SI Industriel et sécurité :
comment démarrer la
transformation
Les Systèmes d’Information Industriels (SII)
sont intimemen...
2 • La Lettre Sécurité N°36 • janvier 2015
Les États de plus en plus mobilisés
LesÉtatsréagissentpourfairefaceauxmenaces
s...
La Lettre Sécurité N°36 • janvier 2015 • 3
sur les différents sites industriels. Il dévelop-
pera également des relations ...
4 • La Lettre Sécurité N°36 • janvier 2015
Dossier
Le niveau de sécurité actuel des SI Industriels
est souvent remis en qu...
La Lettre Sécurité N°36 • janvier 2015 • 5
Décryptage
Architecture de sécurité des SI
Industriels : de la théorie à la pra...
6 • La Lettre Sécurité N°36 • janvier 2015
La sécurité des SII n’est pas un problème
nouveau et diverses initiatives, prov...
La Lettre Sécurité N°36 • janvier 2015 • 7
Décryptage
Le facteur humain dans l’accident de la
raffinerie de Texas City, 20...
Panorama de la cybercriminalité - Conférence CLUSIF le 14 janvier 2015 à 15h30
Le CERT-Solucom interviendra dans le cadre ...
Prochain SlideShare
Chargement dans…5
×

Solucom lettre sécurité 36 janvier 2015 1201web

529 vues

Publié le

Numéro spécial de la Lettre Sécurité dédié intégralement au sujet de la sécurité des Systèmes d'Information Industriels. La récente multiplication des incidents nécessite de se mobiliser pour les sécuriser et d’amorcer une transformation en profondeur.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
529
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
12
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Solucom lettre sécurité 36 janvier 2015 1201web

  1. 1. SI Industriel et sécurité : comment démarrer la transformation Les Systèmes d’Information Industriels (SII) sont intimement liés aux outils de production : chaînes de montage, machines-outils, fours, scanners médicaux, climatisations, aiguil- lages, pipelines... De plus en plus ouverts, ils deviennentunevraiepasserelleentrelesproces- sus de production et le Système d’Information de Gestion (SIG) de l’entreprise. Un SII est souvent modélisé en différentes couches. La première couche concerne le pro- cédéphysiquelui-même.Ladeuxièmeregroupe les capteurs, actuateurs, actionneurs et autres composantsélectroniquesintelligents(IED)qui interagissent physiquement avec le procédé. La troisième couche assure la supervision et le pilotage du procédé. Elle est composée d’élé- ments tels que les SCADA (Supervisory Control and Data Acquisition), des automates ou PLC (Programmable Logic Controller) et des équipe- mentsdistants,lesRTU(RemoteTerminalUnit). La quatrième couche regroupe les fonctions et outils de management des opérations de pro- duction.Enfin,lacinquièmeetdernièrecouche est tournée vers les fonctions avancées de pla- nification,lalogistiqueoul’approvisionnement, souvent interfacée avec les ERP. Initialementdéveloppéspourl’industrie,lessys- tèmes construits sur le même modèle se sont largementrépandus.Systèmesembarquésdans les voitures ou avions, imagerie médicale (scan- ner, IRM, etc.), systèmes plus étendus comme lessmartgrids,etc.:lesSIIsontdevenusomni- présents ! Des menaces accrues qui touchent tous les secteurs À l’origine les SII étaient isolés au sein d’un site ou d’une usine, mais aujourd’hui ils se doivent d’être largement interconnectés pour accroître productivité et compétitivité. Cette intercon- nexion permet de nombreux nouveaux usages mais augmente considérablement l’exposition aux cyberattaques. La majorité de ces systèmes n’a en effet pas été conçue pour une ouverture sécurisée et est d’autant plus vulnérable. Alors que les attaques d’États ou d’individus malveillantssemultiplientcesdernièresannées, les conséquences peuvent être considérables. UneatteinteàlasécuritéduSId’uneentreprise dusecteurdelachimiepourraitamenerledéver- sement de produits toxiques dans des systèmes degestiondeseauxouencore,dansletransport, conduire à des accidents. Des risques pour la confidentialité existent également : l’accès aux chaînes de production autorise l’accès à des secrets de fabrication industriels. Suite en page 2 DÉCRYPTAGES Sécurité des SI Industriels La sécurité des Systèmes d’Information Industriels (SII) est aujourd’hui au centre des préoccupations de nombreux acteurs. Ces systèmes qui permettent une action directe dans le monde « physique » à l’aide d’ins- tructions provenant du monde « logique » pilotent les outils de production de nom- breuses entreprises. Au-delà des risques environnementaux et humains, ils représentent également un enjeu stratégique pour les États. La récente multiplication des incidents, dont ceux révé- lés récemment en Allemagne par le BSI, en Corée du Sud sur les centrales nucléaires et probablement en Turquie, nécessite donc de se mobiliser pour les sécuriser et d’amorcer une transformation en profondeur. Mais par