La présentation analyse les risques en cybersécurité industrielle, en abordant les spécificités de l'environnement de contrôle commande et en soulignant les menaces et vulnérabilités rencontrées. Elle critique les approches traditionnelles comme ISO 27005 et propose des méthodologies pragmatiques inspirées des normes IEC 61508 et ISO 31000 pour une gestion des risques plus efficace. La conclusion appelle à une meilleure sensibilisation et coopération pour faire face à l'augmentation des cyberattaques dans l'industrie.

1. Analyse de risques en cybersécurité industrielle Présentation faite à l’EPSI Lyon en oct. 2011 (merci de solliciter l’auteur via la rubrique “Contact” du blog http://securid.novaclic.com pour toute ré-utilisation du contenu, qui n’est pas libre de droits) Cybersécurité Industrielle - Patrice Bock

2. Ordre du jour L’environnement contrôle commande Le modèle d’architecture générale – les couches Les menaces et vulnérabilités spécifiques L’accidentologie Les modèles pertinents d’analyse de risques Les limites des approches du type ISO 27005 EBIOS, MEHARI Le besoin d’approches pragmatiques Inspirées par IEC 61508 et ISO 31000 Exemple de méthodologie adaptée Conclusion Où l’actualité confirme le besoin de pragmatisme Page Cybersécurité Industrielle - Patrice Bock

3. Analyse de risques en cybersécurité industrielle Partie 1 : l’environnement contrôle commande et ses spécificités Cybersécurité Industrielle - Patrice Bock

4. L’environnement contrôle commande (C-C) Les caractéristiques de chaque couche ISA Page GPAO (‘MES’) : ordonnancement, stocks, suivi de production, nomenclature… Terminaux ou SCADAs centralisés : Windows, IP (gestion données OPC), différents serveurs redondés, alertes, rafraichissement à la seconde Automates, systèmes numériques de contrôle commande : boucles de contrôle, niveau de sécurité, protocoles spécifiques IP/Ethernet (DNP3, modbus…), temps réel Capteurs (sondes…) et actuateurs (valves, moteurs…) – contrôlés via bus série, TOR, signaux analogiques, voire IP Extrait de « LA CYBER-SECURITE DES SYSTEMES DE CONTROLE-COMMANDE », RAPPORT D’EVALUATION M3958 X 10 Publié par l’ EXERA, Date Novembre 2010 Cybersécurité Industrielle - Patrice Bock

5. La boucle de contrôle commande Boucle standard (10-100 millisecondes) basée sur un automate programmable (‘controller’) Page Automate programmable industriel Capteurs physiques Signaux de contrôle Equipement piloté avec flux de matière en entrée et en sortie Pilotages local et distant Extrait de NIST SP 800-82, Guide to Industrial Control Systems (ICS) Security Cybersécurité Industrielle - Patrice Bock

6. Menaces et vulnérabilités L’analyse « standard » des spécificités C-C Par « DICP » En gestion, C prioritaire Dans l’industrie, D prioritaire (mais…) Par liste de points de comparaisons Nombreuses sources : NIST, Euriware, DHS, CLUSIF etc… Exemple : Systèmes de production « quasi-temps réel » (1 sec.) Durée de vie des systèmes (facteur 10) Mots de passe complexes vs disponibilité terminaux en urgence Antivirus et mises à jour sur systèmes 24/7 Profil des personnels, nombre d’intervenants externes Sécurité des logiciels SCADA (et automates) Une analyse trop théorique, peu opérationnelle Nécessité de changer de référentiel Page Cybersécurité Industrielle - Patrice Bock

7. Exemple de tableau comparatif : CLUSIF Page Enjeux de sécurité des infrastructures SCADA. Clusif, 17/04/2008. Cybersécurité Industrielle - Patrice Bock

8. Le dernier lot de failles SCADA (oct 2011 – CCIRC - non public) Page En majorité : DOS et buffer overflows Cybersécurité Industrielle - Patrice Bock Contenu supprimé de ce support powerpoint. Ce lot de failles, dont le détail est accessible aux seuls professionnels de la cybersécurité industrielle, comporte 19 vulnérabilités sur un multiplicité de systèmes SCADA, terminaux ou automates. Depuis le printemps 2011, la publication de ces lots de failles est devenue monnaie courante, et des « exploits » sont souvent mis à disposition quelques semaines après dans les « packs » publics (metasploit, dbexploit) ou commerciaux (GLEG)

9. Latest incidents Incident type evolution Accidentologie et évolution Augmentation de la complexité, interconnexion de systèmes Augmentation de la cybercriminalité (x3) Mise en œuvre de mesures anti malveillants ? Communication du DHS jeudi 29 septembre : le CERT ICS a annoncé avoir traité en 2010 116 requêtes d’assistance suite à des tentatives d’intrusion sur les systèmes industriels, et déjà 342 à date (i.e. fin septembre 2011) : Communication de l’ANSSI lors des assises de la sécurité 2011 : l’ANSSI constate un saut quantitatif des attaques, notamment à but de vol d’information, dans les organismes d’état et les OIV. Détails disponibles sur le blog http://securid.novaclic.com

