Système de contrôle-commande

Solutions
Solutions
SYST È M E S D E C O N T R Ô L E - C O M M A N D E
Cybersécurité : la véritable
menace, c’est l’inaction !

La cybercriminalité ne peut plus être ignorée. Elle concerne les systèmes informatiques dans leur ensemble jusqu’aux systèmes de contrôle-commande qui
exploitent de plus en plus de technologies standard. Les industries de procédés
continus sont également concernées, c’est pourquoi les fournisseurs de systèmes
de contrôle-commande exhortent leurs clients à s’équiper d’outils contre les cybermenaces. Invensys Process Systems rappelle ici les principaux risques encourus et
présente une méthode pour l’amélioration continue de la cybersécurité.
L
a cybersécurité est plus que jamais
un sujet sensible dans l’univers du
contrôle de procédé industriel.
D’autant que ce secteur a subi de
profondes mutations ces dernières années.
Tout d’abord, la standardisation et l’ouverture se sont systématisées, que ce soit pour
les protocoles de communication ou pour la
connectique. On pense bien sûr au développement des réseaux Ethernet, qui descendent
jusqu’aux niveaux les plus bas des systèmes
de production. Bien entendu, travailler sur
des réseaux ouverts favorise l’efficacité, la
productivité et l’interopérabilité des systèmes :
avec davantage de liens entre les entreprises,
entre les réseaux ou entre les sites de production, on favorise la visibilité des données
et on facilite la prise de
décision. Mais chaque
L’essentiel
médaille a son revers :
le remplacement des
 Les industries de process
systèmes cloisonnés
emploient une multitude
par des systèmes
de réseaux plus ou moins
ouverts a fait apparaître
ouverts et interconnectés.
de nouveaux types de
 Un code malveillant qui
risques. Des risques
pénètre une installation
auxquels les industriels
peut avoir des conséquences
n’étaient (ou ne sont)
fâcheuses.
pas toujours forcément
 L’installation d’une solution
préparés. Par ailleurs,
de protection doit
la réduction drastique
s’accompagner d’une
du nombre de fourpolitique d’amélioration
continue de la cybersécurité.
nisseurs de systèmes
numériques de con-
56
trôle-commande (SNCC) facilite le travail
des pirates informatiques. Ceux-ci peuvent
être contactés par des personnes mal intentionnées (pour de l’espionnage industriel).
La cybersécurité s’intéresse à la protection
de ces risques d’attaques ou d’actes de piratage provenant de logiciels ou de morceaux
de codes malveillants.
Comprendre les enjeux
de la cybersécurité
Aujourd’hui, les menaces qui peuvent mettre
en péril la sécurité d’un système de contrôle
de procédé sont nombreuses. Elles peuvent
atteindre une partie du système, le système
tout entier, voire l’unité de production dans
sa globalité. Elles sont généralement mal
cernées du fait de leur apparente complexité
pour des industriels qui n’y sont pas forcément préparés. De plus, il est difficile de les
définir précisément puisque leur apparence
change à mesure que de nouvelles vulnérabilités apparaissent. Autrement dit, elles
prolifèrent à chaque fois que des systèmes
de contrôle partagent, directement ou indirectement, de nouvelles connexions ou
utilisent de nouvelles technologies.
D’où proviennent ces menaces ? De l’intérieur ou de l’extérieur d’une entreprise. Les
attaques internes proviennent de codes malveillants importés sur un réseau par un
collaborateur de l’entreprise. La principale
cause étant l’utilisation, intentionnelle ou
non, d’un support multimédia amovible
infecté. La multiplication des clés USB
aggrave les risques. Les attaques externes sont
liées à la connexion à d’autres réseaux, principalement Internet.
Quelles sont les conséquences de ces attaques ? Elles sont là aussi multiples. L’impact
sur une production peut être direct (un
plantage pur et simple de l’application) ou
indirect (réduction de l’efficacité d’un procédé). Plus difficiles à détecter, elles peuvent
influencer la sûreté des installations et, si les
mesures adéquates ne sont pas mises en
place, provoquer un arrêt de production à
plus ou moins long terme. « C’est pourquoi on
considère désormais que la véritable menace des
systèmes de contrôle, c’est l’inaction, déclare Alain
Ginguene, responsable cybersécurité chez
Invensys Process Systems (IPS). Pourtant, pour faire
face à ces cybermenaces, la mise en place de solutions
efficaces et éprouvées suffit à restreindre le danger,
sécuriser la production et assurer sa fiabilité. »
“Evaluer, concevoir, appliquer
et gérer”
Première étape vers la cybersécurité : l’évaluation des risques. C’est la condition sine
qua non de réussite dans la mesure où,
quelle que soit l’activité, elle déterminera la
disponibilité finale d’un système de production. La cybersécurité faisant partie intégrante de la sécurité au sens large, toute
vulnérabilité mise au jour doit être évaluée
et suivie de la mise en place de parades
reposant sur sa probabilité d’occurrence et
ses répercussions. Il s’agit donc d’identifier
ces vulnérabilités et de les comprendre.
