UN NOUVEAU RÉFÉRENTIEL D’EXIGENCES DE SÉCURITÉ POUR LES PRESTATAIRES D’INTÉGRATION ET DE MAINTENANCE DE SYSTÈMES INDUSTRIELS.

UN NOUVEAU RÉFÉRENTIEL D’EXIGENCES DE SÉCURITÉ POUR LES PRESTATAIRES D’INTÉGRATION ET DE MAINTENANCE DE SYSTÈMES INDUSTRIELS.


 

Face à cet enjeu, le groupe de travail sur la cybersécurité des systèmes industriels (GT CSI), piloté par l’ANSSI, a identifié les prestataires d’intégration et de maintenance de ces systèmes en tant que « famille » de prestataires de service stratégiques en matière de cybersécurité, en raison de leur intervention sur l’ensemble du cycle de vie des systèmes, de la conception jusqu’au maintien en condition opérationnelle.

 

BcsKlhECYAE2hWU

Sur la base des guides de cybersécurité des systèmes industriels déjà produits, le groupe de travail a identifié les exigences de sécurité pertinentes pour les prestataires d’intégration et de maintenance de systèmes industriels afin de constituer ce nouveau référentiel.

Publié à titre de recommandation, il s’adresse aux prestataires d’intégration et de maintenance, dans le cadre du positionnement et de l’amélioration de leurs prestations, ainsi qu’aux bénéficiaires de telles prestations de services, en particulier pour la conception de cahiers des charges adaptés.
Suite aux retours d’expérience attendus, ce document initiera la conception d’un référentiel pour la qualification de prestataires d’intégration et de maintenance de systèmes industriels.

Ce document constitue les exigences en matière de cybersécurité pour les prestataires d’intégration et de maintenance de systèmes industriels. Les mesures prises pour référence à l’établissement des exigences du présent document sont celles définies pour les systèmes de classe 2 dans les guides intitulés la cybersécurité des systèmes industriels, Méthode de classification et mesures principales [CSI_MESURES_PRINCIPALES] et mesures détaillées [CSI_MESURES_DETAILLEES]. Une partie des mesures de ces guides concernent effectivement directement ou indirectement les prestataires d’intégration et de maintenance. Les exigences portent sur le prestataire lui-même, ses intervenants, son système d’information ainsi que sur le déroulement des interventions. Ce document constitue également une aide pour les commanditaires qui voudront intégrer dans leur cahier des charges des clauses de cybersécurité issues des exigences du présent document. Ils pourront demander à leurs prestataires d’être conformes à ce référentiel d’exigences. Enfin, ce document pourra évoluer pour devenir un référentiel d’exigence pour la qualification des prestataires d’intégration et de maintenance.

 

 

Référentiel d’exigences de sécurité pour les prestataires d’intégration et de maintenance de systèmes industriels

Quelle cybersécurité face a d'éventuelles cyberattaques sur des sites nucléaires ?

 

The cyber threat has expanded exponentially in recent years, with a series of damaging, high-profile attacks that have made headlines around the world. 

 

Nucléaire-2-Cyberisques-NEWS-2016

 

Recent attacks against banking and commerce systems, private companies, and national governments highlight the growing gap between the threat and the ability to respond to or manage it.

With evolving global threats in mind, this year’s NTI Index assesses for the first time how countries are protecting their nuclear facilities against cyber threats. Like critical infrastructure, nuclear facilities are not immune to cyber attack—a particular concern, given the potentially catastrophic consequences. Such an attack could facilitate the theft of nuclear materials or an act of sabotage.

 

Neclear-Cyberisques-NEWS-3-2016

 

The 2016 NTI Index includes a set of basic indicators relating to cybersecurity, and the results show that although some countries have been taking steps to protect nuclear facilities from cyber attack, many do not yet have the laws and regulations needed to provide effective cybersecurity:

  • Too many countries require virtually no effective security measures at nuclear facilities to address the threat posed by hackers.
  • Of the 24 countries with weapons-usable nuclear materials, 9 received a maximum score for the cybersecurity indicator and 7 scored 0. Of the 23 countries that have nuclear facilities but no weapons-usable nuclear materials, 4 received a maximum score for the cybersecurity indicator; 13 countries scored 0, including some that are expanding the use of nuclear power.
  • In the past two years, 8 countries with weapons-usable nuclear materials have updated their laws and regulations with respect to cybersecurity at nuclear facilities. In the period between 2012 and 2014, 9 countries made similar updates.

 

Franck-Boston-500x250

BONUS:

 

Abonnement individuel par eMail personnalisé

Renseignements  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

22 janvier 2016: Nouvelle vague d’attaques du réseau électrique Ukrainien :
Le malware BlackEnergy n’a pas été utilisé cette fois-ci (cf: cyberisques.com )

 

Une nouvelle attaque du réseau électrique ukrainien a eu lieu. Cette fois-ci les cybercriminels n’ont pas utilisé le malware BlackEnergy. En revanche, le scénario de l’attaque, lui, reste inchangé !



ESET, 5ème éditeur mondial, a découvert une nouvelle vague d’attaques contre le réseau de distribution électrique en Ukraine. En décembre dernier, les cybercriminels avaient organisé une importante coupure d’électricité, pendant plusieurs heures, dans différentes régions ukrainiennes. Contrairement à la fois précédente, le malware qui a été utilisé pour cette nouvelle attaque n’est pas le malware BlackEnergy.