10. Analyse de risques en cybersécurité industrielle Partie 2 : les modèles pertinents d’analyse de risque

11. Les limites de l’approche 27005 Le principe général Définition du périmètre Liste des actifs informationnels à protéger Utilisation d’une échelle de criticité DIC pour priorités Analyse des menaces, estimation du risque Décision pour chaque risque (mitiger, assurer, éviter…) Liste des mesures de protection à mettre en œuvre Le problème du contexte industriel Peu de ressources disponibles + besoin de sensibilisation De très nombreux actifs, de très nombreux risques Le score « ISO » sera faible et la longueur de la liste des actions, démotivante Les critères de criticité ne sont pas les bons La grille des types de données et services est inadaptée Les mesures ne sont pas toujours pertinentes La lourdeur de MEHARI (basée 27005) illustre bien le problème Par ex. l’audit comporte plusieurs milliers (Nx1000 !) questions Page Cybersécurité Industrielle - Patrice Bock

12. Le besoin d’approches pragmatiques Les critères doivent être ceux du risque industriel Risque sur l’information mais aussi : l’investissement, la capacité de production, les personnes, l’environnement L’approche doit être cohérente et pertinente avec la sûreté de fonctionnement Contrairement à ce qui est accepté en informatique de gestion, la cybersécurité n’est pas un silo à part Utilisation du vocabulaire et de méthodes proches de l’industriel IEC 61508 (1999), dérivés (61511) et ISO 31000 (2009) Approches partant des vulnérabilités et menaces, et utilisant des scénarios (pas de catalogue a priori des actifs à protéger) – permettant un travail plus léger et plus « coopératif » entre fonctions Utilisation de périmètres avec niveaux de criticité différents IEC 61511 : pour chaque processus contrôlé (boucle contrôle + sécurité), niveau de SIL « safety integrity level » 1 à 4 ISA 99.03 (en cours de finalisation à l’ISA) 99.03.01 (publié) : principes, vocabulaire 99.03.02 : modèle pour définir un niveau de criticité par zone, et en déduire le SAL « security assurance level » requis, entre 1 et 4. Utilise les notions de « zones » et « conduits » de l’ISA 99.01. 99.03.03 : décline le SAL (1 à 4) en mesures à mettre en œuvre (auditables) sur 7 critères FR1 : Access control (AC) FR2 : Use control (UC) FR3 : Data integrity (DI) FR4 : Data confidentiality (DC) FR5 : Restrict data flow (RDF) FR6 : Timely response to event (TRE) FR7 : Resource availability (RA)Exemples Page Cybersécurité Industrielle - Patrice Bock

13. IEC 61511 Page (reproduit avec l’autorisation de l’auteur) Cybersécurité Industrielle - Patrice Bock

14. Exemple « zones » et « conduits » Tiré du draft 99.03.03 – industrie de PROCESS (chimique) Page Cybersécurité Industrielle - Patrice Bock

15. Exemple « zones » et « conduits » Tiré du draft 99.03.03 – industrie de PRODUCTION Page Cybersécurité Industrielle - Patrice Bock

16. Approche par vulnérabilités majeures Applicable avec les conditions suivantes : A priori niveau élevé de vulnérabilités (cas type de l’industrie) Besoin de sensibilisation des personnels à la sécurité Compétences et ressources limitées nécessitant un premier cycle PDCA rapide Principes Liste réduite de vulnérabilités et menaces Pour faire un premier exercice d’évaluation de risques en quelques heures Nécessite des données récentes provenant de veille (plusieurs sources sont dispos.) Travail collaboratif Après un premier audit léger par le facilitateur, un canevas est préparé Le travail privilégie l’interaction et la collaboration : le personnel est impliqué Définition des mesures à mettre en place Travail mené par un professionnel En tenant compte des contraintes de l’installation Le professionnel s’appuie sur les compétences locales disponibles (réseaux, RHs, …) Présentation des mesures avec priorité, coûts et délais raisonnables Utilisation au maximum de personnel disponible pour les mises en place Contrainte de budget et temps pour les mesures présentées L’objectif est d’avoir des résultats dans un temps déterministe, puis de reboucler sur la démarche Page Cybersécurité Industrielle - Patrice Bock

17. Analyse de risques en cybersécurité industrielle Conclusion Cybersécurité Industrielle - Patrice Bock

18. L’actualité confirme le besoin de retour aux bases (oct 2011) Des incidents majeurs alors que les moyens étaient là SG, et l’exemple n’ayant pas suffi, UBS Sony, et la leçon n’ayant pas suffi, Sony bis Une multinationale piratée depuis 2 ans Augmentation officielle des menaces Recrudescence x3 des attaques aux US (selon DHS) Saut quantitatif en France selon ANSSI Attaques (hacking interne ou externes) x3 depuis 5 ans La faute au non-respect des basiques Mots de passe, mises à jour, surveillance de base des logs… (ANSSI) Comportements, mises à jour des systèmes, mots de passe (Microsoft) Naïveté, manque de sensibilisation : clés USB, phishing (DHS) Conclusion : il faut décloisonner la cybersécurité, favoriser les échanges, utiliser des ressources humaines qualifiées (intelligence émotionnelle), utiliser (aussi) des méthodes simples Page Cybersécurité Industrielle - Patrice Bock

19. Analyse de risques en cybersécurité industrielle Questions et (j’espère) réponses Cybersécurité Industrielle - Patrice Bock