Menaces et vulnérabilités ont toujours fait
l’objet de nombreux débats et le piratage
reste au cœur des préoccupations.
Les informations disponibles ne permettent
pas pour l’heure d’affirmer que le piratage
représente la plus forte menace, mais nul ne
peut présager de ce qu’il sera à l’avenir. Le
scénario le plus probable est celui de l’infection d’un système de contrôle par un virus
MESURES 816 - JUIN 2009 - www.mesures.com
Aujourd’hui, des postes
de travail pour systèmes
de contrôle sont livrés
pré-équipés d’un logiciel
antivirus. Sa mise à jour
est indispensable pour
que le logiciel reste
efficace et protège contre
les nouveaux codes
malveillants, mais dans
le même temps on ne
peut pas laisser l’accès
Internet sur ces postes.
La meilleure solution semble
être de diffuser les mises
à jour par le biais
de supports amovibles
(CD, clé USB, etc.).
informatique ou un cheval de Troie. Ce
dernier utilise les droits appartenant à un
environnement pour détourner, diffuser ou
détruire des informations. Il peut “ouvrir la
porte” du système informatique à un pirate
qui prendra à distance (via Internet) le
contrôle de l’ordinateur ou du SNCC.
Pour estimer les risques, deux principaux
facteurs sont à prendre en compte : le
nombre et la diversité des systèmes de
contrôle déployés, mais aussi l’ancienneté de
chacun de ces systèmes. Les risques encourus
par des anciens systèmes sont sensiblement
différents de ceux auxquels sont exposés les
plus récents. De manière générale, la phase
d’évaluation permet de prendre conscience
de la vulnérabilité des systèmes, de s’informer
des menaces possibles et de disposer d’une
meilleure perception du risque. Cela s’avérera capital lorsqu’il s’agira de dresser la liste
des spécifications d’un programme de
sécurité.
Certaines entreprises disposent déjà en
interne de l’expertise pour faire face à ces
problèmes, ce qui est un atout notable.
Néanmoins, un conseil extérieur est le plus
souvent recommandé afin de garantir et de
consolider ce bilan. Il existe pour cela de
L’amélioration continue de la cybersécurité
La méthode d’amélioration
continue de la cybersécurité
s’effectue en quatre étapes :
1) Evaluer : faire un état des
lieux des sites et des systèmes
et un bilan de conformité.
2) Concevoir : décider d’une
politique, concevoir les
architectures techniques et
sécuriser les accès.
3) Appliquer : mettre en place
les zones de sécurité, protéger
les équipements.
4) Gérer : surveiller la situation
en temps réel, vérifier les liens
éventuels entre des alarmes.
MESURES 816 - JUIN 2009 - www.mesures.com
nombreux prestataires de services spécialisés
dans la gestion de la cybersécurité.
Des solutions existent
Deuxième étape : la conception d’un système de cybersécurité adapté. Pour cela,
plusieurs solutions ou options sont
disponibles. Elles concernent des aspects
techniques ou de gestion.
Première option : recourir à des équipements
de défense. Les responsables informatiques
disposent d’une grande variété de pare-feu
et autres logiciels de sécurité adaptés aux
contraintes des environnements industriels.
Les pare-feu offrent une défense approfondie
et sont capables, moyennant une application
et une gestion adaptées, de réduire considérablement les vulnérabilités et les menaces.
Mais bien sûr, la sécurité ne doit pas s’arrêter
là. Elle doit s’accompagner de logiciels antivirus efficaces et maintenus à jour, ainsi que
d’équipements pour l’inspection des paquets
de données si besoin.
Deuxième option : séparer les ressources de
production. Selon l’importance stratégique
des différents systèmes, on pourra utiliser
des réseaux physiquement isolés, employer
le même réseau mais avec des protocoles
différents, ou encore mettre en place du
cryptage sur certains réseaux critiques ou
confidentiels.
