Système de contrôle-commande
Transcription
Système de contrôle-commande
Solutions Solutions SYST È M E S D E C O N T R Ô L E - C O M M A N D E Cybersécurité : la véritable menace, c’est l’inaction ! La cybercriminalité ne peut plus être ignorée. Elle concerne les systèmes informatiques dans leur ensemble jusqu’aux systèmes de contrôle-commande qui exploitent de plus en plus de technologies standard. Les industries de procédés continus sont également concernées, c’est pourquoi les fournisseurs de systèmes de contrôle-commande exhortent leurs clients à s’équiper d’outils contre les cybermenaces. Invensys Process Systems rappelle ici les principaux risques encourus et présente une méthode pour l’amélioration continue de la cybersécurité. L a cybersécurité est plus que jamais un sujet sensible dans l’univers du contrôle de procédé industriel. D’autant que ce secteur a subi de profondes mutations ces dernières années. Tout d’abord, la standardisation et l’ouverture se sont systématisées, que ce soit pour les protocoles de communication ou pour la connectique. On pense bien sûr au développement des réseaux Ethernet, qui descendent jusqu’aux niveaux les plus bas des systèmes de production. Bien entendu, travailler sur des réseaux ouverts favorise l’efficacité, la productivité et l’interopérabilité des systèmes : avec davantage de liens entre les entreprises, entre les réseaux ou entre les sites de production, on favorise la visibilité des données et on facilite la prise de décision. Mais chaque L’essentiel médaille a son revers : le remplacement des Les industries de process systèmes cloisonnés emploient une multitude par des systèmes de réseaux plus ou moins ouverts a fait apparaître ouverts et interconnectés. de nouveaux types de Un code malveillant qui risques. Des risques pénètre une installation auxquels les industriels peut avoir des conséquences n’étaient (ou ne sont) fâcheuses. pas toujours forcément L’installation d’une solution préparés. Par ailleurs, de protection doit la réduction drastique s’accompagner d’une du nombre de fourpolitique d’amélioration continue de la cybersécurité. nisseurs de systèmes numériques de con- 56 trôle-commande (SNCC) facilite le travail des pirates informatiques. Ceux-ci peuvent être contactés par des personnes mal intentionnées (pour de l’espionnage industriel). La cybersécurité s’intéresse à la protection de ces risques d’attaques ou d’actes de piratage provenant de logiciels ou de morceaux de codes malveillants. Comprendre les enjeux de la cybersécurité Aujourd’hui, les menaces qui peuvent mettre en péril la sécurité d’un système de contrôle de procédé sont nombreuses. Elles peuvent atteindre une partie du système, le système tout entier, voire l’unité de production dans sa globalité. Elles sont généralement mal cernées du fait de leur apparente complexité pour des industriels qui n’y sont pas forcément préparés. De plus, il est difficile de les définir précisément puisque leur apparence change à mesure que de nouvelles vulnérabilités apparaissent. Autrement dit, elles prolifèrent à chaque fois que des systèmes de contrôle partagent, directement ou indirectement, de nouvelles connexions ou utilisent de nouvelles technologies. D’où proviennent ces menaces ? De l’intérieur ou de l’extérieur d’une entreprise. Les attaques internes proviennent de codes malveillants importés sur un réseau par un collaborateur de l’entreprise. La principale cause étant l’utilisation, intentionnelle ou non, d’un support multimédia amovible infecté. La multiplication des clés USB aggrave les risques. Les attaques externes sont liées à la connexion à d’autres réseaux, principalement Internet. Quelles sont les conséquences de ces attaques ? Elles sont là aussi multiples. L’impact sur une production peut être direct (un plantage pur et simple de l’application) ou indirect (réduction de l’efficacité d’un procédé). Plus difficiles à détecter, elles peuvent influencer la sûreté des installations et, si les mesures adéquates ne sont pas mises en place, provoquer un arrêt de production à plus ou moins long terme. « C’est pourquoi on considère désormais que la véritable menace des systèmes de contrôle, c’est l’inaction, déclare Alain Ginguene, responsable cybersécurité chez Invensys Process Systems (IPS). Pourtant, pour faire face à ces cybermenaces, la mise en place de solutions efficaces et éprouvées suffit à restreindre le danger, sécuriser la production et assurer sa fiabilité. » “Evaluer, concevoir, appliquer