Transcription
LA CYBERCYBER--SECURITE DESAUTOMATISMES ETDES SYSTEMES DECONTRÔLE DE PROCEDEJean-Pierre HAUETAssociate Partner KB IntelligenceCertificationEducation & TraininggPrésident ISAISA-FranceFrancePublishingStandardsConferences & ExhibitsTous droits réservés 20098 décembre 2009
Motivation La nécessité de veiller à la sécurité des systèmesd’automatisme et de contrôle de pprocédé est apparueppévidente aux USA en 2001 à la suite des événements du 11septembre. SiS des terroristes étaient arrivés à se fformer au pilotaged’avions sophistiqués, il leur était a priori possible de s’initierau fonctionnement des systèmes contrôlant desinfrastructures stratégiques : alimentation en eau, centrales etréseaux électriques, moyens de transports, installationsréputéesé té sensiblesibl : chimie,hi i pharmacie,hi agro alimentaire.lit iTous droits réservés 2009
La cyber-sécuritéydes systèmesyde contrôle La cybercyber-sécuritésécurité des systèmes de contrôle a trait à laprévention des risques associés aux intrusions dans lesystème, liées à des actions malintentionnées, au travers desé iéquipementst iinformatiquesftiett desd réseauxédde communication.i ti Ces risques peuvent se traduire par––––– des pertes de productiondes pertes de données sensiblesdes incidents sur le procédépla mise en danger des personnels d ’exploitationdes atteintes à l’environnementLes systèmes de contrôle n’appartiennent plus à un monde isolé.L’ouvertureLouverture des systèmes vise à accroitre les points d’accèsd accès poursatisfaire de nouveaux besoinsTous droits réservés 2009
Des besoins de communication accrusGestion, surveillance à distance, aide à la maintenance,télécommande, aide au test et mise en service.Tous droits réservés 2009Recours accru à la sous-traitance, aux O&M etc.
Les systèmes « ouverts » utilisent des composantsbanalisés avec leurs forces et leurs faiblessesSupervision ettélécommandeCAO ettéléchargementCommunicationspour support externeLogiciels de configurationet de gestion d’instrumentsTous droits réservés 2009Portables demaintenance.
Les collaborations inter-entreprisesLes collaborations inter-entreprises sont stimulées par les contraintesééconomiquesiet facilitéesf ili épar leslcommunicationsi iélélectroniques.iLaréalisation de projets est éclatée sur plusieurs sites, avec des échanges dedonnées informatiséesSurveillance et gestionà distance desinstallationsProduction de laddocumentation/t ti /données d’ingénierie /imagerieWebI-partenaireClient et consultantsEquipe me d’intégration et de testSitSiteTous droits réservés 2009
Le problème est-il réel ou est-ce une paranoïa? Il est difficile d’obtenir des données fiables : pas d’organismeofficiel chargé du sujet en France et en Europe Davantage de données sont disponibles en Amérique du Nord CERT BCITTous droits réservés 2009(Carnegie Mellon University)
Evolution du nombre des incidentsinformatiques rapportés au CERTN b d'iNombred'incidentsid t rapportésté au CERT160 000140 000120 000100 00080 00060 00040 00020 66199551994419933219921991199001989919888-A partir de 20042004, en raison de la multiplication des incidentsincidents, le CERT arenoncé à les recenserTous droits réservés 2009Source : www.cert.org
Analysey des incidents récents ppar le BCITAccèsphysiqueaux on identifé12%Internet36%Connection àun tiers deconfiance4%Modems20%Systèmessans fil8%RépartitionRétitid incidentsdesi id t ded sécuritééité internesi ten fonction des points d’entrée les pointsles plus vulnérablesTous droits réservés 2009ConnectionsVPN8%Répartition des incidents de sécuritéexternes en fonction des points d’entrée les points d’entrée les plus fréquentspour les attaques d’origine externeSource : Eric Byres BCIT
Qui a été visé ?Divers23%Productiond'énergie s droits réservés 2009Source : Eric Byres BCIT
Les « utilités » ne sont pas à l ’abri Le 20 juin 2003 "SQLSQL Slammer Worm ".Le ver slammer se propageant et se multipliant sur le réseau ATM a bloqué le trafic surun réseau desservant des sites industriels et plusieurs entreprises. Tempe, Arizona Domaine, déclenchement du 29 juin 2007.La panne a duré 46 minutes et 98 700 clients touchés,touchés ce qui représente 399mégawatts (MW) de perte de charge. Il a été causé par l ’activation inexpliquée duprogramme de délestage dans le système de gestion de l'énergie (SGE) à la Salt RiverProject (SRP). Réseau sans fil en Australie : hacking en 2000Un ancien consultant, mécontent d'une firme australienne qui mettait en œuvre unSCADA radio pour contrôler une installation de traitement des eaux usées, a dérobésa voiture avec les équipements hertziens et les a reliés à un ordinateur. Il a rouléautour de la zone au moins 46 foisfois, en émettant des commandes d’ouvertured ouverture dessoupapes de décharge d’eaux usées. Nuclear Power Plant : incidents cybernétiquesLe 19 août 2006, les opérateurs à Browns Ferry, installation nucléaire, ont du faire unarrêt manuel de l ’unitéunité NN 33, suite à la perte des pompes de recirculation primaire etsecondaire du réacteur causée par une attaque sur le système de contrôle de cespompes. Le Large Hadron Collider (LHC) inauguré en septembre 2008 au CERN sous laf tiè ffranco-suisse,frontièreia été lle mêmeêjjour attaquétté par un groupe dde hhackerskgrecs afinfide montrer sa vulnérabilité ».Tous droits réservés 2009
Les spécificités des systèmes decontrôle - Les solutions « IT » sontiinsuffisantesffit ou inadaptéesi d téTous droits réservés 2009
Spécificités des systèmes de contrôle Complexité en termes de matériels,matériels de programmation,programmation et decommunication, Les systèmes de contrôle sont un mélange de technologies del’information (IT) et de contrôle industriel (IC). Les systèmes decontrôle utilisent (au moins pour les automatismes) des OS“t“tempsréel”é l” spéciauxé i( sens IT)(au Les architectures, vis-à-vis du risque sont différentes : lespoints critiques (PLCs,(PLCs drives,drives instruments.)instruments ) sont davantagerépartis et hétérogènes Faible conscience des enjeux sécuritaires dans le monde desautomatismes, à l’exception des domaines critiquesTous droits réservés 2009
Les solutions IT ne suffisent pasSystèmes de contrôle Disponibilité Intégrité ConfidentialitéTous droits réservés 2009Priorité croissante Exigences de performances (temps réel ou critique,critique messagescourts et fréquents) Exigences de disponibilité Gestion du risque différente (priorité à la sécurité des biens etdes personnes Les objectifs peuvent être inversésSystèmes d’informationd information Confidentialité Intégrité Disponibilité
Mais le niveau de sécurité doit êtrehhomogèneèPoint BNiveau de mmaturité de ccyber-sécurittéPoint ABureautique etgestiontiContrôle deprocédéT0Tous droits réservés 2009T1Temps
La nécessité dd’agiragir Les conséquences des cyber-attaques contre les systèmes decontrôle peuvent être extrêmement dévastatrices. Lessystèmes de contrôle sont des installations réputéesprofessionnelles où les défaillances étaient jusqu’à présentl’exception mais peu d’installations sont réellement sécurisées. L’immunité des systèmes de contrôle appartient au passé etces systèmes sont, comme les autres systèmes d’information,des cibles possibles pour le cybercyber-terrorismeterrorisme, ll’espionnageespionnage oula simplement la malveillanceD’où le besoin de pratiques, de standards de référence,d’outils et services d’évaluation adaptés au monde du contrôlede procédé ISA-99Tous droits réservés 2009
Quelques aspect normatifsTous droits réservés 2009
Sécurité fonctionnelle et cyber-sécurité La cyber-sécurité est un sous ensemble de la sécuritéfonctionnelle (ou sûreté de fonctionnement), correspondant à laprotection contre un certain type d’agressionsd agressions externesLa sécurité fonctionnelle se fonde actuellement sur la norme CEI61508 et sur ses dérivés.Cette norme impose l’analyse du système face aux agressionsinternes et externes.Ellee introduitt odu t papar laa notionot o de(Sade(Safetyety Integrityteg ty Level),e e ), , commecoeuunindicateur et une mesure de la sécurité fonctionnelle (SIL1 à SIL4)Mais au moment de sa conception, les cyber-attaques étaient dusecond ordre (isolement et technologies spécifiques des systèmesde contrôle)Tous droits réservés 2009
Principes d’analyse de la conformitéà la norme IEC 61508Définir le niveau d’intégrité (analyse risque)procédé continu ou fonction de protectionVérifier critères de qualité et performances pour leniveau d’intégritéAnalyse de laméthodologiede production dulogicielAnalyse desmécanismes etfonctions système((supposantppgle logicielcorrectementdéveloppé)Analyse descaractéristiqueshardwareLa résistance aux agressions estTous droits réservés 2009un point important et englobe plusieurs aspectsAnalyse de larésistanceaux agressions
La cyber-sécurité devientune discipline à part entièreTempérature, humiditéAgression électromagnétiques (normes IEC)Analyse résistanceaux agressionsTolérances aux pannesRésistance aux agressions informatiques :Cyber-sécuritéTous droits réservés 2009Traitée de façon très succincte lors de l’adoption de lanorme 61508 – Les systèmes de contrôle étaient alorsconsidérés comme spécifiques et auto-protégés.
L’intervention de l’ISA« Les systèmes de contrôle-commande,contrôle commande les systèmes desupervision, les systèmes MES sont de plus en plus ouvertsau monde extérieur et à Internet (ne serait-ce que pourvisualiser des informations à distance ou réaliser desopérations de télémaintenance). Beaucoup d’industrielss’inquiètent des conséquences qui en découlent, telles quell’apparitionapparition de virus ou le piratage des informations(espionnage, corruption ou destruction). Pour ces raisons, lacyber-sécurité est en train de devenir un enjeu majeur.L’ISA, sans conteste laL’ISAl plusl granded associationi i d’ingénieursd’i é idans le monde et connue pour ses cours de formation et sestravaux en faveur des normes, est aux premières loges enmatière de cyber-sécurité.c ber séc rité Son groupegro pe de travailtra ail ISA99 aélaboré des guides (et notamment le TR99.00.01), qui va êtreproposé à l’ANSI, le célèbre organisme de normalisationaméricain »américain Tous droits réservés 2009Revue Mesures octobre 2007
Le champ d’application de l’ISA-99 Essentiellement les systèmes industriels d’automatisme et decontrôle (IACS) tels que définis dans le modèle de référence Y compris les systèmes de supervision rencontrés dans lesindustries de process Y compris les Scadas (Supervisory control and dataacquisition) : Réseaux de transport et de distribution d’électricitéRéseaux de distribution d’eaud eau et de gazProduction de gaz et de pétrolePipelines et gazoducs AutresA tapplicationsli tiéventuellesét llTous droits réservés 2009
ISA99CommonISA- 99.02.01Establishing an IACSSecurity ProgramTechnical ComponenntTechnical SysstemISA- 99.01.01Terminology, ConceptsAnd ModelsSecurityProgramStructure documentaire ISA-99(harmonisée avec le projet IEC 62443)ISA- TR99.03.01Securityy TechnologiesgforIndustrial Automation andControl SystemsISA- TR99.01.02Master Glossary ofTerms andAbbreviationsISA-99.02.02Operating an IACSSecurity ProgramISA- 99.03.02Securityy Assurance Levelsfor Zones and Conduitswas ISA-TR99.00.01-2007was Target Security LevelsISA-99.04.01Embedded DevicesISA-99.04.02Host DevicesPubliéTous droits réservés 2009DraftISA- 99.01.03System SecurityCompliance MetricsISA-TR99.02.03Patch Management in theIACS EnvironmentISA- 99.03.03SystemySecurityyRequirements andSecurity Assurance LevelsISA-99.03.04Product DevelopmentRequirementswas Foundational RequirementsISA -TR99.01.03ISA-99.04.03Network DevicesDraft àusage interneISA-99.04.04Applications, DataAnd FunctionsProjet
La démarche ISAISA-99Tous droits réservés 2009
Les exigencesgfondamentales selon l’ISAPrincipales exigences à prendre en compte pour assurer la sécurité dessystèmes de contrôle Contrôle de l’accès à certains équipements et à l’informationContrôle de l’usage fait de certains équipements et de l’informationIntégrité des données (protection contre des modifications nonautoriséesConfidentialité des donnéesContrôle des flux de données pour éviter une diffusion nonsouhaitéeTemps de réponse aux événements (réactivité aux violations)Disponibilité des ressources, afin de faire face aux dénis deservicei notammentttTous droits réservés 2009
Démarche générale d’élaborationd’undun CSMS (Cyber-sécurité(C béité managementt systemt )Analyse des risques Identification et valorisation des actifs à protéger : physiques, logiques,humains,Analyse des pertes potentiellesAnalyse des vulnérabilités, des risques et des menacesDéfi i lesDéfinirl contremesurest Dispositions générales, règlements de sécuritéDispositions particulières Authentification des personnes, des équipements, des messages Contrôle d’accès, détection d’intrusion Chiffrement, signatures numériques Isolement de certaines ressources Scan des malware Monitoring de l’activité du système, surveillance physiqueMettre en œuvre, évaluer et améliorerTous droits réservés 2009
