SCADA modifie le paysage de la Cyber-Sécurité


SCADA modifie le paysage de la Cyber-Sécurité

 


Véritable épée de Damocles suspendue au dessus de toutes les têtes concernées réellement par les nouvelles cyber-mences et cyber-sabotage, SCADA (Supervisory Control And Data Acquisition) intéresse enfin des acteurs majeur de la sécurité. N'est il pas déjà trop tard aprés Stuxnet ?

 

Capture-MAP-SCADA

 

Scada (1) n'est pas seulement un ensemble de modules qui s'interfacent avec de véritables solutions d'automatismes pour le traitement de process industriels. Nous y reviendrons. Scada en 2015 relie des équipements plutôt que les ordinateurs et gère des systèmes (process) plutôt que des personnes (Voir le tableau  : comparaison des systèmes d'information gestion et Scada). Basé sur des protocoles propriétaires (MODBUS, DNP3 et IEC 60870-5-101...) qui contrôlent les API (Automates Programmables  Industriels) Scada est comme tous système vulnérable si l'on modifie ces instructions (augmentation de la vitesse des moteurs, réduction de la  température, ouverture de vannes… ). 5 ans après Stuxnet, la sécurité des automates tout comme l’intégrité des séquences d'exécution adressées aux équipements s'avèrent stratégiques. Problème  : sur une très large majorité des architectures Scada tournant dans le monde, l'exposition aux cyber-risques demeure totale.

A l'évidence, pour l'ensemble des experts, les conséquences du très faible niveau de sécurité des systèmes sous Scada sont catastrophiques. Dans des secteurs tels que les services publics, le transport, la logistique, la fabrication de produits pharmaceutiques, le gaz, le pétrole, l'énergie électrique, les cimenteries...ces réseaux constituent le cœur du fonctionnement des «  process industriels  » eux mêmes placés à l'épicentre de l'activité des groupes insdustriels. Dans le secteur des services publics, les architectures Scada sont si importantes qu’elles sont considérées comme faisant partie intégrante de l’infrastructure critique nationale des fameux 237 OIV (Opérateurs d'importance vitale). Toutefois, dans d’autres secteurs, les infrastructures Scada demeurent souvent invisibles de l'informatique «  classique  ». Certaines configurations Scada assurent aussi discrètement l’accès aux bâtiments ou encore le contrôle du chauffage, de la ventilation, des ascenseurs ou du refroidissement des data centers.

 

Surete-Sécurité

 

Pour Eric Michonnet (Arbor Networks) «  au moins 80% des OIV (Opérateur d'importance vitale) dépendent pour le fonctionnement de leurs infrastructures vitales de systèmes industriels de type SCADA tout en traitant des données «  stratégiques  » sur des sytèmes ...sans aucune sécurité pour la plupart  ». Des fleurons entiers de la recherche mondiale (Aéronautique, nucléaire, électricité, labos pharmaceutiques, centres d'expérimentation...) demeurent exposés aux cyber-risques. Y compris sur Internet ou certains site révèlent des spécificités techniques jugées désormais confidentielles.

 

SCADA-RISK-MANAGEMENT

 

Dans les faits, qui se souvient en août 2012, du groupe pétrolier saoudien ARAMCO qui a vu 40 000 de ses ordinateurs infectés par un malware «  laissé  » par un collaborateur sur le réseau industriel Scada du groupe  ? Risque interne donc mais aussi externe jusqu'au ...particulier. En 2009 un adolescent ingénieux et inconscient a fait dérailler via Internet un tramway en Pologne, démontrant au passage la vulnérabilité du système d’aiguillage. N'évoquons pas les ruptures de pipeline intentionnelles ou encore toujours volontairement l'ouverture de vannes d'usines provoquant une pollution des eaux... En Grande-Bretagne, des compteurs électriques intelligents ont été installés chez les particuliers raccordés à des automates de gestion appartenant à des systèmes SCADA. Sont ils sécurisés  ? Et ce n'est que le début. Ainsi, certains mobiles comme l'IPhone disposent de capteurs en tous genres. Désormais il est possible de réaliser des mesures d'horizontalité, de vitesse, ou des analyses vibratoires avec un simple iPhone, comme avec certains équipements industriels. 