où commencer quand la sécurité a été laissée de côté pendant de nombreuses années ? Et que faire quand les équipements constitu- tifs de ce réseau contiennent eux-mêmes de nombreusesfaillesdifficilesvoireimpossibles à corriger ? C’est l’objet de ce numéro spécial de la Lettre Sécurité dédié intégralement au sujet de la sécurité des SII. Solucom sera présent au Forum International de la Cybersécurité (FIC) avec certains de ses expertssurcessujetssensibles.N’hésitezpas à nous rendre visite sur notre stand ! Gérôme Billois, Senior manager au sein de la practice Riskmanagement&sécuritédel’information Édito Architecture de sécurité des SI Indus- triels : de la théorie à la pratique P5 Niveau de sécurité des SI Industriels : les vulnérabilités les plus courantes P4 n° 36 La Lettre Sécurité Numéro spécial
  2. 2. 2 • La Lettre Sécurité N°36 • janvier 2015 Les États de plus en plus mobilisés LesÉtatsréagissentpourfairefaceauxmenaces sur ces systèmes. Sur le continent nord-amé- ricain, la conformité au standard NERC-CIP est devenue obligatoire pour les opérateurs de réseaux électriques. L’État Français, au travers de sa Loi de Programmation Militaire, entend faire appli- quer aux OIV (Opérateur d’Importance Vitale) des mesures de cybersécurité, notamment sur leur SI Industriel. Si un guide visant à proposer un cadre de protection minimum pour les ins- tallations a déjà été élaboré par l’ANSSI, des décretsd’applicationsectorielssontattendus.Ils définirontplusprécisémentlesrèglesdesécurité obligatoires.Lesentreprisesdoiventsepréparer pourêtreenmesurederépondreàcesnouvelles exigences. Penser la sécurité des SII différemment La sécurisation des SII nécessite d’intégrer de nouvelles contraintes pour définir des solutions adaptées.Vouloirappliquerlesbonnespratiques desécuritéconventionnellesseraituneerreurcar lesSIIndustrielsprésententdescaractéristiques différentes des SI de gestion. L’échelle de temps est bien spécifique. Les lignes de production sont souvent conçues pour une durée de vie de l’ordre de 10 à 15 ans, parfois même au-delà. Par exemple, dans certains sec- teurs comme celui des réseaux électriques, les équipementssontcensésêtreenplacependant plusieurs dizaines d’années. Ladisponibilitéetlasûretésontaucœurdesatten- tions. Dans cet univers spécifique, le critère de disponibilité est primordial. De plus, dans les environnements à risques (SEVESO, nucléaire, etc.) le maintien des fonctions de sûreté qui assurent la protection des hommes et de l’envi- ronnement est essentiel. Lesfournisseursimposentdessolutionspackagées de bout en bout. Et ils sont souvent réticents à appliquer les bonnes pratiques de sécurité, même lorsque leurs systèmes reposent sur des solutions peu sécurisées issues des SI de gestion… Les contextes d’implantation sont particuliers et rendentlemaintienenconditionopérationnellede lasécuritécomplexe.Iln’estpasrared’avoirune partie du système (voire le système entier) loca- lisée sur des sites distants, parfois inoccupés, difficiles d’accès et où les conditions peuvent être « hostiles ». Cela concerne par exemple les SII présents sur les plates-formes pétrolières, les pipelines gaziers ou pétroliers, ou encore les réseaux d’eau. Initier la démarche de sécurisation Avant d’entreprendre de grands chantiers de sécurité, il est important de savoir d’où on part. Le SII est-il vulnérable ? Dans quelle mesure est-il ouvert sur l’extérieur ? Quel est son véri- table niveau d’exposition face aux nouvelles menaces ? Trois approches différentes permettent de répondre à ces questions. L’audit « flash », sur les sites les plus sensibles ou ayant connu un incident récent, permet d’identifier rapidement les vulnérabilités et les zones non protégées. L’analyse de risques d’un processus industriel permet de son côté d’estimer les impacts financiers, humains et environnementaux en cas d’incident. Un bilan de conformité consiste à demander à chaque site industriel d’évaluer son niveau de sécurité sur la base d’un ques- tionnaire. Si cette dernière approche est moins concrèteetfiable,ellepermetd’avoirunevision globale plus rapidement. Il n’y a pas de chemin type : les trois approches peuvent être utilisées ou combinées. Elles doivent aussi être l’occasion de mobiliser la direction générale et les directions métiers dont l’engagementetl’implicationdansladuréesont nécessaires. Mettre en place une filière sécurité des SI Industriels La mise en place d’une gouvernance globale de lasécuritédesSIIestessentiellepouraugmenter le niveau de sécurité dans la durée. Cela passe par la nomination d’un Responsable de la sécu- rité des SII chargé de la définir, de la mettre en œuvre et de l’animer. Qu’il vienne du Métier, du monde de la DSI, de la sécurité SI ou du monde industriel (auto- matisme, sûreté, etc.), il doit être capable de jouer le rôle de facilitateur entre ces différentes sphères.Laconnaissancedumétierindustrielet lesqualitéshumainessontdoncàprivilégierlors de son identification plutôt qu’une expertise en sécurité. Son rattachement peut être à étudier en fonction du contexte de l’entreprise : s’il est courant qu’il fasse partie des équipes sécurité SI,ilestparfoisdirectementrattachéauxMétiers concernés. Le Responsable de la sécurité des SII pourra s’appuyer sur un réseau de correspondants qui se feront le relais de la stratégie et des actions Dossier
