2. AGENDA
VOLET I : PROBLEMATIQUE GENERALE
Présentation des systèmes d’information industriels
Spécificités des systèmes industriels
VOLET II : ÉTAT DE L’ART DE LA SÉCURITÉ
Difficultés rencontrées pour appliquer les standards de sécurité
Menaces, vulnérabilités et impacts potentiels
VOLET III : MESURES DE PROTECTION ET DE PRÉVENTION
Bilan, approche et bonnes pratiques de sécurité
Référentiels et guides utiles - Contacts en cas d’incidents
DÉMONSTRATION
Prise de contrôle d’un drone
2 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
4. SYSTÈME D’INFORMATION INDUSTRIEL
Les systèmes d’automatisme ou systèmes de contrôle
industriel sont utilisés pour de multiples applications
Usine classique : chimie, agro, automobile, pharma, production
d’énergie…
Sites plus vastes : traitement de l’eau, des réseaux de transport…
Gestion de bâtiment (aéroport, hôpitaux…)
Propulsion de navire
Santé : biomédicale, laboratoire d’analyse …
4 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Les systèmes industriels contrôlent les infrastructures critiques
depuis les réseaux électriques au traitement de l'eau, de
l'industrie chimique aux transports. Ils sont présents partout.
5. PROBLÉMATIQUE
Historiquement
Systèmes d’information industriels basées sur des technologies
propriétaires et isolées du monde extérieur
Protection des accès physiques jugée suffisante, la sécurité
logique n’étant pas une préoccupation majeure
Aujourd’hui
Systèmes basés sur des technologies répandues, ouvertes et
standardisées
Communication directe établie entre les systèmes d’information
industriels et les systèmes d’information de gestion de l’entreprise
5 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Cette évolution des techniques expose ces systèmes aux
menaces actuelles qui ciblent les systèmes d’information de
gestion
6. PROBLÉMATIQUE
Spécificités des systèmes d’information industriels
Disponibilité
Durée de vie des équipements
Multiples technologies et fournisseurs
Couvertures géographiques
Effets indésirables de la mise en œuvre de la sécurité
Interconnexion au système d’information de gestion de l’entreprise
Télémaintenance
6 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
La sécurisation des systèmes industriels passent par la
compréhension de leurs spécificités et de leurs contraintes
7. SYSTEME INDUSTRIEL
7 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Régulation et
automatisme
Capteur /
actionneur
Superviseur
Elaboration des
ordres - calculateur
de process -
Pilotage historisation
- gestion des
processus industriels
(MES)
Fonctions centrales
finance, compta, info
centre
8. DOMAINES D’EXPLOITATION
8 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Industrie Transports Energie Défense
9. DISPONIBILITE
9 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Au sein de ces installations, les automatismes assurent
Le bon fonctionnement / les délais de production
La sécurité des biens et personnes
La conformité avec les exigences réglementaires sur
l’environnement
La conformité avec les exigences réglementaires en terme qualité
(traçabilité notamment)
L’arrêt même momentané peut avoir des conséquences
graves sur la sécurité des personnes.
10. DURÉE DE VIE
10 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Entre 10 et 15 ans selon la machine
Fonctionne 24h/24 et 7j/7
Peu ou pas d’arrêt de maintenance
Difficultés pour le support et des pièces de rechange
Difficultés de mettre régulièrement à jour les équipements
11. MULTIPLES TECHNOLOGIES - FOURNISSEURS
11 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Installation hétérogène : cohabitation de technologies et de
générations différentes
Modification ou extension des installations
Fenêtre technologique entre 15 à 20 ans
Difficultés pour déployer une même solution de sécurité sur
l’ensemble des équipements
12. ENVIRONNEMENTS
12 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Des conditions environnementales extrêmes :
Atmosphère humide, poussiéreuse, explosive, corrosive
Température
Pression
Chocs et vibrations
Radiations
Difficulté de trouver des produits de sécurité répondant aux
critères
13. GÉOGRAPHIE
13 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Installation très étendue
Site industriel avec des superficies importantes : 15.000 à 20.000 m²
Réseaux nationaux avec des filiales disposant d’une grande
autonomie locale
Multiples sites interconnectés
Nécessité pour certains systèmes de disposer d’accès à distance
via Internet - Equipements connectés sur Internet afin de faciliter
leur exploitation
Difficulté de sécuriser chaque site
Besoin croissant en télémaintenance
14. INTERVENANTS
14 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Interlocuteurs avec des cultures et sensibilités différentes
Électroniciens, automaticiens, qualiticiens
Turn-over important du personnel en production
Intérimaire
Sous-traitant
Quid de la confidentialité des données sur les postes SCADA –
recette de fabrication….
Difficulté de maitriser l’ensemble des intervenants. Il faut
comprendre le métier et les problématiques, savoir dialoguer
avec l’ensemble des interlocuteurs
15. PROTOCOLES
15 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Protocoles ouvert ou propriétaires
Protocoles historiques non IP / non Ethernet (industrial ethernet,
modbus-tcp, profinet, DNP3)
Sans authentification, ni chiffrement des données transportées
Absence de gestion des transactions en mode connecté
Nécessité d’avoir des équipements de filtrage compatibles
Difficultés de trouver des produits de sécurité répondant aux
critères
16. ETAT DE L’ART DE LA SÉCURITÉ
VOLET II
16 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
17. SÉCURITÉ EMBARQUÉE ET SÉCURITÉ RÉSEAU
17 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Ressources limitées Versus fonctions de sécurité embarquées
dans les systèmes
Filtrage des flux : Pare-feu
Centralisation des journaux d’événements
Temps de réponse courts Versus équipements de filtrage
réseau
Sondes de détection d’intrusion (HIDS / HIPS)
Filtrage des flux : Pare-feu
Compatibilité protocolaire
Inspection des paquets en profondeur
Difficultés d’embarquer des fonctions de sécurité évoluées
L’équipement de filtrage doit être compatible avec les
protocoles en présence.
18. SÉCURITÉ RÉSEAU VERSUS MAILLAGE DU RÉSEAU
18 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Communication pair à pair et non client-serveur
Tous les équipements communiquent entre eux
Le dysfonctionnement d’un équipement peut entrainer un
dysfonctionnement du système entier - Tous sont critiques
Il est alors nécessaire de protéger chaque équipement. Ce
qui peut être long et coûteux
19. PATCH MANAGEMENT
19 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Durée de déploiement incompatible avec les contraintes de
productivité
Nombreux équipements à des distances variables
Durée de déploiement importante
Risque d’indisponibilité
Effets inattendus entrainant un disfonctionnement partiel ou total
Peu de possibilité de déploiement
Peu d’arrêts planifiés
Le contexte industriel laisse peu de créneaux temporels pour
déployer les patchs de sécurité.
20. CONTRÔLE D’ACCÈS LOGIQUE
20 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Temps de réaction
En situation de crise la contrainte du contrôle d’accès peut faire
perdre du temps
Ambiance peu propice à la biométrie
Graisse, port de gant, masques, …
Compatibilité sur l’ensemble de l’installation
Technologies et générations de machines différentes
Le contrôle d’accès pourrait être source de stress et de perte
de temps.
21. ANTIVIRUS
21 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Risque d’indisponibilité des processus , chaines de fabrication
Faux positif entrainant la suppression / Mise en quarantaine d’un fichier
essentiel
Conséquences multiples : perte de visualisation / contrôle du système
de contrôle-commande, arrêt de fonctionnement automatisé du
système
Difficulté pour mettre à jour la base virale
A cause du cloisonnement des réseaux de gestion et industriels, la
mise à jour peut être complexe
L’architecture antivirale à déployer doit prendre en compte
les ressources disponibles sur les automates et les postes
de pilotage.
22. SURVEILLANCE
22 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Difficultés pour se connecter à tous les équipements
Protocoles propriétaire
Technologies différentes
Traçabilités des informations
Absence de fonctionnalité de journalisation embarquée
Compétences
Analyse des événements dans le périmètre
Difficultés d’analyser les évènements provenant d’un
système industriel. Pour cela, il est nécessaire d’avoir des
compétences en sécurité et en automatisme industriel.
23. MENACES ET VULNÉRABILITÉS
23 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
ATTAQUE - Exploitation concrète d’une vulnérabilité d’un système qui conduit à des conséquences plus
ou moins grave sur la fonctionnalité ou les données du système.
Typologie des attaques
Attaques génériques
- 30 Millions de nouveaux malwares en
2012
› CONFICKER, 2009
Attaques ciblées
- Informatique conventionnelle
› FLAME, 2010
› ACAD, 2012
› SHAMOON, 2012
- Systèmes industriels
› STUXNET, 2010
› DUQU, 2011
24. CAS DE STUXNET : QUELLE ÉTAIT LA CIBLE ?
24 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Le Siemens Organization Block 35 (process
watchdog) est modifié par Stuxnet – Il gère
des opérations critiques qui requièrent des
temps de réponse inférieurs à 100 ms
La cible pourrait être la centrale
de Bushehr, en construction mais
aussi des centrifugeuses sur le
site de Natanz
Famille de PLC concernée :
6ES7-417 et 6ES7-315-2 -> cibles complexes !
* multiples ProfiBus * Puissance CPU
25. VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS
25 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Vulnérabilités intrinsèques aux systèmes industriels
Peu de prise en compte de la sécurité lors des phases de conception,
d’installation, d’exploitation et de maintenance
Automates et composants industriels en production avec des
configuration par défauts et mots de passe par défaut
Informations accessibles – les manuels techniques sont disponibles
assez facilement- avec les mots de passe par défaut.
Une culture et une expérience des opérationnels différentes du monde
informatique : Connexion à l’Internet et ignorance de la menace
extérieure
Des opérateurs non formés à la sécurité informatique
26. ORGANISATION DE LA SECURITE
Responsable sécurité rattaché
Production (le plus souvent)
Département technique
Hygiène Qualité Sécurité et Environnement (HQSE)
Maintenance
Services généraux
26 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Responsabilités variables et diffuses des systèmes
informatiques et de leur sécurité
27. ETUDE AREVA – EURIWARE 2010
27 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Un retour d’expérience sur
une cinquantaine d’industriels
français montre le manque de
maturité en sécurité des
systèmes d’information
industriels.
28. IMPACTS
28 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Dommages matériels et/ou corporels
Responsabilité civil ou pénale
Impact environnemental
Pollution du site de production et de l’environnement
Perte de chiffre d’affaire
Interruption de la production
Modification des paramètre de fabrication
Vol de données
Secret de fabrication, avantage pour la concurrence
29. MESURES DE PROTECTION ET DE
PRÉVENTION
VOLET III
29 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
30. CONSTAT
30 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Difficultés d’appliquer les standards de sécurité des systèmes
d’information de gestion
Une approche différente à construire pour les systèmes
d’information industriels « tout en adaptant les recettes
existantes de sécurité »
La gestion du risque, la maîtrise des techniques de
sécurisation deviennent des compétences indispensables
pour les entreprises dans les secteurs industriels.
31. APPROCHE STRUCTURÉE
Bonnes pratiques de sécurité – les classiques
Politiques de sécurité,
Veille de vulnérabilités,
Evaluation de la sécurité & audit,
Plan de continuité - gestion de crise et exercice de
simulation
31 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
32. APPROCHE STRUCTURÉE
32 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Organisation de la sécurité
Identification d’un responsable sécurité industriel
Analyse de risques
Sensibiliser le personnel
Mise à niveau par paliers successifs
Inventaires - Projet de remplacement des équipements
obsolètes
Dispositif contractuel pour les fournisseurs
Maintenance
Plan de maintenance des composants sensibles
Sécurité physique, protection des locaux techniques et des
armoires
33. ET ENSUITE LA TECHNIQUE
33 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Mesures techniques
Patch management : Antivirus et correctifs
Cloisonnement et contrôle des flux entre les SI industriel et de gestion
Whitelisting : liste des blanches des applications autorisées
Télémaintenance et télégestion limitées et contrôlées avec une
traçabilité renforcée
Accès à internet limité ou interdit
Déploiement de moyens de surveillance et de détection
34. GUIDES PRATIQUES
34 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
ANSSI
Guide d’hygiène informatique
• Connaitre son SI et ses utilisateurs
• Maîtriser le réseau
• Mettre à niveau les logiciels
• Authentifier l’utilisateur
• Sécuriser les équipements terminaux
• Sécuriser l’intérieur du réseau
• Protéger le réseau interne de l’Internet
• Surveiller les systèmes
• Sécuriser l’administration du réseau
• Contrôler l’accès aux locaux et la sécurité physique
• Organiser la réaction en cas d’incident
• Sensibiliser
• Faire auditer la sécurité
• Guide SSI des systèmes industriels
35. CONTACTS
35 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
La DPSD
La police
DCPJ/OCLCTIC, DCRI, PP/BEFTI,
La gendarmerie
IRCGN, STRJD, NTECH
La justice
En cas d’incident :
Office Central de Lutte contre la Criminalité liées aux
Technologies de l’Information et de la
Communication (OCLCTIC)
101 Rue des 3 Fontanot - 92000
NANTERRE
Tel : 01.49.27.49.27
"info-escroqueries"
08 11 02 02 17
36. QUELQUES SITES
Sites gouvernementaux
ANSSI
- http://www.ssi.gouv.fr/
Portail de la sécurité informatique
- http://www.securite-informatique.gouv.fr
Rapport du Sénateur Bockel sur la Cyberdéfense
- http://www.senat.fr/rap/r11-681_mono.html
Sites d’information
www.clusif.fr
Magazine sur la sécurité
- http://www.mag-securs.com
- http://boutique.ed-diamond.com/ (revue MISC)
Séminaires
- http://www.forum-fic.com/2014/fr/
- http://www.gsdays.fr/
- https://www.lesassisesdelasecurite.com/
36 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
37. DÉMONSTRATION
37 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Prise de contrôle d’un drone
Remerciements à la DCNS pour leur aide
dans l’élaboration de la démonstration
38. PRESENTATION
Cette démonstration est réalisée dans le cadre de la journée
OZSSI afin d’illustrer le besoin de prendre en compte la
sécurité en amont dans les projets de développement de
produits industriels
Ecole POLYECH GENIE INDUSTRIEL & INFORMATIQUE 4A
Equipe POLYHACK-Drone
Sébastien MONNERY
Sébastien MINEO
Sébastien OHANIAN
Equipe encadrée par Philippe PRESTIGIACOMO
38 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
39. DEMONSTRATION
Scénario
Objectif :
- Récupérer le contrôle d’un drone en exploitant l’absence d’authen. Robuste
Contexte :
- Le drone est allumé, et son propriétaire est connecté au réseau wifi de l’appareil.
Méthode d’attaque :
- Passage de la carte wifi en mode écoute
- Identification des réseaux wifi
- Identification des appareils connectés au wifi ciblé (propriétaire du drone)
- Désauthentification du propriétaire légitime par le pirate
- Connexion du pirate au drone
Technologies utilisées
- Ordinateur doté de l’Operating System KALI – Plateforme d’audit de sécurité
- Suite logicielle utilisée dans KALI : AirCrack
- Application AR FreeFlight pour le contrôle du DRONE (sur tablette/téléphone Androïd)
39 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
43. CAPTURE DES FLUX RÉSEAUX
Commandes envoyées au DRONE
43 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
44. CONCLUSION
Voici les vulnérabilités identifiées lors de la conception du
drone:
- Absence d’authentification robuste entre le
pilote et le drone
- Absence de chiffrement des communications
- Absence de gestion des privilèges
Défauts de sécurité dans de nombreux automates industriels et militaires !
44 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
45. FIN DE LA DEMONSTRATION
MERCI POUR VOTRE ATTENTION
45 | Mars 2014 | Sécurité des Systèmes d’Information Industriels