On comprend des lors les recommandations de l'Anssi lors du dernier FIC à Lille sur l'urgence de «  sécuriser  » par classes prioritaires les sites industriels sensibles, sortes de super OIV industriels. «  C'est l'objet d'un nouveau texte qui doit renforcer l'article 22 de la LPM (Loi de programmation militaire) qui décrit pour les sites Scada les modalités d'application des instructions relatives à la sécurité des installations critiques et à leur homologation selon 3 classes  » confie Stéphane Meynet, chef de projet systèmes industriels à l'Anssi. «  si on part de zéro, tout est possible relève Thierry Jardin, RSSI chez CGI mais si on part de l'existant le problème posé c'est comment modifier des configurations existantes sans perdre la garantie du matériel du constructeur important en environnement industriel   ?  » D'autant que la majorité des sites équipés d'architectures Scada peuvent encore «  vivre  » une quinzaine d'années.

Autre frein  : à part les réflexions de l'Anssi, et quelques initiative individuelles chez les constructeurs de solutions Scada, rien n'existe. Pas de normes (Lire l'encadré sur la normalisation en cybersécurité), très peu de solutions techniques, pas ou peu de transferts de connaissance entre informaticiens et automaticiens, et encore moins de responsables sécurité / sureté dédiés à ces systèmes de plus en plus «  sensibles  ». Qui a la légitimité pour sécuriser Scada  ? Plus qu'une évolution, c'est une révolution des mentalités. Ce que résume cet ingénieur de chez Lexis en comparant le nécessaire rapprochement entre la cyber-sécurité des infrastructures de gestion avec celle des infrastructures Scada au rapprochement des années 90-2000 Cisco-Alcatel avec la technologie de la voix sur IP  : «  Scada touche aujourd'hui désormais deux mondes automaticiens et informaticiens comme hier telecoms et informaticiens  ».

Cyber-attaques-SCADA-Cyberisques-NEWS-1

Source: Department of Computer Science, Lakehead University, Hannam University, Korea

 

Des cibles industrielles et stratégiques

L'éditeur FireEyes rappelle que le Département américain de la cybersécurité intérieure a récemment observé une augmentation de 52 % en 2012 (par rapport à 2011) des attaques visant la production d’énergie, d'eau et les centrales nucléaires des États-Unis. Eric Lemarchand Ingénieur système Fortinet  : «  en environnement Scada, arrêter une unité de production constitue une crainte plus forte que celle d'une cyber-attaque  ».

Aujourd'hui, les architectures SCADA évoluent vers l'interconnexion via un réseau classique IP. Ils sont  également administrés par des environnements potentiellement  vulnérables, comme la plateforme interface homme-machine  équipée d’un système d’exploitation Windows non patché. Ces environnements «  sensibles  » n’appliquent généralement  pas les patchs des systèmes d’exploitation de peur de nuire à la production. Cette crainte l’emporte souvent sur celle  des attaques informatiques potentielles. Les environnements SCADA,  pourtant identifiés comme critiques, sont ainsi paradoxalement les  moins sécurisés. «  Ces systèmes désormais interconnectés avec l'extérieur fonctionnent via des séquences très rapides (de l'ordre de la milliseconde) et ne sont pas pensés pour être sécurisés comme un «  simple  » intranet sous IP  ». explique Stéphane Meynet. Gemey expert Scada a l'Anssi. Comment relever le défi avec une question centrale  : quel compromis doit on trouver entre cyber-sécurité des systèmes sous architecture Scada et efficience  ? Pour Cyrille Badeau,  Sourcefire racheté par Cisco les points de vulnérabilités techniques des systèmes Scada se situent à différents niveaux  : Human Machine Interface (HMI), les serveurs de processus et historiens sont généralement basés sur Microsoft Windows. Ils sont des points d’entrée potentiels pour les auteurs d’attaques désireux d’infiltrer le réseau d’entreprise avec des exploits connus. La mise en œuvre de la DDiD (Detection & Defense in Depth) dédiée aux environnements SCADA constitue la base d'une politique de gestion des Patch. Nous y reviendrons. 

 

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.   