  3. 3. La Lettre Sécurité N°36 • janvier 2015 • 3 sur les différents sites industriels. Il dévelop- pera également des relations étroites avec des acteurs incontournables du SII : • les chefs de projets industriels, avec les- quels il faudra s’assurer que la sécurité est prise en compte dès la conception ; • les responsables de la sûreté, avec les- quels il mettra en œuvre une démarche commune de gestion des risques indus- triels ; • les responsables de l’exploitation et de la maintenance, pour s’assurer de la bonne exécution des processus de maintien en condition opérationnelle et de sécurité du SII ; • lesresponsablesdesachats,pourdiffuser les bonnes pratiques en matière d’exi- gences de sécurité dans toutes relations avec les tiers et dans les contrats avec les fournisseurs ; • la DSI et le RSSI pour s’interfacer avec le SIclassiqueetcapitalisersurlesbonnes pratiques. Intégrer la sécurité dès la conception Concevoir une usine, un site industriel ou un équipementembarqués’accompagnelaplupart du temps d’études de sûreté. Il faut tirer parti de cette culture déjà bien ancrée pour y insérer lesétudesdesécuritéduSIIndustrielquiseront centrées sur les risques de cybersécurité. Attention toutefois à rester vigilant et ne pas se focaliser uniquement sur le procédé industriel lui-même. L’environnement proche ou éloigné du SII est à étudier pour chaque projet : dans quellesconditionslesinterventionsdetierspour latélégestionetlatélémaintenanceseront-elles réalisées ? Le fournisseur s’applique-t-il lui- même des exigences de sécurité lorsqu’il déve- loppe les solutions industrielles ? Traiter les urgences sans négliger la sécu- risation à moyen terme Les particularités des SII poussent souvent les entreprises à allier des solutions palliatives à court terme et à saisir l’opportunité de faire des modifications en profondeur quand elle se pré- sente : arrêt de production, renouvellement de l’outilindustriel,changementdefournisseur,etc. C’est particulièrement vrai pour la mise en œuvre du cloisonnement et de la segmentation des réseaux : si on peut isoler le SI de gestion, les changements sur les réseaux de production sont plus complexes à organiser ! La refonte des accès distants est également à intégrer dans cette réflexion. Elle nécessite de revoir les contrats établis sur plusieurs années, pour lesquels la renégociation des modalités d’inter- vention, de télégestion et de télémaintenance est peu fréquente. En parallèle, une fois les vulnérabilités sur le système identifiées, il faut être en capacité de lescorriger.Appliquerlescorrectifsn’estparfois pas envisageable et remplacer les équipements par d’autres plus récents offrant les dernières fonctionsdesécuritéprésenteuncoûtnonnégli- geable, tant en termes financiers qu’en perte d’exploitation potentielle sur des systèmes où la disponibilité est cruciale. ConscientdesvulnérabilitésdesSII,ilestcrucial demettreenplace,surl’installationindustrielle, des dispositifs de surveillance afin de détecter et de réagir face aux incidents. L’intégration du SII au SOC ou au CERT de l’en- treprise peut être envisagée dans une stratégie de réaction globale. Unedémarcheàconstruiredèsaujourd’hui La mise en œuvre de la sécurité pour les SI Industrielsnepourrasefairequ’ens’accommo- dantdesspécificitésetdescontextesparticuliers dans lesquels ils évoluent. Mobiliser les direc- tionsMétiersetcombinerlessavoir-faireissusdu monde industriel et de gestion sont assurément des facteurs clés de succès. En parallèle, les fonctions de responsable de la sécurité du SI de gestion et de responsable de la sécurité du SI Industriel doivent s’associer, voire fusionner, pour assurer la cohérence de la démarchedesécurisationdel’entreprisedebout en bout dans une approche globale. Anthony Di Prima, manager anthony.diprima@solucom.fr Quelques exemples d’attaques de SI Industriels
  4. 4. 4 • La Lettre Sécurité N°36 • janvier 2015 Dossier Le niveau de sécurité actuel des SI Industriels est souvent remis en question par les spécia- listes en sécurité. Alors, cri au loup ou réalité encore méconnue ? Les audits et études réa- lisés par Solucom ne font que confirmer les défauts de sécurité sur ces infrastructures. Une sécurisation insuffisante, voire inexistante Les automates programmables industriels (API), en charge de l’interface avec le monde physique, n’intègrent souvent que peu de fonctions de sécurité et les failles de sécurité publiques les concernant sont nombreuses. L’ICS-CERT a ainsi publié près d’une centaine de bulletins de vulnérabilités sur des compo- sants industriels. Les protocoles de commu- nication utilisés sont un des maillons faibles de la chaîne. Ces protocoles, parmi lesquels on peut citer Modbus, permettent l’échange de consignes ou de valeurs en clair, sans chiffrement. De même, les possibilités d’authentification des actions sont souvent limitées, permet- tant à n’importe quel attaquant ayant accès au réseau de modifier les consignes des auto- mates et ainsi d’influer sur leur comportement. Les interfaces d’administration des automates sont par ailleurs souvent protégées par des mots de passe par défaut, jamais changés, et qui parfois ne peuvent pas l’être. Les sys- tèmes plus intégrés appelés SNCC (Systèmes Numériques de Contrôle-Commande) ne sont pas garants d’une sécurité accrue, les proto- coles propriétaires utilisés n’apportant pas forcément une réelle couche de sécurité. La situation est identique pour les PC de super- vision ou de programmation qui sont souvent des équipements reposant sur des technolo- gies standard, tels que des systèmes d’exploi- tation Microsoft Windows. Malheureusement, l’expérience sécurité acquise sur le SI de ges- tion pour ces équipements profite rarement à leur sécurisation sur la partie industrielle. Les étapes de durcissement sécurité sont rares, de même que l’application de correctifs de sécurité, ou encore la présence d’un antivirus. Il est fréquent de pouvoir prendre le contrôle de ces systèmes par l’exploitation d’une faille de sécurité datant de près de 6 ans. Un cloisonnement tout à fait relatif De plus, les équipements du SI Industriel sont trèslargementinterfacésaveclesSIdegestion. Le cloisonnement entre ces deux mondes est souventpermissif.Ilarrivemêmequelefiltrage autorise l’accès à certains équipements indus- trielsdepuisl’ensembleduréseauinterned’une entreprise, ce qui peut représenter plusieurs dizaines de milliers de machines. Les postes de programmation et clés USB constituent également des vecteurs d’attaques puisqu’ils sont connectés à des réseaux de niveau de sécurité hétérogène, voire à des envi- ronnementsnon-maîtrisés(parexempledansle cas de sous-traitants). Pire encore, il arrive trop souvent que des équi- pements industriels soient accessibles directe- ment sur internet. Il existe même des moteurs de recherche dédiés à la recherche d’équipe- mentsexposéssurinternet,Shodanétantleplus connu.Prèsde1500équipementsModbussont ainsi recensés en France sur Shodan et plus de 20 000 dans le monde. Un constat d’échec ? Il ne s’agit néanmoins pas de se lamenter. Bien que le niveau de sécurité actuellement constaté soit faible, il est possible de mener des actions d’amélioration. Au-delà des concepts d’architecture qui permettent de cloisonner ces équipements vulnérables, la vraie, seule solution à long terme consiste à développer de nouveaux produits, sécurisés by design. Bien sûr, les fruits de ce travail ne se verront que sur les nouvelles installations, et pas avant plusieurs dizaines d’années. On peut espérer que la prise de conscience globale des parties prenantes, ainsi que l’implication des instances gouvernementales accélèrent ce changement. En attendant il semble aujourd’hui nécessaire de déporter les fonctions sécurité sur des équipements dédiés, comme des passerelles encapsulant le trafic réseau dans un tunnel chiffré, ou bien des pare-feu ou IPS dispo- sant de modules spécifiques aux protocoles industriels. Enfin, il faut également savoir tirer parti d’une des faiblesses des SI Industriels : leur durée de vie et la complexité de changements. En effet, la mise en place d’une supervision sécurité sera facilitée par le caractère figé des réseaux industriels : il est rare que de nouveaux équi- pements soient installés ou que la topologie réseau soit modifiée. De même, l’emploi d’une solution de contrôle d’exécution par liste blanche sera plus facile sur un PC industriel n’exécutant qu’un seul logiciel de supervision que sur un poste de travail bureautique. Niveau de sécurité des SI Industriels : les vulnérabilités les plus courantes Décryptage Arnaud Soullie, consultant arnaud.soullie@solucom.fr Actuellement, les outils d’audit et tests d’intrusion dédiés aux SI Industriels sont encore assez rares, bien que la tendance soit à la hausse. On peut notamment citer : • PLCscan, qui permet d’identifier des automates sur un réseau. • Mbtget, un client Modbus écrit en Perl. Nos recherches nous ont également amenés à créer les outils suivants : • Un module client Modbus pour Metasploit1 . • Desmodificationsaumodule«modicon_stux_transfer»deMetasploitpermettantd’atta- quer les automates Schneider2 , notamment pour copier, à distance et sans authentifica- tion, le programme de l’automate via des requêtes Modbus spécifiques. • Des scripts Python permettant de dialoguer avec les automates Siemens3 . Quels outils pour auditer un SI Industriel ? 1 - http://www.rapid7.com/db/modules/auxiliary/scanner/scada/modbusclient 2 - https://github.com/arnaudsoullie/metasploit-framework/blob/modicon_stux_transfer/modules/auxiliary/admin/scada/modicon_stux_transfer.rb 3 - https://github.com/arnaudsoullie/scan7
  5. 5. La Lettre Sécurité N°36 • janvier 2015 • 5 Décryptage Architecture de sécurité des SI Industriels : de la théorie à la pratique Les architectures des SI Industriels s’alignent souvent sur le modèle ISA 95. Si cet aligne- ment est surtout motivé par le besoin d’optimi- ser en continu les procédés industriels, il n’est pas sans risque du point de vue de la sécurité. Alors que les installations industrielles doivent faire face à de nombreux risques, en particulier humains et environnementaux, orchestrer leur ouverture au SI de l’entreprise voire à internet les expose à des menaces plus nombreuses et virulentes. Cloisonnement et segmentation : standards et réglementations se mettent d’accord Pour traiter ces risques, trois méthodologies issues de l’IEC 62443, du NIST SP-800-82 et duguidedel’ANSSI,sontusuellementretenues. L’IEC 62443 (ISA99) a établi les concepts de « zones » et de « conduits » avec pour chacun un niveau de sécurité (Security Level – SL) et des règles bien spécifiques. Ledécoupageenzonespeuts’établird’unpoint de vue physique (bâtiment, atelier) ou logique (répartition par processus industriel ou par fonction). Toutes les zones communiquent entres elles par un conduit et peuvent également être imbriquées, dans une logique de défense en profondeur. Selon le niveau de criticité des zones et des conduits, des règles de sécurité sont définies et peuvent être plus ou moins restrictives. La détermination du niveau de sécurité d’une zone (ou d’un conduit) s’effectue au travers d’une analyse de risque. Concrètement, il cor- respondauniveauderobustessedesmesuresde sécuritéàimplémenterpermettantdefaireface à des menaces plus ou moins évoluées. Pour l’IEC, il s’agira de segmenter et d’isoler physiquement les SI Industriels des SI de ges- tionetaussidecloisonnerlessystèmescritiques (systèmes de sûreté) des systèmes de conduite des procédés. Le NIST, au travers de sa publication spé- ciale pour les systèmes industriels, expose de bonnes pratiques d’architectures sécuri- sées sans promouvoir un modèle en particu- lier. Il consacre un chapitre entier au thème de la sécurisation des architectures des SI Industriels. Il met en avant le cloisonnement entre SI de gestion et SI Industriels en propo- sant des architectures type à base de DMZ, de firewall voire de diode. De bonnes pratiques et une matrice de flux type sont même proposées avec un focus pour des flux plus spécifiques. En France, l’ANSSI prévoit de catégoriser les SI Industriels en 3 classes distinctes selon leur criticité. Trois niveaux sont définis ; la détermination du niveau pour une installation s’effectue au travers de critères tels que connectivité, fonc- tionnalités,niveaud’exposition,attractivitépour un attaquant, vraisemblance et impacts en cas d’attaque. Pour chacune des classes, des règles plus ou moins strictes font émerger entre autres des principes forts d’architectures sécurisées. Cette démarche peut être itérative. Il est pos- sible de découper l’installation industrielle en plusieurszonesetd’établirpourchacuned’elles son niveau de classe. Celarejointl’approchedel’IEC62443audétail près qu’ici, la méthodologie de l’ANSSI établit les niveaux de classe en priorité au regard des impacts pour la population, l’environnement et l’économienationalesanssesoucierdel’impact direct pour l’entreprise concernée. Quelle que soit la méthodologie mise en œuvre, le constat final reste le même : segmentation et cloisonnement constituent des briques essen- tiellesenvuedeprotégerlesSIIndustriels.Mais l’expériencemontrequesegmenteretcloisonner n’est pas toujours simple… Besoin métier et sécurité : la quadrature du cercle ? Dans bien des cas, on observe un besoin élevé de remonter vers le SI de gestion des données « procédé » en vue de les analyser. Et ce pour différentes raisons : calcul d’optimisation, calcul financier, supply chain, Big data… Selon la méthode de l’ANSSI, une installation de classe 3 ne peut communiquer avec le SI de gestion que de façon unidirectionnelle via l’utilisation d’une diode. Mettre en œuvre ce genredetechnologiepeutparfoisreleverdel’im- possible : impossibilité d’avoir du temps réel, incompatibilitédessolutionsd’historisationdes données procédé… Dans