La (L in)sécurité des systèmes de contrôle de processus

Transcription

1 La (L in)sécurité des systèmes de contrôle de processus Étant donné les menaces existantes, la cyber-sécurité est devenue une priorité pour les environnements de contrôle. A l origine, les systèmes de contrôle de processus ont été créés comme des systèmes indépendants et isolés, par conséquent, la sécurité n'avait pas le poids qu'elle a aujourd'hui. Avec la standardisation d'internet et l'utilisation des protocoles basés sur l IP, la conception des réseaux a changé jusqu'au point où, dans beaucoup de cas, le réseau de contrôle est devenu une extension protégée du réseau principal de la société en étant potentiellement accessible depuis internet et donc vulnérable aux risques potentiels. Ainsi, il y a obligation d adopter une stratégie permettant de créer un environnement sûr pour réduire les menaces existantes. Les essais de sécurité sur les systèmes de contrôle de processus doivent être adoptées avec des précautions extrêmes: Une opération de contrôle de sécurité de chaque fichier (un par un appelé «scanning»), peut affecter significativement le fonctionnement de certains dispositifs de contrôle et causer des effets indésirables sur les systèmes analysés. Ces essais testent les ports et les vulnérabilités à l aide de demandes répétées vers des adresses IP avec des données fictives. On crée rarement des environnements de test pour effectuer ces analyses et souvent il y a peu d'occasion d avoir la ligne de production arrêtée pour pouvoir installer les correctifs de sécurité ou effectuer les tâches de maintenance nécessaires sur les systèmes de contrôle. Objectifs Pour un environnement de contrôle, l'importance de l'objectif de sécurité est inverse à celui de l'environnement informatique classique car la disponibilité des systèmes est placée comme le facteur plus important. Dans un environnement de contrôle, le terme «sécurité» se réfère généralement à la notion de fiabilité et de haute disponibilité. Les systèmes de contrôle de processus étaient traditionnellement des systèmes fermés conçus pour être fonctionnels, sûrs et fiables où la principale préoccupation était la sécurité physique. Avec l'intégration de ces systèmes dans un environnement informatique ouvert, l'environnement de contrôle est exposé à de nouvelles menaces (virus, malware, intrusions, etc.). Les logiciels commerciaux utilisés pour remplacer les systèmes de contrôle de processus propriétaires ne remplissent pas souvent l ensemble des besoins nécessaires pour répondre à la complexité de l'environnement de contrôle. Les principes de sécurité informatique développés avec ces technologies n'ont pas été adaptés suffisamment pour protéger correctement les systèmes de contrôle et maintenir l'environnement sûr. Les conséquences d'une exposition à des vulnérabilités venant de l'extérieur peuvent être très importantes. L'impact d'une attaque électronique contre un environnement de contrôle peut aller jusqu à la perte de service et la perte de l'intégrité et du caractère confidentiel des données.

2 Transformation des standards Les environnements de contrôle de processus utilisent et dépendent de plus en plus des technologies de l'information ouvertes. Ces technologies, remplacent les technologies propriétaires conventionnels et permettent ainsi de remplacer les logiciels spécifiques par des logiciels standards du marché. Cette transformation apporte avec elle deux grands inconvénients : Comprendre le risque. Principes des bonnes pratiques. C est uniquement avec une bonne connaissance des risques face aux menaces et aux vulnérabilités et des conséquences possibles sur l activité qu une organisation peut décider de mettre en place le niveau de sécurité adéquat et nécessaire pour sécuriser les opérations de l environnement de production. Les processus mis en œuvre doivent être soumis à une évaluation continue pour s'adapter aux modifications continuelles des opérations imposées par la production. Il est nécessaire de faire une évaluation formelle des risques sur les systèmes de contrôle: - Systèmes: Faire un audit : Inventaire et évaluation des systèmes de contrôle : Quels sont les systèmes existant? Quel est le rôle de chaque système? Comment interagissent-ils? Quelles sont les fonctionnalités de chaque système? Qui est responsable de chaque système? - Menaces : Identifier et évaluer les menaces qui affectent les systèmes de contrôle de processus. L inventaire doit inclure l'évaluation de l'infrastructure, les systèmes opérationnels, les applications, les composants logiciels, les connections réseau, les connectivités d accès distant et les procédures. - Impact : Identifier l impact et les conséquences. - Vulnérabilités : Étudier l'infrastructure, les systèmes, les applications et les processus afin de d inventorier et d analyser toutes les vulnérabilités potentielles Evaluation des Systèmes Identifier les menaces Lister les vulnérabilités Identifier l'impact Protéger, détecter, agir. L évaluation des vulnérabilités identifie et informe sur l arbitrage relatif à la sécurité pour son analyse ultérieure. Le principal but d'un essai de sécurité est de simuler les actions d'un attaquant pour trouver les points faibles du réseau qui pourraient permettre l'accès à l'environnement de contrôle à travers internet ou depuis le réseau principal de la société.

3 Il existe plusieurs outils et techniques utilisés par les attaquants pour identifier des vulnérabilités. Protéger : Mettre en œuvre les mesures de sécurité et les protections adéquates pour parer aux attaques électroniques. Détecter : Établir les mécanismes pour l'identification rapide des attaques électroniques. Agir : Appliquer les mesures de prévention adéquates pour résoudre les incidents de sécurité. Le succès de toute procédure de sécurité dépend du facteur humain. Les employés sont la ressource plus importante et la plus grande menace pour la sécurité. Le personnel des systèmes de contrôle de processus n est généralement pas familiarisé avec la sécurité de l environnement informatique classique (IT), de même le personnel de l IT n'est généralement pas familiarisé avec les systèmes de contrôle ni à son environnement opérationnel. Cette situation peut cependant être grandement améliorée à l aide de programmes de formation. Types d'essai de sécurité Un essai de sécurité vise à analyser les faiblesses de l'environnement exposé (permettant potentiellement à un attaquant extérieur l accès non autorisé au système). Ces essais sont généralement pensés pour les environnements informatiques classiques et peuvent rarement être appliqués à l'environnement de contrôle puisque les protocoles utilisés dans les deux environnements sont significativement différents. Les fournisseurs de solution logicielle de contrôle utilisent des protocoles propriétaires pour les processus internes. Ces protocoles ont été développés quand les systèmes de contrôle de processus étaient isolés de l'environnement corporatif alors que la sécurité n'était pas une menace. Depuis que l'environnement de contrôle n'est plus totalement isolé, les protocoles propriétaires mettent le système en danger car le risque d'attaque existe étant donné le bas niveau de sécurité. Du fait de l'insécurité inhérente à la simplicité des protocoles de l'environnement de contrôle, les essais d'analyse doivent se concentrer sur la mise en œuvre de la sécurité des électroniques de réseau responsables des entrées/sorties. L'étude doit prendre en compte l'architecture du réseau et adopter une stratégie de défense appropriée utilisant des firewalls. Le réseau corporatif et le réseau de contrôle ne devraient pas communiquer directement ; Toutes les communications corporatives vers ou depuis le réseau de contrôle doivent être filtrées et analysées par un firewall et un détecteur d'intrusions, en évaluant éventuellement la possibilité de créer des DMZs ou d'autres architectures plus techniques pour les systèmes les plus critiques. Processus de détection des vulnérabilités Préalablement à l évaluation de la sécurité, on doit passer en revue la structure du système et définir la configuration du système pour son évaluation, en répertoriant les problèmes connus et les dispositifs à exclure de l'analyse. Contrairement aux essais de sécurité de l IT, lesquels testent jusqu'où un attaquant peut arriver, dans l'environnement de contrôle ce que nous souhaitons savoir c est s'il existe des vulnérabilités dans le matériel ou les logiciels et si les protections de sécurité existantes sont suffisantes pour limiter les accès ou non.

4 Risque associé Un test de sécurité peut supposer un risque significatif pour les systèmes de contrôle de processus. A minima, celui-ci peut diminuer le temps de réponse du réseau étant donné l activité du scan lors de la recherche des vulnérabilités. Les transactions produites par le test peuvent aussi perturber le rythme du dialogue avec les composants de contrôle. Ce risque peut être réduit si on utilise des règles de scan appropriées mise au point par du personnel qualifié. Mettre en œuvre d une architecture sûre : Les points suivants détaillent un ensemble de bonnes pratiques pour la mise en place de mesures d aide à la protection contre les vulnérabilités possibles: Architecture de réseau : - Réduire au minimum le nombre de connexions avec le système et identifier toutes les connexions. - Isoler le réseau de contrôle au moyen d'un firewall pour créer une étanchéité vis à vis des failles de l'environnement corporatif. Firewalls : - Mettre en œuvre des règles d'accès strictes pour protéger les connexions entre les systèmes de contrôle et les autres systèmes. - Les firewalls doivent être gérés par des administrateurs expérimentés.

