8
SI Industriel et sécurité : comment démarrer la transformation Les Systèmes d’Information Industriels (SII) sont intimement liés aux outils de production : chaînes de montage, machines-outils, fours, scanners médicaux, climatisations, aiguil- lages, pipelines... De plus en plus ouverts, ils deviennent une vraie passerelle entre les proces- sus de production et le Système d’Information de Gestion (SIG) de l’entreprise. Un SII est souvent modélisé en différentes couches. La première couche concerne le pro- cédé physique lui-même. La deuxième regroupe les capteurs, actuateurs, actionneurs et autres composants électroniques intelligents (IED) qui interagissent physiquement avec le procédé. La troisième couche assure la supervision et le pilotage du procédé. Elle est composée d’élé- ments tels que les SCADA ( Supervisory Control and Data Acquisition), des automates ou PLC ( Programmable Logic Controller ) et des équipe- ments distants, les RTU ( Remote Terminal Unit ). La quatrième couche regroupe les fonctions et outils de management des opérations de pro- duction. Enfin, la cinquième et dernière couche est tournée vers les fonctions avancées de pla- nification, la logistique ou l’approvisionnement, souvent interfacée avec les ERP. Initialement développés pour l’industrie, les sys- tèmes construits sur le même modèle se sont largement répandus. Systèmes embarqués dans les voitures ou avions, imagerie médicale (scan- ner, IRM, etc.), systèmes plus étendus comme les smart grids, etc. : les SII sont devenus omni- présents ! Des menaces accrues qui touchent tous les secteurs À l’origine les SII étaient isolés au sein d’un site ou d’une usine, mais aujourd’hui ils se doivent d’être largement interconnectés pour accroître productivité et compétitivité. Cette intercon- nexion permet de nombreux nouveaux usages mais augmente considérablement l’exposition aux cyberattaques. La majorité de ces systèmes n’a en effet pas été conçue pour une ouverture sécurisée et est d’autant plus vulnérable. Alors que les attaques d’États ou d’individus malveillants se multiplient ces dernières années, les conséquences peuvent être considérables. Une atteinte à la sécurité du SI d’une entreprise du secteur de la chimie pourrait amener le déver- sement de produits toxiques dans des systèmes de gestion des eaux ou encore, dans le transport, conduire à des accidents. Des risques pour la confidentialité existent également : l’accès aux chaînes de production autorise l’accès à des secrets de fabrication industriels. Suite en page 2 DÉCRYPTAGES Sécurité des SI Industriels La sécurité des Systèmes d’Information Industriels (SII) est aujourd’hui au centre des préoccupations de nombreux acteurs. Ces systèmes qui permettent une action directe dans le monde « physique » à l’aide d’ins- tructions provenant du monde « logique » pilotent les outils de production de nom- breuses entreprises. Au-delà des risques environnementaux et humains, ils représentent également un enjeu stratégique pour les États. La récente multiplication des incidents, dont ceux révé- lés récemment en Allemagne par le BSI, en Corée du Sud sur les centrales nucléaires et probablement en Turquie, nécessite donc de se mobiliser pour les sécuriser et d’amorcer une transformation en profondeur. Mais par où commencer quand la sécurité a été laissée de côté pendant de nombreuses années ? Et que faire quand les équipements constitu- tifs de ce réseau contiennent eux-mêmes de nombreuses failles difficiles voire impossibles à corriger ? C’est l’objet de ce numéro spécial de la Lettre Sécurité dédié intégralement au sujet de la sécurité des SII. Solucom sera présent au Forum International de la Cybersécurité (FIC) avec certains de ses experts sur ces sujets sensibles. N’hésitez pas à nous rendre visite sur notre stand ! Gérôme Billois, Senior manager au sein de la practice Risk management & sécurité de l’information Édito Architecture de sécurité des SI Indus- triels : de la théorie à la pratique P5 Niveau de sécurité des SI Industriels : les vulnérabilités les plus courantes P4 n° 36 La Lettre Sécurité Numéro spécial

Solucom lettre sécurité 36 janvier 2015 1201web

  • Upload
    solucom

  • View
    176

  • Download
    2

Embed Size (px)

Citation preview

SI Industriel et sécurité : comment démarrer la transformation

Les Systèmes d’Information Industriels (SII) sont intimement liés aux outils de production : chaînes de montage, machines-outils, fours, scanners médicaux, climatisations, aiguil-lages, pipelines... De plus en plus ouverts, ils deviennent une vraie passerelle entre les proces-sus de production et le Système d’Information de Gestion (SIG) de l’entreprise.

Un SII est souvent modélisé en différentes couches. La première couche concerne le pro-cédé physique lui-même. La deuxième regroupe les capteurs, actuateurs, actionneurs et autres composants électroniques intelligents (IED) qui interagissent physiquement avec le procédé. La troisième couche assure la supervision et le pilotage du procédé. Elle est composée d’élé-ments tels que les SCADA (Supervisory Control and Data Acquisition), des automates ou PLC (Programmable Logic Controller) et des équipe-ments distants, les RTU (Remote Terminal Unit). La quatrième couche regroupe les fonctions et outils de management des opérations de pro-duction. Enfin, la cinquième et dernière couche est tournée vers les fonctions avancées de pla-nification, la logistique ou l’approvisionnement, souvent interfacée avec les ERP.