Troisième option : mettre en place des politiques de gestion de la cybersécurité. Celles-ci
consistent à appliquer des mesures préventives au sein de l’entreprise (comme ➜
57
Solutions
avant qu’elles ne prennent de l’ampleur.
L’application des politiques et autres procédures de sécurité doivent être réalisées en
étroite coopération avec les différentes
parties (responsables informatiques, opérateurs, agents de maintenance, etc.) pour que
leur résultat soit exploitable et efficient. Et
comme tout changement de procédure ou
d’organisation mené au sein d’une entreprise, la mise en place réussie d’une politique
de cybersécurité repose en grande partie sur
le soutien à tous les niveaux de la
hiérarchie.
Un cycle continu
L’approche adoptée ici
est un exemple
d’architecture robuste.
Les mesures
appliquées à chaque
niveau sont
fonction du risque.
Les interfaces
entre chacun de ces
niveaux doivent
être conçues avec la
plus grande
attention, tant du
point de vue des
procédures de gestion
et d’exploitation
que du point de vue
technique.
➜ l’interdiction de l’usage des clés USB).
Mais il est aussi possible d’établir des procédures spécifiques pour la gestion des incidents (évaluation/audit/surveillance) et
pour la récupération des données en cas
d’attaque. Ces procédures seront établies sur
la base des scénarios les plus pessimistes.
Instaurer plusieurs niveaux
de protection
Dans la pratique, il s’agira bien sûr de combiner ces options. C’est la troisième étape :
mettre en pratique la cybersécurité.
« Une des approches que nous préconisons consiste
à développer plusieurs niveaux de sécurité, qui
protégeront d’abord le réseau dans sa globalité, puis
les systèmes de production, et enfin les applications », commente Alain Ginguene. Avec cette
approche, le plus haut niveau de protection
est attribué aux ressources les plus
stratégiques. La protection contre les intrusions et le traitement des menaces dès leur
apparition sont également améliorés. Enfin,
lorsqu’elle est instaurée et gérée convenablement, cette défense par niveaux est la plus à
même de contrer ou d’endiguer les menaces
Conseils et services en cybersécurité
Invensys Process Systems joue un rôle important dans les différents groupes
de normalisation en sécurité industrielle et en systèmes d’information. Le groupe
américain est membre fondateur de l’ISCI (organisme de conformité de l’ISA dans
le domaine de la sécurité), et participe aux travaux de l’ISA S99 et du PCSF (Process
Control Systems Forum). Afin de proposer des services de conseil en cybersécurité,
le groupe s’est doté par ailleurs d’une équipe dédiée. Il s’agit de spécialistes en
sécurité, en systèmes de contrôle et en réseaux de communication. Leur expertise
pluridisciplinaire est complétée par un accès à toutes les ressources (humaines
et matérielles) du groupe.
58
Quatrième et dernière étape : la gestion de
la sécurité. Elle passe d’abord par le transfert
des connaissances. Toute personne ayant
accès à un système de contrôle (directement
ou indirectement, fréquemment ou occasionnellement) doit avoir suivi une formation adéquate pour minimiser les risques liés
à la cybersécurité dans l’environnement de
production. Quiconque interagit de près ou
de loin avec des systèmes stratégiques doit
avoir pleinement conscience des répercussions possibles de chacune de ses actions. La
formation est nécessaire pour tous les aspects
techniques (paramétrage d’un pare-feu, gestion des mises à jour d’antivirus). Mais elle
aura également pour but d’informer les employés sur la politique, les procédures et les
réglementations décidées par la hiérarchie.
De plus en appliquant des règles de sécurité
simples sur leur lieu de travail, les collaborateurs les respecteront aussi le plus souvent
quand ils utiliseront leurs ordinateurs personnels, ce qui peut limiter au final le risque
d’infections internes.
La gestion de la cybersécurité ne s’arrête pas
à la seule formation. Le cycle “évaluer,
concevoir, appliquer et gérer” doit se poursuivre après la mise en place d’un système
de protection. En effet, certains aspects
comme le contrôle des accès, la gestion des
vulnérabilités et la prise en compte des
nouvelles menaces imposent une remise en
question régulière. A chaque modification
de l’architecture, les responsables doivent
recommencer l’étude des risques
d’intrusion.
Au final, pour maintenir constamment un
niveau de protection approprié, tous les
paramètres liés à la sécurité doivent intégrer
le cycle d’“amélioration continue de la
cybersécurité”.
Frédéric Parisot
D’après un document de Karl Williams,
consultant principal en cybersécurité
Invensys Process Systems
MESURES 816 - JUIN 2009 - www.mesures.com