Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes 03 Décembre 2013
2 HIDD Harmonisation des Infrastructures Système Informatique Industrielle et de Gestion Etude Roquette mardi 24 décembre 13
Contexte Dans le groupe ROQUETTE, les Systèmes DCS/PLC (Automatismes) sont développés et mis en place par la DDI (Direction du Développement Industriel). Ceux-ci sont de plus en plus basés sur des technologies informatiques L exploitation de ces solutions est à charge des sites Elles sont gérées et administrées, le plus souvent de façon distincte, par les équipes techniques locales Automatismes alors qu elles sont connectées au réseau d entreprise. Dans certains cas, ces équipes sont aidées par les relais locaux de la DSIC(Direction des Systèmes d Information et de Communication) Certaines activités sont donc identiques, voir parfois redondantes sur les environnements de ces systèmes 3 Les évènements déclencheurs Convergence des technologies utilisées Souhait d identifier et de réduire les risques en particulier autour de la sécurité informatique Souhait de la DDI et de la DSIC de converger vers des normes et standards SI édictées par le Groupe Souhait de mutualiser certaines activités et ressources Souhait de réduire certains coûts
Objectifs et enjeux Objectifs Le projet doit permettre d harmoniser les infrastructures entre la DDI et la DSIC, d optimiser la sécurité informatique, de respecter les normes et les standards, et de mutualiser certaines ressources. 4 Périmètre du projet Le projet englobera l ensemble des sites industriels du Groupe. Il portera sur les sujets suivants : Technique : Architectures réseaux et systèmes, choix des applications, hébergement des infrastructures, sécurité physique, réseau et système Organisationnel et humain: Responsabilités décisionnelles, engagements de services, administration des systèmes, gestion de la sécurité, gestion de l évolution du matériel, compétences, Economique : Règles et procédures, mode de financement du matériel commun
Facteurs clés de succès 5 Volonté des acteurs concernés de définir et valider une cible dans le respect réciproque des responsabilités, normes et standards existants dans le cadre du «SI d entreprise» Clarification du périmètre du projet de manière exhaustive et transparente Volonté forte de travailler de façon commune et transverse
Cible initiale du projet HIDD Périmètre du projet HIDD 6 4 Services & Infrastructures & Communications Infra. Réseau ENTREPRISE IT Communications intersites Communications externes ERP ERP Sécurité SIG USINE 3 2 ATELIERS MES MES CONDUITE DE CONDUITE PROCESS Infra. partagée Sécurité SII SUPERVISION Mes MACHINES 1 AUTOMATES, PROCESSEURS PROCESSEURS DE CONTROLE DE ORGANES Infra. Dédiée Réseau Temps réel Automatismes 0 CAPTEURS CAPTEURS / ACTIONNEURS / ACTIONNEURS
Risques A ne pas faire Les risques seraient: Une segmentation du SI d Entreprise en deux SI avec des déploiements et des stratégies dissociés qui impliquerait : 7 Une stratégie de «Sécurité logique» non homogène Une fragilité technique, virale et sécuritaire Une traçabilité fragilisée par le doublement des comptes «Utilisateurs» Doublement des compétences techniques pour l administration des ressources La non optimisation d équipements et services tels que : a) Matériels et services de sauvegarde b) Mises à jour antivirales c) Imprimantes bureautiques partageables d) Surveillance des ressources & services e) Achats de matériels, logiciels et licences f).. Une prise d indépendance des sites vis-à-vis du SI Entreprise Une perte de fluidité dans la gestion de la chaîne d informations Automatismes (DCS / PLC) ---- MES ------ ERP Méthode non homogène pour les correspondants Usines communs à la DSIC & DDI
Contraintes et besoins du SII Le SII «Site» est sous la responsabilité opérationnelle du site concerné 8 La cohérence technique et les préconisations du SII sont portées par la DDI. Les sites doivent être autonomes dans l exploitation de leurs systèmes pour faire face à une haute disponibilité 24h/24 7j/7. Chaque site administre ses ressources «Process». Chaque atelier doit avoir un Plan de Continuité des Opérations indépendant (PCO). Chaque équipement faisant partie d un PCO doit être hébergé physiquement dans l atelier concerné. Les évolutions des Operating Systems (OS) doivent être différenciées entre le SIG et le SII ainsi que les patchs pour cause de validation par les constructeurs Process et les correspondants site Process. Ce sont les serveurs process (IHM, Ingénierie et transfert données) réalisant les interfaces entre les deux domaines qui seraient principalement concernés par cette synergie technique, organisationnelle et économique.
