les cyber-menaces visant les systèmes de contrôle

LES CYBER-MENACES VISANT
LES SYSTÈMES DE CONTRÔLE
INDUSTRIELS
VOUS N'AVEZ PAS À ÊTRE UNE CIBLE POUR DEVENIR UNE VICTIME
#EnterpriseSec
http://www.kaspersky.com/fr/entreprise-securite-it/
CYBER-MENACES VISANT LES SYSTÈMES DE CONTRÔLE INDUSTRIELS : VOUS N'AVEZ PAS À ÊTRE UNE CIBLE POUR DEVENIR UNE VICTIME
RISQUES LIÉS À L'INFORMATISATION
Ces dix dernières années, l'automatisation des systèmes
industriels n'a cessé de s'intensifier. Les entreprises
exigent des améliorations permanentes en matière
d'efficacité des processus de production, renforçant
ainsi continuellement la pénétration de l'informatique
et de la connectivité aux systèmes ; les sites industriels
sont connectés aux réseaux d'entreprise et sont
fréquemment gérés à distance sur le réseau. Toutefois,
outre les avantages qu'elles représentent, ces nouvelles
technologies ont entrainé l'apparition de nouvelles
menaces dans l'univers de l'automatisation industrielle
auxquelles on ne s'attendait pas. Les systèmes de
contrôle industriels (SCI) mis en place aujourd'hui ont
été conçus pour fonctionner pendant des décennies et
nombre d'entre eux ont été développés sans tenir compte
de la sécurité informatique de manière sérieuse. Une
panne de l'unité de production, l'erreur d'un opérateur
ou d'un logiciel, ou une contamination accidentelle des
postes de travail par un programme malveillant ou une
attaque cyber-criminelle délibérée pourraient perturber
la stabilité de fonctionnement des réseaux industriels
actuels.
Les principales causes d'incidents sur les réseaux
industriels sont illustrées dans le graphique ci-dessous
(données issues de securityincidents.net) :
Malgré les avertissements d'experts, le concept de
sécurité des systèmes SCI reposait, récemment encore,
sur la conviction que l'isolation d'un réseau pouvait suffire
à garantir une protection contre toutes les menaces. Ce
concept a définitivement volé en éclat suite à Stuxnet, le
ver informatique tristement célèbre de 50 Ko
qui a pénétré un réseau isolé par le biais d'une clé USB,
infecté des automates programmables industriels (PLC)
et a neutralisé des centrifugeuses dans une centrale
nucléaire en Iran.
Attaques de
programmes
malveillants
35 %
Erreur logicielle
23 %
Erreur
d'opérateurs
11 %
Autres
12 %
Pannes
de composants
SCADA
19 %
UN RÉSEAU INDUSTRIEL ISOLÉ NE
GARANTIT PLUS LA SÉCURITÉ D'UN SITE
INDUSTRIEL, QU'IL S'AGISSE DE SÉCURITÉ
INFORMATIQUE OU MATÉRIELLE.
STUXNET N'EST PAS LE SEUL
Stuxnet représente l'exemple le plus célèbre
de la manière dont un programme malveillant
peut s'avérer préjudiciable aux processus
industriels mais il n'est pas le seul. Les études
de Kaspersky Lab révèlent que de nombreux
ordinateurs industriels sont infectés par des
programmes malveillants ordinaires qui accèdent
aux réseaux d'entreprise en empruntant des
chemins différents.
Le graphique ci-contre illustre les sources à
partir desquelles le code malveillant pénètre
les réseaux industriels (données fournies par
securityincidents.net) :
Appareils mobiles
4 %
Interface HMI
8 %
Wi-Fi
5 %
Via des ports
USB
3 %
Via un accès
distant
26 %
Connexions
Internet
9 %
Sous-traitants
externes
10 %
Via des réseaux
d'entreprise
35 %
CYBER-MENACES VISANT LES SYSTÈMES DE CONTRÔLE INDUSTRIELS : VOUS N'AVEZ PAS À ÊTRE UNE CIBLE POUR DEVENIR UNE VICTIME
Dans les réseaux industriels, des programmes malveillants
courants peuvent provoquer des dommages plus
importants que sur des ordinateurs professionnels
ou domestiques. Par exemple, ils peuvent bloquer le
fonctionnement d'applications stratégiques, générant
ainsi une panne matérielle. Les conséquences éventuelles
peuvent aller bien au-delà même des plans
de nombreux auteurs de programmes malveillants. On a,
par exemple, constaté de nouveaux cas lorsque le virus
Sality a infecté les réseaux industriels. Sa dernière version
reproduisait la faille d'exploitation liée à la vulnérabilité
d'une clé USB exploitée également par Stuxnet. Bien
que Sality ne contenait aucun code destructeur destiné
aux automates programmables industriels, son activité a
entrainé une charge processeur de 100 % sur les systèmes
de contrôle industriels (systèmes SCADA) fonctionnant sous
Windows.
Citons également le vers Conficker qui a infecté un réseau
industriel sur lequel Windows n'avait pas été mis à jour.
Le ver envoie des millions de requêtes sur le réseau,
perturbant ainsi le fonctionnement de l'ensemble du
réseau industriel. Même des outils de conception assistée
par ordinateur (CAO) peuvent être utilisés pour propager le
programme malveillant. Par exemple, selon le cas connu,
un programme malveillant écrit dans AutoLisp (AutoCAD)
intégrait un code malveillant dans une image CAO.
Lorsqu'on accédait à l'image, une destruction massive des
données se produisait.
Statistiques relatives aux temps d'inactivité
résultant d'attaques de programmes malveillants
dans des sites industriels (données issues de
securityincidents.net) :
> 24 heures
18 %
< 4 heures
60 %
4 à 24 heures
22 %
MÊME UNE INFECTION ACCIDENTELLE
DE PROGRAMMES MALVEILLANTS PEUT
ENTRAÎNER DES CONSÉQUENCES TRÈS
GRAVES POUR UN RÉSEAU INDUSTRIEL.
La fiabilité et la sécurité des processus industriels
nécessitent une protection fiable de leurs systèmes SCI
contre tous les dangers, y compris les cyber-menaces.
DEUX EXTRÊMES
Les systèmes de contrôle industriels ont pour principale
mission de gérer la stabilité, la continuité et le
fonctionnement adéquat d'un processus industriel. Toute
entreprise industrielle se doit d'assurer le fonctionnement
approprié et ininterrompu d'un processus industriel ,qu'il
s'agisse, entre autres, de production d'énergie ou de
traitement des eaux. Toute perturbation de ce processus
peut se traduire par des pertes de profits, voire même
la perte d'activités, la mort ou, dans certains cas, une
catastrophe technologique.
En matière de systèmes SCI, le principe couramment
appliqué consiste à dire « S'il n'y a rien de cassé, il
n'y a rien à réparer ». Cette théorie a bien fonctionné
dans des environnements stables. Cependant, on ne
peut pas qualifier de stables des environnements SCI
qui font l'objet d'évolutions considérables. Les soustraitants se réservent la possibilité d'accéder à distance
aux systèmes de contrôle industriels pour déployer des
changements en temps réel, des mises à jour logicielles et
de configurations ; l'utilisation non contrôlée d'appareils
personnels et de supports amovibles complique
davantage la situation. Pour répondre pleinement
à cette problématique, les systèmes SCI doivent
intégrer des procédures de sécurité caractéristiques
des systèmes informatiques d'entreprises standards :
audits, tests de détection des intrusions, analyses des
vulnérabilités et formations destinées au personnel.
Mais ces procédures ne sont, malheureusement, pas
souvent mises en place. Un autre extrême consiste à
conserver formellement de nombreux systèmes SCI
commandés dans le même état durant de nombreuses
années alors qu'ils sont utilisés. Les réglementations
et normes strictes relatives aux entreprises interdisent
de modifier un système après qu'il ait été certifié,
même lorsqu'il s'agit de mises à jour du système
d'exploitation ou du logiciel de sécurité.
COMPTE TENU DES CARACTÉRISTIQUES
SPÉCIFIQUES DES SYSTÈMES SCI,
AUCUNE SOLUTION SIMPLE NE PEUT
GARANTIR UNE PROTECTION COMPLÈTE
CONTRE LES MENACES.
CYBER-MENACES VISANT LES SYSTÈMES DE CONTRÔLE INDUSTRIELS : VOUS N'AVEZ PAS À ÊTRE UNE CIBLE POUR DEVENIR UNE VICTIME
COMMENT ASSURER LA SÉCURITÉ DES SYSTÈMES DE CONTRÔLE
INDUSTRIELS ?
Kaspersky Lab adopte une approche globale axée sur les processus afin de garantir la cyber-sécurité des systèmes
industriels. Notre concept de sécurité repose sur l'alliance de technologies de protection uniques qui n'affectent pas le
processus industriel, et de plusieurs mesures organisationnelles pour assurer la sécurité informatique. L'approche de
Kaspersky Lab permet de garantir la protection contre les programmes malveillants courants et les attaques ciblées
sophistiquées.
MESURES DE PROTECTION
MESURES ORGANISATIONNELLES
Aujourd'hui, Kaspersky Lab propose les technologies de
protection suivantes qui ont été spécifiquement développées
pour les environnements de systèmes SCI :
Pour améliorer les niveaux de sécurité informatique et
la stabilité des systèmes SCI, Kaspersky Lab propose
les mesures suivantes :
• Politique de blocage par défaut standard. Lorsque le
blocage par défaut est activé, le système SCI fonctionne dans
un environnement protégé n'autorisant que l'exécution des
programmes nécessaires au fonctionnement du processus
industriel. Toutes les applications inconnues et indésirables
sont bloquées, y compris les programmes malveillants. Ainsi,
un environnement sécurisé est créé imposant une charge
minimale sur les ressources système.
• Audit des ressources informatiques industrielles,
des processus industriels s et des méthodes en
place.
• Protection proactive contre les programmes malveillants
inconnus et protection automatique contre les failles
d'exploitation. La solution technologique analyse des
programmes exécutables, évaluant la sécurité de toutes les
applications en contrôlant leurs activités pendant qu'elles
fonctionnent.
• La technologie de « contrôle des appareils » permet de
gérer les appareils amovibles (appareils de stockage USB,
modems GPRS, smartphones, cartes réseau USB) et crée des
listes limitées d'appareils autorisés et d'utilisateurs pouvant y
accéder.
• Une console de sécurité informatique tout-en-un facilite la
surveillance et le contrôle de toutes les solutions pour garantir
la sécurité informatique. Grâce à cette console de gestion,
les administrateurs peuvent installer, configurer et gérer la
sécurité, et accéder à des rapports.
• Modélisation des menaces destinée aux objets
industriels spécifiques.
• Déploiement d'outils pour assurer la sécurité
informatique.
• Formations du personnel permettant de réduire
considérablement les facteurs humains en cas
d'attaque.
• Service d'enquête sur les incidents et d'élimination
de leurs conséquences.
• Recommandations sur le développement et la mise
à jour des réglementations en matière de sécurité
informatique industrielle.
Grâce à cette approche, Kaspersky Lab
collabore efficacement avec des grandes entreprises
(notamment des organisations étatiques) dans le
monde entier, déployant ainsi des projets liés à la
sécurité des réseaux industriels.
• Intégration à un SIEM (à l'aide de connecteurs spéciaux).
Permet aux administrateurs d'exporter des informations
relatives aux incidents de sécurité sur les nœuds protégés du
réseau vers le système SIEM de l'entreprise.
VOUS SOUHAITEZ AMÉLIORER LA SÉCURITÉ
INFORMATIQUE DES SYSTÈMES DE CONTRÔLE
INDUSTRIELS EN VOUS APPUYANT SUR
KASPERSKY LAB ? CONTACTEZ-NOUS PAR E-MAIL
À L'ADRESSE SUIVANTE : [email protected].
© 2014 Kaspersky Lab ZAO. Tous droits réservés. Les marques déposées et les marques de service appartiennent à leurs propriétaires respectifs. Windows est une marque déposée
de Microsoft Corporation aux États-Unis et dans d'autres pays.