Cybersécurité industrielle 101
Sthack 2015
Adrien REVOL / Wilfrid BLANC
• 500+ customers
• 200+ cyber-security experts
• 20% growth each year
• 15 years of frontline experience
• 3 continents: E...
3/55
Anticipate | Retaliate
A proven defense strategy
Threat Defense
Center
Audit
Consulting
Training
USB Malware
Cleaner
...
4/55
Agenda
1. Introduction
2. Panorama cybersécurité industrielle
3. Retours d’expérience
4. Conclusion
5/55
Agenda
1. Introduction
2. Panorama cybersécurité industrielle
3. Retours d’expérience
4. Conclusion
6/55
Introduction
Réseaux industriels ?
Oil & Gaz Énergie
Gestion de l’eau Industries Manufacturières
Smart Grid
Transport...
7/55
Introduction
Deux définitions
Industrial Control System (ICS)
Système ayant pour finalité de gérer des capteurs et ac...
8/55
Introduction
Schéma d’architecture
9/55
Introduction
Quelques composants d’une architecture industrielle (1/3)
API Modicon m340 API Simatic S7 300
API Simati...
10/55
Introduction
Quelques composants d’une architecture industrielle (2/3)
Poste d’ingénierie : Développement de la logi...
11/55
Introduction
Quelques composants d’une architecture industrielle (3/3)
Contrôle et Supervision du procédé industriel...
12/55
Introduction
Différence IT/ICS
L’informatique de gestion manipule des
données
On veut protéger la confidentialité et...
Informatique de gestion
 Protocoles standards
 Interconnexions/Internet
 Cycle de vie de 3-5 ans
 Composants évoluent ...
14/55
Agenda
1. Introduction
2. Panorama cybersécurité industrielle
3. Retours d’expérience
4. Conclusion
15/55
Panorama cybersécurité industrielle
Avant 2014-2015
0
50
100
150
200
250
2000 2001 2002 2003 2004 2005 2006 2007 200...
16/55
Panorama cybersécurité industrielle
Avant 2014-2015
0
50
100
150
200
250
2000 2001 2002 2003 2004 2005 2006 2007 200...
17/55
Panorama cybersécurité industrielle
Avant 2014-2015
Et pourtant le « modbus hack » est connu depuis plus de 10
ans…
...
18/55
Panorama cybersécurité industrielle
Démo
ALIM CPU ETH CARTE I/O
CAPTEURS/ACTIONNEURS
Modbus/TCP
+12V/-12V
PLC = API
19/55
Panorama cybersécurité industrielle
Évènements significatifs 2014-2015
Courant 2014
Cyberattaque sur
une aciérie
All...
20/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilit...
21/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilit...
22/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilit...
23/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilit...
24/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilit...
25/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilit...
26/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilit...
27/55
Panorama cybersécurité industrielle
LEXSI : l’approche par les risques
L’analyse de risques identifie
les risques et...
28/55
Agenda
1. Introduction
2. Panorama cybersécurité industrielle
3. Retours d’expérience
4. Conclusion
29/55
Retours d’expérience
Pentest en environnement industriel
La couche SCADA (composée de serveurs et postes
généralemen...
30/55
Retours d’expérience
Opérateur autoroutier
INTERNET#Absence de capacités de détection
Aucune solution de SIEM, IPS o...
31/55
Retours d’expérience
Opérateur autoroutier
INTERNET#Sécurité des systèmes d’exploitation
Identification d’une machin...
32/55
Retours d’expérience
Opérateur autoroutier
INTERNET
#Interconnexion SII/SIG non sécurisée
La machine est un poste d’...
33/55
Retours d’expérience
Opérateur autoroutier
INTERNET
34/55
Retours d’expérience
Opérateur autoroutier
INTERNET
#Absence d’antivirus
Installation d’un trojan permettant d’utili...
35/55
Retours d’expérience
Opérateur autoroutier
INTERNET
#Mauvaise gestion des comptes
Le mot de passe récupéré peut être...
36/55
Retours d’expérience
Opérateur autoroutier
INTERNET
# Utilisation de protocoles non sécurisés
Utilisation de VNC sur...
37/55
Retours d’expérience
Opérateur autoroutier
INTERNET# IHM connectée en permanence
La session Windows n’est pas verrou...
