sécurité des si industriels : enjeux et actions clés
TRANSCRIPT
4 février 2015
20ème journée thématique SSI de OzSSI Sud-Est
Anthony Di Prima & Arnaud Soullie
Sécurité des SI Industriels : enjeux et actions clés
2
Qui sommes-nous ?
RiskManagement
Continuité d’activité
Cybersécurité
Identité numérique
QualificationPASSI
CERT-Solucom
Solucom, 2ème cabinet* de conseil indépendant en France Des clients dans le top 200 des grandes entreprises et
administrations, dans tous les secteurs
1400 collaborateurs dont 250 spécialisés dans la gestion des risques et la cybersécurité
Notre métier
« Donner confiance dans la transformation numérique »
Des offres qui allient des expertises de premier plan
Notre actualité
Inscription : [email protected]
* Source : PAC 2014
La Lettre Risques & Sécurité
Les dossiers CERT-Solucom
4 février 2015 - Propriété de Solucom, reproduction interdite
3
Définitions
SI Industriel ou « Système automatisé de contrôle des procédés industriels » (ANSSI)
Ensemble des moyens humains et matériels ayant pour finalité de contrôler ou de commander un ensemble de capteurs et d’actionneurs.
« CYBER PHYSICAL SYSTEM » Un système cyber-physique est un système où des éléments
informatiques collaborent pour le contrôle et la commande d'entités physiques
SI D’ENTREPRISE MANIPULE DES DONNÉES≠
SI INDUSTRIEL GÈRE DES INTERFACES AVEC LE MONDE PHYSIQUE
4 février 2015 - Propriété de Solucom, reproduction interdite
4
Où les trouve-t-on ?
Automobile
Agroalimentaire
Pharmaceutique
Énergie Nucléaire Réseaux électrique Réseaux d’eau Gaz / Pétrole
Transport
Aéronautique
Chimie
Militaire
4 février 2015 - Propriété de Solucom, reproduction interdite
5
Les enjeux
Une cyber-attaque sur un SI d’entreprise
Une cyber-attaque sur un SI Industriel
Image extraite de la bande annonce du film Blackhat
4 février 2015 - Propriété de Solucom, reproduction interdite
6
Cyber-attaque, cyber-vandalisme ou acte de « cyber-guerre » ?
Extrait du manuel juridique sur la cyber-guerre (Tallin/CCDCOE)
En cas de conflit « cyber-armé »,les SI Industriels en première ligne ?
LA MENACE EST RÉELLE ET SE CONCRÉTISE DE PLUS EN PLUS !
4 février 2015 - Propriété de Solucom, reproduction interdite
7
Incident de 2008 sur un pipeline en Turquie (ligne Bakou-Tbilissi-Ceyhan)
Initialement qualifié d’accidentel par le gouvernement turc
Des éléments laissent entendre qu’il s’agissait d’une cyber-attaque
LE DÉROULEMENT
Explosion du pipeline Explosion détectée 40 minutes après
l’incident par un agent de sécurité local 60 heures de vidéo de surveillance
supprimées
Qui sont les auteurs : Russie ? PKK ?
LES CONSÉQUENCES
PIPELINE
Intrusion viavidéosurveillance
Accès physiquesur site
Modification de lapression
MalwareSys. Gestiondes alarmes
8
Vol de données avéré au sein de la compagnie Sud-Coréenne Korea Hydro & Nuclear Power Co. (KHNP) exploitant la centrale
Une attaque revendiquée par « Le Président du Groupe Anti-Nucléaire de Hawaï »
Campagne de Spear-Phishing Infection de 4 postes par un malware
permettant la destruction de fichiers et de disques durs
Publication sur Twitter des documents volés
LES FAITS
Des plans de réacteurs divulgués Des manuels opérateurs disponibles Aucune atteinte au système industriel, ni les
systèmes de « sûreté » des réacteurs Réalisation d’un exercice de simulation d’une
cyberattaque de grand ampleur
Qui sont les auteurs : Corée du Nord ? Chine ?
LES CONSÉQUENCES
CENTRALE NUCLÉAIRE
9
Publication par le BSI de son rapport annuel Mention d’une attaque de type APT sur une
aciérie allemande (haut fourneau) Attaque ayant entrainée des dommages
physiques
LE DÉROULEMENT Plusieurs équipements compromis Impossibilité d’arrêter le haut fourneau
dans des conditions normales L’arrêt dans des conditions dégradées
provoque des dommages irréversibles sur l’installation
Qui sont les auteurs ?
LES CONSÉQUENCES
ACIÉRIE
spear-phishingsocial-engineering
intrusion réseaude production
Intrusionréseau bureautique
11
La presse relaie d’avantage Le mot « SCADA » dans toutes les bouches La découverte des vulnérabilités s’accélère
Les indémodables mot de passe
« hard-codés » Protocoles: HART, CAN, DNP3 …et bien d’autres
Outils et exploits de plus en plus accessibles
Des SI Industriels toujours autant exposés
SHODAN !! Des besoins d’ouvertures grandissants Big Data ?
Démocratisation Immobilisme
Exposition
Les constats d’audits mettent en avant
toujours autant de faiblesses sur les SI
Industriels Des initiatives de sécurisation encore trop peu
nombreuses Une règlementation qui se fait attendre…
Une certaine montée en pression
Une menace qui peut être très élevée Un potentiel d’attaque jusqu’au niveau
étatique
Mais des cas « publics » encore assez
rare…!?
Menace
4 février 2015 - Propriété de Solucom, reproduction interdite
12
Exposition
Faciles à découvrir grâce aux services comme SHODAN
4 février 2015 - Propriété de Solucom, reproduction interdite
13
QUELLES SONT LES PROBLÉMATIQUES SÉCURITÉ DES SI INDUSTRIELS ?
Cloisonnement réseau
Supervision sécurité
Organisation sécurité & sensibilisation
Gestion des vulnérabilités
Gestion des tiersSécurité des protocoles
Des constats qui n’ont rien de nouveau
Des budgets toujours aussi faibles / Secteur industriel en crise !?€
15
Le protocole Modbus
Protocole de communication série inventé en 1979 par Modicon, qui sera racheté par Schneider Electric
Pensé pour une utilisation industrielle Pas de royalties Désormais un des standards de communication industriel
Protocole maître / esclave Le maître envoie régulièrement des
requêtes à l’escalve Pas de notion de contexte : l’esclave
renvoie une valeur brute, le mapitre doit connaître son format
FONCTIONNEMENT
Pas de chiffrement Pas d’authentification
SÉCURITÉ
4 février 2015 - Propriété de Solucom, reproduction interdite
16
SOLUCOMAttack
ing plcs
Never do thison LIVE production
systemsDÉMOS JAMAIS SUR DES SYSTÈMES EN
PRODUCTION
4 février 2015 - Propriété de Solucom, reproduction interdite
17
Fonctionnement standard : les lumières rouge, orange et verte s’allument séquentiellement
Objectif : perturber ce fonctionnement pour engendrer le chaos
Comment faire ? Envoyer des commandes Modbus Ces commandes sont non-authentifiées Possibilité d’utiliser ce même protocole pour
programmer l’automate
DEMO #1 : FEU ROUGE
4 février 2015 - Propriété de Solucom, reproduction interdite
18
Fonctionnement standard : la centrifugeuse tourne à la vitesse 1 ou 2 et l’IHM indique à l ’opérateur la vitesse courante
Objectif : Perturber ce fonctionnement pour abîmer le matériel
Comment faire ? Utiliser le protocole S7 propriétaire Siemens pour
dialoguer avec l’automate Envoyer des commandes pour modifier la vitesse Envoyer des commandes pour modifier la consigne
affichée
DEMO #2 : CENTRIFUGEUSE
4 février 2015 - Propriété de Solucom, reproduction interdite
Une menace trop élevéepour pouvoir y faire face ?
Un gap à franchir trop grand ?
MAIS ALORS QUE DOIT ON FAIRE ?
21
S’appuyer sur les travaux en cours
2008
- Livre blanc sur la défense et la sécurité nationale
- Création de l’ANSSI
2012
- Rapport « Bockel »
- 1er guide « introductif »pour la sécurité des SI Industriel par l’ANSSI
Février 2013
- Groupe de travail piloté par l’ANSSI pour apporter des réponses à la sécurisation des infrastructures industrielles
Décembre 2013
- Loi de programmation militaire : projet de cadre minimum à respecter pour les OIV et en particulier pour les systèmes industriels
Janvier 2014
- l’ANSSI publie deux nouveaux guides pour la cybersécurité des systèmes industriels
2015 ??
Décrets et Arrêtés
??
Méthode de classification et mesures principales
Mesures détaillées
Étude sur des
OIV pilotes
…pour les opérateurs « critiques »
4 février 2015 - Propriété de Solucom, reproduction interdite
22
…et pour les autres
Profitez de l’élan !!
Soyez pragmatique
Donnez vous une cible réaliste
Priorisez et itérez
4 février 2015 - Propriété de Solucom, reproduction interdite
24
Gouvernance globale de la sécurité des SI Industriels
Afin d’augmenter le niveau de sécurité dans la durée il faut mettre en place une gouvernance globale de la sécurité des SII
Un Responsable de la Sécurité des SI Industriels doit être nommé afin de définir, mettre en œuvre et animer cette gouvernance
Le RSSII doit être capable de jouer le facilitateur entre les différentes sphères et pouvoir s’appuyer sur les acteurs incontournables du SI Industriel
DSI
Sphère industrielle
RSSII
Sphère métier
SûretéSécurité SI,
RSSI
4 février 2015 - Propriété de Solucom, reproduction interdite
25
Initier la démarche de sécurisation : plusieurs approches
Analyse de risquesAudit Bilan de conformité
Les trois approches peuvent être utilisées ou combinéesElles doivent aussi être l’occasion de mobiliser la direction générale et les directions métiers
dont l’engagement et l’implication dans la durée sont nécessaires
Sur les sites les plus sensibles ou ayant connu un incident récent
Permet d’identifier rapidement les vulnérabilités et les zones non protégées
Permet de définir des premières actions simples
Demander à chaque site d’évaluer son niveau de sécurité sur la base d’un questionnaire
Moins concrète et fiable
Permet d’avoir une vision globale plus rapidement
Appliquée à un processus industriel
Permet d’estimer les impacts financiers, humains et environnementaux en cas d’incident
Permet de prioriser un plan d’actions
Le duo gagnant !!
4 février 2015 - Propriété de Solucom, reproduction interdite
26
Approche > focus sur l’analyse de risques
Démarche proposée quasiment dans tous les standards/référentiels/normes: ANSSI :
ISA/IEC 62443 :
4 février 2015 - Propriété de Solucom, reproduction interdite
27
Approche > focus sur l’analyse de risques
Pourquoi l’analyse de risques ? Prise en compte du risque « cyber » Meilleur moyen pour comprendre le métier Permet d’établir le contact/une relation avec l’ensemble des acteurs du SI
industriel L’approche par les risques bien comprise du « Top management »
Quelle méthode ? « Bon sang, mais c’est bien sûr ! »
EBIOS !!
Oui ça marche !
4 février 2015 - Propriété de Solucom, reproduction interdite
28
Approche > focus sur l’analyse de risques
« Pourquoi une étude de risques ? On en a déjà fait plein! »
Limite : ces méthodes ne prennent pas en considération l’acte de malveillance. Il est attendu que les systèmes et les opérateurs remplissent pleinement leur fonction
HAZOP
HAZard and OPerability study
FMECA
Failure Modes, Effects and
Criticality Analysis
LOPA
Layer of Protection Analysis
FTA
Fault Tree Analysis
CAPITALISER SUR LES ÉTUDES MENÉES AU TITRE DE LA SÛRETÉ !