Initialement développés pour l’industrie, les sys-tèmes construits sur le même modèle se sont largement répandus. Systèmes embarqués dans les voitures ou avions, imagerie médicale (scan-

ner, IRM, etc.), systèmes plus étendus comme les smart grids, etc. : les SII sont devenus omni-présents !

Des menaces accrues qui touchent tous les secteursÀ l’origine les SII étaient isolés au sein d’un site ou d’une usine, mais aujourd’hui ils se doivent d’être largement interconnectés pour accroître productivité et compétitivité. Cette intercon-nexion permet de nombreux nouveaux usages mais augmente considérablement l’exposition aux cyberattaques. La majorité de ces systèmes n’a en effet pas été conçue pour une ouverture sécurisée et est d’autant plus vulnérable.

Alors que les attaques d’États ou d’individus malveillants se multiplient ces dernières années, les conséquences peuvent être considérables.

Une atteinte à la sécurité du SI d’une entreprise du secteur de la chimie pourrait amener le déver-sement de produits toxiques dans des systèmes de gestion des eaux ou encore, dans le transport, conduire à des accidents. Des risques pour la confidentialité existent également : l’accès aux chaînes de production autorise l’accès à des secrets de fabrication industriels.

Suite en page 2

DÉCRYPTAGES

Sécurité des SI Industriels

La sécurité des Systèmes d’Information Industriels (SII) est aujourd’hui au centre des préoccupations de nombreux acteurs. Ces systèmes qui permettent une action directe dans le monde « physique » à l’aide d’ins-tructions provenant du monde « logique » pilotent les outils de production de nom-breuses entreprises.

Au-delà des risques environnementaux et humains, ils représentent également un enjeu stratégique pour les États. La récente multiplication des incidents, dont ceux révé-lés récemment en Allemagne par le BSI, en Corée du Sud sur les centrales nucléaires et probablement en Turquie, nécessite donc de se mobiliser pour les sécuriser et d’amorcer une transformation en profondeur. Mais par où commencer quand la sécurité a été laissée de côté pendant de nombreuses années ? Et que faire quand les équipements constitu-tifs de ce réseau contiennent eux-mêmes de nombreuses failles difficiles voire impossibles à corriger ?

C’est l’objet de ce numéro spécial de la Lettre Sécurité dédié intégralement au sujet de la sécurité des SII.

Solucom sera présent au Forum International de la Cybersécurité (FIC) avec certains de ses experts sur ces sujets sensibles. N’hésitez pas à nous rendre visite sur notre stand !

Gérôme Billois, Senior manager au sein de la practice Risk management & sécurité de l’information

Édito

Architecture de sécurité des SI Indus-triels : de la théorie à la pratique

P5Niveau de sécurité des SI Industriels : les vulnérabilités les plus courantes

P4

n° 36

La Lettre SécuritéNuméro spécial

2 • La Lettre Sécurité N°36 • janvier 2015

Les États de plus en plus mobilisésLes États réagissent pour faire face aux menaces sur ces systèmes. Sur le continent nord-amé-ricain, la conformité au standard NERC-CIP est devenue obligatoire pour les opérateurs de réseaux électriques.

L’État Français, au travers de sa Loi de Programmation Militaire, entend faire appli-quer aux OIV (Opérateur d’Importance Vitale) des mesures de cybersécurité, notamment sur leur SI Industriel. Si un guide visant à proposer un cadre de protection minimum pour les ins-tallations a déjà été élaboré par l’ANSSI, des décrets d’application sectoriels sont attendus. Ils définiront plus précisément les règles de sécurité obligatoires. Les entreprises doivent se préparer pour être en mesure de répondre à ces nouvelles exigences.

Penser la sécurité des SII différemmentLa sécurisation des SII nécessite d’intégrer de nouvelles contraintes pour définir des solutions adaptées. Vouloir appliquer les bonnes pratiques de sécurité conventionnelles serait une erreur car les SI Industriels présentent des caractéristiques différentes des SI de gestion.

L’échelle de temps est bien spécifique. Les lignes de production sont souvent conçues pour une durée de vie de l’ordre de 10 à 15 ans, parfois même au-delà. Par exemple, dans certains sec-teurs comme celui des réseaux électriques, les équipements sont censés être en place pendant plusieurs dizaines d’années.

La disponibilité et la sûreté sont au cœur des atten-tions. Dans cet univers spécifique, le critère de disponibilité est primordial. De plus, dans les environnements à risques (SEVESO, nucléaire, etc.) le maintien des fonctions de sûreté qui assurent la protection des hommes et de l’envi-ronnement est essentiel.

Les fournisseurs imposent des solutions packagées de bout en bout. Et ils sont souvent réticents à appliquer les bonnes pratiques de sécurité, même lorsque leurs systèmes reposent sur des solutions peu sécurisées issues des SI de gestion…

Les contextes d’implantation sont particuliers et rendent le maintien en condition opérationnelle de la sécurité complexe. Il n’est pas rare d’avoir une partie du système (voire le système entier) loca-lisée sur des sites distants, parfois inoccupés, difficiles d’accès et où les conditions peuvent

être « hostiles ». Cela concerne par exemple les SII présents sur les plates-formes pétrolières, les pipelines gaziers ou pétroliers, ou encore les réseaux d’eau.

Initier la démarche de sécurisationAvant d’entreprendre de grands chantiers de sécurité, il est important de savoir d’où on part. Le SII est-il vulnérable ? Dans quelle mesure est-il ouvert sur l’extérieur ? Quel est son véri-table niveau d’exposition face aux nouvelles menaces ?

Trois approches différentes permettent de répondre à ces questions. L’audit « flash », sur les sites les plus sensibles ou ayant connu un incident récent, permet d’identifier rapidement les vulnérabilités et les zones non protégées. L’analyse de risques d’un processus industriel permet de son côté d’estimer les impacts financiers, humains et environnementaux en cas d’incident. Un bilan de conformité consiste à demander à chaque site industriel d’évaluer son niveau de sécurité sur la base d’un ques-tionnaire. Si cette dernière approche est moins concrète et fiable, elle permet d’avoir une vision globale plus rapidement.

Il n’y a pas de chemin type : les trois approches peuvent être utilisées ou combinées. Elles

doivent aussi être l’occasion de mobiliser la direction générale et les directions métiers dont l’engagement et l’implication dans la durée sont nécessaires.

Mettre en place une filière sécurité des SI IndustrielsLa mise en place d’une gouvernance globale de la sécurité des SII est essentielle pour augmenter le niveau de sécurité dans la durée. Cela passe par la nomination d’un Responsable de la sécu-rité des SII chargé de la définir, de la mettre en œuvre et de l’animer.

Qu’il vienne du Métier, du monde de la DSI, de la sécurité SI ou du monde industriel (auto-matisme, sûreté, etc.), il doit être capable de jouer le rôle de facilitateur entre ces différentes sphères. La connaissance du métier industriel et les qualités humaines sont donc à privilégier lors de son identification plutôt qu’une expertise en sécurité. Son rattachement peut être à étudier en fonction du contexte de l’entreprise : s’il est courant qu’il fasse partie des équipes sécurité SI, il est parfois directement rattaché aux Métiers concernés.

Le Responsable de la sécurité des SII pourra s’appuyer sur un réseau de correspondants qui se feront le relais de la stratégie et des actions

Dossier

La Lettre Sécurité N°36 • janvier 2015 • 3

sur les différents sites industriels. Il dévelop-pera également des relations étroites avec des acteurs incontournables du SII :

• les chefs de projets industriels, avec les-quels il faudra s’assurer que la sécurité est prise en compte dès la conception ;

• les responsables de la sûreté, avec les-quels il mettra en œuvre une démarche commune de gestion des risques indus-triels ;

• les responsables de l’exploitation et de la maintenance, pour s’assurer de la bonne exécution des processus de maintien en condition opérationnelle et de sécurité du SII ;

• les responsables des achats, pour diffuser les bonnes pratiques en matière d’exi-gences de sécurité dans toutes relations avec les tiers et dans les contrats avec les fournisseurs ;

• la DSI et le RSSI pour s’interfacer avec le SI classique et capitaliser sur les bonnes pratiques.

Intégrer la sécurité dès la conceptionConcevoir une usine, un site industriel ou un équipement embarqué s’accompagne la plupart du temps d’études de sûreté. Il faut tirer parti de cette culture déjà bien ancrée pour y insérer les études de sécurité du SI Industriel qui seront centrées sur les risques de cybersécurité.

Attention toutefois à rester vigilant et ne pas se focaliser uniquement sur le procédé industriel lui-même. L’environnement proche ou éloigné du SII est à étudier pour chaque projet : dans quelles conditions les interventions de tiers pour la télégestion et la télémaintenance seront-elles réalisées ? Le fournisseur s’applique-t-il lui-même des exigences de sécurité lorsqu’il déve-loppe les solutions industrielles ?

Traiter les urgences sans négliger la sécu-risation à moyen termeLes particularités des SII poussent souvent les entreprises à allier des solutions palliatives à court terme et à saisir l’opportunité de faire des modifications en profondeur quand elle se pré-sente : arrêt de production, renouvellement de l’outil industriel, changement de fournisseur, etc.

C’est particulièrement vrai pour la mise en œuvre du cloisonnement et de la segmentation des réseaux : si on peut isoler le SI de gestion, les changements sur les réseaux de production sont plus complexes à organiser ! La refonte des accès distants est également à intégrer dans cette réflexion. Elle nécessite de revoir les contrats établis sur plusieurs années, pour lesquels la renégociation des modalités d’inter-vention, de télégestion et de télémaintenance est peu fréquente.

En parallèle, une fois les vulnérabilités sur le système identifiées, il faut être en capacité de les corriger. Appliquer les correctifs n’est parfois pas envisageable et remplacer les équipements par d’autres plus récents offrant les dernières fonctions de sécurité présente un coût non négli-geable, tant en termes financiers qu’en perte d’exploitation potentielle sur des systèmes où la disponibilité est cruciale.

Conscient des vulnérabilités des SII, il est crucial de mettre en place, sur l’installation industrielle, des dispositifs de surveillance afin de détecter et de réagir face aux incidents.

L’intégration du SII au SOC ou au CERT de l’en-treprise peut être envisagée dans une stratégie de réaction globale.

Une démarche à construire dès aujourd’hui La mise en œuvre de la sécurité pour les SI Industriels ne pourra se faire qu’en s’accommo-dant des spécificités et des contextes particuliers dans lesquels ils évoluent. Mobiliser les direc-tions Métiers et combiner les savoir-faire issus du monde industriel et de gestion sont assurément des facteurs clés de succès.

En parallèle, les fonctions de responsable de la sécurité du SI de gestion et de responsable de la sécurité du SI Industriel doivent s’associer, voire fusionner, pour assurer la cohérence de la démarche de sécurisation de l’entreprise de bout en bout dans une approche globale.

Anthony Di Prima, manager [email protected]

Quelques exemples d’attaques de SI Industriels

4 • La Lettre Sécurité N°36 • janvier 2015

Dossier

Le niveau de sécurité actuel des SI Industriels est souvent remis en question par les spécia-listes en sécurité. Alors, cri au loup ou réalité encore méconnue ? Les audits et études réa-lisés par Solucom ne font que confirmer les défauts de sécurité sur ces infrastructures.

Une sécurisation insuffisante, voire inexistanteLes automates programmables industriels (API), en charge de l’interface avec le monde physique, n’intègrent souvent que peu de fonctions de sécurité et les failles de sécurité publiques les concernant sont nombreuses. L’ICS-CERT a ainsi publié près d’une centaine de bulletins de vulnérabilités sur des compo-sants industriels. Les protocoles de commu-nication utilisés sont un des maillons faibles de la chaîne. Ces protocoles, parmi lesquels on peut citer Modbus, permettent l’échange de consignes ou de valeurs en clair, sans chiffrement. De même, les possibilités d’authentification des actions sont souvent limitées, permet-tant à n’importe quel attaquant ayant accès au réseau de modifier les consignes des auto-mates et ainsi d’influer sur leur comportement. Les interfaces d’administration des automates sont par ailleurs souvent protégées par des mots de passe par défaut, jamais changés, et qui parfois ne peuvent pas l’être. Les sys-tèmes plus intégrés appelés SNCC (Systèmes Numériques de Contrôle-Commande) ne sont pas garants d’une sécurité accrue, les proto-coles propriétaires utilisés n’apportant pas forcément une réelle couche de sécurité. La situation est identique pour les PC de super-vision ou de programmation qui sont souvent

des équipements reposant sur des technolo-gies standard, tels que des systèmes d’exploi-tation Microsoft Windows. Malheureusement, l’expérience sécurité acquise sur le SI de ges-tion pour ces équipements profite rarement à leur sécurisation sur la partie industrielle. Les étapes de durcissement sécurité sont rares, de même que l’application de correctifs de sécurité, ou encore la présence d’un antivirus. Il est fréquent de pouvoir prendre le contrôle de ces systèmes par l’exploitation d’une faille de sécurité datant de près de 6 ans.

Un cloisonnement tout à fait relatifDe plus, les équipements du SI Industriel sont très largement interfacés avec les SI de gestion. Le cloisonnement entre ces deux mondes est souvent permissif. Il arrive même que le filtrage autorise l’accès à certains équipements indus-triels depuis l’ensemble du réseau interne d’une entreprise, ce qui peut représenter plusieurs dizaines de milliers de machines.Les postes de programmation et clés USB constituent également des vecteurs d’attaques puisqu’ils sont connectés à des réseaux de niveau de sécurité hétérogène, voire à des envi-ronnements non-maîtrisés (par exemple dans le cas de sous-traitants). Pire encore, il arrive trop souvent que des équi-pements industriels soient accessibles directe-ment sur internet. Il existe même des moteurs de recherche dédiés à la recherche d’équipe-ments exposés sur internet, Shodan étant le plus connu. Près de 1500 équipements Modbus sont ainsi recensés en France sur Shodan et plus de 20 000 dans le monde.

Un constat d’échec ?Il ne s’agit néanmoins pas de se lamenter. Bien que le niveau de sécurité actuellement constaté soit faible, il est possible de mener des actions d’amélioration. Au-delà des concepts d’architecture qui permettent de cloisonner ces équipements vulnérables, la vraie, seule solution à long terme consiste à développer de nouveaux produits, sécurisés by design. Bien sûr, les fruits de ce travail ne se verront que sur les nouvelles installations, et pas avant plusieurs dizaines d’années. On peut espérer que la prise de conscience globale des parties prenantes, ainsi que l’implication des instances gouvernementales accélèrent ce changement. En attendant il semble aujourd’hui nécessaire de déporter les fonctions sécurité sur des équipements dédiés, comme des passerelles encapsulant le trafic réseau dans un tunnel chiffré, ou bien des pare-feu ou IPS dispo-sant de modules spécifiques aux protocoles industriels.

Enfin, il faut également savoir tirer parti d’une des faiblesses des SI Industriels : leur durée de vie et la complexité de changements. En effet, la mise en place d’une supervision sécurité sera facilitée par le caractère figé des réseaux industriels : il est rare que de nouveaux équi-pements soient installés ou que la topologie réseau soit modifiée. De même, l’emploi d’une solution de contrôle d’exécution par liste blanche sera plus facile sur un PC industriel n’exécutant qu’un seul logiciel de supervision que sur un poste de travail bureautique.

Niveau de sécurité des SI Industriels : les vulnérabilités les plus courantes

Décryptage

Arnaud Soullie, [email protected]

Actuellement, les outils d’audit et tests d’intrusion dédiés aux SI Industriels sont encore assez rares, bien que la tendance soit à la hausse. On peut notamment citer :• PLCscan, qui permet d’identifier des automates sur un réseau.• Mbtget, un client Modbus écrit en Perl.

Nos recherches nous ont également amenés à créer les outils suivants :• Un module client Modbus pour Metasploit1.• Des modifications au module « modicon_stux_transfer » de Metasploit permettant d’atta-

quer les automates Schneider2 , notamment pour copier, à distance et sans authentifica-tion, le programme de l’automate via des requêtes Modbus spécifiques.

• Des scripts Python permettant de dialoguer avec les automates Siemens3.

Quels outils pour auditer un SI Industriel ?

1 - http://www.rapid7.com/db/modules/auxiliary/scanner/scada/modbusclient

2 - https://github.com/arnaudsoullie/metasploit-framework/blob/modicon_stux_transfer/modules/auxiliary/admin/scada/modicon_stux_transfer.rb

3 - https://github.com/arnaudsoullie/scan7

La Lettre Sécurité N°36 • janvier 2015 • 5

Décryptage

Architecture de sécurité des SI Industriels : de la théorie à la pratique

Les architectures des SI Industriels s’alignent souvent sur le modèle ISA 95. Si cet aligne-ment est surtout motivé par le besoin d’optimi-ser en continu les procédés industriels, il n’est pas sans risque du point de vue de la sécurité.

Alors que les installations industrielles doivent faire face à de nombreux risques, en particulier humains et environnementaux, orchestrer leur ouverture au SI de l’entreprise voire à internet les expose à des menaces plus nombreuses et virulentes.

Cloisonnement et segmentation : standards et réglementations se mettent d’accordPour traiter ces risques, trois méthodologies issues de l’IEC 62443, du NIST SP-800-82 et du guide de l’ANSSI, sont usuellement retenues.

L’IEC 62443 (ISA99) a établi les concepts de « zones » et de « conduits » avec pour chacun un niveau de sécurité (Security Level – SL) et des règles bien spécifiques. Le découpage en zones peut s’établir d’un point de vue physique (bâtiment, atelier) ou logique (répartition par processus industriel ou par fonction). Toutes les zones communiquent entres elles par un conduit et peuvent également être imbriquées, dans une logique de défense en profondeur. Selon le niveau de criticité des zones et des conduits, des règles de sécurité sont définies et peuvent être plus ou moins restrictives. La détermination du niveau de sécurité d’une zone (ou d’un conduit) s’effectue au travers d’une analyse de risque. Concrètement, il cor-respond au niveau de robustesse des mesures de sécurité à implémenter permettant de faire face à des menaces plus ou moins évoluées. Pour l’IEC, il s’agira de segmenter et d’isoler physiquement les SI Industriels des SI de ges-tion et aussi de cloisonner les systèmes critiques (systèmes de sûreté) des systèmes de conduite des procédés.

Le NIST, au travers de sa publication spé-ciale pour les systèmes industriels, expose de bonnes pratiques d’architectures sécuri-sées sans promouvoir un modèle en particu-

lier. Il consacre un chapitre entier au thème de la sécurisation des architectures des SI Industriels. Il met en avant le cloisonnement entre SI de gestion et SI Industriels en propo-sant des architectures type à base de DMZ, de firewall voire de diode. De bonnes pratiques et une matrice de flux type sont même proposées avec un focus pour des flux plus spécifiques.

En France, l’ANSSI prévoit de catégoriser les SI Industriels en 3 classes distinctes selon leur criticité. Trois niveaux sont définis ; la détermination du niveau pour une installation s’effectue au travers de critères tels que connectivité, fonc-tionnalités, niveau d’exposition, attractivité pour un attaquant, vraisemblance et impacts en cas d’attaque. Pour chacune des classes, des règles plus ou moins strictes font émerger entre autres des principes forts d’architectures sécurisées.Cette démarche peut être itérative. Il est pos-sible de découper l’installation industrielle en plusieurs zones et d’établir pour chacune d’elles son niveau de classe. Cela rejoint l’approche de l’IEC 62443 au détail près qu’ici, la méthodologie de l’ANSSI établit les niveaux de classe en priorité au regard des impacts pour la population, l’environnement et l’économie nationale sans se soucier de l’impact direct pour l’entreprise concernée.

Quelle que soit la méthodologie mise en œuvre, le constat final reste le même : segmentation et cloisonnement constituent des briques essen-tielles en vue de protéger les SI Industriels. Mais l’expérience montre que segmenter et cloisonner n’est pas toujours simple…

Besoin métier et sécurité : la quadrature du cercle ?Dans bien des cas, on observe un besoin élevé de remonter vers le SI de gestion des données « procédé » en vue de les analyser. Et ce pour différentes raisons : calcul d’optimisation, calcul financier, supply chain, Big data…

Selon la méthode de l’ANSSI, une installation de classe 3 ne peut communiquer avec le SI de gestion que de façon unidirectionnelle via l’utilisation d’une diode. Mettre en œuvre ce

genre de technologie peut parfois relever de l’im-possible : impossibilité d’avoir du temps réel, incompatibilité des solutions d’historisation des données procédé… Dans ce cas, on découpera l’installation en sous-systèmes de façon à pou-voir lui attribuer différents niveaux de classe. Un sous-système de classe 2 peut communiquer de façon bidirectionnelle avec le SI de gestion, tandis que le sous-système le plus critique de classe 3 n’est autorisé à communiquer uni-directionnellement qu’avec ce sous-système de classe 2. Cette approche peut notamment être considérée pour les systèmes de sûreté.

Si dans certains cas cela peut sembler réa-liste, c’est parfois beaucoup plus complexe. L’exemple d’installations s’appuyant sur des SNCC (Système Numérique de Contrôle Commande) montre que les systèmes de sûreté, ou Systèmes instrumentés de sécurité (SIS), peuvent être totalement imbriqués avec les sys-tèmes de conduite : mutualisation des capteurs pour les automates de conduite et de sûreté, automates assurant à la fois des fonctions de conduite et de sûreté.

Deux solutions opposées sont possiblesDeux solutions extrêmes sont peut-être à envisager. La première consisterait à revoir un certain nombre de process supports associés au pro-cédé industriel pour permettre un cloisonne-ment fort des SI Industriels vis-à-vis des SI de gestion. La deuxième serait de revenir à des solutions « moins connectées » : désimbrication totale du SIS, dédoublement des capteurs, auto-mates / contrôleurs de sûreté dédiés et isolés, recours à la logique « câblée », automates et contrôleurs non « modifiables ».

Ces deux solutions peuvent sonner comme un retour en arrière. Le meilleur compromis réside sans doute dans une approche plus souple, fondée sur le bon sens et une gestion réaliste du risque.

Par Anthony Di Prima, manager

6 • La Lettre Sécurité N°36 • janvier 2015

La sécurité des SII n’est pas un problème nouveau et diverses initiatives, provenant d’agences gouvernementales, d’organismes de standardisation ou d’organisations sec-torielles, ont eu pour objectif d’établir des documents de référence en la matière.

Une multitude de textesLa liste est longue, c’est pourquoi il convien-dra de s’appuyer sur le (ou les) référentiel(s) le(s) plus adapté(s) : secteur, niveau de cri-ticité de son installation.

À ce titre, le CLUSIF, par l’intermédiaire du groupe de travail sur la sécurité des systèmes industriels, animé notamment par Solucom, a publié un panorama des référentiels en la matière.

Pas moins d’une cinquantaine de documents ont été analysés et des fiches de lecture per-mettent d’en avoir une vision synthétique. Les documents ont été répertoriés et catégo-risés : des plus introductifs aux plus exhaus-tifs, allant de quelques pages à plus d’un millier, le guide du CLUSIF précise à quels lecteurs ils sont le plus adaptés (filières SSI ou SII, concepteur/intégrateur/mainteneur).

Les objectifs de ces référentiels sont mul-tiples. Ils peuvent être utilisés comme un véritable outil pour réaliser des audits de sites, définir sa stratégie et les actions associées ou plus simplement évaluer son degré d’aligne-ment et de conformité au standard retenu.

De tous, l’IEC 62443 est sans doute le réfé-rentiel le plus connu du milieu et propose de nombreux guides qui tentent d’adresser l’ensemble des pans de la sécurité de ces SI. L’ISO a également apporté sa pierre à l’édifice avec la récente norme ISO 27019.

Les États publient également des guides natio-naux. Au Royaume-Uni, le CPNI (Center for the Protection of National Infrastructure) pro-pose plusieurs guides thématiques autour de la sécurité des SI industriels. Aux États-Unis, plusieurs entités (DHS, DoE…) ont élaboré des guides sectoriels. Enfin en France, l’ANSSI a également publié ses propres guides.

Certains secteurs ont apporté une réponse propre à leurs spécificités respectives comme l’AIEA qui propose son guide pour les instal-lations nucléaires ou encore le NERC CIP qui oblige les différents opérateurs électriques à être conformes à ses standards.

La réglementation : arme d’amélioration massive de la sécurité ?Cette abondance de littérature montre qu’il n’y a pas de réel consensus en la matière aujourd’hui. De plus, l’application des bonnes pratiques édictées dans ces docu-ments ne reste finalement qu’un acte de volontariat de la part des entités concernées.

Comme cela est souvent le cas, l’adoption de pratiques généralisées passe par la mise en place d’une réglementation (SEVESO par exemple). Et c’est bien ce qu’envisage l’État français au travers de la LPM (Loi de Programmation Militaire) : rendre obligatoire l’adoption de certaines mesures de cybersé-curité pour les OIV.

Mais ces avancées françaises ne doivent pas faire oublier la nécessité d’une approche plus globale, a minima européenne. En effet, au-delà des mesures organisationnelles et tech-niques, La LPM prévoit également le recours à des produits labellisés. Il ne s’agit là que d’un schéma franco-français. Les efforts requis pour obtenir cette labélisation peuvent apparaître comme un frein pour des construc-teurs/éditeurs à portée internationale. Avoir

une reconnaissance européenne ou interna-tionale de la sécurité de leur produit est donc un élément déterminant et qui aboutira à un réel retour sur investissement.

Dans ce domaine, des directives euro-péennes sont également attendues, en par-ticulier celle dédiée à la sécurité des réseaux et des infrastructures (NIS). Elles légitime-ront d’avantage les initiatives sur le terri-toire français. L’ENISA a d’ailleurs publié les bases d’un schéma de certification de la sécurité des Smart Grid à portée européenne.

Avec une approche progressive, ce que tend à faire l’État français, la réglementation obtiendra l’adhésion des industriels. La ten-dance va vers une adaptation des mesures avec une personnalisation opérateur par opérateur sans pour autant s’éloigner d’une cible ambitieuse. La publication prochaine des décrets d’application, puis des arrêtés de la LPM, permettra de le vérifier.

Enfin, pour ceux qui ne sont pas immédia-tement concernés en tant qu’opérateur cri-tique, nul doute qu’ils bénéficieront de l’élan global de ces démarches et pourront bien évidement s’en inspirer en complément des guides, normes et standards déjà existants.

Par Anthony Di Prima, manager

Normes, standards et réglementation : de réels leviers pour enclencher une démarche de sécurisation ?

Focus

La Lettre Sécurité N°36 • janvier 2015 • 7

Décryptage

Le facteur humain dans l’accident de la raffinerie de Texas City, 2005

Pendant la nuit, les équipes de la raffinerie se préparèrent à un redémarrage de la colonne de distillation. Au matin, l’équipe de jour redémarra l’installation. Tout semblait bien se dérouler et le cadre supervisant l’opération passa la suite à l’un de ses collègues. Mais soudain, une énorme explosion se produisit dans la torchère, causant la mort d’une quinzaine de personnes installées dans des bureaux préfabriqués situés à quelques mètres de la torchère, sur un espace libre. Personne ne comprit ce qui se passait et on crût à un attentat.

Les erreurs commises et leurs leçonsL’enquête a montré que cet accident était la conséquence d’erreurs simples et multiples qui auraient pu être évitées.

Tout d’abord, les procédures de démarrage n’ont pas été respectées car elles étaient contrai-gnantes. Les opérateurs avaient pris l’habitude de les court-circuiter. Par ailleurs, le manage-ment de la raffinerie avait fermé les yeux sur plus de 13 cas de non-respect de la procédure de redémarrage recensés par les enquêteurs.

Expliquer le bien-fondé des procédures et les dangers auxquels les opérateurs sont exposés incite le personnel à les respecter. Cela aug-mente à peu de frais la sécurité d’ensemble. De plus, une structure de traitement du retour d’expérience aurait sans doute permis de déceler l’anomalie et d’y remédier de façon pratique en prenant en compte les contraintes de terrain et les propositions des opérateurs.

Le non-respect de la procédure consistait à dépasser le niveau d’hydrocarbure à distil-ler dans la tour. Mais les opérateurs étaient confiants dans le fait que s’ils dépassaient le niveau prescrit par la procédure, une alarme de « rattrapage » s’activerait. Ils pensaient aussi que la régulation de niveau automatique main-tiendrait le niveau dans des limites acceptables. Ce qu’ils ne savaient pas, et que personne n’a contrôlé, c’est que l’alarme de « rattrapage » était défaillante et que la régulation automatique n’avait pas été mise en marche.

Nous relevons là plusieurs erreurs de transmis-sion d’informations, de maintenance et de non-vérification de fonctionnalités importantes pour la sécurité.

Organiser les passations de suite entre équipes, entre opérateurs et superviseurs, formaliser les communications, mettre en place des tableaux de situations et un système de bons de travaux opérationnel aurait permis d’alerter les opéra-teurs et de corriger largement à temps la défail-lance, même si les procédures étaient court-cir-cuitées ce jour-là.

Par ailleurs, les informations présentées à l’opérateur de jour et à son superviseur étaient biaisées et les ont conduit tous deux à se faire une représentation erronée de la situation. Par manque de formation et d’expérience, ils n’ont pas identifié d’incohérences et n’ont pas consi-déré lesdites informations d’un œil critique.

Sensibiliser opérateurs et superviseurs à croiser les informations et, pour ces derniers, à prendre du recul, aurait sans doute permis de déceler une anomalie.

Ne perdons pas de vue qu’une formation défail-lante doit être au moins compensée par une supervision plus attentive parce qu’expérimen-tée. La formation se fait alors naturellement in situ. Constituer une équipe d’un opérateur insuf-fisamment formé (il ne savait pas que le liquide devait sortir de la tour) et d’un superviseur inexpérimenté (il ne regardait pas les bonnes indications et faisait confiance à l’opérateur) est une erreur de management.

