Protéger les systèmes industriels en profondeur

21 janvier 2022•Gaëlle Carcaly•5 min•

Les cyberattaques contre des infrastructures critiques mettent en exergue le manque de protection des systèmes industriels contre les cyber-risques. Les systèmes de contrôle industriels (ICS), conçus en couches, sont pourtant propices à une défense en profondeur.

Cybersécurité des systèmes industriels

Un examen de l’architecture des ICS et du retour d’expérience permet de constater qu’une attaque se déroule le plus souvent de la façon suivante : après s’être introduit dans le réseau industriel, via un cheval de Troie ou une porte dérobée introduit par ingénierie sociale, grâce à une vulnérabilité de la protection du réseau ou en passant par un poste externe de télémaintenance, l’attaquant dispose d’un équipement connecté au réseau et peut découvrir les autres équipements, espionner ou corrompre les échanges.

C’est ce que nous explique Jean-Marie Flaus, enseignant- chercheur à l’université Grenoble Alpes, dans les domaines de la sécurité au travail et de la cybersécurité des systèmes industriels. “Pour sécuriser un ICS, il est donc nécessaire de prendre des mesures adéquates pour empêcher la réalisation de chaque étape. ”

Défense en profondeur

Pour ce faire, l’approche de défense en profondeur s’impose pour la sécurisation des ICS. Elle est notamment développée dans la norme IEC 62443, un standard en cybersécurité industrielle. Après une cartographie des installations et une analyse des risques, elle consiste à protéger les installations en les entourant de plusieurs barrières de protection autonomes et successives. Ces dernières peuvent être technologiques, liées à des procédures organisationnelles ou humaines.

Source : selon « Cybersécurité des systèmes industriels » de Jean-Marie Flaus.

Sécuriser les différentes strates

Sécurisation des aspects humains

Le personnel doit être sensibilisé et formé aux bonnes pratiques de cybersécurité concernant les mots de passe, la politique pour l’utilisation des médias amovibles, la confidentialité des documents, l’importance des mises à jour…

La politique de gestion des mises à jour doit être adaptée aux risques et aux contraintes. Une mise à jour systématique des stations de travail est recommandée ainsi qu’une mise à jour périodique ou lors des maintenances pour les automates.

Sécurisation physique

L’accès physique aux équipements est l’un des vecteurs d’attaque potentiel. Il est possible d’insérer une clé USB infecté, de se connecter au réseau, de voler des données… L’approche consiste à définir le périmètre à protéger, à identifier les rôles des différents intervenants, puis à découper l’installation en zones et à définir les accès des zones en fonction des rôles.

Sécurisation du réseau

La bonne pratique est de sécuriser l’architecture, en ajoutant une zone démilitarisée (DMZ) qui permet de cloisonner les réseaux et sert d’intermédiaire entre les réseaux OT et IT.

Il faut aussi filtrer les flux. Un pare-feu permet ainsi d’appliquer la politique de cloisonnement entre deux zones, de filtrer les flux, de réaliser un monitoring et une journalisation. Une data-diode est un dispositif permettant aux données de se déplacer uniquement dans une direction. Elle pourra par exemple être utilisée pour ne laisser passer les données que dans le sens OT vers IT pour remonter les données de production.

Sécurisation des machines

Les différents équipements, postes informatiques, équipements réseau, serveurs, automates doivent être sécurisés. « Cela passe par le durcissement des configurations avec la désactivation des comptes par défaut, la fermeture des ports ouverts, la désinstallation des applications et services non utilisés, mais aussi par la mise à jour régulière de correctifs de sécurité, l’authentification des utilisateurs, la protection par un mot de passe, pour les automates notamment… », illustre Jean- Marie Flaus.

Si la mise en place d’antivirus est une mesure de sécurité de base, elle peut être incompatible avec certaines applications de Scada. L’Agence nationale de la sécurité des systèmes d’information (Anssi) recommande de les déployer a minima sur les stations portables, les postes de télémaintenance et les stations d’ingénierie. L’ Anssi recommande également de veiller particulièrement à la protection des stations d’ingénierie et postes de développement, qui constituent des points vulnérables et sont des vecteurs forts de contamination et de prise de contrôle.

« Ces machines, connectées au réseau industriel, contiennent les logiciels de configuration des équipements, de programmation des automates et des Scada, parfois des versions de code source… Certains postes peuvent être nomades et se connecter sur d’autres réseaux comme des réseaux bureautiques », peut-on lire dans son guide Maîtriser la SSI pour les systèmes industriels.

Sécurisation des données et configurations

Il faut s’assurer que les versions actives dans les équipements n’ont pas été modifiées de façon malveillante et que les modifications, le cas échéant, sont légitimes. « Toutes les données importantes, firmwares, logiciels, progiciels Scada, programmes d’automates, configurations… devraient être sauvegardées et échangées avec un mécanisme de vérification de l’authenticité », ajoute Jean-Marie Flaus.

Sécurisation des accès logiques

Les autorisations doivent être gérées en fonction des rôles, les utilisateurs et équipements doivent être authentifiés. Les accès à distance doivent être gérés. Il est par ailleurs primordial de sécuriser les interactions avec les fournisseurs et prestataires.

Détection d’intrusion

Dans un environnement industriel, il peut être complexe, voire impossible, de déployer certaines barrières de protection sans impacter les fonctions métier.

Les contre-mesures peuvent inclure des mécanismes de détection et de surveillance des installations. Ces mesures n’empêcheront pas un incident mais permettront de le détecter et d’en limiter autant que possible les effets.

Il existe des systèmes pour surveiller les flux réseaux et d’autres pour l’activité des postes industriels. Le dispositif de détection doit être associé à des procédures pour traiter les incidents.

Veille

Il semble par ailleurs primordial de mener une veille sur les menaces et les vulnérabilités des installations. Et de définir des plans de reprise et de continuité d’activité, pour pouvoir redémarrer en cas d’attaque.