Le scénario de l’attaque reste quasiment inchangé. Les cybercriminels ont mis en place une campagne de phishing à destination des victimes potentielles. Les emails contenaient une pièce jointe : un fichier Excel infecté, ainsi qu’un lien URL vers une image .PNG localisée sur un serveur reculé, les cybercriminels recevaient une notification quand l’email était bien envoyé et ouvert par le destinataire.

« Nous nous attendions à voir réapparaitre BlackEnergy, mais c’est un malware différent qui a été utilisé cette fois-ci. Les cybercriminels ont utilisé la version modifiée d’une porte dérobée open-source » explique Robert Lipovsky, chercheur en logiciel malveillant chez ESET.

Cette porte dérobée est capable de télécharger des fichiers et des commandes shell exécutables. Les autres fonctionnalités de ce nouveau malware – comme faire des screenshots, keylogging, ou encore télécharger des fichiers – a été retiré du code source. La porte dérobée est contrôlée par l’intermédiaire d’un compte Gmail, utilisé par les cybercriminels, rendant la détection du trafic difficile.

Les attaques du malware BlackEnergy sur le secteur énergétique ukrainien ont été beaucoup relayées dans les médias dus aux coupures massives électriques, une première mondiale enregistrée pour ce genre d’attaque. Il reste cependant à comprendre le rôle du malware dans cette attaque.

« Nous n’avons pour le moment aucune preuve indiquant qui peut être derrière cette attaque, mais nous tentons de le découvrir par déduction en se basant sur la situation politique actuelle. Les recherches actuelles ne sont pas encore suffisamment avancées pour pouvoir dévoiler les origines exactes des attaques en Ukraine. Nous souhaitons éviter des conclusions trop hâtives » conclut Robert Lipovsky.

Pour en savoir plus sur cette récente attaque :
http://www.welivesecurity.com/2016/01/20/new-wave-attacks-ukrainian-power-industry/
Nous mettons également à votre disposition des informations techniques sur la précédente attaque en Ukraine et une interview de notre chercheur en logiciel malveillant.

http://ntiindex.org/wp-content/uploads/2013/12/NTI_2016-Index_FINAL.pdf

 

 

 

 

 
 
   
 
 
 

 

 

 

 

 

 

CEIS / CyberLab: Entretien croisé:

CEIS / CyberLab:

Entretien croisé avec l'équipe CEIS / CyberLab  Clément ROSSI, Lois SAMAIN, François GRATIOLET:

 

"La sécurité doit être abordée de manière transverse et cohérente à l’entreprise, et non plus en mode silo comme c’est encore trop souvent le cas. C’est là que réside le vrai défi pour les années à venir"  

 

 

Quelles sont les activités de CEIS en matière de cybersécurité ?

Nous sommes un cabinet de conseil en stratégie et management des risques, avec près de 15 ans d’expérience en matière de cyber sécurité. Nous avons développé trois types d’activité : de la cyber-intelligence et du conseil opérationnel pour des clients « utilisateurs », des études stratégiques ou technico-opérationnelles pour le monde de la défense, de l’accompagnement business pour les offreurs de services et de solutions de sécurité ou de confiance. Nous co-organisons par ailleurs le FIC depuis 4 ans et développons aujourd’hui de nouveaux outils pour contribuer à l’animation et au développement de la filière comme le CyberLab ou les Security Days de Dakar qui auront lieu en mars 2016.

Ou situez-vous vos éléments différenciateurs au niveau culture d'entreprise et offres spécifiques ?

Notre cœur de métier repose sur notre capacité à collecter et analyser l’information utile, puis à accompagner nos clients dans son exploitation. Dans le domaine de la cybersécurité, nous mettons donc en œuvre nos méthodes traditionnelles d’investigation et d’analyse de l’information en les adaptant aux spécificités des enjeux cyber et IT.

Nous développons par exemple une approche innovante en matière de Cyber Threat Intelligence. Innovante car non pas uniquement centrée sur la technique mais basée avant tout sur la connaissance de l’environnement du client, la compréhension du contexte et de la méthodologie des attaquants éventuels afin d’anticiper les risques d’attaques en amont. L’originalité repose donc dans le fait que l’on s’adresse avec cette offre aussi bien à une Direction Sécurité ou des Risques, qu’aux équipes du RSSI ou d’un SOC. Les analyses sont réalisées par une équipe composée de consultants spécialisés en cybercriminalité et en cybersécurité, mais aussi par des analystes en géopolitique, des juristes, des linguistes ou des spécialistes de l’investigation financière. C’est cette complémentarité des profils qui offre une profondeur d’analyse intéressante.

Sur le marché SCADA / ICS, quel regard portez-vous sur son évolution ?

Une précision est nécessaire au préalable : le terme SCADA est un abus de langage. Il faudrait plutôt parler d’ICS (Industrial Control System) et de non de SCADA comme terme générique, les SCADA n’étant qu’un sous-ensemble des ICS. Les ICS permettent les activités deproduction temps réel et de distribution. Ils concernent notamment bon nombre d’opérateurs d’infrastructures vitales. On est donc potentiellement sur des systèmes très critiques en termes de sûreté pour les entreprises, mais également pour la sécurité du pays d’une manière générale s’il s’agit d’une centrale nucléaire par exemple.