38/55
Retours d’expérience
Opérateur autoroutier
39/55
Retours d’expérience
Opérateur autoroutier
40/55
Retours d’expérience
Opérateur autoroutier
41/55
Retours d’expérience
Industrie manufacturière
Interconnexions ICS/* non
sécurisées
Machines SCADA à double
attacheme...
42/55
Retours d’expérience
Industrie manufacturière
Utilisation de protocoles non
sécurisés
L’équipe de maintenance,
depui...
43/55
Retours d’expérience
Industrie manufacturière
Gestion des comptes non
sécurisée
Le mdp VNC :
• est trivial
• est le ...
44/55
Retours d’expérience
Industrie manufacturière
Sécurité des OS et firmwares
Le compte logué est admin
local, sa sessi...
45/55
Retours d’expérience
Conclusion
Du point de vue de l’attaquant, la cybersécurité
du système industriel repose sur la...
46/55
Retours d’expérience
Vulnérabilités fréquentes dans les ICS*
1. Sécurité des OS et firmwares 93%
2. Utilisation de p...
47/55
Agenda
1. Introduction
2. Panorama cybersécurité industrielle
3. Retours d’expérience
4. Conclusion
48/55
Conclusion
Axes de correction des 10 vulnérabilités fréquentes
1. Patcher, upgrader, configurer
2. Utiliser des prot...
49/55
Conclusion
Top 10 des axes d’amélioration ICS
50/55
Conclusion
Initialiser une démarche de cybersécurité industrielle
• Fortes contraintes opérationnelles :
 Impossibi...
51/55
Conclusion
Initialiser une démarche de cybersécurité industrielle
Organiser Évaluer Améliorer
 Communiquer, sensibi...
52/55
Conclusion
Initialiser une démarche de cybersécurité industrielle
Organiser Évaluer Améliorer
 Auto évaluation en s...
53/55
Conclusion
Initialiser une démarche de cybersécurité industrielle
Organiser Évaluer
Améliorer
 A très court terme :...
54/55
Conclusion
• Systèmes d’informations industriels encore très vulnérables
• MAIS :
• Prise de conscience du législate...
55/55
Merci
Questions ?
Prochain SlideShare
Chargement dans…5
×

Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité Industrielle 101

2 749 vues

Publié le

Industrial control systems are the core of the management of industries which dysfunction can have a human impact (injuries, deaths), cause environmental disasters or interfere with the proper functioning of state services. These systems have historically been designed to operate while ensuring high reliability levels in totally isolated environments (not interconnected with other networks). However, technologies and threats affecting the industrial world are evolving, bringing out new risks on infrastructures designed with little or no integration of the issues related to cybersecurity.

The purpose of this presentation is to provide a general look on cybersecurity issues in industrial environments and make a return on the main vulnerabilities that may be encountered and ways to correct it.

Publié dans : Formation
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 749
Sur SlideShare
0
Issues des intégrations
0
Intégrations
250
Actions
Partages
0
Téléchargements
80
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité Industrielle 101

  1. 1. Cybersécurité industrielle 101 Sthack 2015 Adrien REVOL / Wilfrid BLANC
  2. 2. • 500+ customers • 200+ cyber-security experts • 20% growth each year • 15 years of frontline experience • 3 continents: Europe, North-America, Asia • 1st CERT in EU • 1 obsession: defend enterprises against cybercrime
  3. 3. 3/55 Anticipate | Retaliate A proven defense strategy Threat Defense Center Audit Consulting Training USB Malware Cleaner Multiproxies Investigation Consulting Incident response
  4. 4. 4/55 Agenda 1. Introduction 2. Panorama cybersécurité industrielle 3. Retours d’expérience 4. Conclusion
  5. 5. 5/55 Agenda 1. Introduction 2. Panorama cybersécurité industrielle 3. Retours d’expérience 4. Conclusion
  6. 6. 6/55 Introduction Réseaux industriels ? Oil & Gaz Énergie Gestion de l’eau Industries Manufacturières Smart Grid Transports Et bien d’autres : Chimie, Métallurgie, Zones portuaires, Gestion de bâtiments, … etc.
  7. 7. 7/55 Introduction Deux définitions Industrial Control System (ICS) Système ayant pour finalité de gérer des capteurs et actionneurs interagissant avec le monde « physique » Supervisory Control and Data Acquisition (SCADA) Ensemble de serveurs, postes de travail et applications de l’ICS permettant de contrôler et superviser le procédé industriel
  8. 8. 8/55 Introduction Schéma d’architecture
  9. 9. 9/55 Introduction Quelques composants d’une architecture industrielle (1/3) API Modicon m340 API Simatic S7 300 API Simatic S7 1500Switch Scalance Pupitre SIEMENS
  10. 10. 10/55 Introduction Quelques composants d’une architecture industrielle (2/3) Poste d’ingénierie : Développement de la logique d’un automate
  11. 11. 11/55 Introduction Quelques composants d’une architecture industrielle (3/3) Contrôle et Supervision du procédé industriel via l’IHM
  12. 12. 12/55 Introduction Différence IT/ICS L’informatique de gestion manipule des données On veut protéger la confidentialité et l’intégrité des données L’informatique industrielle manipule le monde « physique » On veut protéger la santé des personnes, l’environnement et l’outil de production
  13. 13. Informatique de gestion  Protocoles standards  Interconnexions/Internet  Cycle de vie de 3-5 ans  Composants évoluent tous les jours  Une panne peut engendrer des pertes financières  Culture confidentialité/intégrité  Problématiques généralement connues Introduction Deux approches différentes de l’informatique Informatique industrielle  Prédominance de protocoles propriétaires  Mythe du « air-gap »  Cycle de vie de 15-20 ans  Composants hard/soft figés dans le temps  Une panne peut engendrer des pertes humaines  Culture sûreté/fiabilité  Problématiques cybersécurité généralement inconnues
  14. 14. 14/55 Agenda 1. Introduction 2. Panorama cybersécurité industrielle 3. Retours d’expérience 4. Conclusion
  15. 15. 15/55 Panorama cybersécurité industrielle Avant 2014-2015 0 50 100 150 200 250 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 Stuxnet Projet Aurora (INL) Vulnérabilités ICS dévoilées/an (source scadahacker.com)
  16. 16. 16/55 Panorama cybersécurité industrielle Avant 2014-2015 0 50 100 150 200 250 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 Stuxnet Projet Aurora (INL) Vulnérabilités ICS dévoilées/an (source scadahacker.com)
  17. 17. 17/55 Panorama cybersécurité industrielle Avant 2014-2015 Et pourtant le « modbus hack » est connu depuis plus de 10 ans…  L’un des protocoles industriels les plus anciens et plus déployés  Conçu en 1979 par Modicon (racheté par SCHNEIDER Electric)  Basé sur des query/response en mode client/serveur  Variante : Modbus/TCP  Pas de chiffrement ni authentification Modbus
  18. 18. 18/55 Panorama cybersécurité industrielle Démo ALIM CPU ETH CARTE I/O CAPTEURS/ACTIONNEURS Modbus/TCP +12V/-12V PLC = API
  19. 19. 19/55 Panorama cybersécurité industrielle Évènements significatifs 2014-2015 Courant 2014 Cyberattaque sur une aciérie Allemande Tout au long de 2014 ANSSI Groupes de travail sectoriels Janvier 2014 Publications référentiels ANSSI Octobre 2014 Sandworm/Blackenergy Ciblage IHM GE Cimplicity Juin 2014 DragonFly/Havex Scanner OPC Avril 2014 Heartbleed ? 01/2014 03/2015 Mars 2015 Nouveau patch pour la CVE-2010- 2568 exploitée par Stuxnet en 2010 Septembre 2014 Shellshock
  20. 20. 20/55 Panorama cybersécurité industrielle Évolution des cyber-risques industriels ces dernières années Menace Vulnérabilité Impact Risque
  21. 21. 21/55 Panorama cybersécurité industrielle Évolution des cyber-risques industriels ces dernières années Menace Vulnérabilité Impact Risque Menace croissante Il y a 5 ans, seuls des états disposaient des compétences pour attaquer des réseaux industriels Aujourd’hui, ceci est à la portée de n’importe quel SKIDDIE (Shodan-hq, modules metasploit, scripts divers, etc.) Menace
