de propagation de virus
je suis protg.
y compris sur des systmes isols.
Les besoins croissants de remonte de donnes vers
le SI de gestion rend, terme, lisolation des rseaux
industriels utopique.
Mme les solutions propritaires
comportent
des composants standards, pour des raisons
Jutilise des protocoles et bases dinteroprabilit (avec le systme dexploitation
de donnes propritaires, je suis par exemple) et de moindre cot. Les solutions
propritaires sont suceptibles dtre vulnrables car
protg.
elles peuvent navoir fait lobjet daucune analyse de
scurit.
Lintgration des mcanismes
de scurit (chiffrement, filtrage,
authentification) est incompatible
avec les contraintes de temps de
rponse exiges.
Les performances des composants ne sont plus un

frein au dploiement de fonctions de scurit.
En revanche, les difficults existent pour les systmes
temps rel.
La SSI est incompatible avec la Au contraire la SSI et la SdF se rejoignent sur de

nombreux points, voir 2.3.3
Sret de fonctionnement (SdF).
Ce principe est de moins en mois employ car
trs coteux. De plus des produits de constructeurs
Les mesures de SdF comme la diffrents sappuient parfois sur les mmes
redondance htrogne protgent technologies et intgrent parfois les mmes
des attaques en disponibilit. composants matriels et logiciels. Ils contiennent
donc dans ce cas des vulnrabilits identiques.
10
Le mythe
La ralit
La
La SSI cote cher.
SSI
doit
tre
proportionne
aux
enjeux.
Elle cotera dautant moins cher si elle est prise

en compte intelligemment dans les phases
amont des projets. Son cot doit en thorie rester
infrieur limpact maximal dune attaque,
mais il est exact quil nexiste pas de mode de
calcul de son retour sur investissement (ROI).
Une attaque peut crer un dysfonctionnement

global des installations plus difficile identifier et
Une attaque du SI Industriel aura plus pernicieux (sabotage industriel, ralentissement
toujours moins dimpact quun de la production) quune attaque physique pouvant
incident physique (vol de cbles, entrainer un temps de rtablissement trs long.
incendie,), ou terroriste (explosion Les
dysfonctionnements
provoqus
peuvent
dun rservoir de stockage de ptrole devenir un facteur aggravant et provoquer une
dans une raffinerie par exemple). catastrophe industrielle, humaine ou cologique
(ex. inhibition dalarme de surveillance de
produits dangereux sur un site SEVESO).
La SSI doit tre centre sur les enjeux critiques.
Elle na pas pour objet de bloquer des comportements
utiles, mais de prvenir les comportements
La SSI mempchera de travailler
dangereux (ce qui suppose de les identifier au
comme je veux.
pralable). La SSI impose parfois de formaliser des
mesures de contournement des modes nominaux de
fonctionnement (des modes dgrads doprations).
11
1.2 - Les enjeux de la cyberscurit des systmes industriels

1.2.1 - Gnralits sur les attaques
On distingue plusieurs types dattaques:
les attaques cibles, objectif par exemple idologique ou vnal, engages par une
personne ou un groupe de personnes contre une organisation dans le but de nuire, en
perturbant ces processus, voire en provoquant des dgts matriels. Les attaquants sont
des personnes organises disposant de moyens pour atteindre leurs objectifs. Des officines
proposent sur Internet des services de cyber-attaque, ou publient des outils cls en main
pour mener des attaques (packages dexploits3);
les attaques challenge dont lobjectif est de dmontrer une capacit technique
sintroduire dans des systmes rputs scuriss, mais dont les effets en termes de
production, de scurit des biens et des personnes ou dimage de marque sont rels pour
les victimes ;
certaines attaques non cibles, cherchant impacter le plus de monde possible,

peuvent crer des dommages significatifs dans les entreprises (virus, campagnes de spam
par exemple).
1.2.2 - Les ngligences humaines

Les ngligences ne sont pas le fruit dactions volontaires et malveillantes, mais leurs effets
peuvent tre similaires ceux des attaques. Elles peuvent crer des vulnrabilits difficiles
dtecter, qui pourront tre exploites par des attaquants ou simplement affecter la disponibilit
des systmes.
Par exemple, la modification involontaire de rglages dasservissements, ou la modification
dune alarme peut avoir des consquences dsastreuses sur la qualit des produits, services
dlivrs, lenvironnement, la sant ou la scurit des personnes.
Lutilisation dune cl USB quelle soit personnelle ou non pour transfrer des donnes
entre des systmes industriels isols, peut mener une indisponibilit des systmes si cette cl
est porteuse de virus.
Dans ces deux cas trs concrets issus dexpriences vcues, les intervenants nont pas
eu la volont de nuire. Les impacts sur les installations ont t pourtant bien rels.
Ces ngligences peuvent avoir pour cause un manque de formation du personnel et
dinformation sur les enjeux.
3
Des packages dexploit sont officiellement commercialiss comme outils SSI dans le but de dtecter des
vulnrabilits lors daudits par exemple. Ces packages peuvent bien videment aussi tre utiliss par des personnes
malveillantes.
12
1.2.3 - Vulnrabilits des systmes dinformation industriels

Les vulnrabilits peuvent tre dorigines multiples et lobjet de ce guide nest pas de les
rpertorier. Quelques exemples de vulnrabilits frquemment rencontres sur les installations
industrielles sont listes en annexe A.
.
Les besoins croissants de consolidation des donnes de lentreprise, de leur accs en temps
rel depuis nimporte quel point de la plante, la rduction des cots de dveloppement et de
possession ainsi que les contraintes de planning ont prcipit la convergence du domaine de
linformatique industrielle et de linformatique de gestion.
Les rseaux Ethernet sont dsormais employs dans les systmes industriels jusque dans le
domaine des bus de terrain. Ils offrent de nouvelles fonctionnalits comme la mutualisation
des infrastructures rseau et la possibilit dutiliser les couches IP (pour la tlmaintenance
par exemple).
Les outils de dveloppement, de maintenance et tlmaintenance sont aujourdhui
entirement dvelopps sur des briques gnriques issues de linformatique de gestion
(plateforme .Net, Java par exemple).
La standardisation des systmes et les nouvelles fonctionnalits ont apport aux systmes
industriels les vulnrabilits du monde de linformatique de gestion. Les systmes dits
propritaires, souvent pauvres en mcanismes de scurit, ne sont pas pour autant labri de
vulnrabilits pouvant tre exploites par des attaquants motivs et organiss.
Alors que le monde de linformatique de gestion parvient corriger rgulirement les
vulnrabilits, notamment par lapplication de correctifs publis par les constructeurs et les
diteurs de logiciels, le monde industriel, de par ses contraintes de disponibilit et de
sret, ne peut pas adopter les mmes protections. Cette diffrence de ractivit face aux
vulnrabilits publiques est un des principaux risques des systmes dinformation industriels.
Le manque de formation des intervenants, les diffrences de cultures ou le manque de prise
de conscience des risques lis la SSI peuvent constituer une autre vulnrabilit majeure.
1.2.4 - Les impacts potentiels sur les systmes industriels