ce cas, on découpera l’installation en sous-systèmes de façon à pou- voirluiattribuerdifférentsniveauxdeclasse.Un sous-système de classe 2 peut communiquer de façon bidirectionnelle avec le SI de gestion, tandis que le sous-système le plus critique de classe 3 n’est autorisé à communiquer uni- directionnellement qu’avec ce sous-système de classe 2. Cette approche peut notamment être considérée pour les systèmes de sûreté. Si dans certains cas cela peut sembler réa- liste, c’est parfois beaucoup plus complexe. L’exemple d’installations s’appuyant sur des SNCC (Système Numérique de Contrôle Commande)montrequelessystèmesdesûreté, ou Systèmes instrumentés de sécurité (SIS), peuventêtretotalementimbriquésaveclessys- tèmesdeconduite:mutualisationdescapteurs pour les automates de conduite et de sûreté, automates assurant à la fois des fonctions de conduite et de sûreté. Deux solutions opposées sont possibles Deux solutions extrêmes sont peut-être à envisager. La première consisterait à revoir un certain nombre de process supports associés au pro- cédé industriel pour permettre un cloisonne- ment fort des SI Industriels vis-à-vis des SI de gestion. La deuxième serait de revenir à des solutions « moins connectées » : désimbrication totale du SIS, dédoublement des capteurs, auto- mates / contrôleurs de sûreté dédiés et isolés, recours à la logique « câblée », automates et contrôleurs non « modifiables ». Ces deux solutions peuvent sonner comme un retour en arrière. Le meilleur compromis réside sans doute dans une approche plus souple, fondée sur le bon sens et une gestion réaliste du risque. Par Anthony Di Prima, manager
  6. 6. 6 • La Lettre Sécurité N°36 • janvier 2015 La sécurité des SII n’est pas un problème nouveau et diverses initiatives, provenant d’agences gouvernementales, d’organismes de standardisation ou d’organisations sec- torielles, ont eu pour objectif d’établir des documents de référence en la matière. Une multitude de textes La liste est longue, c’est pourquoi il convien- dra de s’appuyer sur le (ou les) référentiel(s) le(s) plus adapté(s) : secteur, niveau de cri- ticité de son installation. À ce titre, le CLUSIF, par l’intermédiaire du groupe de travail sur la sécurité des systèmes industriels, animé notamment par Solucom, a publié un panorama des référentiels en la matière. Pas moins d’une cinquantaine de documents ont été analysés et des fiches de lecture per- mettent d’en avoir une vision synthétique. Les documents ont été répertoriés et catégo- risés : des plus introductifs aux plus exhaus- tifs, allant de quelques pages à plus d’un millier, le guide du CLUSIF précise à quels lecteurs ils sont le plus adaptés (filières SSI ou SII, concepteur/intégrateur/mainteneur). Les objectifs de ces référentiels sont mul- tiples. Ils peuvent être utilisés comme un véritable outil pour réaliser des audits de sites, définir sa stratégie et les actions associées ou plus simplement évaluer son degré d’aligne- ment et de conformité au standard retenu. De tous, l’IEC 62443 est sans doute le réfé- rentiel le plus connu du milieu et propose de nombreux guides qui tentent d’adresser l’ensemble des pans de la sécurité de ces SI. L’ISO a également apporté sa pierre à l’édifice avec la récente norme ISO 27019. Les États publient également des guides natio- naux. Au Royaume-Uni, le CPNI (Center for the Protection of National Infrastructure) pro- pose plusieurs guides thématiques autour de la sécurité des SI industriels. Aux États-Unis, plusieurs entités (DHS, DoE…) ont élaboré des guides sectoriels. Enfin en France, l’ANSSI a également publié ses propres guides. Certains secteurs ont apporté une réponse propre à leurs spécificités respectives comme l’AIEA qui propose son guide pour les instal- lations nucléaires ou encore le NERC CIP qui oblige les différents opérateurs électriques à être conformes à ses standards. La réglementation : arme d’amélioration massive de la sécurité ? Cette abondance de littérature montre qu’il n’y a pas de réel consensus en la matière aujourd’hui. De plus, l’application des bonnes pratiques édictées dans ces docu- ments ne reste finalement qu’un acte de volontariat de la part des entités concernées. Comme cela est souvent le cas, l’adoption de pratiques généralisées passe par la mise en place d’une réglementation (SEVESO par exemple). Et c’est bien ce qu’envisage l’État français au travers de la LPM (Loi de Programmation Militaire) : rendre obligatoire l’adoption de certaines mesures de cybersé- curité pour les OIV. Mais ces avancées françaises ne doivent pas faire oublier la nécessité d’une approche plus globale, a minima européenne. En effet, au- delà des mesures organisationnelles et tech- niques, La LPM prévoit également le recours à des produits labellisés. Il ne s’agit là que d’un schéma franco-français. Les efforts requis pour obtenir cette labélisation peuvent apparaître comme un frein pour des construc- teurs/éditeurs à portée internationale. Avoir une reconnaissance européenne ou interna- tionale de la sécurité de leur produit est donc un élément déterminant et qui aboutira à un réel retour sur investissement. Dans ce domaine, des directives euro- péennes sont également attendues, en par- ticulier celle dédiée à la sécurité des réseaux et des infrastructures (NIS). Elles légitime- ront d’avantage les initiatives sur le terri- toire français. L’ENISA a d’ailleurs publié les bases d’un schéma de certification de la sécurité des Smart Grid à portée européenne. Avec une approche progressive, ce que tend à faire l’État français, la réglementation obtiendra l’adhésion des industriels. La ten- dance va vers une adaptation des mesures avec une personnalisation opérateur par opérateur sans pour autant s’éloigner d’une cible ambitieuse. La publication prochaine des décrets d’application, puis des arrêtés de la LPM, permettra de le vérifier. Enfin, pour ceux qui ne sont pas immédia- tement concernés en tant qu’opérateur cri- tique, nul doute qu’ils bénéficieront de l’élan global de ces démarches et pourront bien évidement s’en inspirer en complément des guides, normes et standards déjà existants. Par Anthony Di Prima, manager Normes, standards et réglementation : de réels leviers pour enclencher une démarche de sécurisation ? Focus
  7. 7. La Lettre Sécurité N°36 • janvier 2015 • 7 Décryptage Le facteur humain dans l’accident de la raffinerie de Texas City, 2005 Pendant la nuit, les équipes de la raffinerie se préparèrent à un redémarrage de la colonne de distillation.Aumatin,l’équipedejourredémarra l’installation. Tout semblait bien se dérouler et le cadre supervisant l’opération passa la suite à l’un de ses collègues. Mais soudain, une énorme explosion se produisit dans la torchère, causant la mort d’une quinzaine de personnes installées dans des bureaux préfabriqués situés àquelquesmètresdelatorchère,surunespace libre. Personne ne comprit ce qui se passait et on crût à un attentat. Les erreurs commises et leurs leçons L’enquête a montré que cet accident était la conséquence d’erreurs simples et multiples qui auraient pu être évitées. Toutd’abord,lesprocéduresdedémarragen’ont pas été respectées car elles étaient contrai- gnantes. Les opérateurs avaient pris l’habitude de les court-circuiter. Par ailleurs, le manage- ment de la raffinerie avait fermé les yeux sur plus de 13 cas de non-respect de la procédure de redémarrage recensés par les enquêteurs. Expliquer le bien-fondé des procédures et les dangers auxquels les opérateurs sont exposés incite le personnel à les respecter. Cela aug- mente à peu de frais la sécurité d’ensemble. De plus, une structure de traitement du retour d’expérienceauraitsansdoutepermisdedéceler l’anomalie et d’y remédier de façon pratique en prenant en compte les contraintes de terrain et les propositions des opérateurs. Le non-respect de la procédure consistait à dépasser le niveau d’hydrocarbure à distil- ler dans la tour. Mais les opérateurs étaient confiants dans le fait que s’ils dépassaient le niveau prescrit par la procédure, une alarme de « rattrapage » s’activerait. Ils pensaient aussi que la régulation de niveau automatique main- tiendraitleniveaudansdeslimitesacceptables. Ce qu’ils ne savaient pas, et que personne n’a contrôlé, c’est que l’alarme de « rattrapage » étaitdéfaillanteetquelarégulationautomatique n’avait pas été mise en marche. Nous relevons là plusieurs erreurs de transmis- sion d’informations, de maintenance et de non- vérification de fonctionnalités importantes pour la sécurité. Organiser les passations de suite entre équipes, entre opérateurs et superviseurs, formaliser les communications, mettre en place des tableaux de situations et un système de bons de travaux opérationnel aurait permis d’alerter les opéra- teurs et de corriger largement à temps la défail- lance, même si les procédures étaient court-cir- cuitées ce jour-là. Par ailleurs, les informations présentées à l’opérateur de jour et à son superviseur étaient biaisées et les ont conduit tous deux à se faire une représentation erronée de la situation. Par manque de formation et d’expérience, ils n’ont pas identifié d’incohérences et n’ont pas consi- déré lesdites informations d’un œil critique. Sensibiliser opérateurs et superviseurs à croiser lesinformationset,pourcesderniers,àprendre du recul, aurait sans doute permis de déceler une anomalie. Ne perdons pas de vue qu’une formation défail- lante doit être au moins compensée par une supervision plus attentive parce qu’expérimen- tée. La formation se fait alors naturellement in situ.Constitueruneéquiped’unopérateurinsuf- fisamment formé (il ne savait pas que le liquide devait sortir de la tour) et d’un superviseur inexpérimenté (il ne regardait pas les bonnes indicationsetfaisaitconfianceàl’opérateur)est une erreur de management. Vis-à-vis des impacts de l’accident, pourquoi y avait-il des bureaux préfabriqués à proximité de la torchère ? Vraisemblablement à cause de l’absence d’analyse de risques. Créer et entretenir une culture de sécurité au sein d’une entreprise encourage le personnel à s’interroger(«quesepasserait-ilsi…»)etamène à considérer les opérations en cours d’un œil critique, bénéfique pour la sécurité de tous. Danslecontextedel’accident,ilfautmentionner lespressionsdelahiérarchiesurlemanagement de la raffinerie. Outre le fait que cette raffinerie avaitétérachetéedepuispeuparuneautrecom- pagnieetquelestensionsétaientencorevivesà causedeculturesd’entreprisesdifférentesetde craintes légitimes, une réduction des coûts de 25% avait été décidée. Cela a nécessairement euunimpactsurlasécurité,secteurhabituelle- ment considéré comme coûteux pour un retour sur investissement impossible à chiffrer. Inviter les cadres à résister aux sirènes du low cost et à ne pas transiger sur la sécurité aurait permis de prévenir bien en amont ce désastre. Il n’est pas question ici de décider à qui revient la responsabilité de cette explosion et des 15 victimes : trop de personnes, à tous les niveaux, portent une petite part de responsa- bilité. L’accident s’explique en effet par cette accumulationd’erreurs.Maisimaginonsqu’une seuledespersonnesimpliquéesaitcorrigél’une des défaillances, il est certain que l’accident n’aurait pas eu lieu. Par conséquent, en aidant les entreprises à travailler leur organisation, améliorer les com- munications entre personnes et entre groupes, en sensibilisant sous de multiples formes les opérateursetleursmanagersauxrisquespris,il estpossibleàpeudefraisd’améliorerlasécurité dans de grandes proportions. Ceci vaut égale- ment pour la sécurité de l’information dans les SI Industriels ! Jean Magne, manager jean.magne@solucom.fr
  8. 8. Panorama de la cybercriminalité - Conférence CLUSIF le 14 janvier 2015 à 15h30 Le CERT-Solucom interviendra dans le cadre du panorama annuel de la cybercriminalité réalisé par le CLUSIF. Les sujets suivants seront abordés : • Accueil et introduction - Lazaro PEJSACHOWICZ, Président du CLUSIF • Polémique/FUD/Exagérations - Gérôme BILLOIS, Solucom • Objets connectés – L’Actualité et le Juridique - Fabien COZIC, Enquête et Conseils & Garance MATHIAS, ME Garance Mathias • Chantage et rançon - Gérôme BILLOIS, Solucom • L’année des vulnérabilités - Hervé SCHAUER, Directeur Général Hervé Schauer Consultants • Les Nouveaux Pickpockets - Loïc GUEZO, Trend Micro & Christophe JOLIVET, Prosica • L’évolution de la menace - Philippe BOURGEOIS, CERT-IST & Eric FREYSSINET, Gendarmerie Nationale • Le cybercrime, des deux côtés de la rivière - Eric FREYSSINET, Gendarmerie Nationale • Conclusion, mise en Perspective - François PAGET, Intel Security Pour en savoir plus : http://clusif.asso.fr/fr/infos/event/ Prochains événements : • 19 janvier CORI&IN – Présentation de l’outil CERTITUDE, outil d’investigation numérique distribué, réalisé par le CERT-Solucom. Intervention de Vincent Nguyen et Jean Marsault. • 20 & 21 janvier – Forum International de la Cybersécurité (FIC). Solucom sera présent lors de cette 7ème édition du salon et animera la table-ronde « Smart city et cybersécurité » Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Gérôme Billois, Anthony Di Prima, Sarah Lamigeon, Jean Magne, Arnaud Soullie Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : Les enfants gâtés Impression : Axiom Graphics ISSN 1995-1975 La Lettre Sécurité Revue de la practice risk management et sécurité de l’information du cabinet Solucom Tour Franklin, 100-101 terrasse Boieldieu La Défense 8 92042 Paris - La Défense solucom@solucom.fr http://www.solucom.fr abonnement : lettresecurite@solucom.fr L’actualité Solucom Solucom se renforce dans le domaine du tertiaire financier et de l’industrie Courant octobre, Solucom annonçait son rapprochement avec Audisoft-Oxéa. Ce cabinet de conseil d’une trentaine de consultants accompagne les grands acteurs du secteur financier sur l’en- semble de leurs enjeux en matière de performance, réglementation, conformité, contrôle interne et gestion des risques. L’expertise d’Audisoft-Oxéa est largement reconnue par la place financière, notam- ment par les autorités de tutelle et les régulateurs (ACPR, AMF). À noter également que Solucom vient de reprendre la branche Industrie de PEA consulting, comprenant une douzaine de collaborateurs, renforçant ainsi sa connaissance des activités industrielles de ses clients, notamment en matière de supply chain. Pour en savoir plus : http://www.solucom.fr/finance/

×