Analyse de risques en cybersécurité industrielle Présentation faite à l’EPSI Lyon en oct. 2011 (merci de solliciter l’aute...
Ordre du jour <ul><li>L’environnement contrôle commande </li></ul><ul><ul><li>Le modèle d’architecture générale – les couc...
Analyse de risques en cybersécurité industrielle Partie 1 : l’environnement contrôle commande et ses spécificités Cyberséc...
L’environnement contrôle commande (C-C) <ul><li>Les caractéristiques de chaque couche ISA </li></ul>Page  GPAO (‘MES’) : o...
La boucle de contrôle commande <ul><li>Boucle standard (10-100 millisecondes) basée sur un automate programmable (‘control...
Menaces et vulnérabilités <ul><li>L’analyse « standard » des spécificités C-C </li></ul><ul><ul><li>Par « DICP » </li></ul...
Exemple de tableau comparatif : CLUSIF Page  Enjeux de sécurité des infrastructures SCADA. Clusif, 17/04/2008. Cybersécuri...
Le dernier lot de failles SCADA (oct 2011 – CCIRC - non public) Page  <ul><ul><li>En majorité : DOS et buffer overflows </...
Latest incidents Incident type evolution Accidentologie et évolution Augmentation de la complexité, interconnexion de syst...
Analyse de risques en cybersécurité industrielle Partie 2 : les modèles pertinents d’analyse de risque
Les limites de l’approche 27005 <ul><li>Le principe général </li></ul><ul><ul><li>Définition du périmètre </li></ul></ul><...
Le besoin d’approches pragmatiques <ul><li>Les critères doivent être ceux du risque industriel </li></ul><ul><ul><li>Risqu...
IEC 61511 Page  (reproduit avec l’autorisation de l’auteur) Cybersécurité Industrielle - Patrice Bock
Exemple « zones » et « conduits » <ul><li>Tiré du draft 99.03.03 – industrie de  PROCESS  (chimique) </li></ul>Page  Cyber...
Exemple « zones » et « conduits » <ul><li>Tiré du draft 99.03.03 – industrie de  PRODUCTION </li></ul>Page  Cybersécurité ...
Approche par vulnérabilités majeures <ul><li>Applicable avec les conditions suivantes : </li></ul><ul><ul><li>A priori niv...
Analyse de risques en cybersécurité industrielle Conclusion Cybersécurité Industrielle - Patrice Bock
L’actualité confirme le besoin de retour aux bases (oct 2011) <ul><li>Des incidents majeurs alors que les moyens étaient l...
Analyse de risques en cybersécurité industrielle Questions et (j’espère) réponses Cybersécurité Industrielle - Patrice Bock
Prochain SlideShare
Chargement dans…5
×

Analyse de risques en cybersécurité industrielle

4 302 vues

Publié le

Principes du contrôle commande, méthodes d'analyse standard et limites, justification d'approches pragmatiques par l'actualité (octobre 2011).
Réalisé avant que DuQu soit rendu public, mais donc d'autant plus pertinent à présent.

0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
4 302
Sur SlideShare
0
Issues des intégrations
0
Intégrations
504
Actions
Partages
0
Téléchargements
221
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Analyse de risques en cybersécurité industrielle

  1. 1. Analyse de risques en cybersécurité industrielle Présentation faite à l’EPSI Lyon en oct. 2011 (merci de solliciter l’auteur via la rubrique “Contact” du blog http://securid.novaclic.com pour toute ré-utilisation du contenu, qui n’est pas libre de droits) Cybersécurité Industrielle - Patrice Bock
  2. 2. Ordre du jour <ul><li>L’environnement contrôle commande </li></ul><ul><ul><li>Le modèle d’architecture générale – les couches </li></ul></ul><ul><ul><li>Les menaces et vulnérabilités spécifiques </li></ul></ul><ul><ul><li>L’accidentologie </li></ul></ul><ul><li>Les modèles pertinents d’analyse de risques </li></ul><ul><ul><li>Les limites des approches du type ISO 27005 </li></ul></ul><ul><ul><ul><li>EBIOS, MEHARI </li></ul></ul></ul><ul><ul><li>Le besoin d’approches pragmatiques </li></ul></ul><ul><ul><ul><li>Inspirées par IEC 61508 et ISO 31000 </li></ul></ul></ul><ul><ul><li>Exemple de méthodologie adaptée </li></ul></ul><ul><li>Conclusion </li></ul><ul><ul><li>Où l’actualité confirme le besoin de pragmatisme </li></ul></ul>Page Cybersécurité Industrielle - Patrice Bock
  3. 3. Analyse de risques en cybersécurité industrielle Partie 1 : l’environnement contrôle commande et ses spécificités Cybersécurité Industrielle - Patrice Bock
  4. 4. L’environnement contrôle commande (C-C) <ul><li>Les caractéristiques de chaque couche ISA </li></ul>Page GPAO (‘MES’) : ordonnancement, stocks, suivi de production, nomenclature… Terminaux ou SCADAs centralisés : Windows, IP (gestion données OPC), différents serveurs redondés, alertes, rafraichissement à la seconde Automates, systèmes numériques de contrôle commande : boucles de contrôle, niveau de sécurité, protocoles spécifiques IP/Ethernet (DNP3, modbus…), temps réel Capteurs (sondes…) et actuateurs (valves, moteurs…) – contrôlés via bus série, TOR, signaux analogiques, voire IP Extrait de « LA CYBER-SECURITE DES SYSTEMES DE CONTROLE-COMMANDE », RAPPORT D’EVALUATION M3958 X 10 Publié par l’ EXERA, Date Novembre 2010 Cybersécurité Industrielle - Patrice Bock
  5. 5. La boucle de contrôle commande <ul><li>Boucle standard (10-100 millisecondes) basée sur un automate programmable (‘controller’) </li></ul>Page Automate programmable industriel Capteurs physiques Signaux de contrôle Equipement piloté avec flux de matière en entrée et en sortie Pilotages local et distant Extrait de NIST SP 800-82, Guide to Industrial Control Systems (ICS) Security Cybersécurité Industrielle - Patrice Bock
  6. 6. Menaces et vulnérabilités <ul><li>L’analyse « standard » des spécificités C-C </li></ul><ul><ul><li>Par « DICP » </li></ul></ul><ul><ul><ul><li>En gestion, C prioritaire </li></ul></ul></ul><ul><ul><ul><li>Dans l’industrie, D prioritaire (mais…) </li></ul></ul></ul><ul><ul><li>Par liste de points de comparaisons </li></ul></ul><ul><ul><ul><li>Nombreuses sources : NIST, Euriware, DHS, CLUSIF etc… </li></ul></ul></ul><ul><ul><ul><li>Exemple : </li></ul></ul></ul><ul><ul><ul><ul><li>Systèmes de production « quasi-temps réel » (1 sec.) </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Durée de vie des systèmes (facteur 10) </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Mots de passe complexes vs disponibilité terminaux en urgence </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Antivirus et mises à jour sur systèmes 24/7 </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Profil des personnels, nombre d’intervenants externes </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Sécurité des logiciels SCADA (et automates) </li></ul></ul></ul></ul><ul><li>Une analyse trop théorique, peu opérationnelle </li></ul><ul><ul><li>Nécessité de changer de référentiel </li></ul></ul>Page Cybersécurité Industrielle - Patrice Bock
  7. 7. Exemple de tableau comparatif : CLUSIF Page Enjeux de sécurité des infrastructures SCADA. Clusif, 17/04/2008. Cybersécurité Industrielle - Patrice Bock
  8. 8. Le dernier lot de failles SCADA (oct 2011 – CCIRC - non public) Page <ul><ul><li>En majorité : DOS et buffer overflows </li></ul></ul>Cybersécurité Industrielle - Patrice Bock <ul><ul><li>Contenu supprimé de ce support powerpoint. </li></ul></ul><ul><ul><li>Ce lot de failles, dont le détail est accessible aux seuls professionnels de la cybersécurité industrielle, comporte 19 vulnérabilités sur un multiplicité de systèmes SCADA, terminaux ou automates. </li></ul></ul><ul><ul><li>Depuis le printemps 2011, la publication de ces lots de failles est devenue monnaie courante, et des « exploits » sont souvent mis à disposition quelques semaines après dans les « packs » publics (metasploit, dbexploit) ou commerciaux (GLEG) </li></ul></ul>
  9. 9. Latest incidents Incident type evolution Accidentologie et évolution Augmentation de la complexité, interconnexion de systèmes Augmentation de la cybercriminalité (x3) Mise en œuvre de mesures anti malveillants ? Communication du DHS jeudi 29 septembre : le CERT ICS a annoncé avoir traité en 2010 116 requêtes d’assistance suite à des tentatives d’intrusion sur les systèmes industriels, et déjà 342 à date (i.e. fin septembre 2011) : Communication de l’ANSSI lors des assises de la sécurité 2011 : l’ANSSI constate un saut quantitatif des attaques, notamment à but de vol d’information, dans les organismes d’état et les OIV. Détails disponibles sur le blog http://securid.novaclic.com
  10. 10. Analyse de risques en cybersécurité industrielle Partie 2 : les modèles pertinents d’analyse de risque
  11. 11. Les limites de l’approche 27005 <ul><li>Le principe général </li></ul><ul><ul><li>Définition du périmètre </li></ul></ul><ul><ul><li>Liste des actifs informationnels à protéger </li></ul></ul><ul><ul><ul><li>Utilisation d’une échelle de criticité DIC pour priorités </li></ul></ul></ul><ul><ul><li>Analyse des menaces, estimation du risque </li></ul></ul><ul><ul><li>Décision pour chaque risque (mitiger, assurer, éviter…) </li></ul></ul><ul><ul><li>Liste des mesures de protection à mettre en œuvre </li></ul></ul><ul><li>Le problème du contexte industriel </li></ul><ul><ul><li>Peu de ressources disponibles + besoin de sensibilisation </li></ul></ul><ul><ul><li>De très nombreux actifs, de très nombreux risques </li></ul></ul><ul><ul><ul><li>Le score « ISO » sera faible et la longueur de la liste des actions, démotivante </li></ul></ul></ul><ul><ul><li>Les critères de criticité ne sont pas les bons </li></ul></ul><ul><ul><ul><li>La grille des types de données et services est inadaptée </li></ul></ul></ul><ul><ul><li>Les mesures ne sont pas toujours pertinentes </li></ul></ul><ul><li>La lourdeur de MEHARI (basée 27005) illustre bien le problème </li></ul><ul><ul><li>Par ex. l’audit comporte plusieurs milliers (Nx1000 !) questions </li></ul></ul>Page Cybersécurité Industrielle - Patrice Bock
  12. 12. Le besoin d’approches pragmatiques <ul><li>Les critères doivent être ceux du risque industriel </li></ul><ul><ul><li>Risque sur l’information mais aussi : l’investissement, la capacité de production, les personnes, l’environnement </li></ul></ul><ul><li>L’approche doit être cohérente et pertinente avec la sûreté de fonctionnement </li></ul><ul><ul><li>Contrairement à ce qui est accepté en informatique de gestion, la cybersécurité n’est pas un silo à part </li></ul></ul><ul><ul><li>Utilisation du vocabulaire et de méthodes proches de l’industriel </li></ul></ul><ul><li>IEC 61508 (1999), dérivés (61511) et ISO 31000 (2009) </li></ul><ul><ul><li>Approches partant des vulnérabilités et menaces, et utilisant des scénarios (pas de catalogue a priori des actifs à protéger) – permettant un travail plus léger et plus « coopératif » entre fonctions </li></ul></ul><ul><ul><li>Utilisation de périmètres avec niveaux de criticité différents </li></ul></ul><ul><ul><li>IEC 61511 : pour chaque processus contrôlé (boucle contrôle + sécurité), niveau de SIL « safety integrity level » 1 à 4 </li></ul></ul><ul><li>ISA 99.03 (en cours de finalisation à l’ISA) </li></ul><ul><ul><li>99.03.01 (publié) : principes, vocabulaire </li></ul></ul><ul><ul><li>99.03.02 : modèle pour définir un niveau de criticité par zone, et en déduire le SAL « security assurance level » requis, entre 1 et 4. Utilise les notions de « zones » et « conduits » de l’ISA 99.01. </li></ul></ul><ul><ul><li>99.03.03 : décline le SAL (1 à 4) en mesures à mettre en œuvre (auditables) sur 7 critères </li></ul></ul><ul><ul><ul><li>FR1 : Access control (AC) </li></ul></ul></ul><ul><ul><ul><li>FR2 : Use control (UC) </li></ul></ul></ul><ul><ul><ul><li>FR3 : Data integrity (DI) </li></ul></ul></ul><ul><ul><ul><li>FR4 : Data confidentiality (DC) </li></ul></ul></ul><ul><ul><ul><li>FR5 : Restrict data flow (RDF) </li></ul></ul></ul><ul><ul><ul><li>FR6 : Timely response to event (TRE) </li></ul></ul></ul><ul><ul><ul><li>FR7 : Resource availability (RA)Exemples </li></ul></ul></ul>Page Cybersécurité Industrielle - Patrice Bock
  13. 13. IEC 61511 Page (reproduit avec l’autorisation de l’auteur) Cybersécurité Industrielle - Patrice Bock
  14. 14. Exemple « zones » et « conduits » <ul><li>Tiré du draft 99.03.03 – industrie de PROCESS (chimique) </li></ul>Page Cybersécurité Industrielle - Patrice Bock
  15. 15. Exemple « zones » et « conduits » <ul><li>Tiré du draft 99.03.03 – industrie de PRODUCTION </li></ul>Page Cybersécurité Industrielle - Patrice Bock
  16. 16. Approche par vulnérabilités majeures <ul><li>Applicable avec les conditions suivantes : </li></ul><ul><ul><li>A priori niveau élevé de vulnérabilités (cas type de l’industrie) </li></ul></ul><ul><ul><li>Besoin de sensibilisation des personnels à la sécurité </li></ul></ul><ul><ul><li>Compétences et ressources limitées nécessitant un premier cycle PDCA rapide </li></ul></ul><ul><li>Principes </li></ul><ul><ul><li>Liste réduite de vulnérabilités et menaces </li></ul></ul><ul><ul><ul><li>Pour faire un premier exercice d’évaluation de risques en quelques heures </li></ul></ul></ul><ul><ul><ul><li>Nécessite des données récentes provenant de veille (plusieurs sources sont dispos.) </li></ul></ul></ul><ul><ul><li>Travail collaboratif </li></ul></ul><ul><ul><ul><li>Après un premier audit léger par le facilitateur, un canevas est préparé </li></ul></ul></ul><ul><ul><ul><li>Le travail privilégie l’interaction et la collaboration : le personnel est impliqué </li></ul></ul></ul><ul><li>Définition des mesures à mettre en place </li></ul><ul><ul><li>Travail mené par un professionnel </li></ul></ul><ul><ul><ul><li>En tenant compte des contraintes de l’installation </li></ul></ul></ul><ul><ul><ul><li>Le professionnel s’appuie sur les compétences locales disponibles (réseaux, RHs, …) </li></ul></ul></ul><ul><ul><li>Présentation des mesures avec priorité, coûts et délais raisonnables </li></ul></ul><ul><ul><ul><li>Utilisation au maximum de personnel disponible pour les mises en place </li></ul></ul></ul><ul><ul><ul><li>Contrainte de budget et temps pour les mesures présentées </li></ul></ul></ul><ul><li>L’objectif est d’avoir des résultats dans un temps déterministe, puis de reboucler sur la démarche </li></ul>Page Cybersécurité Industrielle - Patrice Bock
  17. 17. Analyse de risques en cybersécurité industrielle Conclusion Cybersécurité Industrielle - Patrice Bock
  18. 18. L’actualité confirme le besoin de retour aux bases (oct 2011) <ul><li>Des incidents majeurs alors que les moyens étaient là </li></ul><ul><ul><li>SG, et l’exemple n’ayant pas suffi, UBS </li></ul></ul><ul><ul><li>Sony, et la leçon n’ayant pas suffi, Sony bis </li></ul></ul><ul><ul><li>Une multinationale piratée depuis 2 ans </li></ul></ul><ul><li>Augmentation officielle des menaces </li></ul><ul><ul><li>Recrudescence x3 des attaques aux US (selon DHS) </li></ul></ul><ul><ul><li>Saut quantitatif en France selon ANSSI </li></ul></ul><ul><ul><li>Attaques (hacking interne ou externes) x3 depuis 5 ans </li></ul></ul><ul><li>La faute au non-respect des basiques </li></ul><ul><ul><li>Mots de passe, mises à jour, surveillance de base des logs… (ANSSI) </li></ul></ul><ul><ul><li>Comportements, mises à jour des systèmes, mots de passe (Microsoft) </li></ul></ul><ul><ul><li>Naïveté, manque de sensibilisation : clés USB, phishing (DHS) </li></ul></ul><ul><li>Conclusion : il faut décloisonner la cybersécurité, favoriser les échanges, utiliser des ressources humaines qualifiées (intelligence émotionnelle), utiliser (aussi) des méthodes simples </li></ul>Page Cybersécurité Industrielle - Patrice Bock
  19. 19. Analyse de risques en cybersécurité industrielle Questions et (j’espère) réponses Cybersécurité Industrielle - Patrice Bock

×