et gérer” Première étape vers la cybersécurité : l’évaluation des risques. C’est la condition sine qua non de réussite dans la mesure où, quelle que soit l’activité, elle déterminera la disponibilité finale d’un système de production. La cybersécurité faisant partie intégrante de la sécurité au sens large, toute vulnérabilité mise au jour doit être évaluée et suivie de la mise en place de parades reposant sur sa probabilité d’occurrence et ses répercussions. Il s’agit donc d’identifier ces vulnérabilités et de les comprendre. Menaces et vulnérabilités ont toujours fait l’objet de nombreux débats et le piratage reste au cœur des préoccupations. Les informations disponibles ne permettent pas pour l’heure d’affirmer que le piratage représente la plus forte menace, mais nul ne peut présager de ce qu’il sera à l’avenir. Le scénario le plus probable est celui de l’infection d’un système de contrôle par un virus MESURES 816 - JUIN 2009 - www.mesures.com Aujourd’hui, des postes de travail pour systèmes de contrôle sont livrés pré-équipés d’un logiciel antivirus. Sa mise à jour est indispensable pour que le logiciel reste efficace et protège contre les nouveaux codes malveillants, mais dans le même temps on ne peut pas laisser l’accès Internet sur ces postes. La meilleure solution semble être de diffuser les mises à jour par le biais de supports amovibles (CD, clé USB, etc.). informatique ou un cheval de Troie. Ce dernier utilise les droits appartenant à un environnement pour détourner, diffuser ou détruire des informations. Il peut “ouvrir la porte” du système informatique à un pirate qui prendra à distance (via Internet) le contrôle de l’ordinateur ou du SNCC. Pour estimer les risques, deux principaux facteurs sont à prendre en compte : le nombre et la diversité des systèmes de contrôle déployés, mais aussi l’ancienneté de chacun de ces systèmes. Les risques encourus par des anciens systèmes sont sensiblement différents de ceux auxquels sont exposés les plus récents. De manière générale, la phase d’évaluation permet de prendre conscience de la vulnérabilité des systèmes, de s’informer des menaces possibles et de disposer d’une meilleure perception du risque. Cela s’avérera capital lorsqu’il s’agira de dresser la liste des spécifications d’un programme de sécurité. Certaines entreprises disposent déjà en interne de l’expertise pour faire face à ces problèmes, ce qui est un atout notable. Néanmoins, un conseil extérieur est le plus souvent recommandé afin de garantir et de consolider ce bilan. Il existe pour cela de L’amélioration continue de la cybersécurité La méthode d’amélioration continue de la cybersécurité s’effectue en quatre étapes : 1) Evaluer : faire un état des lieux des sites et des systèmes et un bilan de conformité. 2) Concevoir : décider d’une politique, concevoir les architectures techniques et sécuriser les accès. 3) Appliquer : mettre en place les zones de sécurité, protéger les équipements. 4) Gérer : surveiller la situation en temps réel, vérifier les liens éventuels entre des alarmes. MESURES 816 - JUIN 2009 - www.mesures.com nombreux prestataires de services spécialisés dans la gestion de la cybersécurité. Des solutions existent Deuxième étape : la conception d’un système de cybersécurité adapté. Pour cela, plusieurs solutions ou options sont disponibles. Elles concernent des aspects techniques ou de gestion. Première option : recourir à des équipements de défense. Les responsables informatiques disposent d’une grande variété de pare-feu et autres logiciels de sécurité adaptés aux contraintes des environnements industriels. Les pare-feu offrent une défense approfondie et sont capables, moyennant une application et une gestion adaptées, de réduire considérablement les vulnérabilités et les menaces. Mais bien sûr, la sécurité ne doit pas s’arrêter là. Elle doit s’accompagner de logiciels antivirus efficaces et maintenus à jour, ainsi que d’équipements pour l’inspection des paquets de données si besoin. Deuxième option : séparer les ressources de production. Selon l’importance stratégique des différents systèmes, on pourra utiliser des réseaux physiquement isolés, employer le même réseau mais avec des protocoles différents, ou encore mettre en place du cryptage sur certains réseaux critiques ou confidentiels. Troisième option : mettre en place des politiques de gestion de la cybersécurité. Celles-ci consistent à appliquer des mesures préventives au sein de l’entreprise (comme ➜ 57 Solutions