De nombreux incidents sur les systmes industriels surviennent chaque anne, mais peu sont
mdiatiss, comme lincident de centrale nuclaire au Royaume-Uni li Conficker, lincident
li au ver Slammer aux USA, ou en 2010 la propagation gnralise du ver Stuxnet4. Leurs
impacts peuvent tre analyss selon diffrents axes, prsents ci-dessous:
4
Stuxnet est un code malveillant visant les systmes industriels. Il exploite de multiples vulnrabilits prsentent
dans le systme dexploitation Microsoft Windows et le progiciel de SCADA WinCC de Siemens. Le code malveillant
modifie le programme excut par certains automates industriels de la gamme Simatic S7 de Siemens. Les modifications
ralises peuvent conduire au ralentissement de la production mais aussi la destruction physique des installations
pilotes par lautomate.
13
Dommages matriels / La modification des configurations nominales des installations

peut provoquer des dgradations physiques avec le plus souvent
corporels
des consquences matrielles mais parfois aussi humaines.
Linterruption de la production gnre des manques gagner
Perte de chiffre
importants.
daffaires
Impact sur
lenvironnement
Vol de donnes
Responsabilit
civile / pnale Image et notorit
La modification de paramtres de fabrication conduisant des

produits non conformes gnre des cots importants.
La dfaillance du systme suite une prise de contrle
malveillante peut gnrer un dysfonctionnement des installations
(ouverture de vannes de produits polluants) et provoquer une
pollution du site et de son environnement. Un tel incident sest
produit en Australie ces dernires annes.
Perte de secret de fabrication, contrefaons, avantage pour la
concurrence.
Lindisponibilit du service comme la rupture de distribution
dlectricit ou deau, ainsi que la fourniture de produits
dfectueux mettant en danger le consommateur peuvent aboutir
des poursuites pour les dommages occasionns ou simplement
dgrader limage de lentreprise (la satisfaction du client et sa
confiance).
Ces diffrents impacts gnrent des pertes financires lies la perte dactivit ou au versement
de compensations aux victimes potentielles (clients, particuliers, collectivits territoriales,
associations, tat voire Union Europenne) ainsi quune atteinte limage de lentreprise.
14
2 - MTHODE DE DEPLOIEMENT DE LA SSI

2.1 - Rappel du rle de la SSI
Lobjectif de la SSI est dtudier les vulnrabilits des systmes (matriel, logiciel, procdures,
aspects humains) afin de dployer des mesures pour les limiter et permettre dassurer la
continuit des fonctions mtier un niveau acceptable.
Souvent perue comme une contrainte, une SSI bien pense contribue au contraire
amliorer la robustesse des installations et la productivit des entreprises.
Comme lindique le Rfrentiel gnral de scurit (RGS)5, elle repose sur quatre piliers
indispensables au bon fonctionnement des systmes industriels:
la disponibilit : dans un contexte de forte productivit, la dgradation de la
disponibilit se traduit directement en perte financire et insatisfaction des clients (retards
de livraison, augmentation des cots de production, arrts de production) ;
lintgrit : son respect certifie que les produits et services fournis sont
conformes aux exigences des clients ou aux exigences rglementaires. Pour les
systmes instruments de scurit assurant la protection des biens et des personnes
(commandes darrt durgence par exemple), elle est mme imprative.
Lintgrit concerne lensemble des composants des systmes industriels: les programmes
des automates, des donnes changes entre les installations, les bases de donnes des
logiciels de SCADA par exemple ;
la confidentialit : elle est parfois minimise, mais une divulgation du patrimoine

informationnel de lentreprise peut avoir un impact bien rel sur ses profits et son avenir
(perte de clients). Les systmes industriels contiennent des paramtres et des donnes
sensibles comme des recettes de fabrication, des quantits de produits utiliss, des
plans dinstallations, des plans de maintenance, des programmes PLC ou encore des
listes dadresses dquipements. Ceux-ci peuvent tre exploits par des concurrents ou
des groupes malveillants pour diriger des attaques cibles ou simplement collecter des
donnes permettant de copier le savoir-faire de lentreprise ;
la traabilit : il sagit dune exigence rglementaire dans de nombreux secteurs

dactivit (agro-alimentaire, transport, nuclaire...). Limpossibilit dapporter la preuve de
la traabilit des oprations ralises, des matires utilises ainsi que de leur origine, et
le non-respect des exigences rglementaires peuvent conduire des poursuites judiciaires
pour lentreprise.
2.2 - Les grands principes de la SSI

Le dploiement puis la gestion de la scurit devraient tre organiss afin de protger
linstallation des consquences dincidents de scurit. Les activits peuvent tre organises
selon les phases prsentes ci-dessus. Il sagit dun processus continu, demandant des efforts
permanents.
Voir sur le site de lANSSI : http://www.ssi.gouv.fr/rgs/
15
2.2.1 - Sensibilisation des personnels

Une partie importante des incidents est lie une mconnaissance par les intervenants des
risques sur linstallation. Leur sensibilisation aux rgles dhygine informatique contribue
rduire les vulnrabilits et les opportunits dattaques6. La sensibilisation doit tre rgulire
car les risques voluent en permanence.
2.2.2 - Cartographie des installations et analyse de risque

Il est illusoire de vouloir plaquer une dmarche scurit sur un SI industriel sans une
comprhension pralable du besoin mtier quil sert. Il est donc important de dterminer:
les objectifs mtier (production, distribution, protection des biens et des personnes)
et les services assurs;
les impacts en cas dinterruption de service;
les fonctions indispensables latteinte des objectifs, et en particulier:

leurs niveaux dimplication et de criticit dans la ralisation des services,
systmes qui les portent,
si ces systmes sont centraliss, distribus, accessibles distance, etc. ;
Un inventaire des installations matrielles, des systmes et des applications critiques est
un pr-requis incontournable la mise en place de la scurit des SI dans les installations
industrielles. Cet inventaire est la premire tape de lanalyse des risques, qui permettra de
dfinir les diffrents niveaux de criticit, de sret, de disponibilit ou dintgrit attendues
pour les lments cartographis.
Tout projet doit en effet comprendre une analyse de risque afin didentifier les lments
sensibles du systme, leurs besoins et les objectifs de scurit face aux menaces retenues.
Ces objectifs sont alors dclins en exigences de scurit, qui porteront sur le systme luimme (robustesse intrinsque), sur son environnement de conception, de construction et
dexploitation. Ces exigences sont ensuite traduites en mesures techniques, physiques, et
organisationnelles.
Clairement formalises dans une cible de scurit, elles forment la rfrence scurit du
systme.
Les principes de lanalyse de risque en SSI ne diffrent pas de ceux de la sret de
fonctionnement mme si les terminologies employes peuvent ne pas tre identiques.
Il existe plusieurs mthodes danalyse de risque. LANSSI propose la mthode EBIOS7.
Les conclusions de lanalyse de risque aboutissent la dfinition des mesures de scurit
adquates, dont les efforts sont proportionns aux enjeux et adapts aux besoins rels. Cellesci peuvent tre techniques mais aussi organisationnelles.
6
7
16
Voir sur le site de lANSSI : http://www.ssi.gouv.fr/fr/bonnes-pratiques/principes-generaux/