Il est clair que ces dernières années l’actualité a aidé à la prise de conscience des vulnérabilités des systèmes ICS. Même si ceux-ci ne sont pas reliés à Internet, argument naïf régulièrement avancé, ils restent vulnérables. La protection des systèmes industriels est donc effectivement un marché en croissance du fait de la conjonction de plusieurs facteurs : une prise de conscience croissante, une règlementation contraignante avec la publication des décrets d’application de l’article 13 de la LPM et le début du renouvellement progressif de ces systèmes, certains étant vieux de plus de 30 ans. C’est une des difficultés majeures du problème d’ailleurs : ces systèmes ont été conçus pour la plupart quand Internet et les nouvelles technologies étaient encore réservés à une petite élite. Ils ne pouvaient donc intégrer dès leur conception une architecture et des normes répondant à des exigences de sécurité demandées 20 ans plus tard. Avec l’émergence de l’IoT, on peut d’ailleurs s'interroger sur l’apparition des objets connectés BtoB qui, s’ils sont intégrés par exemple à un S.I. de production, pourraient faire partie de ce marché. Il faut nécessairement avoir une approche globale du risque en analysant de manière fine la chaîne de valeur de l’entreprise, son écosystème externe (partenaires, fournisseurs, clients, etc.) mais surtout les points entraînant un risque critique. Malgré le fait qu’il augmente de facto significativement la surface d’attaque potentielle et pose des problèmes juridiques liés aux données, l’Internet des Objets n’est donc pas forcément à bannir, tout dépend de la criticité des applications et des systèmes auquel il accède.

La prise en compte de la sécurité dès la conception, la gouvernance des architectures et la sensibilisation de l’ensemble des acteurs de l’entreprise sont fondamentales. C’est loin d’être uniquement une affaire de technologie ! La sécurité doit être abordée de manière transverse et cohérente à l’entreprise, et non plus en mode silo comme c’est encore trop souvent le cas. C’est là que réside le vrai défi pour les années à venir.

 

Black-Out-2015-Cyberisques-NEWS-Lloyds Emerging Risk Report

                     source: Lloyd’s Emerging Risk Report – 2015

 

  

Quels sont les chiffres-clés qui permettent de cerner le marché de la cybersécurité des systèmes industriels en France et en Europe ?

Malheureusement, peu d’enquêtes ou de données chiffrées sont publiées par des organisations françaises ou européennes. La plupart des études proviennent d’acteurs technologiques non européens, majoritairement anglo-saxons aves des différences culturelles fortes, même si ces études interrogent des entreprises en France et en Europe. Il est donc très difficile d’avoir une idée précise du marché en terme purement quantitatif. La principale raison est l’absence de régulations à ce jour obligeant les organisations à communiquer sur les incidents de sécurité. La LPM et les législations européennes à venir vont inciter à plus de transparence, à une communication des incidents de sécurité et au partage de retours d’expérience entre les organisations et l’Etat. On pourra donc alors avoir à ce moment-là une véritable base statistique fiable.

En Europe, il est clair que l’Allemagne représente un des principaux marchés avec la France, sinon le marché principal d’ailleurs, en matière de sécurité des systèmes industriels. Cela tient, d’une part, à l’importance structurelle de l’industrie dans l’économie allemande et, d’autre part, au fait que c’est un marché beaucoup moins concentré qu’en France, avec un grand nombre d’ETI et de grosses PME ayant ces mêmes besoins de sécurité. Si on y ajoute le Bénélux et l’Europe du Nord, il y a des perspectives de marché intéressantes au niveau européen, avec une taille critique conséquente pouvant rivaliser avec le marché américain. Encore faut-il que les barrières d’accès et les coûts d’entrée ne soient pas dissuasifs pour les sociétés voulant s’y mesurer, en particulier les PME …

Il faut à ce titre saluer l’initiative d’Hexatrust de fédérer des PME innovantes françaises, championnes dans leur domaine. Cela donne une crédibilité et permet surtout de « chasser en meute » à l’international ce que culturellement les français ont un peu de mal à faire, à la différence des allemands par exemple.

Fin 2015, ou situez-vous les forces et faiblesses des SI SCADA : ICS en Europe et notamment chez les OIV en France ?

Les S.I. industriels ont des problématiques et des contraintes métier spécifiques. Ce n’est pas pour rien que l’ANSSI a constitué un groupe de travail uniquement dédié au sujet. Parmi les principaux problèmes on pourrait lister des systèmes d’exploitation obsolètes soit non-supportés (Windows XP est encore très fréquent) ou non patchés, des protocoles (Modbus et DNP3 par exemple) qui ne supportent pas l’authentification et le chiffrement ou une tolérance très faible voire inexistante à l’arrêt/panne car entraînant des conséquences métiers directes très fortes. Cette contrainte de disponibilité est très importante et ne tolère aucune interruption, ne serait-ce que pour effectuer une mise à jour par exemple.

Outre ces aspects techniques, les principales difficultés viennent également d’une culture SSI faible au sein des sites de production, d’une gouvernance et d’une organisation floues. Les PSSI actuelles ne prennent pas ou très peu en compte le périmètre des S.I. industriels. Il existe un problème de répartition des rôles et des responsabilités. C’était tout l’enjeu de la dernière session thématique du CyberLab avec le cas pratique de l’OIV fictive FUMEX.

Est-ce que la prise de conscience des cyber risques dans des environnements de type SCADA ou ICS doit passer par l'émergence d'un cadre réglementaire ?