avant qu’elles ne prennent de l’ampleur. L’application des politiques et autres procédures de sécurité doivent être réalisées en étroite coopération avec les différentes parties (responsables informatiques, opérateurs, agents de maintenance, etc.) pour que leur résultat soit exploitable et efficient. Et comme tout changement de procédure ou d’organisation mené au sein d’une entreprise, la mise en place réussie d’une politique de cybersécurité repose en grande partie sur le soutien à tous les niveaux de la hiérarchie. Un cycle continu L’approche adoptée ici est un exemple d’architecture robuste. Les mesures appliquées à chaque niveau sont fonction du risque. Les interfaces entre chacun de ces niveaux doivent être conçues avec la plus grande attention, tant du point de vue des procédures de gestion et d’exploitation que du point de vue technique. ➜ l’interdiction de l’usage des clés USB). Mais il est aussi possible d’établir des procédures spécifiques pour la gestion des incidents (évaluation/audit/surveillance) et pour la récupération des données en cas d’attaque. Ces procédures seront établies sur la base des scénarios les plus pessimistes. Instaurer plusieurs niveaux de protection Dans la pratique, il s’agira bien sûr de combiner ces options. C’est la troisième étape : mettre en pratique la cybersécurité. « Une des approches que nous préconisons consiste à développer plusieurs niveaux de sécurité, qui protégeront d’abord le réseau dans sa globalité, puis les systèmes de production, et enfin les applications », commente Alain Ginguene. Avec cette approche, le plus haut niveau de protection est attribué aux ressources les plus stratégiques. La protection contre les intrusions et le traitement des menaces dès leur apparition sont également améliorés. Enfin, lorsqu’elle est instaurée et gérée convenablement, cette défense par niveaux est la plus à même de contrer ou d’endiguer les menaces Conseils et services en cybersécurité Invensys Process Systems joue un rôle important dans les différents groupes de normalisation en sécurité industrielle et en systèmes d’information. Le groupe américain est membre fondateur de l’ISCI (organisme de conformité de l’ISA dans le domaine de la sécurité), et participe aux travaux de l’ISA S99 et du PCSF (Process Control Systems Forum). Afin de proposer des services de conseil en cybersécurité, le groupe s’est doté par ailleurs d’une équipe dédiée. Il s’agit de spécialistes en sécurité, en systèmes de contrôle et en réseaux de communication. Leur expertise pluridisciplinaire est complétée par un accès à toutes les ressources (humaines et matérielles) du groupe. 58 Quatrième et dernière étape : la gestion de la sécurité. Elle passe d’abord par le transfert des connaissances. Toute personne ayant accès à un système de contrôle (directement ou indirectement, fréquemment ou occasionnellement) doit avoir suivi une formation adéquate pour minimiser les risques liés à la cybersécurité dans l’environnement de production. Quiconque interagit de près ou de loin avec des systèmes stratégiques doit avoir pleinement conscience des répercussions possibles de chacune de ses actions. La formation est nécessaire pour tous les aspects techniques (paramétrage d’un pare-feu, gestion des mises à jour d’antivirus). Mais elle aura également pour but d’informer les employés sur la politique, les procédures et les réglementations décidées par la hiérarchie. De plus en appliquant des règles de sécurité simples sur leur lieu de travail, les collaborateurs les respecteront aussi le plus souvent quand ils utiliseront leurs ordinateurs personnels, ce qui peut limiter au final le risque d’infections internes. La gestion de la cybersécurité ne s’arrête pas à la seule formation. Le cycle “évaluer, concevoir, appliquer et gérer” doit se poursuivre après la mise en place d’un système de protection. En effet, certains aspects comme le contrôle des accès, la gestion des vulnérabilités et la prise en compte des nouvelles menaces imposent une remise en question régulière. A chaque modification de l’architecture, les responsables doivent recommencer l’étude des risques d’intrusion. Au final, pour maintenir constamment un niveau de protection approprié, tous les paramètres liés à la sécurité doivent intégrer le cycle d’“amélioration continue de la cybersécurité”. Frédéric Parisot D’après un document de Karl Williams, consultant principal en cybersécurité Invensys Process Systems MESURES 816 - JUIN 2009 - www.mesures.com