Voir sur le site de lANSSI : http://www.ssi.gouv.fr/ebios/
2.2.3 - Prvention: concept de la dfense en profondeur

La dfense en profondeur consiste protger les installations en les entourant de plusieurs
barrires de protection autonomes et successives. Elles peuvent tre technologiques, lies
des procdures organisationnelles ou humaines.
Intrinsquement, les logiciels ou les quipements embarqus contiennent des bogues et des
vulnrabilits. Certains sont connus et dautres sont dcouverts au fil du temps. Il faut rduire
les surfaces exposes.
Adopter une dmarche de dfense en profondeur permet de se protger contre des menaces
qui ne sont pas encore connues, de diminuer le primtre sur lequel une menace est exerce
ou den attnuer limpact.
Le simple cloisonnement des rseaux par des pare-feux ne suffit pas. Dautres mcanismes
doivent laccompagner et diffrents niveaux (contrle daccs physique, durcissement des
configurations, protection antivirale...).
Sur danciennes installations, les mises jour automatiques peuvent tre incompatibles avec
les contraintes de disponibilit et les logiciels antivirus peuvent perturber le fonctionnement
des applications mtier qui nont pas t conues pour cela.
Dautres mcanismes peuvent tre dploys comme le durcissement des systmes dexploitation
et la dtection dintrusion. Les solutions sont multiples. Il convient dutiliser des barrires
adaptes aux installations, qui ne nuisent pas aux objectifs mtier, puis destimer les impacts
rsiduels.
Il peut tre galement utile de consulter les livres blancs et recommandations des quipementiers
et consulter les pages Web de lANSSI8 sur le sujet.
La stratgie de dfense en profondeur doit intgrer non seulement une dmarche de protection
prventive, mais aussi des mesures de surveillance, de dtection et de raction.
2.2.4 - Surveillance des installations et dtection des incidents

Dtecter un incident est une action majeure dont limportance est souvent sous-estime.
Dans un environnement industriel, il peut tre complexe, voire impossible, de dployer
certaines barrires de protection sans impacter les fonctions mtier. Les contre-mesures
devraient inclure des mcanismes de dtection et de surveillance des installations. Leur
fonctionnement est transparent et ainsi ne perturbe pas les fonctions mtier.
Ces mesures nempcheront pas un incident mais permettront de le dtecter et den
limiter autant que possible les effets.
Plus un incident sera dtect tt, plus il sera possible de mettre en place des mesures pour en
rduire et confiner les effets comme par exemple:
isoler physiquement les installations en cas dattaque virale pour limiter les risques de
propagation;
arrter une installation avant sa dgradation si des donnes de configuration ne sont

Voir sur le site de lANSSI : http://www.ssi.gouv.fr
17
plus intgres, suite des erreurs ou des modifications intentionnelles (cela permet par
exemple dempcher la dtrioration des quipements qui pourrait tre occasionne par
la propagation dun ver tel que Stuxnet).
Enfin la collecte des informations au travers des journaux dalarmes et dvnements est
indispensable aux analyses ultrieures. Ces journaux pourront dans certains cas apporter des
lments utiles et des preuves dans le cadre dune enqute judiciaire.
2.2.5 - Traitement des incidents, chane dalerte

Un dispositif de dtection na de sens quassoci la mise en place dune organisation et de
procdures pour traiter les incidents. Il convient de dterminer:
que faire lors de la dtection dun incident;
qui alerter;
quelles sont les premires mesures appliquer.
Un processus descalade doit tre dfini pour grer les incidents au bon niveau de
responsabilit, et dcider en consquence:
sil faut dclencher un Plan de Reprise dActivit (PRA);
si une action judiciaire est ncessaire.
Une note de lANSSI9 dcrit les bons rflexes en cas dintrusion sur un systme dinformation.
La gestion des incidents doit galement intgrer une phase danalyse post incident qui
permettra damliorer lefficacit des mesures de SSI dployes initialement.
2.2.6 - Veille sur les menaces et les vulnrabilits

La SSI est une action continue ncessitant des efforts permanents.
Se tenir inform de lvolution des menaces, des vulnrabilits en identifiant les incidents
quelles favorisent, ainsi que de leurs effets potentiels constitue une mesure fondamentale de
dfense.
Les sites Internet comme celui du centre oprationnel de lANSSI10 ou les sites des
quipementiers sont des sources dinformation importantes sur les vulnrabilits identifies,
les ventuels correctifs existants ou les contre-mesures quil est possible de mettre en place.
Les mises jour des micrologiciels (firmwares) des PLC et autres quipements, correctifs des
systmes dexploitation et des applications font lobjet dalertes et davis. Des flux RSS ou Atom
permettent souvent dobtenir linformation rapidement.
Il peut tre utile de se rapprocher des quipementiers pour connatre la meilleure faon de
se tenir inform. Penser galement demander ses fournisseurs, au travers des contrats,
dtre tenu inform des vulnrabilits. Lactivit de veille sera dautant plus efficace que la
cartographie sera exhaustive.
9
10
18
Voir sur le site du CERTA : http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/index.html

Voir sur le site du CERTA : http://www.certa.ssi.gouv.fr/
2.2.7 - Les plans de reprise et de continuit dactivit (PRA / PCA / DRP)

La scurit absolue et le risque zro nexistent pas.
Se prparer faire face des vnements exceptionnels pour lesquels toutes les mesures
prcdentes auraient chou minimisera les impacts et permettra de redmarrer lactivit le
plus rapidement possible.
Les Plans de Continuit dActivit mtier de lentreprise (PCA) doivent donc intgrer les systmes
dinformation industriels. Ils incluent la dfinition des Plan de Reprise dActivit (PRA), ou
Disaster Recovery Plan (DRP), qui identifient les moyens et procdures ncessaires pour revenir
une situation nominale le plus rapidement possible, en cas de sinistre ou dvnements
exceptionnels. Ils devraient dcrire comment reconstruire le systme suite une attaque virale,
un incendie, une inondation ou une perte de donnes.
Le PCA devrait tre rgulirement mis jour, en fonction:
des volutions propres de linfrastructure (maintenance, intgration de nouveaux
composants, qui peuvent introduire de nouvelles vulnrabilits) ;
de lvolution des menaces.
2.3 - Une approche globale et structure