 

 

 

Pour en savoir plus sur cet article et accéder à votre contenu personnalisé profiter de notre offre

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR 

Abonnement individuel par eMail personnalisé 40 envois / an

offre spéciale anniversaire 887 Euros* au lieu de 1199,00 Euros

offre spéciale anniversaire : http://www.cyberisques.com/fr/subscribe

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel de la veille "Business & Cyber Risks" stratégique pour les dirigeants et membres des COMEX: synthèse rapide de l'essentiel de l'actualité de l'économie numérique mondiale, sélection des chiffres indispensables, financement des cyber-risques, cyber-assurance, protection juridique des dirigeant,protection des actifs immatériels, solutions et investissements Secure IT stratégiques et cyber taskforce, protection et maitrise de données critiques des users VIP, veille cyber risks juridique et réglementaire, interviews stratégiques exclusives, jurisprudences, cyber-agenda... dans la boite mail de votre choix.


Pour suivre la première VEILLE "BUSINESS & CYBER RISKS"

http://www.cyberisques.com/fr/subscribe

Pour retenir les informations stratégiques, prévenir et couvrir financièrement vos actifs immatériels critiques, le service VEILLE "Business & Cyber Risks" de Cyberisques.com vous informe personnellement par une sélection rigoureuse et des analyses rapides et sans concession des meilleurs experts.

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX

Abonnement individuel par eMail personnalisé 40 envois / an

offre spéciale anniversaire  887 Euros* au lieu de 1199,00 Euros

http://www.cyberisques.com/fr/subscribe

* Le tarif indiqué est valable pour la France métropolitaine, facturation pour les entreprises Françaises immatriculée en France. Pour les entreprises utilisant les services de Veille via des sociétés tierces, le service ne peut être validé qu'après l'établissement d'un devis.

* pour toute facturation au Royaume-Unis, une majoration de 50 % sera appliquée.

 

Certifier Scada  ?

Selon Loic Guezo, en 2014, 3 certifications sont incontournables en Cyber Sécurité  :
ISO27001 : certification s’adressant principalement à ‘Information Security Management System (ISMS), à l’image de ce qu’a fait l’ISO 9000 pour la Qualité en sont temps. Certification possible d’un périmètre de l’entreprise, gage de son amélioration permanente selon la roue de Deming (Plan, Do, Check, Act ) mais aussi certification possible des hommes en Implementer ou Auditor.
CC - EAL : certifications ciblées de produits, reconnues à l’International sur la base de Critères Communs et mettant en œuvre une cible d’évaluation. Plutôt réservée à des environnements sensible.
PCI DSS : certification dédiée au système IT de traitement des paiements par cartes bancaires (sur l’implémentation effective et correcte de mesures de sécurité ou le recours à des prestataires de services (comme Approved Scan Vendor, ASV) eux-mêmes reconnus par le consortium mondial PCI SSC) ainsi qu’aux auditeurs assermentés PCI QSA.
Le périmètre de Cyber-assurance couvrant également l’informatique industrielle, alors l’IEC62443 pourrait aussi entrer en ligne de compte, sous réserve qu’elle soit finalisée… et certifiante.



Sécuriser les environnements Scada, oui mais...

Gérôme Billois, Senior Manager chez Solucom et Anthony DI PRIMA - manager risk management & sécurité des systèmes d'information l'aaffirment en choeur  : il faut eviter de ce se focaliser sur l'equipement et se concentrer sur le niveau d'exposition d un site industriel via des audit et cartographie des systèmes deployes, en réalisant des referentiels a jour avec des maquettes pour plate forme de tests afin de qualifier un niveau de securite. Le tout permet de réaliser une analyse des risques pour definir des priorites.
Pour Erice Lemarchand , «  Dorénavant, les industriels cherchent à intégrer la sécurisation  de leurs équipements, et ce, de façon native. Même si les moyens  commencent à être mis en œuvre pour sécuriser les industries, il est aussi nécessaire que les hauts dirigeants de ces entreprises  soutiennent ce besoin de sécurisation, sans quoi, bon nombre de  responsables informatiques ne trouveront pas d'échos positifs à  leurs initiatives, et auront des budgets et ressources limités.  »

 

Mutuelle-Ass-Protection

 