La démarche pratique ISA-99 La cyber-sécurité du système se construit à partir d’uneanalyse des actifs (matériels ou immatériels) à protéger, deleurs forces et faiblesses, des risques encourus, des menacespotentielles Cette analyse nécessite une mise en forme de l’architectureet une décomposition du système en zones homogènes, LL’analyseanalyse de chacune des zones permet de définir des règleset procédures qui constituent le programme de sécurité Des itérations sont nécessairesTous droits réservés 2009
Le cycleyd’analysey3412Tous droits réservés 2009
Architecture de référenceExemple d’architecture de référence simplifiéeTous droits réservés 2009
Exemple de zones hiérarchiséesLes zones « filles » héritent des propriétés des zones « parents »Tous droits réservés 2009
Des zones particulières : les conduitsConduit d’entrepriseTous droits réservés 2009
Exemple d’une station de remplissage decamionsitransportanttt t desd produitsd it dangereuxdStation de remplissageServeur d’e-mailsSwitchMoteurs, variateurs,pompes, capteurs, etc.PWROKRUNGEFanucSERIES90-30BATTA 12345678CPUA 12345678FB 12345678A12345678FB 12345678A 12345678FB12345678A12345678FB 12345678A 12 345 678FB12345678A 123 456 78FB 12 345 678A 12345678FB 123 456 78A 12345678FB 12345678FB esAutomate de contrôle100-240VAC40A50/60HZSalle de contrôledistante 24VDCOUTPUT-BATTERYS itchSwitchConfigurationRouteur et pare-feuPoste de contrôle localMaintenanceTous droits réservés 2009
Définition de la topologiep g du systèmeyPC sousWindowsStationopérateurServeur d’emailsEthernetCouche 3Couche toriquesEthernetPLC6-24V DC4-20 mAStation de chargementde camions de chloreTous droits réservés 2009Station deconfigurationPC sousWindowsStation desupervisionPC sousWindowsSt ti deStationdmaintenancePC sousWindows
Définition des zonesZone de sécurité - Contrôle ((PLC))StationopérateurZone de sécurité - Réseau d’entreprisepPC sousWindowsServeur che 3EthernetSwitchCouche 3Routeur/ParefeuSwitchPLC6-24V DCStation de chargementde camions de chloreTous droits réservés 2009Réseaau d’usineSortiesannalogiquesSortiesdigitales4-20 mA4-20 tion deconfigurationPC sousWindowsStation desupervisionPC sousWindowsStation demaintenancePC sousWindows
Les objectifsjde sécurité Après définition des zones et des conduits, le standard ISA99.03.02 définit une méthodologie permettant d’assigner desobjectifs de niveaux de sécurité à chaque zone Les catégories de sécurité vont de 1 à 4d’uneune combinaison de la Le niveau de sécurité résulte dprobabilité d’occurrence des risques et de de la criticité desconséquences Le standard donne également des éléments pourdiagnostiquer le niveau de sécurité effectivement atteint. Les métriques seront précisées dans les standards à venirTous droits réservés 2009
La stratégie de limitation du risque sedéfinit face à un niveau de risqueApplication dd’uneune matrice de décision pour ll’implantationimplantation de firewallsConclusion : firewall nécessaireTous droits réservés 2009
Défense en profondeurp Une seule technologieg de « barrière » n’est ppas suffisante ppourlimiter suffisamment le risque (exemple de la ligne Maginot)La défense en profondeur consiste à multiplier les mesures faisant barrière au risque,risque de façon hiérarchisée et/ou par redondance À faire en sorte de cloisonner les effets de défaillances éventuelles suite àattaqueq ((contre exemplep du Titanic)) Quelques exemples de défense en profondeur : Segmentation des réseaux et barrières multiples, le niveau le plus protégé pourles applications les plus critiques Séparation logique entre réseau entreprise et réseau contrôle (firewallrégulièrement inspectés), DMZ (pas de trafic perturbant les automatismes depuis le réseau entreprise) Redondance des éléments critiques (hard et soft) Différentiation technologique et diversité (par ex : antivirus de différentsfournisseurs) etc.Tous droits réservés 2009
La définition des zones : une partieimportante de la défense en profondeurZone 3 : configuration- simulationServeur de contrôleStations de travailServeurSere r dedonnéesredondantZZone2 : gestion/applicationsti /li tiContrôleur dedomaine quesdhistoriquesModemEntreprisedistribuéeZone 1 FirewallStation d’ingénierieIHMRéseau localHub/SwitchRéseau point à pointIHMContrôleur demachineZone 5-1 :contrôle groupe 1ModemMoteurCapteur depressionRéseau machines MoteurServo driveZones 6 :équipements deterrainServo driveValvesolénoïdemotorServo driveRégulateurde pressionContrôlelogiqueTous droits réservés 2009ModemAutomateprogrammableZone 5-2 :IHM 2contrôle groupeEquipementsans-filfilZone 4 : contrôle du procédéContrôleursimple boucleZone 5-4 :contrôle groupe 4Contrôleur deprocédéModemI/OCapteurs deAvertisseurproximitéZones 6 :lumineuxéquipementsDC Servode terraindriveDrive à variationde fréquenceZones 6 :é iéquipementstde terrainDétecteuroptiqueFieldbusModemZone 5-3 :contrôle groupe 3I/OZZones6:équipementsde terrainValvesolénoïdeRégulateurde pressionServo valveZonesAC6 :Driveéquipements deterrainZones 6 :équipementsde terrainCapteur ActuateurCapteur detempératureFieldbusCapteur depressionMonde extérieurà l’l’entrepriseti
Des outils sont utilespour mener lesl évaluationsé l ti Pour la qualification des réseaux decommunication Wurldtech Laboratorycommunication,est en train de s’imposer comme uneréférence Une attente : adaptation de l’outilsupport CS2SAT( Control SystemsCyber Security Self-AssessmentSelf Assessment tool)aux standards ISA/IECCes outils apportent une aide mais ne dispensent pas d’une analyseen profondeur de la conception et de l’implémentationTous droits réservés 2009
ConclusionTous droits réservés 2009
Cyber-sécurité et sécurité informatique La démarche cyber-sécuritaire nécessite un brassage de culture desintervenants et elle doit en général être réaliste et progressive. Leprogramme général de cybercyber-sécuritésécurité doit prendre en compte le niveaude risque, qui peut être différencié d’un type d’application à l’autre, et lesdifférents modes d’exploitation.Pour résorber les différences culturelles entre les informaticiens et les« gens du contrôle de procédé », il faut :– Former le personnel du contrôle de procédé aux enjeux et auxtechnologies de cyber-sécuritécyber sécurité– Former le personnel informatique à la compréhension destechnologiesget contraintes des systèmesyde contrôle de pprocédé– Développer la collaboration et la formation d’équipes intégrées avecdes experts de divers horizons.Tous droits réservés 2009
Merci de votre attentionPour tout renseignement complémentaire n & TraininggPublishingConferences & ExhibitsTous droits réservés 2009
La cyber-sécurité des systèmes de contrôle La cyberLa cyber-sécurité des systèmes de contrôle a trait à lasécurité des systèmes de contrôle a trait à la prévention des risques associés aux intrusions dans le système, liées à des actions malintentionnées, au travers des