La SSI ne se traite pas dans lurgence, de faon ponctuelle ou isole. Il sagit dune dmarche
qui se planifie et qui demande la participation de ressources et comptences multiples ainsi
quun engagement fort au plus haut niveau de la hirarchie.
2.3.1 - Une volont tous les niveaux (engagement de la direction)

Fixer des objectifs adapts aux enjeux, dfinir une stratgie, sensibiliser et former les personnels
sont autant de tches qui incombent la direction. La dmarche peut tre progressive,
ralise en plusieurs phases dans le temps en adressant les lments du plus simple au plus
complexe, du plus vident ou moins vident mais elle doit tre globale. Elle peut sappuyer
sur les standards de la scurit des systmes dinformation existants, en prenant en compte les
contraintes spcifiques aux systmes industriels.
Les systmes dinformation industriels doivent tre intgrs dans les politiques de scurit des
systmes dinformation de lentreprise, comme tout autre systme dinformation et ceci, ds
lorigine du projet. Les problmatiques de scurit ne sont pas spcifiques ce domaine, mais
la mise en uvre des solutions demande ce quelles soient ajustes au contexte industriel.
Bien souvent, les organisations ne favorisent pas le rapprochement du monde de linformatique
classique de celui des systmes industriels. Cest pourquoi le projet de dploiement de la
scurit sur les systmes dinformation industriels ne peut pas russir sans limplication du
management au plus haut niveau de lentreprise.
19
2.3.2 - Prise en compte de la SSI dans les projets

La scurit du systme doit tre envisage ds le dbut du projet, par lutilisateur final qui doit
exprimer ses besoins.
En phase de spcification:
dfinir les moyens de raliser les oprations de maintenance prventive et curative
permettant de maintenir le niveau de SSI dans la dure: modes dgrads par exemple
pour raliser des mises jour (par exemple figer les sorties automates pendant la mise
jour du firmware);
dfinir la localisation des quipements afin dassurer leur scurit physique ;
prvoir la possibilit de changer les configurations par dfaut comme les mots de passe
partir de lIHM;
exiger la non-adhrence des logiciels fournis une version prcise dune autre brique
logicielle (systme dexploitation, systme de gestion de bases de donnes, etc.) ;
dfaut, exiger que le fournisseur assure la compatibilit ascendante avec les volutions
des briques adhrentes;
intgrer des mcanismes pour faciliter la requalification dune installation suite des
modifications (ex. simulation de process, forage de valeurs, etc.) ;
exiger que le logiciels non indispensables la conduite des installations soient installs
sur dautres postes (des postes bureautique pour lire des fichiers PDF ou remplir des
feuilles de calcul par exemple).
En phase de conception:
rduire les interfaces et la complexit du systme afin de limiter lintroduction de
vulnrabilits lors de limplmentation;
slectionner les composants offrant les meilleures caractristiques pour rpondre aux
exigences de scurit (mcanismes dauthentification, sgrgation des droits, etc. );
appliquer le principe du besoin den connatre ou du moindre privilge, de la

sgrgation des droits, et maintenir un principe daccs non accord si non explicitement
autoris pour les accs au systme;
distinguer clairement les profils utilisateur et administrateur;
prvoir la gestion des exceptions (dbordement de plage de valeurs, erreurs internes

des composants) ;
prvoir des mcanismes permettant de gnraliser les changements sur un ensemble

dquipements (changements de mots de passe par exemple).
En phase dintgration:
changer les configurations par dfaut (mots de passe par exemple);
supprimer ou dsactiver les fonctions non utilises mais actives par dfaut;
penser supprimer les fonctions de dbogage comme les traces utilises pour analyser
le comportement des installations.
En phase de test:
raliser les tests fonctionnels de scurit;
drouler les tests aux limites, les tests derreur des fonctions mtier et vrifier les
exceptions;
20
tester des scnarios de menace (tests de pntration et tentatives de prise de contrle);
tester les moyens de raliser les oprations de maintien du niveau de SSI (dploiement
de correctifs, analyse de journaux dvnements);
vrifier les performances du systme.
Ces tests se droulent de faon unitaire lors de la recette usine (Factory Acceptance Testing:
FAT) puis de faon globale lors de la recette sur site (Site Acceptance Testing: SAT).
Il peut tre important dexiger la ralisation, par une quipe indpendante, dun audit SSI
pour vrifier ladquation des installations la cible de scurit exige.
Les tests se concluent par une phase de rception qui permet:
daccepter en connaissance de cause les risques rsiduels sur linstallation (principe
de lhomologation des systmes), formalise par la signature dun Procs Verbal (PV) de
rception;
deffectuer le transfert de proprit et de la responsabilit du systme.
Les lments lists prcdemment sont loin dtre exhaustifs et dpendent des solutions
envisages pour chaque installation. Certaines sont construites partir de composants
sur tagre , dautres sont des solutions sur mesure utilisant des logiciels dvelopps
spcifiquement ou encore des solutions cls en main.
Processus de transfert en exploitation:
Lentreprise en charge de lexploitation peut ne pas tre le propritaire de linstallation et
donc ne pas avoir t implique dans le projet de ralisation de linstallation. Cela peut
concerner les cas de dlgations de service public, de concession dexploitation ou de contrat
dexploitation avec obligation de rsultat par exemple.
Dans ces cas, lentreprise en charge du futur contrat dexploitation doit tablir un tat des lieux
exhaustif du niveau de scurit de linstallation et des moyens disponibles pour le maintenir
un niveau acceptable. Cet tat des lieux devra tre accept ou faire lobjet dune ngociation
avec lentreprise adjudicatrice du contrat dexploitation afin que lensemble des parties soit
daccord sur le niveau de SSI de linstallation telle que construite, ainsi que des moyens
actuels quelle intgre pour le maintenir un niveau acceptable. Le guide de lexternalisation11
publi par lANSSI peut apporter des rponses cette problmatique.
Enfin, il est rappel quil est essentiel de changer les mots de passe lors du transfert en
exploitation.
2.3.3 - Prise en compte de la SSI dans les AMDEC /HAZOP