Vis-à-vis des impacts de l’accident, pourquoi y avait-il des bureaux préfabriqués à proximité de la torchère ? Vraisemblablement à cause de l’absence d’analyse de risques.

Créer et entretenir une culture de sécurité au sein d’une entreprise encourage le personnel à s’interroger (« que se passerait-il si…») et amène à considérer les opérations en cours d’un œil critique, bénéfique pour la sécurité de tous.

Dans le contexte de l’accident, il faut mentionner les pressions de la hiérarchie sur le management de la raffinerie. Outre le fait que cette raffinerie avait été rachetée depuis peu par une autre com-pagnie et que les tensions étaient encore vives à cause de cultures d’entreprises différentes et de craintes légitimes, une réduction des coûts de 25% avait été décidée. Cela a nécessairement eu un impact sur la sécurité, secteur habituelle-ment considéré comme coûteux pour un retour sur investissement impossible à chiffrer. Inviter les cadres à résister aux sirènes du low cost et à ne pas transiger sur la sécurité aurait permis de prévenir bien en amont ce désastre.

Il n’est pas question ici de décider à qui revient la responsabilité de cette explosion et des 15 victimes : trop de personnes, à tous les niveaux, portent une petite part de responsa-bilité. L’accident s’explique en effet par cette accumulation d’erreurs. Mais imaginons qu’une seule des personnes impliquées ait corrigé l’une des défaillances, il est certain que l’accident n’aurait pas eu lieu.

Par conséquent, en aidant les entreprises à travailler leur organisation, améliorer les com-munications entre personnes et entre groupes, en sensibilisant sous de multiples formes les opérateurs et leurs managers aux risques pris, il est possible à peu de frais d’améliorer la sécurité dans de grandes proportions. Ceci vaut égale-ment pour la sécurité de l’information dans les SI Industriels !

Jean Magne, [email protected]

Panorama de la cybercriminalité - Conférence CLUSIF le 14 janvier 2015 à 15h30Le CERT-Solucom interviendra dans le cadre du panorama annuel de la cybercriminalité réalisé par le CLUSIF. Les sujets suivants seront abordés :

• Accueil et introduction - Lazaro PEJSACHOWICZ, Président du CLUSIF• Polémique/FUD/Exagérations - Gérôme BILLOIS, Solucom• Objets connectés – L’Actualité et le Juridique - Fabien COZIC, Enquête et Conseils &

Garance MATHIAS, ME Garance Mathias• Chantage et rançon - Gérôme BILLOIS, Solucom• L’année des vulnérabilités - Hervé SCHAUER, Directeur Général Hervé Schauer Consultants• Les Nouveaux Pickpockets - Loïc GUEZO, Trend Micro & Christophe JOLIVET, Prosica• L’évolution de la menace - Philippe BOURGEOIS, CERT-IST & Eric FREYSSINET,

Gendarmerie Nationale• Le cybercrime, des deux côtés de la rivière - Eric FREYSSINET, Gendarmerie Nationale• Conclusion, mise en Perspective - François PAGET, Intel Security

Pour en savoir plus : http://clusif.asso.fr/fr/infos/event/

Prochains événements :• 19 janvier CORI&IN – Présentation de l’outil CERTITUDE, outil d’investigation numérique

distribué, réalisé par le CERT-Solucom. Intervention de Vincent Nguyen et Jean Marsault.• 20 & 21 janvier – Forum International de la Cybersécurité (FIC). Solucom sera présent lors

de cette 7ème édition du salon et animera la table-ronde « Smart city et cybersécurité »

Directeur de la publication : Patrick Hirigoyen

Responsable de la rédaction : Frédéric Goux

Contributeurs : Gérôme Billois, Anthony Di Prima, Sarah Lamigeon, Jean Magne, Arnaud Soullie

Photographies : Getty images FotoliaGraphiques : Solucom

Conception graphique : Les enfants gâtés

Impression : Axiom GraphicsISSN 1995-1975

La Lettre Sécurité Revue de la practice risk management et sécurité de l’information du cabinet Solucom

Tour Franklin, 100-101 terrasse BoieldieuLa Défense 892042 Paris - La Défense

[email protected]://www.solucom.fr

abonnement : [email protected]

L’actualité Solucom

Solucom se renforce dans le domaine du tertiaire financier et de l’industrie

Courant octobre, Solucom annonçait son rapprochement avec Audisoft-Oxéa.

Ce cabinet de conseil d’une trentaine de consultants accompagne les grands acteurs du secteur financier sur l’en-semble de leurs enjeux en matière de performance, réglementation, conformité, contrôle interne et gestion des risques.

L’expertise d’Audisoft-Oxéa est largement reconnue par la place financière, notam-ment par les autorités de tutelle et les régulateurs (ACPR, AMF).

À noter également que Solucom vient de reprendre la branche Industrie de PEA consulting, comprenant une douzaine de collaborateurs, renforçant ainsi sa connaissance des activités industrielles de ses clients, notamment en matière de supply chain.

Pour en savoir plus : http://www.solucom.fr/finance/