Marché SCADA  : conséquences insuffisamment mesurées pour l'ANSSI

Pour l'ANSSI l'agence nationale de la sécurité des systèmes d'information) dans une publication distribuée lors du FIC2014 (Defense et sécurité des systèmes d'information, Stratégie de la France) la cyber-sécurité des OIV(opérateurs d'importance vitale) via SCADA suppose de rapprocher deux mondes, informaticiens et industriels  : «  La rencontre ancienne et pourtant inédite parce que bousculée par l'interconnexion des systèmes, entre le monde industriel et le monde de l'informatique, le premier manque de formation et de sensibilisation à la sécurité des sytèmes d'information et le second méconnait souvent les contraintes et le fonctionnement des systèmes industriels.  » «  Comme le démontre régulièrement l'actualité mondiale, les conséquences possibles d'actes de malveillaance contre les systèmes automatisés de contrôle des processus industriels déployéss par les opérateurs d'importance vitale sont aujourd'hui insuffisamment mesurées.  ». Rappelons que selon une étude de Frost & Sullivan intitulée « Analyse stratégique du marché mondial des systèmes SCADA », le marché SCADA qui a généré 4 584,5 millions de dollars de revenus en 2009 devrait atteindre 6 902,4 millions de dollars en 2016. Au total, le marché mondial des équipements et services liés à la planète SCADA devrait reprsenter à l'horizon 2020, 11,16 milliards de dollars selon le cabinet MarketsandMarkets.  

 

97% des cyber-attaques réussies auraient pu être évitées

Dans le monde, de nombreux systèmes SCADA (Supervisory Control and Data Acquisition) ont été victimes «  d’exploits  » dans un délai inférieur à 24 heures. Rien qu'en France, l'ordre de grandeur pour d'éventuelles modifications des RTU (Remote Terminal Units) équipements incontournables des infrastructures Scada serait de 4000 unités. Le rapport «  Internet Security Threat  » de Symantec souligne que si les cyber-attaques ciblées contre les entreprises et les gouvernements passent inaperçues durant 5 mois environ elles finissent par êtres connues. Ces cyber-attaques augmentent de 30 000 cas par an en moyenne (chiffres 2012). L’étude DBIR (Data Breach Investigations Report) réalisée en 2012 par Verizon a révélé suite à l'analyse de 855 incidents que 92% des attaques demeuraient simples dans leurs conceptions, 79% s'avéraient êtres des attaques très ciblées. A notre que selon Verizon, 97% des cyber-attaques réussies auraient pu être évitées si des contrôles basiques ou intermédiaires avaient existé. Pour les prévisions réalisées par le Gartner Group «  en 2015, 80% des attaques réussies exploiteront des vulnérabilités connues ».

 

Expert-Anstralian-Cyberisques-2015

 


BONUS: 

http://www.ssi.gouv.fr/IMG/pdf/Guide_securite_industrielle_Version_finale-2.pdf

 (1) The term Supervisory Control and Data Acquisition (SCADA) usually refers to centralized systems which monitor and control entire sites, or complexes of systems spread out over large areas. SCADA systems are vital components of most nations’ critical infrastructures. They control pipelines, water and transportation systems, utilities, refineries, chemical plants, and a wide variety of manufacturing operations. Most control actions are performed automatically by RTUs or by PLCs. Host control functions are usually restricted to basic overriding or supervisory level intervention. For example, a PLC may control the flow of cooling water through part of an industrial process, but the SCADA system may allow operators to change the set points for the flow, and enable alarm conditions, such as loss of flow and high temperature, to be displayed and recorded. The feedback control loop passes through the RTU or PLC, while the SCADA system monitors the overall performance of the loop. Data acquisition begins at the RTU or PLC level and includes meter readings and equipment status reports that are communicated to SCADA as required. Data is then compiled and formatted in such a way that a control room operator using the HMI can make supervisory decisions to adjust or override normal RTU (PLC) controls. Data may also be fed to a Historian, often built on a commodity Database Management System, to allow trending and other analytical auditing. In this paper we discussed the recent cyber-attacks that threatened the industrial control system (ICS) and SCADA system. We also discussed different aspects that need to be considered in securing SCADA systems.

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires