SÉCURITÉ DES SYSTÈMES D INFORMATION INDUSTRIELS MARS 2014 Philippe PRESTIGIACOMO POLYTECH MARSEILLE
AGENDA VOLET I : PROBLEMATIQUE GENERALE Présentation des systèmes d information industriels Spécificités des systèmes industriels VOLET II : ÉTAT DE L ART DE LA SÉCURITÉ Difficultés rencontrées pour appliquer les standards de sécurité Menaces, vulnérabilités et impacts potentiels VOLET III : MESURES DE PROTECTION ET DE PRÉVENTION Bilan, approche et bonnes pratiques de sécurité Référentiels et guides utiles - Contacts en cas d incidents DÉMONSTRATION Prise de contrôle d un drone 2 Mars 2014 Sécurité des Systèmes d Information Industriels
VOLET I PROBLEMATIQUE GÉNÉRALE 3 Mars 2014 Sécurité des Systèmes d Information Industriels
SYSTÈME D INFORMATION INDUSTRIEL Les systèmes d automatisme ou systèmes de contrôle industriel sont utilisés pour de multiples applications Usine classique : chimie, agro, automobile, pharma, production d énergie Sites plus vastes : traitement de l eau, des réseaux de transport Gestion de bâtiment (aéroport, hôpitaux ) Propulsion de navire Santé : biomédicale, laboratoire d analyse Les systèmes industriels contrôlent les infrastructures critiques depuis les réseaux électriques au traitement de l'eau, de l'industrie chimique aux transports. Ils sont présents partout. 4 Mars 2014 Sécurité des Systèmes d Information Industriels
PROBLÉMATIQUE Historiquement Systèmes d information industriels basées sur des technologies propriétaires et isolées du monde extérieur Protection des accès physiques jugée suffisante, la sécurité logique n étant pas une préoccupation majeure Aujourd hui Systèmes basés sur des technologies répandues, ouvertes et standardisées Communication directe établie entre les systèmes d information industriels et les systèmes d information de gestion de l entreprise Cette évolution des techniques expose ces systèmes aux menaces actuelles qui ciblent les systèmes d information de gestion 5 Mars 2014 Sécurité des Systèmes d Information Industriels
PROBLÉMATIQUE Spécificités des systèmes d information industriels Disponibilité Durée de vie des équipements Multiples technologies et fournisseurs Couvertures géographiques Effets indésirables de la mise en œuvre de la sécurité Interconnexion au système d information de gestion de l entreprise Télémaintenance La sécurisation des systèmes industriels passent par la compréhension de leurs spécificités et de leurs contraintes 6 Mars 2014 Sécurité des Systèmes d Information Industriels
SYSTEME INDUSTRIEL Fonctions centrales finance, compta, info centre Pilotage historisation - gestion des processus industriels (MES) Superviseur Elaboration des ordres - calculateur de process - Régulation et automatisme Capteur / actionneur 7 Mars 2014 Sécurité des Systèmes d Information Industriels
DOMAINES D EXPLOITATION Industrie Transports Energie Défense 8 Mars 2014 Sécurité des Systèmes d Information Industriels
DISPONIBILITE Au sein de ces installations, les automatismes assurent Le bon fonctionnement / les délais de production La sécurité des biens et personnes La conformité avec les exigences réglementaires sur l environnement La conformité avec les exigences réglementaires en terme qualité (traçabilité notamment) L arrêt même momentané peut avoir des conséquences graves sur la sécurité des personnes. 9 Mars 2014 Sécurité des Systèmes d Information Industriels
DURÉE DE VIE Entre 10 et 15 ans selon la machine Fonctionne 24h/24 et 7j/7 Peu ou pas d arrêt de maintenance Difficultés pour le support et des pièces de rechange Difficultés de mettre régulièrement à jour les équipements 10 Mars 2014 Sécurité des Systèmes d Information Industriels
MULTIPLES TECHNOLOGIES - FOURNISSEURS Installation hétérogène : cohabitation de technologies et de générations différentes Modification ou extension des installations Fenêtre technologique entre 15 à 20 ans Difficultés pour déployer une même solution de sécurité sur l ensemble des équipements 11 Mars 2014 Sécurité des Systèmes d Information Industriels
ENVIRONNEMENTS Des conditions environnementales extrêmes : Atmosphère humide, poussiéreuse, explosive, corrosive Température Pression Chocs et vibrations Radiations Difficulté de trouver des produits de sécurité répondant aux critères 12 Mars 2014 Sécurité des Systèmes d Information Industriels