5 - Mettre en place un système de supervision de l infrastructure IT permanent (24/7). Accès à distance : - S'assurer de la connaissance des risques et des normes de sécurité des fournisseurs pour lesquels un accès au réseau est défini. - Tenir à jour un inventaire de toutes les connexions distantes autorisées. - Mettre en œuvre des mécanismes d'authentification appropriés et sûrs. - Effectuer régulièrement des audits. Mettre en place une procédure d habilitation et d exclusion pour les connexions distantes. - Restreindre l accès distant des personnes ou des ordinateurs à des utilisateurs spécifiques et à des fenêtres horaires définies. Anti virus : - Protéger les systèmes avec un logiciel antivirus approuvé et à jour. Procédure de connexion des périphériques : - Mettre en place une procédure de vérification de l absence de virus pour tous les périphériques à risque avant de les connecter au réseau. Accès à internet et - Restreindre l'accès à internet et au serveur d . Consolidation de systèmes : - Désactiver les services et les ports inutilisés afin d éviter une utilisation non autorisée. - Inventorier les ports ouverts, les services et les protocoles les utilisant. - Restreindre l'utilisation des CDROM, disques, clés USB, etc. Sécurité physique : - Mettre en œuvre des mesures de protection pour sécuriser l'accès physique aux équipements réseau et systèmes de contrôle. Supervision du système : - Assurer le monitoring en temps réel des processus, ports et services afin de détecter des comportements inhabituels. - Mettre en œuvre des systèmes de détection d'intrusion. Réviser et analyser régulièrement les archives des fichiers log. Réseaux sans fil : - Les réseaux sans fil jouissent d un vif succès dans les environnements de contrôle étant donné les nombreux avantages qu'ils apportent. Toutefois, les systèmes sans fil présentent un risque important étant donné les évolutions technologiques continues auxquels ils sont soumis. Les systèmes sans fil doivent être donc être protégés en utilisant les bonnes pratiques de l'industrie.

6 Application des patchs de sécurité : - Mettre en œuvre des procédures pour l'installation des patchs de sécurité sur les systèmes opérationnels. Avant toute installation, il faut vérifier que le patch a bien été certifié et validé par le fournisseur du logiciel de contrôle. Mots de passe et clés : - Implémenter des règles d expiration et de dureté des mots de passe pour tous les systèmes de contrôle. Il est recommandé de modifier les mots de passe aussi souvent que possible. - Opérer régulièrement à la révision des droits d'accès et désactiver les comptes inutilisés. - Modifier les mots de passe par défaut des équipements. Audits de sécurité : - Effectuer des audits de sécurité régulièrement afin d identifier, d énumérer et de décrire postérieurement les diverses vulnérabilités qui pourraient se présenter. Gestion de vulnérabilités : - Mettre en œuvre un système de gestion des vulnérabilités afin de s en protéger au maximum. Test de sécurité : - Exécuter des tests d épreuve de la sécurité dans des environnements de pré-production lorsque cela est possible. Gestion des modifications : - S assurer de manière stricte que tous les systèmes sont soumis à un processus de contrôle des modifications approuvés par tous les départements impliqués. Sauvegarde de sécurité : - Contrôler régulièrement l'intégrité des sauvegardes de sécurité en effectuant un test de restauration complète. Bibliographie Guide Contrôle Industriel to Systems (ICS) Security. [en ligne] Disponible à : Using Operational Security (OPSEC) to Support à Cyber Security Culture in Contrôle Environments. [en ligne] Disponible à : ce.pdf

7 VS 7858:2006 : Security dépistage of individuals employed in à security environment. Code of practice. [en ligne] Disponible à : Publications/Industry-Sectors/Security/Security-Products/BS / Diego Martín (Traduction française: Pierre Marmuse) Sistel Control