Évidemment. On le voit par exemple avec la LPM pour les OIV ou avec le futur règlement européen sur les données à caractère personnel, le cadre réglementaire est prépondérant.

D’où l’importance de développer un cadre normatif commun entre français et allemands ! Si nous voulons arriver à construire une véritable industrie européenne de la cybersécurité au sein d’un marché numérique unique, cela passera par une réglementation et un cadre normatif commun, avec des partenaires industriels de confiance sélectionnés par des labels et des certifications reconnues indifféremment dans les deux pays. De la même manière que ce qui se fait au niveau politique de la zone euro, le couple franco-allemand doit être moteur en matière de cybersécurité et, de façon plus globale, de numérique. Si ce premier pas est réalisé, les marchés potentiels au Bénélux ou en Europe du Nord suivront. Cette approche européenne est d’ailleurs largement promue par les agences de sécurité des systèmes d’informations françaises et allemandes, l’ANSSI et le BSI.

Que répondez-vous aux Security Managers qui disent que la  qualification accordées par l’ANSSI ne suffit pas à garantir une solution technique car : « rien ne garantit que l’appareil évalué par l’ANSSI est bien comparable à celui qui nous est vendu » ?

L’évaluation de sécurité est réalisée par l’ANSSI ou des tiers indépendants mandatés selon un cahier des charges et des critères bien précis. Les résultats des tests ainsi réalisés sont documentés et disponibles de manière publique ce qui permet d’apporter la nécessaire confiance et la transparence aux utilisateurs finaux potentiels. A charge également pour chaque prestataire, de prouver cette transparence.

Les premières sessions organisées dans le cadre du CyberLab sont des succès. Comment va évoluer le concept CyberLab en 2016 ?  

Nous cherchons actuellement à pérenniser le dispositif avec nos partenaires publics et privés dans le cadre du Plan 33. L’idée serait de disposer d’un lieu dédié qui serait une vitrine de l’ensemble de l’industrie française de sécurité et de confiance numérique, grands groupes comme PME. Ce showroom proposerait des démonstrateurs permanents, des sessions de démonstrations thématiques pour les utilisateurs, des séances de pitch pour les investisseurs etc. Il accompagnerait également les PME à l’export et accueillerait les délégations étrangères de passage en France.

Le but est donc bien ici de contribuer à l’animation et au développement de la filière de cybersécurité en réunissant l’ensemble des parties prenantes de l’écosystème français : utilisateurs finaux, intégrateurs, fonds d’investissement et représentants étatiques afin d’une part de valoriser les technologies et solutions innovantes autour de use case opérationnels, et d’autres part de continuer la sensibilisation et l’échange entre l’ensemble des acteurs de la filière.

Le CyberLab ambitionne donc de devenir un accélérateur, à la croisée des chemins entre innovation, besoins des utilisateurs finaux et développement commercial. Nous avons en France de réelles opportunités à saisir sur le plan industriel, nous espérons que ce projet y contribuera.

Propos recueillis par Jean Philippe Bichard / Cyberisques NEWS

 

 

BONUS: 

http://www.ceis.eu/fr/actu/ceis-inaugure-le-cyber-lab

https://www.forum-fic.com/

http://cyberisques.com/fr/component/content/article/80-news/actu-home-1/458-scada-la-filiere-francaise-s-organise-avec-ceis

http://cyberisques.com/fr/mots-cles-17/465-rechercher-et-connaitre-des-vulnerabilites-0-days-pour-s-en-proteger-ou-pour-les-exploiter

 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Systemes ICS / SCADA: en 2016 toujours pas assez étanches

Systemes industriels: pas assez d'étanchéité avec les systemes de gestion

 

En 2014, une cyber-attaques sur des hauts fourneaux en Allemagne a été effectuée via une prise de controle du systeme "commande" et du système "sureté". Le BSI équivalent de l'ANSSI en Allemangne indiquait que le haut fourneau a été attaqué et mis hors de contrôle. L'autorité déplore plusieurs dizaines de millions de dommages suite a des destructions importantes de pièces stratégiques.

Le 1er janvier 2016, une nouvelle cyber-attaque de même type a été officiellement annoncée sur le blog du SANS ( https://ics.sans.org/blog/2016/01/01/potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered). L'attaque date de fin décembre selon certaines sources ukrainiennes.

 

Cyberisques-NEWS-SecMatter-2015

 

 

 

Les éditeurs IT se sont a leur tour penchés sur cette nouvelle cyber-menaces visant les systemes industriels de type ICS / SCADA. Rappelons que le terme SCADA est un abus de langage. Il faudrait plutôt parler d’ICS (Industrial Control System) et de non de SCADA comme terme générique, les SCADA n’étant qu’un sous-ensemble des ICS. Les ICS permettent les activités de production temps réel et de distribution. Ils concernent notamment bon nombre d’opérateurs d’infrastructures vitales. Leur probleme Numéro un comme le rappelle la jeune start up Sentryo c'est que les outils industriels n'ont jamais été conçus pour offrir une compatibilité avec les solution "bureautiques" dédiées à la sécurité des réseaux.

C'est donc toute une nouvelle offre qui doit se mettre en place pour sécuriser les réseaux et équipements ICS dès lors qu'ils sont connectés à Internet via le réseau de gestion.

