4 février 2015
20ème journée thématique SSI de OzSSI Sud-Est
Anthony Di Prima & Arnaud Soullie
Sécurité des SI Industriels...
2
Qui sommes-nous ?
Risk
Management
Continuité
d’activité
Cyber
sécurité
Identité
numérique
Qualification
PASSI
CERT-Soluc...
3
Définitions
 SI Industriel ou « Système automatisé de contrôle des procédés
industriels »(ANSSI)
 Ensemble des moyens ...
4
Où les trouve-t-on ?
 Automobile
 Agroalimentaire
 Pharmaceutique
 Énergie
 Nucléaire
 Réseaux électrique
 Réseau...
5
Les enjeux
 Une cyber-attaque sur un SI d’entreprise
 Une cyber-attaque sur un SI Industriel
Image extraite de la band...
6
Cyber-attaque, cyber-vandalisme ou acte de « cyber-guerre » ?
 Extrait du manuel juridique sur la cyber-guerre (Tallin/...
7
 Incident de 2008 sur un pipeline en Turquie (ligne
Bakou-Tbilissi-Ceyhan)
 Initialement qualifié d’accidentel par le
...
8
 Vol de données avéré au sein de la compagnie
Sud-Coréenne Korea Hydro & Nuclear Power Co.
(KHNP) exploitant la central...
9
 Publication par le BSI de son rapport annuel
 Mention d’une attaque de type APT sur une
aciérie allemande (haut fourn...
11
 La presse relaie d’avantage
 Le mot « SCADA » dans toutes les bouches
 La découverte des vulnérabilités s’accélère
...
12
Exposition
 Faciles à découvrir grâce aux
services comme SHODAN
4 février 2015 - Propriété de Solucom, reproduction in...
13
QUELLES SONT LES PROBLÉMATIQUES
SÉCURITÉ DES SI INDUSTRIELS ?
Cloisonnement
réseau
Supervision
sécurité
Organisation
sé...
14
PROTOCOLE MODBUS
4 février 2015 - Propriété de Solucom, reproduction interdite
15
Le protocole Modbus
 Protocole de communication série inventé en 1979 par Modicon, qui sera
racheté par Schneider Elec...
16
SOLUCOM
Attacki
ng
plcs
Never do this
on LIVE production systems
DÉMOS
JAMAIS SUR DES SYSTÈMES
EN PRODUCTION
4 février ...
17
 Fonctionnement standard : les lumières rouge, orange et
verte s’allument séquentiellement
 Objectif : perturber ce f...
18
 Fonctionnement standard : la centrifugeuse tourne à la
vitesse 1 ou 2 et l’IHM indique à l ’opérateur la vitesse
cour...
Une menace trop élevée
pour pouvoir y faire face ?
Un gap à franchir trop grand ?
MAIS ALORS QUE DOIT ON FAIRE ?
21
S’appuyer sur les travaux en cours
2008
- Livre blanc sur
la défense et la
sécurité
nationale
- Création de
l’ANSSI
201...
22
…et pour les autres
 Profitez de l’élan !!
 Soyez pragmatique
 Donnez vous une cible réaliste
 Priorisez et itérez
...
23
QUELLES ACTIONS CLÉS POUR DÉMARRER ?
24
Gouvernance globale de la sécurité des SI Industriels
 Afin d’augmenter le niveau de sécurité dans la durée il faut me...
25
Initier la démarche de sécurisation : plusieurs approches
Analyse de risquesAudit Bilan de conformité
Les trois approch...
26
Approche > focus sur l’analyse de risques
 Démarche proposée quasiment dans tous les standards/référentiels/normes:
 ...
27
Approche > focus sur l’analyse de risques
 Pourquoi l’analyse de risques ?
 Prise en compte du risque « cyber »
 Mei...
28
Approche > focus sur l’analyse de risques
 « Pourquoi une étude de risques ? On en a déjà fait plein! »
 Limite : ces...
