Escolar Documentos
Profissional Documentos
Cultura Documentos
10
12
12
12
13
13
2-
2.1 -
15
2.2 -
15
16
16
17
18
19
17
18
19
19
20
21
22
23
AVANT-PROPOS
Alors quelle faisait, il y a encore peu, figure de science rserve quelques experts, la scurit
des systmes dinformation a merg ces dernires annes vers une prise de conscience
gnrale. Le Livre blanc sur la dfense et la scurit nationale tablissait en 2008 que la
cyberscurit tait un enjeu majeur des quinze annes venir, et mettait dj en exergue
limprieuse ncessit de protger les systmes dimportance vitale.
Depuis le Livre blanc, une prise de conscience a bien eu lieu, mme si elle sest faite
marche force, au rythme des attaques et des incidents subis par les pays les plus
dvelopps. Indisponibilit massive du rseau, attaques contre des systmes dinformation
gouvernementaux, espionnage dentreprises stratgiques, oprations de dstabilisation et
pannes en tous genres ont malheureusement occup lactualit des trois dernires annes.
Les systmes industriels, mme lorsquils ne sont pas connects Internet, sont exposs
ces risques. Le ver Stuxnet, apparu en 2010, est la preuve tangible que nos pires craintes
dattaques sur des installations sensibles peuvent se raliser. En 2009 un adolescent ingnieux
et inconscient a fait drailler via Internet un tramway en Pologne, dmontrant la vulnrabilit
du systme daiguillage. On pourrait galement parler de rupture de pipeline ou encore de
pollution des eaux... Ce ne sont malheureusement pas les exemples qui manquent.
Les systmes industriels sont donc tout autant concerns, et probablement mme davantage,
que les autres systmes dinformation par les enjeux de la cyberscurit.
Le dfi est l : comme lensemble de la socit, les industries ont bien souvent intgr le
numrique au fil de leau et sans stratgie initiale, des systmes htrognes sinterconnectant
avec comme soucis majeurs la productivit, lefficacit et la sret mais rarement la scurit...
Faut-il relever ce dfi ? La question ne se pose pas tant les enjeux sont considrables ! Ce
serait comme se demander si on peut se passer de contrle daccs physique aux installations
sensibles, ou de mesures sanitaires pour protger ses salaris, les citoyens et lenvironnement.
Les industries ont un atout pour la scurit de leurs systmes dinformation : elles ont une
forte culture de la sret de fonctionnement de leurs installations, et disposent le plus souvent
en interne de comptences en matire de cyberscurit pour leurs systmes bureautiques. Il
faut dsormais que ces deux cultures se rencontrent et que les forces sunissent pour protger
convenablement les systmes industriels.
Il revient aux directions gnrales den prendre la dcision, de mandater formellement un
coordinateur SSI pour renforcer la scurit des systmes industriels et de lui en donner les
moyens matriels, financiers, organisationnels et humains.
Le guide sur la cyberscurit des systmes industriels publi par lAgence nationale de la
scurit des systmes dinformation est fait pour accompagner les entreprises dans cette
dmarche. Il vous est prsent ici dans sa premire version publique. Il est destin voluer
avec les usages, mais aussi avec vos contributions et retours dexprience.
Il saccompagne dun cas pratique destin illustrer des situations prsentant des risques pour
les entreprises et en exposer leur traitement.
Enfin, ce guide ne sadresse pas uniquement aux industries; son contenu sapplique galement
sans que cette liste soit exhaustive aux data centers, aux smartgrids, aux systmes de
La cyberscurit des systmes industriels
gestion technique des btiments (GTB), de gestion technique centralise (GTC), mais aussi
de nombreux systmes embarqus.
OBJECTIFS DU GUIDE
Ce guide sattache tudier la scurit des systmes dinformation industriels. Bien que
spcifiques chaque installation, ils se composent le plus souvent des lments suivants:
automates Programmables Industriels (API ou PLC);
bus de terrain;
systmes embarqus.
1
Le terme scurit dsigne ici la scurit des biens et des personnes. Certains domaines parlent alors de
sret.
2
Le systme dinformation dentreprise regroupe lensemble des systmes dinformation dune entreprise, cest
dire les systmes dinformation de gestion (systmes dinformation destins aux services et applications de bureautique,
de gestion des ressources humaines, de relations clients ou encore de gestion intgre) et industriels.
Systmes
dinformation Systmes dinformation industriels
de gestion
la grande dure de vie des installations
la
compatibilit
des
conduit une superposition des
H t r o g n i t composants est une exigence vagues technologiques successives sur
des composants technique (homognit et un mme site entrainant un phnomne
interoprabilit).
dobsolescence des matriels et logiciels.
La ralit
Les systmes dinformation industriels sont souvent
connects aux rseaux de gestion et parfois
directement Internet.
10
Le mythe
La ralit
La
SSI
doit
tre
proportionne
aux
enjeux.
11
3
Des packages dexploit sont officiellement commercialiss comme outils SSI dans le but de dtecter des
vulnrabilits lors daudits par exemple. Ces packages peuvent bien videment aussi tre utiliss par des personnes
malveillantes.
12
4
Stuxnet est un code malveillant visant les systmes industriels. Il exploite de multiples vulnrabilits prsentent
dans le systme dexploitation Microsoft Windows et le progiciel de SCADA WinCC de Siemens. Le code malveillant
modifie le programme excut par certains automates industriels de la gamme Simatic S7 de Siemens. Les modifications
ralises peuvent conduire au ralentissement de la production mais aussi la destruction physique des installations
pilotes par lautomate.
13
Impact sur
lenvironnement
Vol de donnes
Responsabilit
civile / pnale Image et notorit
Ces diffrents impacts gnrent des pertes financires lies la perte dactivit ou au versement
de compensations aux victimes potentielles (clients, particuliers, collectivits territoriales,
associations, tat voire Union Europenne) ainsi quune atteinte limage de lentreprise.
14
15
Tout projet doit en effet comprendre une analyse de risque afin didentifier les lments
sensibles du systme, leurs besoins et les objectifs de scurit face aux menaces retenues.
Ces objectifs sont alors dclins en exigences de scurit, qui porteront sur le systme luimme (robustesse intrinsque), sur son environnement de conception, de construction et
dexploitation. Ces exigences sont ensuite traduites en mesures techniques, physiques, et
organisationnelles.
Clairement formalises dans une cible de scurit, elles forment la rfrence scurit du
systme.
Les principes de lanalyse de risque en SSI ne diffrent pas de ceux de la sret de
fonctionnement mme si les terminologies employes peuvent ne pas tre identiques.
Il existe plusieurs mthodes danalyse de risque. LANSSI propose la mthode EBIOS7.
Les conclusions de lanalyse de risque aboutissent la dfinition des mesures de scurit
adquates, dont les efforts sont proportionns aux enjeux et adapts aux besoins rels. Cellesci peuvent tre techniques mais aussi organisationnelles.
6
7
16
17
plus intgres, suite des erreurs ou des modifications intentionnelles (cela permet par
exemple dempcher la dtrioration des quipements qui pourrait tre occasionne par
la propagation dun ver tel que Stuxnet).
Enfin la collecte des informations au travers des journaux dalarmes et dvnements est
indispensable aux analyses ultrieures. Ces journaux pourront dans certains cas apporter des
lments utiles et des preuves dans le cadre dune enqute judiciaire.
qui alerter;
Un processus descalade doit tre dfini pour grer les incidents au bon niveau de
responsabilit, et dcider en consquence:
sil faut dclencher un Plan de Reprise dActivit (PRA);
Une note de lANSSI9 dcrit les bons rflexes en cas dintrusion sur un systme dinformation.
La gestion des incidents doit galement intgrer une phase danalyse post incident qui
permettra damliorer lefficacit des mesures de SSI dployes initialement.
9
10
18
19
prvoir la possibilit de changer les configurations par dfaut comme les mots de passe
partir de lIHM;
exiger la non-adhrence des logiciels fournis une version prcise dune autre brique
logicielle (systme dexploitation, systme de gestion de bases de donnes, etc.) ;
dfaut, exiger que le fournisseur assure la compatibilit ascendante avec les volutions
des briques adhrentes;
intgrer des mcanismes pour faciliter la requalification dune installation suite des
modifications (ex. simulation de process, forage de valeurs, etc.) ;
exiger que le logiciels non indispensables la conduite des installations soient installs
sur dautres postes (des postes bureautique pour lire des fichiers PDF ou remplir des
feuilles de calcul par exemple).
En phase de conception:
rduire les interfaces et la complexit du systme afin de limiter lintroduction de
vulnrabilits lors de limplmentation;
slectionner les composants offrant les meilleures caractristiques pour rpondre aux
exigences de scurit (mcanismes dauthentification, sgrgation des droits, etc. );
En phase dintgration:
changer les configurations par dfaut (mots de passe par exemple);
supprimer ou dsactiver les fonctions non utilises mais actives par dfaut;
penser supprimer les fonctions de dbogage comme les traces utilises pour analyser
le comportement des installations.
En phase de test:
raliser les tests fonctionnels de scurit;
drouler les tests aux limites, les tests derreur des fonctions mtier et vrifier les
exceptions;
20
tester les moyens de raliser les oprations de maintien du niveau de SSI (dploiement
de correctifs, analyse de journaux dvnements);
Ces tests se droulent de faon unitaire lors de la recette usine (Factory Acceptance Testing:
FAT) puis de faon globale lors de la recette sur site (Site Acceptance Testing: SAT).
Il peut tre important dexiger la ralisation, par une quipe indpendante, dun audit SSI
pour vrifier ladquation des installations la cible de scurit exige.
Les tests se concluent par une phase de rception qui permet:
daccepter en connaissance de cause les risques rsiduels sur linstallation (principe
de lhomologation des systmes), formalise par la signature dun Procs Verbal (PV) de
rception;
Les lments lists prcdemment sont loin dtre exhaustifs et dpendent des solutions
envisages pour chaque installation. Certaines sont construites partir de composants
sur tagre , dautres sont des solutions sur mesure utilisant des logiciels dvelopps
spcifiquement ou encore des solutions cls en main.
Processus de transfert en exploitation:
Lentreprise en charge de lexploitation peut ne pas tre le propritaire de linstallation et
donc ne pas avoir t implique dans le projet de ralisation de linstallation. Cela peut
concerner les cas de dlgations de service public, de concession dexploitation ou de contrat
dexploitation avec obligation de rsultat par exemple.
Dans ces cas, lentreprise en charge du futur contrat dexploitation doit tablir un tat des lieux
exhaustif du niveau de scurit de linstallation et des moyens disponibles pour le maintenir
un niveau acceptable. Cet tat des lieux devra tre accept ou faire lobjet dune ngociation
avec lentreprise adjudicatrice du contrat dexploitation afin que lensemble des parties soit
daccord sur le niveau de SSI de linstallation telle que construite, ainsi que des moyens
actuels quelle intgre pour le maintenir un niveau acceptable. Le guide de lexternalisation11
publi par lANSSI peut apporter des rponses cette problmatique.
Enfin, il est rappel quil est essentiel de changer les mots de passe lors du transfert en
exploitation.
21
de dfaillance dinstallations industrielles. Lanalyse des modes de dfaillance est traite dans
les mthodes de sret de fonctionnement comme AMDEC12 ou encore HAZOP13.
Couvrir lensemble des risques impose de traiter conjointement les sujets SSI et sret de
fonctionnement dans une approche commune.
Par exemple, les causes potentielles dune monte en temprature dune installation au-del
de son seuil nominal peuvent tre:
un problme de mesure li la dfaillance dun capteur:
une dfaillance matrielle du capteur,
un mauvais talonnage du capteur,
la modification des paramtres du capteur, de manire intentionnelle par une
personne non autorise (prise de contrle par un attaquant, un virus) ou suite une
ngligence;
un problme li une vanne sur le circuit de refroidissement:
une dfaillance mcanique,
une dfaillance du servomoteur,
le forage de la commande de la vanne, de manire intentionnelle par une
personne non autorise (prise de contrle par un attaquant, un virus) ou suite une
ngligence,
un problme de rglage du point de consigne de rgulation du systme de
refroidissement,
une erreur de saisie dun oprateur,
un changement du point de consigne par une personne non autorise.
Les analyses de type AMDEC, FMEA ou HAZOP sont bien souvent complexes raliser et
demandent du temps. Impliquer des comptences en informatique de gestion et en SSI dans
les quipes ralisant ces travaux sera bien plus efficace quun travail autonome et non concert
o chacun dispose de la vision de son sujet, mais pas de la vision densemble.
Lorsquune chane de production est larrt, par exemple pour une maintenance mcanique
ou des contrles rglementaires, il peut tre opportun dappliquer les correctifs sur les
12
AMDEC : Analyse des Modes de Dfaillance, de leurs Effets et de leurs Criticit ou FMECA en anglais
(Failure Modes, Effects and Criticality Analysis). Outils danalyse de risque de suret de fonctionnement et de gestion de
la qualit.
13
HAZOP: HAZard and OPerability study. Mthode danalyse des risques utilise dans le domaine de la suret
de fonctionnement
22
14
15
16
23
24
faiblesse de gestion des accs utilisateurs : les comptes restent actifs lorsque les
intervenants quittent le site, existence de comptes gnriques;
emploi de comptes avec des profils administrateur dans les applications, alors que
des droits utilisateur suffisent;
partage de fichier sur le rseau en accs complet alors quun accs en lecture seule
suffit;
accs en lecture (ou criture) des fichiers configurations via FTP ou TFTP;
absence de mise jour (correctifs) des systmes dexploitation, des applications, des
firmwares (pour les automates, capteurs/actionneurs intelligents);
17
25
26
Primtre
Contraintes
Primtre
Contraintes
Moyens de
gestion des
contraintes
27
Dsactiver les ports USB sur les systmes, restreindre les fonctionnalits (voir
La cyberscurit des systmes industriels Cas pratique, annexe C).
Stations, serveurs, console de programmation et de maintenance, crans
Primtre
tactiles.
Il peut tre ncessaire dchanger des donnes entre des rseaux qui ne
Contraintes
sont pas interconnects.
Moyens de Linstallation de sas, machines ddies aux transferts, peut tre un moyen
gestion des de rpondre aux besoins utilisateur. Ces machines doivent tre renforces,
rgulirement mises jour, quipes de logiciel antivirus et faire lobjet
contraintes
dune surveillance forte.
Primtre
Contraintes
Accs durgence.
Moyens de Tracer les actions ralises avec ces logins pour dtecter dventuelles drives
gestion des et comportements anormaux. Utiliser des procdures organisationnelles
strictes (cahier de suivi) pour pouvoir dterminer chaque instant lidentit
contraintes
des agents utilisant un compte gnrique.
28
Surveiller les systmes / Dtecter les intrusions / Traer les actions et les
interventions de maintenance (ou tlmaintenance)
Activer les fonctions de traabilit si les quipements et logiciels le permettent
(syslog, SNMP V3, Windows Event, fichier texte, etc.
Slectionner les vnements pertinents et organiser le stockage des
vnements (volumtrie, dure de conservation).
29
Sassurer que les versions actives dans les quipements (version N) nont pas
t modifies de faon malveillante.
Sassurer que les diffrences entre les versions N et N-1 ne correspondent
quaux modifications lgitimes.
Mthode
Primtre
Contraintes
Moyens de
gestion des
contraintes
30
BP09: Documentation
Motivation
Matriser la diffusion afin que seules les personnes ayant besoin des
informations soient les destinataires.
Dfinir une politique de gestion de la documentation (processus de mise
Mthode
jour, dure de conservation, liste de diffusion, stockage). La documentation
relative un systme dinformation ne doit pas tre conserve sur le systme
lui-mme.
Les documentations techniques des installations, schmas darchitecture,
Primtre
implantation gographique, plan dadressage, manuel administrateur, plan
de maintenance, analyse fonctionnelle, analyse organique
Il peut tre utile de disposer de documents dexploitation contenant des mots
Contraintes
de passe en version papier (pour des astreintes par exemple). La maitrise de
ces documents peut se rvler complexe et interdire les versions papier nest
pas ncessairement envisageable.
Moyens de Sensibiliser les utilisateurs aux risques lis la documentation. Laisser des
gestion des documents en vidence sur un bureau ou dans le coffre dune voiture (
cot du PC dastreinte par exemple) est une mauvaise pratique.
contraintes
31
Mthode
Primtre
Contraintes
Primtre
32
Fermer les armoires automates cl. Sur les installations critiques remonter
un contact sec lors de louverture de larmoire.
Automates en production, programmes automates sauvegards ou en cours
de dveloppement
Mthode
Ces lments constituent des points vulnrables et sont des vecteurs forts de
contamination et de prise de contrle.
Ces machines, connectes au rseau industriel, contiennent les logiciels
de configuration des quipements, de programmation des automates et
des SCADA, parfois des versions de code source... Certains postes peuvent
tre nomades et se connecter sur dautres rseaux comme des rseaux
bureautiques.
Toutes les recommandations prcdentes.
Appliquer systmatiquement les correctifs.
Activer systmatiquement un antivirus.
Ne pas connecter les consoles nomades sur dautres rseaux que les
rseaux SCADA.
Les consoles sont nominatives ou alors leur utilisation est trace.
Primtre
teindre les postes fixes lorsquils ne sont pas utiliss et/ou les dconnecter
des rseaux de production.
Stations de dveloppement SCADA, console de programmation automate,
Terminaux portables (PDA, Pockets PC par exemple) pour configurer les
capteurs et les actionneurs intelligents.
33
34
35
36
http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/
http://www.ssi.gouv.fr/fr/bonnes-pratiques/outils-methodologiques/
37
Ce guide sur la cyberscurit des systmes industriels a t ralis par lagence nationale de
la scurit des systmes dinformation (ANSSI)
+ logo Naxitis
propos de lANSSI
LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre le 7 juillet
2009 sous la forme dun service comptence nationale.
En vertu du dcret n2009-834 du 7 juillet 2009 modifi par le dcret n2011-170 du 11
fvrier 2011, lagence assure la mission dautorit nationale en matire de dfense et de
scurit des systmes dinformation. Elle est rattache au Secrtaire gnral de la dfense et
de la scurit nationale, sous lautorit du Premier ministre.
Pour en savoir plus sur lANSSI et ses missions, rendez-vous sur www.ssi.gouv.fr.