Problème: on ne bloque pas la production car les notions de performance et de disponibilité sont prioritaires. Reste qu'en 2016, de plus en plus de SI industriels sont interconnectés avec les SI "bureautiques" sans réellement de filtrage de haut niveau.

Cette absence d'étanchéité explique leur vulnérabilité. Autrement dit, comment des malwares développés pour des cyber-attaques de SI traditionnels "bureautiques"  sont "rewrités" et bricolés pour pour s'infiltrer sur les postes de commandes des automates de commandes industrielles. Des postes faut-il le rappeler souvent sous Windows et pas toujours sécurisés. Trend Micro propose même une clé USB pour ces postes de commandes pour automates afin de détecteur de potentiels malwares... Cette approche en dit long sur l absence de dialogue entre automaticiens et informaticiens. 

 

10 milliards de dollars de pertes estimées 

D'ici 2019, le cabinet Gartner estime à près de 10 milliards les pertes potentielles qui pourraient êtres attribuées aux conséquences des cyber-attaques sur les systèmes industriels. Une estimation partagée par de nombreux experts dont les "cyber-assureurs" qui toutefois n'offrent pas encore de "garanties" spéciques dédiées à ces nouveau cyber-risques. Reste les problèmes techniques à commencer par l'absence de filtrage efficace entre SI bureautiques et SI industriels.   

 

 Scada-CheckPoint-Solutions-2015

Source checkPoint 2015

 

C'est cette absence de solutions de filtrage qui apparait comme la cause principale des dernières attaques ICS / Scada dont celle du dernier scénario connu officiellement, celui de la récente attaque en Ukraine. C'est un « OIV ukrainien » un opérateur d'énergie électrique qui semble avoir été ciblé via le malware Disakil (avec sa variante KillDisk adaptée aux environnements "industriels").

Dès le 23 décembre, les chercheurs d'ESET ont tiré la sonnette d'alarme en expliquant que des organisations locales auraient aussi été infectées par une variante du malware Disakil nommée KillDisk ( http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-power-industry/ )

Chez F5,  Tewfik Megherbi, consultant avant-vente assure que "dans le cas des centrales électriques Ukrainienne, le cheval de Troie BlackEnergy a ciblé et exploité des postes de travail des opérateurs, donc « légitimes », en utilisant des vulnérabilités connues comme vecteurs d’attaques. Une fois installé sur le poste de l’opérateur, BlackEnergy a eu le champ libre pour intercepter les crédentiels (couples nom d’utilisateurs / mots de passes) utilisés par les opérateurs en charge des systèmes SCADA". 

Les chercheurs de Symantec ont publié le 6 janvier 2016 un post sur le blog de la société, suite à l’analyse d’un échantillon de Disakil (version KillDisk). Pour eux, ce serait bien KillDisk qui parait avoir été utilisé dans les attaques contre les installations électriques ukrainiennes.

 

Cyberisques-NEWS-SCADA-Sentryo-1

Source Sentryo 2015

 

Symantec a entre autres mis en avant que :

-          Disakil / KillDisk a déjà été utilisé pour cibler des médias en Ukraine, et a notamment détruit plusieurs ordinateurs d’une société de médias importante du pays ;

-          Le mode de contamination semble avoir pour origine une nouvelle variante du cheval de Troie BlackEnergy, qui a compromis des serveurs et permis aux attaquants de voler des identifiants afin d’installer Disakil / KillDisk sur plusieurs autres systemes ;

-          Le groupe derrière ce cheval de Troie est connu sous le nom de Sandworm et n’en est pas à sa première attaque en Ukraine. Il est également connu pour avoir attaqué l’OTAN, un certain nombre de pays d’Europe occidentale et des sociétés du secteur de l’énergie.

Pour Intel security (ex Mac Afee), l'une des questions c'est la partie du poste de travail qui supervise les automates qui doit être sécurisée avec le controle applicatif. Les régulations poussent a uine prise de conscience  initiée au niveau de l ANSSI et au niveau de la Commission européenne. Le probleme c'est la solution technique derrière l'initiative politique. Chez Intel security (ex McAfee) nous travaillons sur les  aspects fédérateurs en termes de standards via des protocoles de sécurité comme avec VMWare et notre bus de sécurité standard. Ces standards peuvent s'ouvrir  à des acteurs des marchés ICS / SCADA.   

Pour Loic Guezio de Trend Micro, peu de commentaires: Trend Micro travaille sur un échantillon malware, avec le SANS-ISC:  https://ics.sans.org/blog/2016/01/01/potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered

 

 

Rappelons qu'en mars 2014, c'était un groupe de cyber-délinquants ukrainiens appelé les « Cyber Berkut » qui avait revendiqué des cyber-attaques via laa technique Ddos sur plusieurs sites de l Otan. A cette époque, cette action était présentée au nom de «  patriotes ukrainiens », indiquant « ne pas tolérer que les troupes de l'OTAN » puissent « occuper la patrie »ukrainienne.

 

ECO-SYSTEM-SCHNEIDER

 

En France, récemment, les autorités étaient informées des risques encourus sur les systemes industriels sensibles (http://cyberisques.com/fr/mots-cles-12/468-ceis-cyberlab-entretien-croise) à  l'occasion d'actions multiples notamment menées par l'ANSSI et les organisateurs du FIC.