Contraintes et besoins du SII par site 9
Thématiques 5 thèmes en chantier : Réflexion sur l organisation et les responsabilités : Rôles DSIC, DDI, correspondants sites,. Réflexion sur la sécurité: Antivirus VLAN Firewall Droits d accès Prototype sur les organisations logiques «process» : Contrôleur de domaine Prototype sur les services transverses : Surveillance Serveurs Backup, restore Imprimantes Patchs Signatures antivirus Prototype sur le poste de travail «process»: Poste unique Métier Automatisme/MES et Bureautique 10
Prototype Organisation Logique Industrielle (Process) Présentation des fonctionnalités de gestion administrative
Architecture de la Forêt PROCESS Forêt spécifique PROCESS Relation d approbation unidirectionnelle entre l organisation de GESTION et PROCESS Domaine unique dans la Forêt PROCESS
Organisation du domaine PROCESS Une OU par Site Autonomie complète du Site dans son OU Possibilité de déléguer les droits sur un autre Site si nécessaire
Vision CyberSécurité Invensys
Intégration de la Cyber Sécurité au sein du Système 2 modes de fonctionnement Sans Contrôleur de domaine Avec contrôleur de domaine Le choix de la solution est lié à l évaluation des risques La solution sans Contrôleur de domaine introduit un premier niveau de sécurité Hardening (Durcissement) Antivirus et AntiSpyware : McAfee Sauvegardes online centralisées Ségrégation des réseaux via Firewall et DMZ Monitoring des performances : NetSight & Solarwind Remote maintenance
Intégration de la Cyber Sécurité au sein du Système Mode sans contrôleur de domaine : Hardening (Durcissement) Configuration et documentation du BIOS Désactivation des services et programmes Windows non utilisés Désactivation des Ports USB Configuration des Switchs : Interdiction écriture Trap SNMP et protocole Telnet/Web Certification Wurltech pour les stations et Contrôleurs Process de MAJ des OS des Firmwares et des logiciels (QF) ---
Intégration de la Cyber Sécurité au sein du Système Mode avec contrôleur de domaine : Augmente le niveau de sécurité : Version standard et : Centralisation de la gestion des comptes utilisateurs et de l authentification des utilisateurs du domaine Utilisation de Polices de sécurité : Ne donner à l utilisateur et aux programmes que les privilèges nécessaires à son fonctionnement : Moindre privilège Détection et MAJ centralisées des Antivirus et AntiSpyware : McAfee epo Server ---
Conclusion L évolution des technologies dans les Systèmes d Information Industriels nous oblige à utiliser de plus en plus des solutions vulnérables en terme de Cyber Sécurité au même titre que les S.I. de gestion. La prise de conscience est faite au sein des différentes usines du Groupe qui n ont pas toujours dans leurs équipes Automatismes les ressources adéquates pour gérer l environnement de leur métier. Il faut améliorer et harmoniser nos infrastructures S.I.I. pour minimiser ce risque. Cela va se concrétiser en 2014 par des plans d action menés en concertation avec tous les acteurs et notamment avec Invensys sur les sujets suivants : Antivirus VLAN/Firewall Domaine et contrôleur de domaine Virtualisation 18
Conclusion Etude Roquette - Groupe Cyber sécurité Invensys pour : Accès expertise groupe : Technologie et partenaire : Microsoft, McAfee Base expérience: RasGas, Saudi Aramco Compétence: Active Directory, Firewall, Antivirus, Administration réseaux Etude des infrastructures existantes et analyse des risques Prise en comptes des besoins spécifiques Gestion des Antivirus globale : Approche multi fournisseurs Gestion centralisé des utilisateurs : ID-Password: Héritage contrôleur de domaine Mode de mise en œuvre : Approche «CD d installation» ---- 19