GÉOGRAPHIE Installation très étendue Site industriel avec des superficies importantes : 15.000 à 20.000 m² Réseaux nationaux avec des filiales disposant d une grande autonomie locale Multiples sites interconnectés Nécessité pour certains systèmes de disposer d accès à distance via Internet - Equipements connectés sur Internet afin de faciliter leur exploitation Difficulté de sécuriser chaque site Besoin croissant en télémaintenance 13 Mars 2014 Sécurité des Systèmes d Information Industriels
INTERVENANTS Interlocuteurs avec des cultures et sensibilités différentes Électroniciens, automaticiens, qualiticiens Turn-over important du personnel en production Intérimaire Sous-traitant Quid de la confidentialité des données sur les postes SCADA recette de fabrication. Difficulté de maitriser l ensemble des intervenants. Il faut comprendre le métier et les problématiques, savoir dialoguer avec l ensemble des interlocuteurs 14 Mars 2014 Sécurité des Systèmes d Information Industriels
PROTOCOLES Protocoles ouvert ou propriétaires Protocoles historiques non IP / non Ethernet (industrial ethernet, modbus-tcp, profinet, DNP3) Sans authentification, ni chiffrement des données transportées Absence de gestion des transactions en mode connecté Nécessité d avoir des équipements de filtrage compatibles Difficultés de trouver des produits de sécurité répondant aux critères 15 Mars 2014 Sécurité des Systèmes d Information Industriels
VOLET II ETAT DE L ART DE LA SÉCURITÉ 16 Mars 2014 Sécurité des Systèmes d Information Industriels
SÉCURITÉ EMBARQUÉE ET SÉCURITÉ RÉSEAU Ressources limitées Versus fonctions de sécurité embarquées dans les systèmes Filtrage des flux : Pare-feu Centralisation des journaux d événements Temps de réponse courts Versus équipements de filtrage réseau Sondes de détection d intrusion (HIDS / HIPS) Filtrage des flux : Pare-feu Compatibilité protocolaire Inspection des paquets en profondeur Difficultés d embarquer des fonctions de sécurité évoluées L équipement de filtrage doit être compatible avec les protocoles en présence. 17 Mars 2014 Sécurité des Systèmes d Information Industriels
SÉCURITÉ RÉSEAU VERSUS MAILLAGE DU RÉSEAU Communication pair à pair et non client-serveur Tous les équipements communiquent entre eux Le dysfonctionnement d un équipement peut entrainer un dysfonctionnement du système entier - Tous sont critiques Il est alors nécessaire de protéger chaque équipement. Ce qui peut être long et coûteux 18 Mars 2014 Sécurité des Systèmes d Information Industriels
PATCH MANAGEMENT Durée de déploiement incompatible avec les contraintes de productivité Nombreux équipements à des distances variables Durée de déploiement importante Risque d indisponibilité Effets inattendus entrainant un disfonctionnement partiel ou total Peu de possibilité de déploiement Peu d arrêts planifiés Le contexte industriel laisse peu de créneaux temporels pour déployer les patchs de sécurité. 19 Mars 2014 Sécurité des Systèmes d Information Industriels
CONTRÔLE D ACCÈS LOGIQUE Temps de réaction En situation de crise la contrainte du contrôle d accès peut faire perdre du temps Ambiance peu propice à la biométrie Graisse, port de gant, masques, Compatibilité sur l ensemble de l installation Technologies et générations de machines différentes Le contrôle d accès pourrait être source de stress et de perte de temps. 20 Mars 2014 Sécurité des Systèmes d Information Industriels
ANTIVIRUS Risque d indisponibilité des processus, chaines de fabrication Faux positif entrainant la suppression / Mise en quarantaine d un fichier essentiel Conséquences multiples : perte de visualisation / contrôle du système de contrôle-commande, arrêt de fonctionnement automatisé du système Difficulté pour mettre à jour la base virale A cause du cloisonnement des réseaux de gestion et industriels, la mise à jour peut être complexe L architecture antivirale à déployer doit prendre en compte les ressources disponibles sur les automates et les postes de pilotage. 21 Mars 2014 Sécurité des Systèmes d Information Industriels
SURVEILLANCE Difficultés pour se connecter à tous les équipements Protocoles propriétaire Technologies différentes Traçabilités des informations Absence de fonctionnalité de journalisation embarquée Compétences Analyse des événements dans le périmètre Difficultés d analyser les évènements provenant d un système industriel. Pour cela, il est nécessaire d avoir des compétences en sécurité et en automatisme industriel. 22 Mars 2014 Sécurité des Systèmes d Information Industriels
MENACES ET VULNÉRABILITÉS ATTAQUE - Exploitation concrète d une vulnérabilité d un système qui conduit à des conséquences plus ou moins grave sur la fonctionnalité ou les données du système. Typologie des attaques Attaques génériques - 30 Millions de nouveaux malwares en 2012 CONFICKER, 2009 Attaques ciblées - Informatique conventionnelle FLAME, 2010 ACAD, 2012 SHAMOON, 2012 - Systèmes industriels STUXNET, 2010 DUQU, 2011 23 Mars 2014 Sécurité des Systèmes d Information Industriels
CAS DE STUXNET : QUELLE ÉTAIT LA CIBLE? Famille de PLC concernée : 6ES7-417 et 6ES7-315-2 -> cibles complexes! * multiples ProfiBus * Puissance CPU La cible pourrait être la centrale de Bushehr, en construction mais aussi des centrifugeuses sur le site de Natanz Le Siemens Organization Block 35 (process watchdog) est modifié par Stuxnet Il gère des opérations critiques qui requièrent des temps de réponse inférieurs à 100 ms 24 Mars 2014 Sécurité des Systèmes d Information Industriels
VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS Vulnérabilités intrinsèques aux systèmes industriels Peu de prise en compte de la sécurité lors des phases de conception, d installation, d exploitation et de maintenance Automates et composants industriels en production avec des configuration par défauts et mots de passe par défaut Informations accessibles les manuels techniques sont disponibles assez facilement- avec les mots de passe par défaut. Une culture et une expérience des opérationnels différentes du monde informatique : Connexion à l Internet et ignorance de la menace extérieure Des opérateurs non formés à la sécurité informatique 25 Mars 2014 Sécurité des Systèmes d Information Industriels
ORGANISATION DE LA SECURITE Responsable sécurité rattaché Production (le plus souvent) Département technique Hygiène Qualité Sécurité et Environnement (HQSE) Maintenance Services généraux Responsabilités variables et diffuses des systèmes informatiques et de leur sécurité 26 Mars 2014 Sécurité des Systèmes d Information Industriels
ETUDE AREVA EURIWARE 2010 Un retour d expérience sur une cinquantaine d industriels français montre le manque de maturité en sécurité des systèmes d information industriels. 27 Mars 2014 Sécurité des Systèmes d Information Industriels
IMPACTS Dommages matériels et/ou corporels Responsabilité civil ou pénale Impact environnemental Pollution du site de production et de l environnement Perte de chiffre d affaire Interruption de la production Modification des paramètre de fabrication Vol de données Secret de fabrication, avantage pour la concurrence 28 Mars 2014 Sécurité des Systèmes d Information Industriels
VOLET III MESURES DE PROTECTION ET DE PRÉVENTION 29 Mars 2014 Sécurité des Systèmes d Information Industriels
CONSTAT Difficultés d appliquer les standards de sécurité des systèmes d information de gestion Une approche différente à construire pour les systèmes d information industriels «tout en adaptant les recettes existantes de sécurité» La gestion du risque, la maîtrise des techniques de sécurisation deviennent des compétences indispensables pour les entreprises dans les secteurs industriels. 30 Mars 2014 Sécurité des Systèmes d Information Industriels
APPROCHE STRUCTURÉE Bonnes pratiques de sécurité les classiques Politiques de sécurité, Veille de vulnérabilités, Evaluation de la sécurité & audit, Plan de continuité - gestion de crise et exercice de simulation 31 Mars 2014 Sécurité des Systèmes d Information Industriels
APPROCHE STRUCTURÉE Organisation de la sécurité Identification d un responsable sécurité industriel Analyse de risques Sensibiliser le personnel Mise à niveau par paliers successifs Inventaires - Projet de remplacement des équipements obsolètes Dispositif contractuel pour les fournisseurs Maintenance Plan de maintenance des composants sensibles Sécurité physique, protection des locaux techniques et des armoires 32 Mars 2014 Sécurité des Systèmes d Information Industriels
ET ENSUITE LA TECHNIQUE Mesures techniques Patch management : Antivirus et correctifs Cloisonnement et contrôle des flux entre les SI industriel et de gestion Whitelisting : liste des blanches des applications autorisées Télémaintenance et télégestion limitées et contrôlées avec une traçabilité renforcée Accès à internet limité ou interdit Déploiement de moyens de surveillance et de détection 33 Mars 2014 Sécurité des Systèmes d Information Industriels
GUIDES PRATIQUES ANSSI Guide d hygiène informatique Connaitre son SI et ses utilisateurs Maîtriser le réseau Mettre à niveau les logiciels Authentifier l utilisateur Sécuriser les équipements terminaux Sécuriser l intérieur du réseau Protéger le réseau interne de l Internet Surveiller les systèmes Sécuriser l administration du réseau Contrôler l accès aux locaux et la sécurité physique Organiser la réaction en cas d incident Sensibiliser Faire auditer la sécurité Guide SSI des systèmes industriels 34 Mars 2014 Sécurité des Systèmes d Information Industriels
CONTACTS La DPSD La police DCPJ/OCLCTIC, DCRI, PP/BEFTI, La gendarmerie IRCGN, STRJD, NTECH La justice En cas d incident : Office Central de Lutte contre la Criminalité liées aux Technologies de l Information et de la Communication (OCLCTIC) 101 Rue des 3 Fontanot - 92000 NANTERRE Tel : 01.49.27.49.27 "info-escroqueries" 08 11 02 02 17 35 Mars 2014 Sécurité des Systèmes d Information Industriels
Sites gouvernementaux ANSSI QUELQUES SITES - http://www.ssi.gouv.fr/ Portail de la sécurité informatique - http://www.securite-informatique.gouv.fr Rapport du Sénateur Bockel sur la Cyberdéfense - http://www.senat.fr/rap/r11-681_mono.html Sites d information www.clusif.fr Magazine sur la sécurité - http://www.mag-securs.com - http://boutique.ed-diamond.com/ (revue MISC) Séminaires - http://www.forum-fic.com/2014/fr/ - http://www.gsdays.fr/ - https://www.lesassisesdelasecurite.com/ 36 Mars 2014 Sécurité des Systèmes d Information Industriels
DÉMONSTRATION Prise de contrôle d un drone Remerciements à la DCNS pour leur aide dans l élaboration de la démonstration 37 Mars 2014 Sécurité des Systèmes d Information Industriels
PRESENTATION Cette démonstration est réalisée dans le cadre de la journée OZSSI afin d illustrer le besoin de prendre en compte la sécurité en amont dans les projets de développement de produits industriels Ecole POLYECH GENIE INDUSTRIEL & INFORMATIQUE 4A Equipe POLYHACK-Drone Sébastien MONNERY Sébastien MINEO Sébastien OHANIAN Equipe encadrée par Philippe PRESTIGIACOMO 38 Mars 2014 Sécurité des Systèmes d Information Industriels
Scénario Objectif : DEMONSTRATION - Récupérer le contrôle d un drone en exploitant l absence d authen. Robuste Contexte : - Le drone est allumé, et son propriétaire est connecté au réseau wifi de l appareil. Méthode d attaque : - Passage de la carte wifi en mode écoute - Identification des réseaux wifi - Identification des appareils connectés au wifi ciblé (propriétaire du drone) - Désauthentification du propriétaire légitime par le pirate - Connexion du pirate au drone Technologies utilisées - Ordinateur doté de l Operating System KALI Plateforme d audit de sécurité - Suite logicielle utilisée dans KALI : AirCrack - Application AR FreeFlight pour le contrôle du DRONE (sur tablette/téléphone Androïd) 39 Mars 2014 Sécurité des Systèmes d Information Industriels
DEMONSTRATION Wifi Propriétaire Pirate 40 Mars 2014 Sécurité des Systèmes d Information Industriels
DEMONSTRATION Wifi Propriétaire Pirate 41 Mars 2014 Sécurité des Systèmes d Information Industriels
DEMONSTRATION Wifi Propriétaire Pirate 42 Mars 2014 Sécurité des Systèmes d Information Industriels
CAPTURE DES FLUX RÉSEAUX Commandes envoyées au DRONE 43 Mars 2014 Sécurité des Systèmes d Information Industriels
CONCLUSION Voici les vulnérabilités identifiées lors de la conception du drone: - Absence d authentification robuste entre le pilote et le drone - Absence de chiffrement des communications - Absence de gestion des privilèges Défauts de sécurité dans de nombreux automates industriels et militaires! 44 Mars 2014 Sécurité des Systèmes d Information Industriels
FIN DE LA DEMONSTRATION MERCI POUR VOTRE ATTENTION 45 Mars 2014 Sécurité des Systèmes d Information Industriels