Pour CEIS, co-organisateur du FIC l'une des problématiques de l'absence de sécurité des SI industriels et critiques provient des problématiques et des contraintes métier spécifiques. Ce n’est pas pour rien que l’ANSSI a constitué un groupe de travail uniquement dédié au sujet. Parmi les principaux problèmes on pourrait lister des systèmes d’exploitation obsolètes soit non-supportés (Windows XP est encore très fréquent) ou non patchés, des protocoles (Modbus et DNP3 par exemple) qui ne supportent pas l’authentification et le chiffrement ou une tolérance très faible voire inexistante à l’arrêt/panne car entraînant des conséquences métiers directes très fortes.

Face à la multiplication des attaques sur des sites industriels équipés en environnement ICS, 2016 apparait d'ores et déjà comme une année critique pour ces sites sensibles. Sera t elle l'année de la sécurité ICS ? "Oui répond cet expert reconnu, Laurent Hausermann de Sentryo à condition que deux populations les informaticiens et les automaticiens se parlent enfin". 

Paradoxe de la sécurité sous ICS / Scada les réseaux bureautiques et industriels se parlent trop alors que les hommes qui les surveillent s'ignorent encore trop souvent ! 

Jean Philippe Bichard

 

@jpbichard

 

BONUS :

http://ics.sans.org/blog/2015/12/30/current-reporting-on-the-cyber-attack-in-ukraine-resulting-in-power-outage

https://ics.sans.org/blog/2016/01/01/potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered?utm_content=buffer72f34&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

https://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-281-01B

Cyberisques-NEWS-Attaque-SCADA-Ukraine-6-janvier-2016

http://www.secmatters.com/sites/www.secmatters.com/files/documents/SilentDefense_datasheet_EU.pdf

Christophe Birkeland, CTO de la division Malware Analysis de Blue Coat Systems: Protection SCADA le savoir est la meilleure protection

Cyber expert Cyberisques NEWS: 

 

La sécurité informatique au sein des environnements industriels 4.0 :le savoir est la meilleure protection

 

Christophe Birkeland, CTO de la division Malware Analysis de Blue Coat Systems

 

00 breach happens-100540479-orig

 

Avec l'Industrie 4.0, les entreprises du secteur industriel ont accès à l'Internet... mais risquent également d'ouvrir leurs portes aux pirates. La meilleure façon de se protéger des fuites de données et du sabotage est de tirer parti d'informations décisionnelles. Des initiatives comme Shodan et Conpot permettent aux équipes chargées de la sécurité de profiter de grandes quantités de renseignements sur leurs propres vulnérabilités et les méthodes des pirates.

Les sites de production des sociétés industrielles et du secteur de l'énergie ont été relativement à l'abri des attaques au cours des dernières décennies. Les systèmes de contrôle industriel (ICS) les plus répandus tels que les SCADA étaient optimisés pour accroître le rendement, et tenus à l'écart d'Internet (créant ainsi le fameux « Air Gap », ou « lame d'air »). Ils communiquaient à l'aide de protocoles propriétaires tels que Modbus, Profibus, S7comm ou DNP3, et étaient rarement les cibles des cybercriminels.

La situation a changé. L'interconnexion des systèmes de production est la promesse de gains énormes en matière de rendement, ce qui pousse de plus en plus d'entreprises à ouvrir leurs réseaux. Cette approche leur permet de simplifier et de centraliser la gestion de leur système, facilite la fourniture de nouveaux services, et contribue à minimiser les temps d'arrêt liés à l'assistance et à la maintenance, ainsi que leurs coûts.

Connecter des réseaux ICS à Internet présente cependant des menaces réelles. Un pirate parvenant à accéder au réseau peut alors infiltrer l'environnement de production étape par étape. Le logiciel et le matériel propriétaires utilisés ne sont généralement pas intégrés avec les systèmes de sécurité, et sont donc essentiellement non protégés. Selon ses objectifs et ses intentions, le pirate peut commencer à récupérer des données sensibles, manipuler les processus de production ou même saboter l'environnement de production tout entier. Le potentiel de dégâts de ce type d'attaques (prenons l'exemple marquant d'une attaque menée à l'encontre d'une centrale) est évidemment nettement plus élevé que celui d'une attaque MITM (l'interception de communications entre deux parties) contre une entreprise du secteur tertiaire ou autre.

Au commencement, il y eut Stuxnet

Au cours des dernières années, de nombreuses attaques de ce genre ont été enregistrées, Stuxnet en étant l'exemple le plus connu. En 2010, le ver SCADA (qui sans doute a été développé par des organismes gouvernementaux occidentaux) a ainsi saboté le projet de recherche nucléaire iranien. Ce fut le premier logiciel malveillant prouvant (officiellement) que du code informatique pouvait provoquer des dégâts sur des équipements matériels. Depuis, bien d'autres ont été menées à l'encontre de sites industriels, souvent en utilisant des logiciels malveillants créés sur mesure avec des fonctionnalités destinés aux ICS, comme Duqu ou Havex.