29
Approche > focus sur l’analyse de risques
 HAZOP, exemple :
Cause Dérive Évènement Redouté Conséquence Gravité Barrièr...
30
Approche > focus sur l’analyse de risques
Étude du
contexte
Étude des
évènements
redoutés
Étude des
scénarios de
menace...
31
Approche > focus sur l’analyse de risques
 Dans le cas où le SIS est très intégré au SNCC et qu’il repose en grande pa...
32
Approche > focus sur l’analyse de risques
Le plan d’actions ne doit pas s’apparenter à l’ascension de l’Everest !!
Étab...
33
Cloisonner les réseaux selon leur criticité
Contrairement aux besoins fonctionnels,
les besoins de sécurité sont souven...
34
Cloisonner les réseaux > focus sur les solutions
 Segmentation par VLAN (et filtrage associé !)
 Mise en place de fir...
35
Traiter les urgences sans négliger la sécurisation à moyen terme
Mise en place de solutions palliatives
Modifications e...
36
Patch management et solutions palliatives
Avantages Inconvénients
Requiert une forte
expertise
Manque
d’exhaustivité
Pa...
37
Sécuriser les équipements et les protocoles
Équipements
simples
Peu de mémoire, de
puissance de calcul
Considérés comme...
38
Maitrise de la sous-traitance et de la maintenance
Les fournisseurs / éditeurs sont encore trop
souvent dans une postur...
39
Supervision de la sécurité
 L’intégration à un SOC « central » est rendue difficile
par l’ouverture des flux qu’elle n...
40
En conclusion
Il faut faire face à la réalité. La menace est réelle et le fossé se creuse
entre niveau de cybersécurité...
www.solucom.fr
Anthony DI PRIMA
Manager
Tel : +33 (0)1 49 03 84 63
Mobile : +33 (0)6 69 28 15 95
Mail : anthony.diprima@so...
Sécurité des SI industriels : enjeux et actions clés
Sécurité des SI industriels : enjeux et actions clés
Prochain SlideShare
Chargement dans…5
×

Sécurité des SI industriels : enjeux et actions clés

1 578 vues

Publié le

Présentation par Anthony DI PRIMA et Arnaud SOULLIE lors de la 20ème journée thématique SSI de l'OzSSI Sud-Est à Lyon.
Retrouvez l'article dédié sur www.securityinsider-solucom.fr.

Publié dans : Business
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 578
Sur SlideShare
0
Issues des intégrations
0
Intégrations
377
Actions
Partages
0
Téléchargements
39
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sécurité des SI industriels : enjeux et actions clés

  1. 1. 4 février 2015 20ème journée thématique SSI de OzSSI Sud-Est Anthony Di Prima & Arnaud Soullie Sécurité des SI Industriels : enjeux et actions clés
  2. 2. 2 Qui sommes-nous ? Risk Management Continuité d’activité Cyber sécurité Identité numérique Qualification PASSI CERT-Solucom  Solucom, 2ème cabinet* de conseil indépendant en France  Des clients dans le top 200 des grandes entreprises et administrations, dans tous les secteurs  1400 collaborateurs dont 250 spécialisés dans la gestion des risques et la cybersécurité  Notre métier « Donner confiance dans la transformation numérique »  Des offres qui allient des expertises de premier plan Notre actualité Inscription : lettresecurite@solucom.fr * Source : PAC 2014 La Lettre Risques & Sécurité Les dossiers CERT-Solucom 4 février 2015 - Propriété de Solucom, reproduction interdite
  3. 3. 3 Définitions  SI Industriel ou « Système automatisé de contrôle des procédés industriels »(ANSSI)  Ensemble des moyens humains et matériels ayant pour finalité de contrôler ou de commander un ensemble de capteurs et d’actionneurs.  « CYBER PHYSICAL SYSTEM »  Un système cyber-physique est un système où des éléments informatiques collaborent pour le contrôle et la commande d'entités physiques SI D’ENTREPRISE MANIPULE DES DONNÉES ≠ SI INDUSTRIEL GÈRE DES INTERFACES AVEC LE MONDE PHYSIQUE 4 février 2015 - Propriété de Solucom, reproduction interdite
  4. 4. 4 Où les trouve-t-on ?  Automobile  Agroalimentaire  Pharmaceutique  Énergie  Nucléaire  Réseaux électrique  Réseaux d’eau  Gaz / Pétrole  Transport  Aéronautique  Chimie  Militaire 4 février 2015 - Propriété de Solucom, reproduction interdite
  5. 5. 5 Les enjeux  Une cyber-attaque sur un SI d’entreprise  Une cyber-attaque sur un SI Industriel Image extraite de la bande annonce du film Blackhat 4 février 2015 - Propriété de Solucom, reproduction interdite
  6. 6. 6 Cyber-attaque, cyber-vandalisme ou acte de « cyber-guerre » ?  Extrait du manuel juridique sur la cyber-guerre (Tallin/CCDCOE)  En cas de conflit « cyber-armé », les SI Industriels en première ligne ? LA MENACE EST RÉELLE ET SE CONCRÉTISE DE PLUS EN PLUS ! 4 février 2015 - Propriété de Solucom, reproduction interdite
  7. 7. 7  Incident de 2008 sur un pipeline en Turquie (ligne Bakou-Tbilissi-Ceyhan)  Initialement qualifié d’accidentel par le gouvernement turc  Des éléments laissent entendre qu’il s’agissait d’une cyber-attaque LE DÉROULEMENT  Explosion du pipeline  Explosion détectée 40 minutes après l’incident par un agent de sécurité local  60 heures de vidéo de surveillance supprimées  Qui sont les auteurs : Russie ? PKK ? LES CONSÉQUENCES PIPELINE Intrusion via vidéosurveillance Accès physique sur site Modification de la pression Malware Sys. Gestion des alarmes    
  8. 8. 8  Vol de données avéré au sein de la compagnie Sud-Coréenne Korea Hydro & Nuclear Power Co. (KHNP) exploitant la centrale  Une attaque revendiquée par « Le Président du Groupe Anti-Nucléaire de Hawaï »  Campagne de Spear-Phishing  Infection de 4 postes par un malware permettant la destruction de fichiers et de disques durs  Publication sur Twitter des documents volés LES FAITS  Des plans de réacteurs divulgués  Des manuels opérateurs disponibles  Aucune atteinte au système industriel, ni les systèmes de « sûreté » des réacteurs   Réalisation d’un exercice de simulation d’une cyberattaque de grand ampleur  Qui sont les auteurs : Corée du Nord ? Chine ? LES CONSÉQUENCES CENTRALE NUCLÉAIRE
  9. 9. 9  Publication par le BSI de son rapport annuel  Mention d’une attaque de type APT sur une aciérie allemande (haut fourneau)  Attaque ayant entrainée des dommages physiques LE DÉROULEMENT  Plusieurs équipements compromis  Impossibilité d’arrêter le haut fourneau dans des conditions normales  L’arrêt dans des conditions dégradées provoque des dommages irréversibles sur l’installation  Qui sont les auteurs ? LES CONSÉQUENCES ACIÉRIE spear-phishingsocial-engineering intrusion réseau de production Intrusion réseau bureautique    
  10. 10. 11  La presse relaie d’avantage  Le mot « SCADA » dans toutes les bouches  La découverte des vulnérabilités s’accélère  Les indémodables mot de passe « hard- codés »  Protocoles: HART, CAN, DNP3  …et bien d’autres  Outils et exploits de plus en plus accessibles  Des SI Industriels toujours autant exposés  SHODAN !!  Des besoins d’ouvertures grandissants  Big Data ? Démocratisation Immobilisme Exposition  Les constats d’audits mettent en avant toujours autant de faiblesses sur les SI Industriels  Des initiatives de sécurisation encore trop peu nombreuses  Une règlementation qui se fait attendre… Une certaine montée en pression  Une menace qui peut être très élevée  Un potentiel d’attaque jusqu’au niveau étatique  Mais des cas « publics » encore assez rare…!? Menace 4 février 2015 - Propriété de Solucom, reproduction interdite