  22. 22. 22/55 Panorama cybersécurité industrielle Évolution des cyber-risques industriels ces dernières années Menace Vulnérabilité Impact Risque Menace croissante Il y a 5 ans, seuls des états disposaient des compétences pour attaquer des réseaux industriels Aujourd’hui, ceci est à la portée de n’importe quel SKIDDIE (Shodan-hq, modules metasploit, scripts divers, etc.) Menace
  23. 23. 23/55 Panorama cybersécurité industrielle Évolution des cyber-risques industriels ces dernières années Menace Vulnérabilité Impact Risque Menace croissante Il y a 5 ans, seuls des états disposaient des compétences pour attaquer des réseaux industriels Aujourd’hui, ceci est à la portée de n’importe quel SKIDDIE (Shodan-hq, modules metasploit, scripts divers, etc.) Menace
  24. 24. 24/55 Panorama cybersécurité industrielle Évolution des cyber-risques industriels ces dernières années Menace Vulnérabilité Impact Risque Progression du nombre de vulnérabilités publiquement dévoilées + de 850 vulnérabilités ICS dévoilées depuis 2010Vulnérabilité
  25. 25. 25/55 Panorama cybersécurité industrielle Évolution des cyber-risques industriels ces dernières années Menace Vulnérabilité Impact Risque Impact constant L’impact consécutif à la réalisation du risque industriel est constantImpact
  26. 26. 26/55 Panorama cybersécurité industrielle Évolution des cyber-risques industriels ces dernières années Menace Vulnérabilité Impact Risque Par où commencer pour diminuer/maîtriser le risque ? De manière pragmatique, on ne peut travailler que sur les vulnérabilités Démarche LEXSI : Analyse de risques + Audit Risque
  27. 27. 27/55 Panorama cybersécurité industrielle LEXSI : l’approche par les risques L’analyse de risques identifie les risques et impacts associés L’audit identifie les vulnérabilités, scenarios d’attaque et vraisemblance des risques  Classification réaliste des risques (matrice)  Intégration dans les analyses de sûreté existantes (AMDEC, HAZOP, etc.)  Plan d’action de correction des vulnérabilités
  28. 28. 28/55 Agenda 1. Introduction 2. Panorama cybersécurité industrielle 3. Retours d’expérience 4. Conclusion
  29. 29. 29/55 Retours d’expérience Pentest en environnement industriel La couche SCADA (composée de serveurs et postes généralement Windows) supporte les tests intrusifs Néanmoins certains équipements industriels ne les tolèrent pas et peuvent crasher Les différentes tests intrusifs sur des équipements terrain sont systématiquement réalisés sur maquette
  30. 30. 30/55 Retours d’expérience Opérateur autoroutier INTERNET#Absence de capacités de détection Aucune solution de SIEM, IPS ou IDS ne permet de détecter/bloquer l’attaquant dans ses phases de découverte (scans)
  31. 31. 31/55 Retours d’expérience Opérateur autoroutier INTERNET#Sécurité des systèmes d’exploitation Identification d’une machine vulnérable sur le SI de gestion et compromission de cette dernière, récupération de différents mots de passe.
  32. 32. 32/55 Retours d’expérience Opérateur autoroutier INTERNET #Interconnexion SII/SIG non sécurisée La machine est un poste d’ingénierie disposant de 2 cartes réseau…
  33. 33. 33/55 Retours d’expérience Opérateur autoroutier INTERNET
  34. 34. 34/55 Retours d’expérience Opérateur autoroutier INTERNET #Absence d’antivirus Installation d’un trojan permettant d’utiliser la station comme point de pivot vers le SI industriel
  35. 35. 35/55 Retours d’expérience Opérateur autoroutier INTERNET #Mauvaise gestion des comptes Le mot de passe récupéré peut être utilisé sur le serveur d’acquisition SCADA
  36. 36. 36/55 Retours d’expérience Opérateur autoroutier INTERNET # Utilisation de protocoles non sécurisés Utilisation de VNC sur l’ensemble des serveurs et postes de supervision # Mauvaise gestion des comptes Mot de passe VNC identique sur tous les postes
  37. 37. 37/55 Retours d’expérience Opérateur autoroutier INTERNET# IHM connectée en permanence La session Windows n’est pas verrouillée et l’opérateur est authentifié sur le logiciel de supervision. Nous pouvons agir sur la signalisation.
  38. 38. 38/55 Retours d’expérience Opérateur autoroutier
  39. 39. 39/55 Retours d’expérience Opérateur autoroutier
  40. 40. 40/55 Retours d’expérience Opérateur autoroutier
  41. 41. 41/55 Retours d’expérience Industrie manufacturière Interconnexions ICS/* non sécurisées Machines SCADA à double attachement
  42. 42. 42/55 Retours d’expérience Industrie manufacturière Utilisation de protocoles non sécurisés L’équipe de maintenance, depuis leurs postes de travail via VNC : • Maintient les postes SCADA • Programme les PLC depuis les postes SCADA MITM pour récupérer un C/R VNC Attaque off-line sur le C/R
  43. 43. 43/55 Retours d’expérience Industrie manufacturière Gestion des comptes non sécurisée Le mdp VNC : • est trivial • est le même sur tous les serveurs SCADA
  44. 44. 44/55 Retours d’expérience Industrie manufacturière Sécurité des OS et firmwares Le compte logué est admin local, sa session ne se verrouille pas IHM connectée en permanence Accès immédiat à l’IHM SCADA Accès aux fichiers de conf de l’IHM Possibilité de configurer les PLC
  45. 45. 45/55 Retours d’expérience Conclusion Du point de vue de l’attaquant, la cybersécurité du système industriel repose sur la sécurité de sa/ses interconnexions avec l’extérieur  Si arrive à s’introduire dans le SI industriel, il a de très bonnes chances de pouvoir influer illégitimement sur le process industriel
  46. 46. 46/55 Retours d’expérience Vulnérabilités fréquentes dans les ICS* 1. Sécurité des OS et firmwares 93% 2. Utilisation de protocoles non sécurisés 93% 3. Absence de capacités de détection d’intrusion 93% 4. IHM connectée en permanence 92% 5. Absence de veille en sécurité 90% 6. Absence d’antivirus 90% 7. Interconnexions ICS/* non sécurisées 89% 8. Gestion des comptes non sécurisée 87% 9. Pas de tests sécurité 86% 10. Pas de consignes de développement sécurisé 86% *Étude interne LEXSI basée sur les résultats des missions réalisées depuis 2011
  47. 47. 47/55 Agenda 1. Introduction 2. Panorama cybersécurité industrielle 3. Retours d’expérience 4. Conclusion
  48. 48. 48/55 Conclusion Axes de correction des 10 vulnérabilités fréquentes 1. Patcher, upgrader, configurer 2. Utiliser des protocoles sécurisés 3. IPS/IDS 4. Déconnecter les IHM en cas d’inactivité 5. Initier une veille en sécurité, sensibiliser, évangéliser 6. Installer des antivirus 7. Cloisonner, filtrer, rebondir 8. Utiliser des mdp complexes, appliquer le principe de moindre privilèges 9. Évaluer le niveau de sécurité (autoéval, audit externe) 10. Inclure des clauses de cybersécurité dans les contrats
  49. 49. 49/55 Conclusion Top 10 des axes d’amélioration ICS
  50. 50. 50/55 Conclusion Initialiser une démarche de cybersécurité industrielle • Fortes contraintes opérationnelles :  Impossibilité de stopper la production  Forte dépendance aux intégrateurs/éditeurs  L’obligation (réglementaire) d’homologation  L’absence de plateforme de pré-production  Etc. • La culture industrielle de sûreté et fiabilité  « If it works, don’t fix it »
  51. 51. 51/55 Conclusion Initialiser une démarche de cybersécurité industrielle Organiser Évaluer Améliorer  Communiquer, sensibiliser, « évangéliser »  Impliquer la Direction Générale  Créer un groupe de travail multi-compétence (IT/ICS)  Travailler avec les volontaires/ateliers moteurs Organiser
  52. 52. 52/55 Conclusion Initialiser une démarche de cybersécurité industrielle Organiser Évaluer Améliorer  Auto évaluation en se basant sur un référentiel (CSET de l’ICS-CERT, questionnaire maison, etc.)  Évaluation via un partenaire externe (Analyse de risques/Audit)  Identification de non conformités/vulnérabilités  Plan d’amélioration/plan d’action de correctionÉvaluer
  53. 53. 53/55 Conclusion Initialiser une démarche de cybersécurité industrielle Organiser Évaluer Améliorer  A très court terme :  Traiter les vulnérabilités/risques les plus critiques  Travailler sur les Quick-Wins  A court terme : Detection  A moyen terme : Defense En Profondeur  cf. Référentiels ANSSI, ISA99/IEC62443, ou autre Améliorer
  54. 54. 54/55 Conclusion • Systèmes d’informations industriels encore très vulnérables • MAIS : • Prise de conscience du législateur • Prise de conscience des éditeurs industriels (au moins les leaders)  Beaucoup de travail reste à mener de la part des industriel et intégrateurs  La route sera longue mais la dynamique générale va dans le bon sens
  55. 55. 55/55 Merci Questions ?

×