L'organe ICS-CERT (géré par le département américain de la Sécurité intérieure, et spécialisée dans la protection des infrastructures critiques) énumère d'ailleurs plusieurs faits inquiétants dans son Rapport pour l'année 2014 : son équipe d'analyse de la sécurité a été consultée dans près de 250 cas afin de participer à l'analyse de cyberattaques lancées sur des cibles critiques. Une grande partie de ces attaques étaient ciblées, les pirates s'infiltrant souvent dans les entreprises par la partie connectée à Internet de leur réseau à l'aide de logiciels malveillants sur mesure. Les cybercriminels utilisent également une grande variété de techniques. Selon l'ICS-CERT, le Spear phishing (une variante de hameçonnage où les employés sont convaincus d'exécuter des logiciels malveillants grâce à des e-mails semblant provenir de leurs supérieurs) reste le vecteur d'attaque le plus populaire. Mais d'autres menaces gagnent aussi en popularité, comme les attaques aux « points d'eau » (« watering hole »), une stratégie consistant à remplacer les mises à jour logicielles sur les sites des éditeurs par des chevaux de Troie, eux aussi taillés sur mesure.

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

Le BSI répertorie les attaques contre les ICS

L'Office fédéral allemand pour la sécurité des technologies de l'information (BSI) brosse un tableau similaire. Son rapport annuel « État des lieux de la sécurité informatique en Allemagne en 2014 » documente, entre autres, une attaque réussie sur une aciérie allemande. Les pirates ont utilisé les méthodes du Spear Phishing et de l'ingénierie sociale pour accéder au réseau de l'entreprise victime. Ils ont alors infiltré l'environnement de production, où ils ont causé d'énormes dégâts en compromettant plusieurs systèmes de contrôle. Le BSI affirme que les cybercriminels possédaient des connaissances détaillées sur les systèmes de contrôle industriel et les processus de production, en plus de leurs évidentes compétences en informatiques.

L'information est d'une importance cruciale

La guerre cybernétique a donc atteint les sites de production. Cela ne signifie pas nécessairement que le secteur industriel devrait renoncer au potentiel offert par l'interconnectivité, ni même en ralentir la progression. Les services chargés de la sécurité informatique doivent utiliser des systèmes de sécurité existants pour faire en sorte que les réseaux soient connectés à l'Internet de façon sécurisée. Mais pour cela, il leur faut d'abord des informations décisionnelles et détaillées. Ils doivent également connaître les vulnérabilités de leurs réseaux de production, les vecteurs d'attaque et les outils de piratage, ce qui leur permettra d'analyser les attaques, de neutraliser les logiciels malveillants et de réparer les dégâts éventuels.

Les experts en matière de sécurité cherchant à rassembler ces informations peuvent également s'appuyer sur leurs grandes connaissances et leurs réseaux de renseignement établis : d'une certaine façon, les attaques contre les systèmes industriels sont assez similaires aux attaques classiques contre les environnements informatiques des entreprises du tertiaire. Mais, bien que la protection effective de certains systèmes ICS puisse être très étendue, le problème reste que les informations disponibles sont limitées. Heureusement, la situation évolue également à ce niveau. Plusieurs initiatives de sécurité innovantes sont axées sur la protection des milieux industriels, et ont clairement pour principal objectif de fournir aux professionnels de la sécurité les renseignements dont ils ont besoin sur les menaces et les vulnérabilités.

Le moteur de recherche Shodan et le projet honeypot Conpot ICS/SCADA sont notamment deux initiatives intéressantes :

Shodan : le moteur de recherche pour l'IdO

Le moteur de recherche Shodan a été créé par le développeur John Matherly en 2009, permettant ainsi aux utilisateurs de rechercher sur le web une grande variété de systèmes connectés à Internet. Contrairement aux moteurs orientés contenu comme Google, Shodan utilise les scans des ports des adresses IP disponibles, puis recueille et indexe les bannières qu'il reçoit ensuite. Il peut ainsi parcourir le Web à la recherche de serveurs ou de routeurs d'un certain type, ou même de terminaux possédant des adresses IP comme des caméras de sécurité ou des dispositifs médicaux. Les utilisateurs peuvent créer leurs requêtes en utilisant une grande variété d'options de filtrage, par exemple en combinant des noms de fournisseurs, des informations sur des ports, des codes ou des protocoles régionaux afin de trouver des serveurs SCADA dans leur pays. Shodan est donc un bon outil pour localiser les vulnérabilités ou les systèmes mal configurés au sein de votre réseau : si une recherche révèle que l'un des automates ou l'une des IHM sur la plage d'IP de votre entreprise est visible sur Internet, vous savez que l'un de vos systèmes est probablement mal configuré et avez la possibilité de corriger cette erreur. Les vulnérabilités causées par des systèmes non patchés, des ports ouverts ou des mots de passe par défaut inchangés peuvent être repérées et corrigées tout aussi facilement. Cependant, si vous trouvez votre système sur Shodan, il est probable que vous ne soyez pas le seul. La proactivité reste donc de mise.

En outre, ce moteur de recherche n'est pas sans détracteurs. Comme presque toutes les solutions de test et de gestion des vulnérabilités, Shodan est souvent critiqué car il peut être utilisé à mauvais escient comme outil de piratage puissant, ce qui est incontestable : des boîtes à outils de piratage avec des interfaces Shodan existent depuis longtemps sur le Darknet. Mais la plupart des experts en sécurité s'accordent sur le fait que des fonctions de recherche similaires sont également disponibles en utilisant des botnets. Les professionnels de la sécurité des environnements industriels devraient clairement envisager d'intégrer Shodan à leur gestion des vulnérabilités.

Analyser les vulnérabilités et minimiser la visibilité d'un ICS sur Internet est de toute évidence un premier pas important dans la sécurisation des environnements de production. Mais la recrudescence des menaces ciblées persistantes et complexes (APT), qui sont créées sur mesure pour passer à travers les mailles des systèmes de sécurité existants, oblige les équipes chargées de la sécurité à analyser l'éventail des menaces tout aussi minutieusement.