Les incidents dorigine SSI peuvent tre la cause darrts de production ou de catastrophes
industrielles comme lont montr les exemples du chapitre 2.2.
Lintgrit dun programme automate de scurit, par exemple, est aujourdhui un enjeu aussi
bien du domaine de la SSI que du domaine de la sret. Un attaquant ou un virus qui modifie
un programme de scurit concerne les deux domaines. Stuxnet a montr que ce type de
scnario tait parfaitement crdible.
Labsence de SSI ou un niveau de SSI insuffisant peut donc tre la cause potentielle de mode
11
Voir sur le site de lANSSI : http://www.ssi.gouv.fr/externalisation
21
de dfaillance dinstallations industrielles. Lanalyse des modes de dfaillance est traite dans
les mthodes de sret de fonctionnement comme AMDEC12 ou encore HAZOP13.
Couvrir lensemble des risques impose de traiter conjointement les sujets SSI et sret de
fonctionnement dans une approche commune.
Par exemple, les causes potentielles dune monte en temprature dune installation au-del
de son seuil nominal peuvent tre:
un problme de mesure li la dfaillance dun capteur:
une dfaillance matrielle du capteur,
un mauvais talonnage du capteur,
la modification des paramtres du capteur, de manire intentionnelle par une
personne non autorise (prise de contrle par un attaquant, un virus) ou suite une
ngligence;
un problme li une vanne sur le circuit de refroidissement:
une dfaillance mcanique,
une dfaillance du servomoteur,
le forage de la commande de la vanne, de manire intentionnelle par une
personne non autorise (prise de contrle par un attaquant, un virus) ou suite une
ngligence,
un problme de rglage du point de consigne de rgulation du systme de
refroidissement,
une erreur de saisie dun oprateur,
un changement du point de consigne par une personne non autorise.
Les analyses de type AMDEC, FMEA ou HAZOP sont bien souvent complexes raliser et
demandent du temps. Impliquer des comptences en informatique de gestion et en SSI dans
les quipes ralisant ces travaux sera bien plus efficace quun travail autonome et non concert
o chacun dispose de la vision de son sujet, mais pas de la vision densemble.
2.3.4 - Prise en compte de la SSI dans la maintenance

La SSI des installations industrielles doit tre prise en compte lors de la rdaction des plans
de maintenance. Ces derniers doivent intgrer les oprations ncessaires pour maintenir le
niveau de scurit des systmes dans la dure:
dfinir les oprations de maintenance propres la SSI qui sont ncessaires au maintien
en conditions oprationnelles (MCO) et au maintien en conditions de scurit (MCS) :
en particulier, lintgration des correctifs proposs par lquipementier doit tre prvue;
intgrer dans les oprations de maintenance prventive mtier (maintenance lectrique,
mcanique par exemple) les oprations de SSI quil nest pas possible de raliser lorsque
linstallation est en fonctionnement.
Lorsquune chane de production est larrt, par exemple pour une maintenance mcanique
ou des contrles rglementaires, il peut tre opportun dappliquer les correctifs sur les
12
AMDEC : Analyse des Modes de Dfaillance, de leurs Effets et de leurs Criticit ou FMECA en anglais
(Failure Modes, Effects and Criticality Analysis). Outils danalyse de risque de suret de fonctionnement et de gestion de
la qualit.
13
HAZOP: HAZard and OPerability study. Mthode danalyse des risques utilise dans le domaine de la suret
de fonctionnement
22
automates pilotant linstallation dans le cas o des vulnrabilits auraient t identifies.

Les plans de maintenance des systmes dinformation industriels ne peuvent tre
dissocis des plans de maintenance des installations quils pilotent. Les oprations de
SSI devraient tre suivies dans loutil de gestion de maintenance des installations (GMAO14).
2.3.5 - Prise en compte de la SSI dans les achats

Les exigences de scurit sur le systme achet doivent faire lobjet dune tude et tre
clairement formalises (dans une cible de scurit ou dans le CCTP15) et intgres dans les
dossiers dappels doffres comme le sont les exigences fonctionnelles, de performance, de
qualit, denvironnement, de sret ou encore de respect des rglementations en vigueur.
Elles concernent le systme faisant lobjet de la consultation mais aussi la gestion du projet
lui-mme (formation voire habilitation des installateurs), en incluant les phases oprationnelles
et de maintenance. Il convient donc de:
vrifier dans les rponses appel doffres la couverture des exigences scurit inscrites
dans la consultation;
tablir les clauses concernant la maintenance de lquipement:

demander les plans de maintenance ncessaires pour maintenir linstallation en
condition oprationnelle et de scurit,
dfinir les processus de traitement des incidents et de fourniture de correctifs de
scurit: qui prend linitiative, qui dploie, sous quels dlais, qui fait les tests de bon
fonctionnement et comment, etc. ;
prciser les clauses concernant les conditions dintervention des sous-traitants:
prciser les conditions de support et dintervention sur site: la tlmaintenance estelle accepte (si oui quelle condition)? le prestataire peut-il partir du site avec un
quipement dfectueux et sa configuration? les intervenants peuvent-ils utiliser leurs
propres outils?
les intervenants doivent-ils disposer de qualifications particulires?
dterminer les clauses juridiques intgrer dans les contrats;
dfinir les conditions de proprit des codes sources et des paramtres:

qui est propritaire des diffrents codes source?
les sous-traitants peuvent-ils disposer des codes source en dehors du site?
dfinir le statut des paramtrages spcifiques linstallation; qui les maintient? qui
les sauvegarde? qui est autoris les modifier?
Pour plus dinformation sur les recommandations en matire de sous-traitance, consultez le
guide de lexternalisation publi par lANSSI16.
14
15
16
GMAO : Gestion de la Maintenance Assiste par Ordinateur

CCTP: Cahier des Clauses Techniques Particulires
Voir sur le site de lANSSI : http://www.ssi.gouv.fr/externalisation
23
24
ANNEXE A: VULNRABILITS FRQUEMMENT

RENCONTRES
Architecture et cartographie du SI:
pas dinventaire du parc de SI industriel, pas dinventaire des quipements, absence
de vision des gnrations technologiques qui cohabitent et de leurs vulnrabilits
intrinsques;
absence de plan de continuit ou de plan de reprise (DRP), pas danalyse de risque
sur le SI industriel.
Mesures techniques prventives:

mot de passe par dfaut pour les comptes de services, les bases de donnes, les
applicatifs, les accs en mode console (PLC, passerelles, quipements rseau), usage de
communauts SNMP;
mot de passe en clair dans les codes sources, dans les procdures dexploitation et les
donnes sauvegardes;
faiblesse de gestion des accs utilisateurs : les comptes restent actifs lorsque les
intervenants quittent le site, existence de comptes gnriques;
emploi de comptes avec des profils administrateur dans les applications, alors que
des droits utilisateur suffisent;
partage de fichier sur le rseau en accs complet alors quun accs en lecture seule
suffit;
accs en lecture (ou criture) des fichiers configurations via FTP ou TFTP;
outils de prise de main distance non scuriss (VNC, Dameware...):

services activs sans utilit fonctionnelle,
emploi de services / protocoles non scuriss: TFTP, HTTP, Telnet, SNMP v1 ou v2,
modification en ligne des programmes automates autorise sans contrle;
rechargement de la configuration au redmarrage via cl USB ou MMC17.
Maintenir la scurit dans la dure:

absence de sauvegarde des donnes, des codes sources, et de la configuration des
quipements;
absence de politique de gestion des mdias amovibles (ex.: blocage des ports USB)
alors que les cls USB non matrises sont autorises;
peu de supervision, peu de dtection dincidents;
absence de mise jour (correctifs) des systmes dexploitation, des applications, des
firmwares (pour les automates, capteurs/actionneurs intelligents);
absence de mcanisme de signature des firmwares (possibilit pour un attaquant de

diffuser une mise jour pige).
17
MMC: Multi Media Card.
25
26
ANNEXE B: BONNES PRATIQUES (CHECK-LIST)

De nombreuses bonnes pratiques sont similaires celles de linformatique de gestion, mais
leur mise en uvre est adapter aux contraintes du domaine industriel. Elles ne sont pas
classes par ordre de priorit et leur facilit de dploiement est propre chaque installation.
BP01: Contrle daccs physique aux quipements et aux bus de

terrain
Motivation
Mthode
Matriser les points daccs physique qui permettraient de sintroduire dans

le systme.
Identifier qui a besoin daccder aux quipements, pourquoi et quelle
frquence.
Installer les serveurs dans des locaux ferms sous contrle daccs (si
possible dans les salles informatiques).
Placer les units centrales des stations, les quipements rseaux industriels
et les automates dans des armoires fermes cl.
Primtre
Contraintes
Protger laccs au cble rseau et aux prises de connexion.