  11. 11. 12 Exposition  Faciles à découvrir grâce aux services comme SHODAN 4 février 2015 - Propriété de Solucom, reproduction interdite
  12. 12. 13 QUELLES SONT LES PROBLÉMATIQUES SÉCURITÉ DES SI INDUSTRIELS ? Cloisonnement réseau Supervision sécurité Organisation sécurité & sensibilisation Gestion des vulnérabilités Gestion des tiers Sécurité des protocoles Des constats qui n’ont rien de nouveau Des budgets toujours aussi faibles / Secteur industriel en crise !?€
  13. 13. 14 PROTOCOLE MODBUS 4 février 2015 - Propriété de Solucom, reproduction interdite
  14. 14. 15 Le protocole Modbus  Protocole de communication série inventé en 1979 par Modicon, qui sera racheté par Schneider Electric  Pensé pour une utilisation industrielle  Pas de royalties  Désormais un des standards de communication industriel  Protocole maître / esclave  Le maître envoie régulièrement des requêtes à l’escalve  Pas de notion de contexte : l’esclave renvoie une valeur brute, le mapitre doit connaître son format FONCTIONNEMENT  Pas de chiffrement  Pas d’authentification SÉCURITÉ 4 février 2015 - Propriété de Solucom, reproduction interdite
  15. 15. 16 SOLUCOM Attacki ng plcs Never do this on LIVE production systems DÉMOS JAMAIS SUR DES SYSTÈMES EN PRODUCTION 4 février 2015 - Propriété de Solucom, reproduction interdite
  16. 16. 17  Fonctionnement standard : les lumières rouge, orange et verte s’allument séquentiellement  Objectif : perturber ce fonctionnement pour engendrer le chaos  Comment faire ?  Envoyer des commandes Modbus  Ces commandes sont non-authentifiées  Possibilité d’utiliser ce même protocole pour programmer l’automate DEMO #1 : FEU ROUGE 4 février 2015 - Propriété de Solucom, reproduction interdite
  17. 17. 18  Fonctionnement standard : la centrifugeuse tourne à la vitesse 1 ou 2 et l’IHM indique à l ’opérateur la vitesse courante  Objectif : Perturber ce fonctionnement pour abîmer le matériel  Comment faire ?  Utiliser le protocole S7 propriétaire Siemens pour dialoguer avec l’automate  Envoyer des commandes pour modifier la vitesse  Envoyer des commandes pour modifier la consigne affichée DEMO #2 : CENTRIFUGEUSE 4 février 2015 - Propriété de Solucom, reproduction interdite
  18. 18. Une menace trop élevée pour pouvoir y faire face ? Un gap à franchir trop grand ? MAIS ALORS QUE DOIT ON FAIRE ?
  19. 19. 21 S’appuyer sur les travaux en cours 2008 - Livre blanc sur la défense et la sécurité nationale - Création de l’ANSSI 2012 - Rapport « Bockel » - 1er guide « introductif »pour la sécurité des SI Industriel par l’ANSSI Février 2013 - Groupe de travail piloté par l’ANSSI pour apporter des réponses à la sécurisation des infrastructures industrielles Décembre 2013 - Loi de programmation militaire : projet de cadre minimum à respecter pour les OIV et en particulier pour les systèmes industriels Janvier 2014 - l’ANSSI publie deux nouveaux guides pour la cybersécurité des systèmes industriels 2015 ?? Décrets et Arrêtés ?? Méthode de classification et mesures principales Mesures détaillées …pour les opérateurs « critiques » 4 février 2015 - Propriété de Solucom, reproduction interdite
  20. 20. 22 …et pour les autres  Profitez de l’élan !!  Soyez pragmatique  Donnez vous une cible réaliste  Priorisez et itérez 4 février 2015 - Propriété de Solucom, reproduction interdite
  21. 21. 23 QUELLES ACTIONS CLÉS POUR DÉMARRER ?
  22. 22. 24 Gouvernance globale de la sécurité des SI Industriels  Afin d’augmenter le niveau de sécurité dans la durée il faut mettre en place une gouvernance globale de la sécurité des SII  Un Responsable de la Sécurité des SI Industriels doit être nommé afin de définir, mettre en œuvre et animer cette gouvernance  Le RSSII doit être capable de jouer le facilitateur entre les différentes sphères et pouvoir s’appuyer sur les acteurs incontournables du SI Industriel DSI Sphère industrielle RSSII Sphère métier Sûreté Sécurité SI, RSSI 4 février 2015 - Propriété de Solucom, reproduction interdite
  23. 23. 25 Initier la démarche de sécurisation : plusieurs approches Analyse de risquesAudit Bilan de conformité Les trois approches peuvent être utilisées ou combinées Elles doivent aussi être l’occasion de mobiliser la direction générale et les directions métiers dont l’engagement et l’implication dans la durée sont nécessaires  Sur les sites les plus sensibles ou ayant connu un incident récent  Permet d’identifier rapidement les vulnérabilités et les zones non protégées  Permet de définir des premières actions simples  Demander à chaque site d’évaluer son niveau de sécurité sur la base d’un questionnaire  Moins concrète et fiable  Permet d’avoir une vision globale plus rapidement  Appliquée à un processus industriel  Permet d’estimer les impacts financiers, humains et environnementaux en cas d’incident  Permet de prioriser un plan d’actions Le duo gagnant !! 4 février 2015 - Propriété de Solucom, reproduction interdite
  24. 24. 26 Approche > focus sur l’analyse de risques  Démarche proposée quasiment dans tous les standards/référentiels/normes:  ANSSI :  ISA/IEC 62443 : 4 février 2015 - Propriété de Solucom, reproduction interdite
  25. 25. 27 Approche > focus sur l’analyse de risques  Pourquoi l’analyse de risques ?  Prise en compte du risque « cyber »  Meilleur moyen pour comprendre le métier  Permet d’établir le contact/une relation avec l’ensemble des acteurs du SI industriel  L’approche par les risques bien comprise du « Top management »  Quelle méthode ?  « Bon sang, mais c’est bien sûr ! »  EBIOS !!  Oui ça marche ! 4 février 2015 - Propriété de Solucom, reproduction interdite
  26. 26. 28 Approche > focus sur l’analyse de risques  « Pourquoi une étude de risques ? On en a déjà fait plein! »  Limite : ces méthodes ne prennent pas en considération l’acte de malveillance. Il est attendu que les systèmes et les opérateurs remplissent pleinement leur fonction HAZOP HAZard and OPerability study FMECA Failure Modes, Effects and Criticality Analysis LOPA Layer of Protection Analysis FTA Fault Tree Analysis CAPITALISER SUR LES ÉTUDES MENÉES AU TITRE DE LA SÛRETÉ ! (ENCORE FAUT IL AVOIR À DISPOSITION CES ÉTUDES…) 4 février 2015 - Propriété de Solucom, reproduction interdite
  27. 27. 29 Approche > focus sur l’analyse de risques  HAZOP, exemple : Cause Dérive Évènement Redouté Conséquence Gravité Barrières de sécurité Recommandation Défaillance pompe P1 Débit haut Surremplissage cuve C1 Épandage produit toxique 2 (décès personnel) Capteur seuil haut - Défaillance vanne V1 Perte de surpression Entrée d’oxygène dans équipement E1 Explosion 3 (décès population hors site) Alarme Sonde Inspection - 4 février 2015 - Propriété de Solucom, reproduction interdite
  28. 28. 30 Approche > focus sur l’analyse de risques Étude du contexte Étude des évènements redoutés Étude des scénarios de menaces Étude des mesures de sécurité Étude des risques  Métriques adaptées  Étude orientée « impacts » EBIOS  Identification des processus industriels  Identification des évènements redoutés (gravité)  Détermination des biens supports à compromettre  Identification des barrières physiques et instrumentées (SIS) HAZOP Adaptation Capitalisation 4 février 2015 - Propriété de Solucom, reproduction interdite
  29. 29. 31 Approche > focus sur l’analyse de risques  Dans le cas où le SIS est très intégré au SNCC et qu’il repose en grande partie sur une infrastructure matérielle et une couche applicative mutualisée, cela peut constituer un vecteur d’attaque pour la compromission du SIS  Des contrôles supplémentaires peuvent être mis en place afin de maîtriser l’intégrité de la configuration SIS (suivi de version, requalifications…) Domaine Active Directory P Autres postes et serveurs du domaine Applicatif procédé Fonctions Process Fonctions Sureté Réseau mutualisé Fond de panier contrôleur Contrôleur Process Contrôleur SIS Configuration Supervision Équipements procédé Dédié Process Dédié SIS Mutualisé Si le SIS peut être considéré comme un élément de réduction du risque dans les approches de sûreté, il est à considérer dans les études de risque cyber comme un bien support à part entière et attaquable !! 4 février 2015 - Propriété de Solucom, reproduction interdite
  30. 30. 32 Approche > focus sur l’analyse de risques Le plan d’actions ne doit pas s’apparenter à l’ascension de l’Everest !! Établir différents paliers progressifs Donner une vision des risques résiduels pour chaque palier Mettre en œuvre et obtenir des premiers succès !! 4 février 2015 - Propriété de Solucom, reproduction interdite
  31. 31. 33 Cloisonner les réseaux selon leur criticité Contrairement aux besoins fonctionnels, les besoins de sécurité sont souvent mal identifiés. SI de GestionSI Industriel Remonter l’information vers le SI de Gestion ? - Surveillance de la production - Émission de factures - Big Data Permettre la maintenance à distance ?  Exigences de sécurité  Mesures de protection Fournisseur & Mainteneur Définir des niveaux de sécurité  Regroupement physique et logique de systèmes informatiques  Importance comparable en terme de sécurité  À chaque zone est associé un niveau de criticité et des règles associées Définir des zones Appliquer les mesures de protection  Cloisonnement aux frontières (pare-feux et diodes)  Filtrage des flux  Contrôle d’accès et authentification des utilisateurs …et progressivement 4 février 2015 - Propriété de Solucom, reproduction interdite
  32. 32. 34 Cloisonner les réseaux > focus sur les solutions  Segmentation par VLAN (et filtrage associé !)  Mise en place de firewalls  Utilisation de DMZ pour l’échange de données  Équipements de filtrage avec inspection protocolaire (DPI)  Diodes réseau  Solutions de cloisonnement avancé : seclabs (matériel), PolyXene (logiciel), … Des solutions classiques … …et d’autres plus « avancées » Un besoin réel : échanger des données entre les réseaux industriels et de gestion, via le réseau et/ou via des périphériques amovibles 4 février 2015 - Propriété de Solucom, reproduction interdite
  33. 33. 35 Traiter les urgences sans négliger la sécurisation à moyen terme Mise en place de solutions palliatives Modifications en profondeurs  Les changements sur un réseau de production sont complexes à organiser :  Impact sur la disponibilité de l’installation  Remise en cause de l’homologation de sûreté  La Gestion des correctifs de sécurité a un cycle de mise en œuvre trop court par rapport au cycle de vie d’une installation industrielle 4 février 2015 - Propriété de Solucom, reproduction interdite
  34. 34. 36 Patch management et solutions palliatives Avantages Inconvénients Requiert une forte expertise Manque d’exhaustivité Pas une solution valable à long terme Peu dépendant des produits Impact sur le process facile à mesurer Retour en arrière plus aisé  Parmi ces mesures palliatives figurent :  La reconfiguration d’équipement  L’ajustement des règles de filtrage réseau  La personnalisation des règles IDS  … Ces mesures visent à contrer les tentatives d’exploitation de vulnérabilités connues et non corrigées Tendance : Utilisation de solutions de type « Whitelisting » sur la partie SCADA  La gestion des correctifs de sécurité est souvent incompatible avec les contraintes des SI Industriels  Il est possible de compenser cette difficulté par l’application de mesures palliatives (workaround) 4 février 2015 - Propriété de Solucom, reproduction interdite
  35. 35. 37 Sécuriser les équipements et les protocoles Équipements simples Peu de mémoire, de puissance de calcul Considérés comme « électroniques » plutôt qu’ « informatiques » Protocoles spécifiques Pas de prise en compte de la sécurité Protocoles de communication adaptés de protocoles « série historique » Vulnérabilités Authentification faible Mots de passe par défaut Mots de passe par « hardcodés » Équipements Informations échangées en clair Possibilité de rejeu Pas d’authentification Protocoles Les API et protocoles associés sont bâtis sur des contraintes de disponibilité et de longévité. Il faut avoir conscience de leurs vulnérabilités pour y pallier quand cela est possible. La sécurisation des équipements et protocoles ne pourra venir que des fournisseurs. 4 février 2015 - Propriété de Solucom, reproduction interdite
  36. 36. 38 Maitrise de la sous-traitance et de la maintenance Les fournisseurs / éditeurs sont encore trop souvent dans une posture « dominatrice » Certains points dans la maîtrise de la sous-traitance et de la maintenance sont à surveiller de près :  Mise en œuvre de maintenance à distance :  Les accès doivent être sécurisés : authentification forte / chiffrement  Attention à la maintenance à distance par Internet et/ou depuis l’étranger  Conditions de garantie  En cas de modification (installation d’antivirus ou de correctif de sécurité)  Configuration à la livraison, les équipements sont souvent livrés avec  leurs configurations par défaut  des configurations non durcies @  Gestion de fournisseurs multiples :  Limiter les entrées/sorties des personnels de maintenance / intervention  Contrôler afin de limiter l’introduction de composants malveillants 4 février 2015 - Propriété de Solucom, reproduction interdite
  37. 37. 39 Supervision de la sécurité  L’intégration à un SOC « central » est rendue difficile par l’ouverture des flux qu’elle nécessite mais doit être étudiée  La mise en œuvre d’un SOC local est essentielle  Mettre en place des dispositifs de surveillance tels que les IDS, IPS ou des pare-feux avec capacités de “Deep Packet Inspection” permet de pouvoir détecter et réagir face aux incidents de sécurité SCADA : Supervisory Control and Data Acquisition La supervision est au cœur des systèmes SCADA, c’est même leur but premier. Cependant, il s’agit de superviser le fonctionnement et la sûreté. La supervision au sens sécurité est quasi inexistante Supervision Remontée de logs Analyse de flux critiques 4 février 2015 - Propriété de Solucom, reproduction interdite
  38. 38. 40 En conclusion Il faut faire face à la réalité. La menace est réelle et le fossé se creuse entre niveau de cybersécurité des installations et le niveau des attaquants. N’attendons pas un évènement majeur pour adresser le sujet !! Les méthodes éprouvées du monde de l’IT conventionnel peuvent s’adapter aux spécificités du monde industriel. Il faut donc combiner les savoir-faire !! La mobilisation des directions métiers est aussi une nécessité pour la sécurisation de l’entreprise de bout en bout dans une approche globale. Cela passe également par des investissements significatifs (build et run) !! 4 février 2015 - Propriété de Solucom, reproduction interdite
  39. 39. www.solucom.fr Anthony DI PRIMA Manager Tel : +33 (0)1 49 03 84 63 Mobile : +33 (0)6 69 28 15 95 Mail : anthony.diprima@solucom.fr Contact

×