(ENCORE FAUT IL AVOIR À DISPOSITION CES ÉTUDES…)
4 février 2015 - Propriété de Solucom, reproduction interdite
29
Approche > focus sur l’analyse de risques
HAZOP, exemple :
Cause Dérive Évènement Redouté Conséquence Gravité Barrières de sécurité Recommandation
Défaillance pompe P1 Débit haut Surremplissage cuve C1
Épandage produit toxique 2 (décès personnel) Capteur seuil haut -
Défaillance vanne V1 Perte de surpression
Entrée d’oxygène dans équipement E1 Explosion 3 (décès population
hors site)
AlarmeSonde
Inspection-
4 février 2015 - Propriété de Solucom, reproduction interdite
30
Approche > focus sur l’analyse de risques
Étude du contexte
Étude des évènements
redoutés
Étude des scénarios de
menaces
Étude des mesures de
sécurité
Étude des risques
Métriques adaptées
Étude orientée « impacts »EBIOS
Identification des processus industriels
Identification des évènements redoutés (gravité)
Détermination des biens supports à compromettre
Identification des barrières physiques et instrumentées (SIS)
HAZOP
Adaptation
Capitalisation
4 février 2015 - Propriété de Solucom, reproduction interdite
31
Approche > focus sur l’analyse de risques
Dans le cas où le SIS est très intégré au SNCC et qu’il repose en grande partie sur une infrastructure matérielle et une couche applicative mutualisée, cela peut constituer un vecteur d’attaque pour la compromission du SIS
Des contrôles supplémentaires peuvent être mis en place afin de maîtriser l’intégrité de la configuration SIS (suivi de version, requalifications…)
Domaine Active Directory
P
Autres postes et
serveurs du domaine
Applicatif procédé
Fonctions
Process
Fonctions
Sureté
Réseau mutualisé
Fond de panier contrôleur
Contrôleur
Process
Contrôleur
SIS
Configuration SupervisionÉquipements
procédé
Dédié Process
Dédié SIS
Mutualisé
Si le SIS peut être considéré comme un élément de réduction du risque dans les approches de sûreté, il est à considérer dans les études de risque cyber comme un
bien support à part entière et attaquable !!
4 février 2015 - Propriété de Solucom, reproduction interdite
32
Approche > focus sur l’analyse de risques
Le plan d’actions ne doit pas s’apparenter à l’ascension de l’Everest !!
Établir différents paliers progressifs
Donner une vision des risques résiduels pour chaque palier
Mettre en œuvre et obtenir des premiers succès !!
4 février 2015 - Propriété de Solucom, reproduction interdite
33
Cloisonner les réseaux selon leur criticité
Contrairement aux besoins fonctionnels,les besoins de sécurité sont souvent mal identifiés.
SI de GestionSI Industriel
Remonter l’information vers le SI de Gestion ?- Surveillance de la production- Émission de factures- Big Data
Permettre la maintenance à distance ?
Exigences de sécurité Mesures de protection
Fournisseur &Mainteneur
Définir des niveaux de sécurité
Regroupement physique et logique de systèmes informatiques Importance comparable en terme de sécurité À chaque zone est associé un niveau de criticité et des règles
associées
Définir des zones
Appliquer les mesures de protection Cloisonnement aux frontières (pare-feux et diodes) Filtrage des flux Contrôle d’accès et authentification des utilisateurs
…et progressivement
4 février 2015 - Propriété de Solucom, reproduction interdite
34
Cloisonner les réseaux > focus sur les solutions
Segmentation par VLAN (et filtrage associé !) Mise en place de firewalls Utilisation de DMZ pour l’échange de données Équipements de filtrage avec inspection protocolaire (DPI)
Diodes réseau Solutions de cloisonnement avancé : seclabs (matériel), PolyXene (logiciel), …
Des solutions classiques …
…et d’autres plus « avancées »
Un besoin réel : échanger des données entre les réseaux industriels et de gestion, via le réseau et/ou via des périphériques amovibles
4 février 2015 - Propriété de Solucom, reproduction interdite
35
Traiter les urgences sans négliger la sécurisation à moyen terme
Arrêt de production
Changement de
fournisseur
Mise en place de solutions palliatives
Modifications en profondeurs
Les changements sur un réseau de production sont complexes à organiser : Impact sur la disponibilité de l’installation Remise en cause de l’homologation de sûreté
La Gestion des correctifs de sécurité a un cycle de mise en œuvre trop court par rapport au cycle de vie d’une installation industrielle
4 février 2015 - Propriété de Solucom, reproduction interdite
36
Patch management et solutions palliatives
Avantages Inconvénients
Requiert une forte expertise
Manque d’exhaustivité
Pas une solution valable à long
terme
Peu dépendant des produits
Impact sur le process facile à
mesurer
Retour en arrière plus aisé
Parmi ces mesures palliatives figurent : La reconfiguration d’équipement L’ajustement des règles de filtrage réseau La personnalisation des règles IDS …
Ces mesures visent à contrer les tentatives d’exploitation de vulnérabilités connues et
non corrigées
Tendance :Utilisation de solutions de type « Whitelisting »
sur la partie SCADA
La gestion des correctifs de sécurité est souvent incompatible avec les contraintes des SI Industriels
Il est possible de compenser cette difficulté par l’application de mesures palliatives (workaround)
4 février 2015 - Propriété de Solucom, reproduction interdite
37
Sécuriser les équipements et les protocoles
Équipements simples
Peu de mémoire, de puissance de calcul
Considérés comme « électroniques »
plutôt qu’ « informatiques »
Protocoles spécifiques
Pas de prise en compte de la sécurité
Protocoles de communication
adaptés de protocoles « série
historique »
VulnérabilitésAuthentification
faible
Mots de passe par défaut
Mots de passe par « hardcodés »
Équipements
Informations échangées en clair
Possibilité de rejeu
Pas d’authentification
Protocoles
Les API et protocoles associés sont bâtis sur des contraintes de disponibilité et de longévité.Il faut avoir conscience de leurs vulnérabilités pour y pallier quand cela est possible.La sécurisation des équipements et protocoles ne pourra venir que des fournisseurs.
4 février 2015 - Propriété de Solucom, reproduction interdite
38
Maitrise de la sous-traitance et de la maintenance
Les fournisseurs / éditeurs sont encore tropsouvent dans une posture « dominatrice »
Certains points dans la maîtrise de lasous-traitance et de la maintenance sontà surveiller de près :
Mise en œuvre de maintenance à distance : Les accès doivent être sécurisés : authentification forte / chiffrement Attention à la maintenance à distance par Internet et/ou depuis l’étranger
Conditions de garantie En cas de modification (installation d’antivirus ou de correctif de sécurité)
Configuration à la livraison, les équipements sont souvent livrés avec leurs configurations par défaut des configurations non durcies
@
Gestion de fournisseurs multiples : Limiter les entrées/sorties des personnels de maintenance / intervention Contrôler afin de limiter l’introduction de composants malveillants
4 février 2015 - Propriété de Solucom, reproduction interdite
39
Supervision de la sécurité
L’intégration à un SOC « central » est rendue difficile par l’ouverture des flux qu’elle nécessite mais doit être étudiée
La mise en œuvre d’un SOC local est essentielle
Mettre en place des dispositifs de surveillance tels que les IDS, IPS ou des pare-feux avec capacités de “Deep Packet Inspection” permet de pouvoir détecter et réagir face aux incidents de sécurité
SCADA : Supervisory Control and Data Acquisition
La supervision est au cœur des systèmes SCADA,c’est même leur but premier.
Cependant, il s’agit de superviser le fonctionnement et la sûreté.La supervision au sens sécurité est quasi inexistante
Supervision
Remontée de logs
Analyse de flux critiques
4 février 2015 - Propriété de Solucom, reproduction interdite
40
En conclusion
Il faut faire face à la réalité. La menace est réelle et le fossé se creuse entre niveau de cybersécurité des installations et le niveau des attaquants.
N’attendons pas un évènement majeur pour adresser le sujet !!
Les méthodes éprouvées du monde de l’IT conventionnel peuvent s’adapter aux spécificités du monde industriel.
Il faut donc combiner les savoir-faire !!
La mobilisation des directions métiers est aussi une nécessité pour la sécurisation de l’entreprise de bout en bout dans une approche globale.
Cela passe également par des investissements significatifs (build et run) !!
4 février 2015 - Propriété de Solucom, reproduction interdite
www.solucom.fr
Anthony DI PRIMA
Manager
Tel : +33 (0)1 49 03 84 63
Mobile : +33 (0)6 69 28 15 95
Mail : [email protected]
Contact