Stations, serveurs, quipements rseau, automates, capteurs/actionneurs,
crans tactiles.
Taille des installations - protection gnrale du site
Maintenir lautorisation daccs en cas durgence.

Moyens de Remonter un contact douverture de la porte pour gnrer une alarme sur
gestion des le SCADA.
contraintes
Procdure de type bris de glace
BP02: Cloisonnement des rseaux

Motivation
Mthode
Limiter la propagation des attaques et confiner les vulnrabilits.

tablir une cartographie des flux.
Sparer les rseaux par des quipements ddis ou des VLAN.
Filtrer les flux au moyen de pare-feu.
Primtre
Contraintes
Moyens de
gestion des
contraintes
Tracer les flux rejets et les analyser.

Rseau SCADA, rseau dautomates, rseau de dveloppement...
Contrainte de temps rel sur les rseaux procd.
Le filtrage sapplique en amont de ces rseaux. Laccs physique au rseau
procd est limit et contrl.
27
BP03: Gestion des mdias amovibles

Motivation
Mthode
Rduire les risques dattaque de virus vhiculs partir de mdias amovibles

(cls USB, DVD, etc.) qui sont des vecteurs majeurs de propagation.
Dfinir une politique pour lutilisation de ce type de mdia.
Activer les politiques de restrictions logicielles.
Dsactiver lutilisation de ces mdias et utiliser des sas (voir ci-dessous) pour
changer des donnes entre les rseaux si besoin.
Dsactiver les ports USB sur les systmes, restreindre les fonctionnalits (voir
La cyberscurit des systmes industriels Cas pratique, annexe C).
Stations, serveurs, console de programmation et de maintenance, crans
Primtre
tactiles.
Il peut tre ncessaire dchanger des donnes entre des rseaux qui ne
Contraintes
sont pas interconnects.
Moyens de Linstallation de sas, machines ddies aux transferts, peut tre un moyen
gestion des de rpondre aux besoins utilisateur. Ces machines doivent tre renforces,
rgulirement mises jour, quipes de logiciel antivirus et faire lobjet
contraintes
dune surveillance forte.
BP04: Gestion des comptes (accs logique, authentification)

Motivation
Mthode
Se protger des accs illicites.

Dfinir une politique de gestion des comptes utilisateur et des comptes
dapplication.
Ne pas laisser les comptes par dfaut sur les quipements et applications
(admin/admin).
Privilgier des mots de passe robustes (voir http://www.ssi.gouv.fr/fr/
bonnes-pratiques/recommandations-et-guides/ rubrique Scurit du poste
de travail-> calculer la force dun mot de passe et la note dinformation
du CERTA sur les mots de passe).
Primtre
Contraintes
Ne pas oublier de changer rgulirement les mots de passe.

Les systmes dexploitation, les bases de donnes, les applications SCADA,
les programmes automates, les quipements de rseau, les capteurs et
actionneurs
Comptes gnriques, souvent historiques;
Accs durgence.
Moyens de Tracer les actions ralises avec ces logins pour dtecter dventuelles drives
gestion des et comportements anormaux. Utiliser des procdures organisationnelles
strictes (cahier de suivi) pour pouvoir dterminer chaque instant lidentit
contraintes
des agents utilisant un compte gnrique.
28
BP05: Durcissement des configurations

Motivation
Mthode
Limiter la surface dexposition aux attaques.

Ninstaller que les logiciels ncessaires. Pas doutils de dveloppement sur
des serveurs de production ou stations oprateur.
Ninstaller ou nactiver que les protocoles et services ncessaires. Qui na
jamais dit Dans le doute je coche toutes les options dinstallation?
viter les choix proposs par dfaut.
Dsactiver systmatiquement les protocoles et fonctionnalits vulnrables
et non scuriss (serveur Web, NetBios, FTP,...). En particulier, dsactiver
les protocoles de dcouverte automatique dquipements ou de topologie
(LLDP) aprs avoir vrifi quils ne sont pas utiliss par des applications.
Dsactiver les modes de configuration et de programmation distance sur

les installations critiques. Sur les automates, ce mode se configure parfois
par un commutateur physique sur le CPU.
Systmes dexploitation, applications SCADA, automates, quipements
Primtre
rseau, capteurs/actionneurs intelligents, crans tactiles
Impacts des modifications sur le fonctionnement des applications
Contraintes
Moyens de Si malgr tout, certaines fonctionnalits non scurises sont ncessaires une
gestion des analyse dtaille et documente (traitement dexception par exemple) doit
apporter une justification et des contre-mesures doivent tre mises en place.
contraintes
BP06: Gestion des journaux dvnements et dalarmes

Motivation
Mthode
Surveiller les systmes / Dtecter les intrusions / Traer les actions et les
interventions de maintenance (ou tlmaintenance)
Activer les fonctions de traabilit si les quipements et logiciels le permettent
(syslog, SNMP V3, Windows Event, fichier texte, etc.
Slectionner les vnements pertinents et organiser le stockage des
vnements (volumtrie, dure de conservation).
Centraliser les journaux et gnrer des alertes pour certains vnements ou

suites dvnements.
Systmes dexploitation, bases de donnes, applications SCADA,
Primtre
quipements rseau, automates
Problmatique des volumes des journaux gnrs. Le nombre dinformations
Contraintes
traiter est important.
Moyens de Des outils existent pour aider traiter les vnements et les trier en fonction
gestion des de critres prdfinis.
contraintes
29
BP07: Gestion des configurations

Motivation
Sassurer que les versions actives dans les quipements (version N) nont pas
t modifies de faon malveillante.
Sassurer que les diffrences entre les versions N et N-1 ne correspondent
quaux modifications lgitimes.
Mthode
Primtre
Contraintes
Moyens de
gestion des
contraintes
Comparer les programmes et configurations actifs dans les quipements

(version N excute) avec une version de sauvegarde identifie comme la
rfrence (version N sauvegarde).
Identifier et analyser les carts entre les versions N et N-1 avant la mise en
service de nouvelles versions.
Les applications SCADA, les programmes automates, les fichiers de
configurations des quipements de rseau, les capteurs et actionneurs.
Complexit et htrognit des systmes industriels.
Il existe parfois des outils de gestion des configurations permettant didentifier
rapidement les carts entre deux versions.
BP08: Sauvegardes / restaurations

Motivation
Disposer des donnes ncessaires au redmarrage complet dun site aprs

une attaque ou un dsastre (ceci inclut les donnes des systmes).
Dfinir une politique de sauvegarde. Quelles sont les donnes ncessaires
Mthode
sauvegarder pour rpondre aux besoins des utilisateurs, reconstruire une
installation suite un incident ou satisfaire aux exigences rglementaires ?
Codes source de lapplication, bases de donnes de configuration
Primtre
(utilisateurs, seuils dalarmes), historiques de SCADA, programmes,
firmwares et donnes (variables, mots) des automates, fichiers de
configuration et firmware des quipements rseau (commutateur, VPN,
routeur, firewall, ), paramtres de rglage et firmware des capteurs et
actionneurs intelligents par exemple.
Il nest pas toujours possible de sauvegarder automatiquement toutes les
Contraintes
donnes, en particulier pour les capteurs et actionneurs et les automates.
Moyens de Tracer les modifications des paramtres des capteurs/actionneurs,
gestion des dasservissement, de rgulation (rglage de PID) ou de configuration
dalarmes
contraintes
30
BP09: Documentation
Motivation
Matriser la documentation pour disposer dune image exacte des

installations et viter des erreurs dexploitation.
Matriser la diffusion afin que seules les personnes ayant besoin des
informations soient les destinataires.
Dfinir une politique de gestion de la documentation (processus de mise
Mthode
jour, dure de conservation, liste de diffusion, stockage). La documentation
relative un systme dinformation ne doit pas tre conserve sur le systme
lui-mme.
Les documentations techniques des installations, schmas darchitecture,
Primtre
implantation gographique, plan dadressage, manuel administrateur, plan
de maintenance, analyse fonctionnelle, analyse organique
Il peut tre utile de disposer de documents dexploitation contenant des mots
Contraintes
de passe en version papier (pour des astreintes par exemple). La maitrise de
ces documents peut se rvler complexe et interdire les versions papier nest
pas ncessairement envisageable.
Moyens de Sensibiliser les utilisateurs aux risques lis la documentation. Laisser des
gestion des documents en vidence sur un bureau ou dans le coffre dune voiture (
cot du PC dastreinte par exemple) est une mauvaise pratique.
contraintes
BP10: Protection antivirale

Motivation
Mthode
Se prmunir des attaques par virus.

Dfinir une politique antivirale. Protger en priorit les quipements et
applications en contact direct avec lextrieur et les utilisateurs.
Les applications de SCADA, les stations dingnierie, console de
Primtre
programmation et de maintenance.
Incompatibilit avec certaines applications de SCADA dancienne gnration
Contraintes
par exemple, pas de mcanisme de mise jour de lantivirus (postes isols
par exemple). Problmatiques contractuelles comme la perte de la garantie
constructeur.
Moyens de Dployer le logiciel antivirus au moins sur les stations portables, les postes
gestion des de tlmaintenance, les stations dingnierie.
contraintes
Pour les nouvelles installations la compatibilit de lantivirus doit tre une
exigence du CCTP.
Renforcer les configurations des postes.
31
BP11: Mise jour des correctifs (planification)

Motivation
Mthode
Se prmunir des attaques exploitant les vulnrabilits publies par les

quipementiers.
Se prmunir de dfaillances lies aux bogues corrigs par les correctifs.
Dfinir une politique de gestion des correctifs (systmatique, priodique ou
ponctuelle) adapte aux contraintes fonctionnelles et aux risques identifis.
Par exemple, dfinir les priorits de dploiement des correctifs, vrifier les
compatibilits ascendantes, et linteroprabilit.
Appliquer systmatiquement les correctifs aux stations dingnierie et postes
nomades.
Appliquer priodiquement les correctifs sur les stations oprateurs.
Primtre
Contraintes
Appliquer lors de la maintenance les correctifs sur les installations sensibles.

Correctifs des systmes dexploitation, des applications, des firmwares en
fonction des vulnrabilits corriges.
Station dingnierie, postes oprateurs, serveurs, PLC, quipements tlcom,
crans tactiles...
Les correctifs doivent tre qualifis avant dtre dploys.
Certains quipements ne peuvent pas tre arrts facilement.

Moyens de Identifier les vulnrabilits adresses par les correctifs.
gestion des Planifier les mises jour lors darrt de maintenance par exemple.
contraintes
Surveiller les flux et les journaux dvnement.
Durcir les configurations.
Isoler les quipements.
BP12: Protection des automates (PLC)

Motivation
Mthode
Protger les programmes automates.

Protger laccs aux automates par un mot de passe. Des matriels offrent
la possibilit de configurer un accs en lecture seule pour les interventions
de maintenance de premier niveau.
Protger laccs au code source et au code embarqu dans les CPU.
Dsactiver les modes de configuration et/ou de programmation distance
lorsque la fonctionnalit existe.
Primtre
32
Fermer les armoires automates cl. Sur les installations critiques remonter
un contact sec lors de louverture de larmoire.
Automates en production, programmes automates sauvegards ou en cours
de dveloppement
BP13: Stations dingnierie, postes de dveloppement

Motivation
Mthode
Ces lments constituent des points vulnrables et sont des vecteurs forts de
contamination et de prise de contrle.
Ces machines, connectes au rseau industriel, contiennent les logiciels
de configuration des quipements, de programmation des automates et
des SCADA, parfois des versions de code source... Certains postes peuvent
tre nomades et se connecter sur dautres rseaux comme des rseaux
bureautiques.
Toutes les recommandations prcdentes.
Appliquer systmatiquement les correctifs.
Activer systmatiquement un antivirus.
Ne pas connecter les consoles nomades sur dautres rseaux que les
rseaux SCADA.
Les consoles sont nominatives ou alors leur utilisation est trace.
Primtre
teindre les postes fixes lorsquils ne sont pas utiliss et/ou les dconnecter
des rseaux de production.
Stations de dveloppement SCADA, console de programmation automate,
Terminaux portables (PDA, Pockets PC par exemple) pour configurer les
capteurs et les actionneurs intelligents.
33
34
ANNEXE C: SIGLES ET ACRONYMES

ADSL Asymmetric Digital Subscriber Line
AMDEC Analyse des modes de dfaillance de leurs effets et criticits
API Automate programmable industriel (PLC en anglais)
CPU Central Processing Unit
DoS Denial of Service (dni de service)
DRP Disaster Recovery Plan
EIA Electrical Industry Association
ERP Enterprise Resource Planning
FMDS Fiabilit, maintenabilit, disponibilit et scurit
FMEA Failure Mode and Effects Analysis
FAT Factory Acceptance Test
GSM Global System for Mobile
GTB
GTC
HAZOP
ICS
IHM
MES
OLE
OPC
P&ID
PID
PLC
PCA
PRA
PSSI
RTC
SAT
SCADA
SdF
SIL
SNCC
SOAP
SPC
VFD
Gestion technique de btiment

Gestion technique centralise
HAZard & OPerability method
Industrial Control System
Interface homme-machine
Manufacturing Executive System
Object Linked & Embedded
OLE for Process Control
Process & Instrumentation Diagram
Proportionnel Intgral Driv
Programmable Logic Controller
Plan de continuit dactivit
Plan de reprise dactivit
Politique de scurit des systmes dinformation
Rseau tlphonique commut
Site Acceptance test
Supervisory Control And Data Acquisition
Sret de fonctionnement (= FMDS)
Safety Integrity Level
Systme Numrique de Contrle Commande
Service Object Access Protocol
Statistical Process Control
Variable Frequency Drive
35
36
ANNEXE D : RFRENCES BIBLIOGRAPHIQUES

Guides de bonnes pratiques et recommandations publis par lANSSI
http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/
Rfrentiel Gnral de Scurit
RGS v1.0: http://www.ssi.gouv.fr/rgs
Outils mthodologiques proposs par lANSSI
http://www.ssi.gouv.fr/fr/bonnes-pratiques/outils-methodologiques/
voir en particulier la mthode EBIOS: http://www.ssi.gouv.fr/ebios
Publications du centre dexpertise et de traitement des attaques

informatiques de lANSSI (CERTA)
Acquisition des correctifs CERTA-2001-INF-004
Les bons rflexes en cas dintrusion sur un systme dinformation CERTA-2002-INF-002
Scurit des rseaux sans fil (Wi-Fi) CERTA-2002-REC-002
Scurit des applications Web et vulnrabilit de type injection de donnes CERTA2004-INF-001
Les mots de passe CERTA-2005-INF-001
Filtrage et pare-feux CERTA-2006-INF-001
Gestion des journaux dvnements CERTA-2008-INF-005
37
Ce guide sur la cyberscurit des systmes industriels a t ralis par lagence nationale de
la scurit des systmes dinformation (ANSSI)
avec le concours des ministres suivants :
et des socits suivantes :
+ logo Naxitis
propos de lANSSI
LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre le 7 juillet
2009 sous la forme dun service comptence nationale.
En vertu du dcret n2009-834 du 7 juillet 2009 modifi par le dcret n2011-170 du 11
fvrier 2011, lagence assure la mission dautorit nationale en matire de dfense et de
scurit des systmes dinformation. Elle est rattache au Secrtaire gnral de la dfense et
de la scurit nationale, sous lautorit du Premier ministre.
Pour en savoir plus sur lANSSI et ses missions, rendez-vous sur www.ssi.gouv.fr.
Version 1.0 - Juin 2012

Licence information publique librement rutilisable (LIP V1 2010.04.02)
Agence nationale de la scurit des systmes dinformation

ANSSI - 51 boulevard de la Tour-Maubourg - 75700 PARIS 07 SP
Sites internet : www.ssi.gouv.fr et www.securite-informatique.gouv.fr
Messagerie : communication [at] ssi.gouv.fr

Guide Securite Industrielle Version Finale

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Guide Securite Industrielle Version Finale

Enviado por

Direitos autorais:

Formatos disponíveis

Matriser la SSI

pour les systmes

La cyberscurit des systmes industriels

Table des matires

Mythes et ralits des SI industriels

1.1.1 - Ralits des systmes dinformation de gestion et des systmes dinformation

Les enjeux de la cyberscurit des systmes industriels

1.2.1 - Gnralits sur les attaques

1.2.2 - Les ngligences humaines

1.2.3 - Vulnrabilits des systmes dinformation industriels

1.2.4 - Les impacts potentiels sur les systmes industriels

Mthode de dploiement de la SSI 15

Rappel du rle de la SSI

Les grands principes de la SSI

2.2.1 - Sensibilisation des personnels

2.2.2 - Cartographie des installations et analyse de risque

2.2.3 - Prvention: concept de la dfense en profondeur

2.2.4 - Surveillance des installations et dtection des incidents

2.2.6 - Veille sur les menaces et les vulnrabilits

2.2.7 - Les plans de reprise et de continuit dactivit (PRA / PCA /DRP)

2.2.5 - Traitement des incidents, chane dalerte

Une approche globale et structure

2.3.1 - Une volont tous les niveaux (engagement de la direction)

2.3.2 - Prise en compte de la SSI dans les projets

2.3.3 - Prise en compte de la SSI dans les AMDEC / HAZOP

2.3.4 - Prise en compte de la SSI dans la maintenance

2.3.5 - Prise en compte de la SSI dans les achats

Annexe A: Vulnrabilits frquemment rencontres 25

Les publications de lANSSI sont diffuses sur son site Internet :

Toutes remarques sur ce guide peuvent tre adresses : systemes_industriels@ssi.gouv.fr

systmes Numriques de Contrle-Commande (SNCC) ;

systmes Instruments de Scurit (SIS)1 ;

capteurs et actionneurs(intelligents ou non);

logiciels de supervision et de contrle: SCADA;

logiciels de gestion de production assiste par ordinateur (GPAO, MES);

logiciels dingnierie et de maintenance;

Les systmes industriels utilisent aujourdhui abondamment les technologies de linformation

La cyberscurit des systmes industriels

La cyberscurit des systmes industriels

1 - CONTEXTE ET ENJEUX DE LA CYBERSCURIT

traiter des donnes

La cyberscurit des systmes industriels

1.1.2 - Quelques mythes concernant les systmes dinformation industriels

Les cls USB et les consoles de maintenance sont par

Les performances des composants ne sont plus un

La SSI est incompatible avec la Au contraire la SSI et la SdF se rejoignent sur de

La cyberscurit des systmes industriels

La SSI cote cher.

Elle cotera dautant moins cher si elle est prise

Une attaque peut crer un dysfonctionnement

La cyberscurit des systmes industriels

1.2 - Les enjeux de la cyberscurit des systmes industriels

certaines attaques non cibles, cherchant impacter le plus de monde possible,

1.2.2 - Les ngligences humaines

La cyberscurit des systmes industriels

1.2.3 - Vulnrabilits des systmes dinformation industriels

1.2.4 - Les impacts potentiels sur les systmes industriels

La cyberscurit des systmes industriels

Dommages matriels / La modification des configurations nominales des installations

La modification de paramtres de fabrication conduisant des

La cyberscurit des systmes industriels

2 - MTHODE DE DEPLOIEMENT DE LA SSI

la confidentialit : elle est parfois minimise, mais une divulgation du patrimoine

la traabilit : il sagit dune exigence rglementaire dans de nombreux secteurs