Malheureusement, peu d'informations sont disponibles sur la façon dont les attaques contre les sites industriels surviennent, ou alors ces renseignements sont publiés trop longtemps après un incident. En effet, peu de cas sont documentés, et peu d'informations tangibles sur les menaces ont été recueillies jusqu'à présent. L'initiative de sécurité Conpot a pour but de changer la donne.

Conpot : des pots de miel pour le secteur industriel

L'initiative Conpot (abréviation de « système de contrôle Honeypot ») a été créée sous l'égide du Projet Honeynet par un groupe de professionnels de la sécurité expérimentés, parmi lesquels Lukas Rist de Blue Coat Systems. Le principe est de créer partout sur Internet des systèmes virtuels interactifs se comportant exactement comme des serveurs ICS ou des réseaux industriels non protégés. Une fois ces systèmes en place, le développeur du système honeypot (« pot de miel ») n'a plus qu'à attendre qu'un pirate attaque le site, terminal distant (RTU) ou ICS ainsi émulé, et peut alors observer et analyser l'attaque étape par étape. Par nature, tous les cas permettent de procéder à une analyse utile de leur vecteur d'attaque. L'intérêt supérieur de ces pots de miel se manifeste lorsque les membres de cette initiative peuvent corréler les données de plusieurs dizaines d'attaques, puis analyser leurs tendances et évolutions, identifier d'éventuels axes régionaux ou thématiques d'attaque, et recueillir ainsi davantage des données précieuses.

Habituellement, pour un analyste, rechercher une anomalie dans son réseau de production est comme chercher une aiguille dans une botte de foin. En déployant un honeypot dans votre réseau, tous les événements qui atteignent ce terminal sont susceptibles d'être des « aiguilles » (par exemple les attaques ou dispositifs mal configurés), étant donné qu'aucun élément réel n'est censé communiquer avec ce pot de miel. Ce dernier peut également être vu comme un leurre : le temps qu'y passe le pirate ainsi piégé correspond au laps de temps dont vous disposez pour sécuriser votre infrastructure critique avant qu'elle ne soit compromise à son tour.

N'importe quel professionnel de la sécurité peut contribuer à Conpot. L'émulateur est disponible en tant que logiciel Open Source à l'adressewww.conpot.org. Avec cet outil puissant, chaque développeur a la possibilité de concevoir un modèle réaliste et virtuel de son environnement, et de le connecter à Internet. Ainsi, les responsables de la sécurité peuvent obtenir des renseignements utiles leur indiquant ce à quoi ils doivent s'attendre en connectant leurs systèmes à Internet, et peuvent planifier leurs défenses en conséquence.

Conclusion

Les cyberattaques menées à l'encontre d'environnements industriels sont un phénomène réel. Ces attaques suivent essentiellement les mêmes mécanismes que pour les environnements des entreprises classiques du tertiaire. Une grande partie des attaques ont des motifs professionnels : d'abord, parce que les lamers (ou « script kiddies ») ne sont pas encore vraiment actifs dans ce segment, et ensuite parce que l'énorme potentiel de dégâts (ou la valeur des actifs) suscite l'intérêt d'acteurs importants tels que des organismes gouvernementaux, des groupes terroristes et des voleurs de données professionnelles. Les entreprises cherchant à sécuriser leurs réseaux doivent donc vérifier et minimiser la visibilité de leurs systèmes ICS sur Internet. Face à la recrudescence des menaces complexes, il est de plus en plus important de collecter de renseignements sur les menaces. Les équipes de sécurité ont besoin d'informations détaillées sur les vecteurs d'attaque et sur l'ensemble du cycle de vie des menaces. Ils peuvent alors élaborer une stratégie de défense globale en s'appuyant sur ces informations. Des initiatives telles Shodan et Conpot sont d'ailleurs un bon point de départ pour la collecte des renseignements nécessaires.

En parallèle, les entreprises doivent mettre en œuvre des meilleures pratiques de sécurité et protéger minutieusement les parties de leurs réseaux accessibles au public. Des solutions de sécurité dédiées aux ICS existent également pour les environnements particulièrement sensibles. Par exemple, Blue Coat propose la solution d'analyse ICS Protection Scanner Station, qui protège les systèmes industriels des logiciels malveillants véhiculés par des périphériques USB. En outre, la solution Security Analytics Platform Analytics propose également un module SCADA ThreatBLADE permettant d'identifier en temps réel les activités potentiellement malveillantes ciblant les systèmes SCADA.

Le rêve d'une solution parfaitement intégrée pour la protection des environnements industriels ne deviendra réalité qu'une fois que l'ensemble des différentes normes industrielles propriétaires auront été remplacées par des systèmes informatiques standard, et ces derniers intégrés aux architectures de sécurité existantes. Les technologies nécessaires pour cela (le protocole réseau IPv6, la surveillance complète des réseaux et la gestion rigoureuse des correctifs et des vulnérabilités) existent maintenant depuis un certain temps. L'étape suivante est leur mise en œuvre complète, ce qui pourrait prendre un certain temps en raison des cycles de vie plus longs des équipements industriels.

 

BONUS: 

https://www.bluecoat.com/bc-labs-threat-profile

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires