Quelles contraintes pour sécuriser les systèmes industriels ?
De manière schématique, on retrouve sur les systèmes industriels des capteurs ou actionneurs contrôlés par des automates, eux-mêmes contrôlés ou supervisés par des superviseurs/SCADA.
Si les superviseurs/SCADA reposent majoritairement sur des systèmes courants type Windows, parfois Linux, les automates sont des équipements embarqués souvent très spécifiques. Leurs constructeurs ont historiquement peu de sensibilité à la sécurité informatique, même si cela commence tout juste à évoluer.
La première contrainte forte est que sur l'historique d'une installation industrielle, ces équipements ont un niveau de sécurité par défaut très faible. De plus, une fois installée, l'usine est souvent prévue pour produire pendant plusieurs année sans que ne soit prévu le moindre créneau d'évolution des systèmes de contrôle commande. Il est donc rare de pouvoir y appliquer une amélioration continue.
D'autre part, certains systèmes doivent subir des qualifications avant d'être mis en production et ces démarches nécessitent parfois plusieurs années, ce qui freine d'autant plus leur évolution et capacité d'amélioration de la cybersécurité. En particulier, cela ne permet pas d'appliquer au fil de l'eau des correctifs de sécurité ou des mises à jour antivirales, comme cela se ferait naturellement sur des systèmes bureautique.
Prévoyez des systèmes Secure by design
Lorsqu'un système peut rarement évoluer, il devient primordial lors des rares créneaux possibles de prévoir d'emblée un système sécurisé par design. Ce concept implique en particulier de :
Durcir les systèmes et minimiser leur surface d'exposition en limitant ou désactivant les composants ou fonctions dangereuses.
Mettre en œuvre un contrôle d'accès particulièrement restrictif.
Remplacer des mesures qui nécessitent une mise à jour périodique (par exemple, un antivirus) par des mesures pérennes qui seront prévues à la conception sans besoin dévolution récurrent (pour remplacer l'antivirus, mettre en place des une politique de restriction logicielle par liste blanche, par exemple avec SRP ou AppLocker sous Windows).
Renforcer le cloisonnement et le filtrage, d'une part à l'intérieur même du système industriel, d'autre part avec son interconnexion avec le réseau bureautique. En particulier, lorsqu'un composant ne peut pas être sécurisé (historique d'un produit sur l'installation industrielle), il faut jouer sur son positionnement dans l'architecture et mettre en place des mesures qui vont couvrir en amont les vecteurs d'attaque identifiés.
Comprenez et traitez les vecteurs d'attaques
Les vecteurs d'attaque d'un système industrielle
Les systèmes industriels ont souvent été isolés et leurs exploitants ont longtemps pensé que cette isolation réseau était suffisante pour en garantir la sécurité. Toutefois :
Le besoin d'interconnexion avec le réseau d'entreprise est croissant, en particulier pour y transmettre des données de production et faciliter la maintenance.
Même lorsqu'un système industriel est isolé, il est fréquent d'avoir besoin d'échanger des données par médias amovibles (ex : données de debug en cas de panne, nouvelles configurations d'automates). Même si cela n'est pas une interconnexion réseau, c'est un échange de données qui est vecteur d'attaques, soit en utilisant une attaque reposant sur le support (BadUSB), soit une vulnérabilité du système de fichier ou de l'exploration des données (comme la vulnérabilité LNK utilisée par l'attaque Stuxnet), soit en modifiant en amont les données importées ensuite sur un automate.
Plusieurs attaques, par exemple Havex/Dragonfly montrent que des équipements peuvent être piégés en amont chez un fournisseur piraté.
Même sur des systèmes isolés, des PC portables sont parfois mutualisés entre différents systèmes pour les maintenir, les diagnostiquer ou les administrer. Voire pire, ces postes sont parfois mutualisés avec un usage bureautique, ce qui amène le risque que le PC soit compromis lorsqu'il est branché côté bureautique et que l'attaquant puisse rebondir sur le système industriel lorsque le PC portable y est branché pour maintenance.
Certains équipementiers exigent dans leur contrat de support de disposer d'une télémaintenance sur leurs équipements déployés sur l'infrastructure industrielle, ce qui fragilise fortement l'architecture.
Traitez ces vecteurs d'attaque
Cloisonnement et filtrage
Pour traiter ces vecteurs d'attaque, le cloisonnement et le filtrage interne deviennent particulièrement importants. Un pare-feu doit interconnecter les différents systèmes ou groupes de systèmes industriels et être configuré pour ne laisser passer que les flux réseau justifiés par un besoin fonctionnel. En cas de compromission d'un des composants de l'infrastructure industrielle, cela permet de limiter la capacité de rebond d'un attaquant sur les autres composants.
Connexion à l'infrastructure bureautique
Différents niveaux de mesures peuvent être appliqués pour interconnecter l'infrastructure industrielle à celle bureautique :
Mettre en œuvre un pare-feu et n'autoriser que les flux à l'initiative de l'industriel vers la bureautique.
Lorsqu'il n'y a qu'un besoin d'export de données de l'industriel vers la bureautique, réaliser cet export au travers d'une diode, qui physiquement empêche les communications dans l'autre sens.
Reposer sur un système multi-niveaux ou un autre produit de sécurité qui permet d'échanger des données sans interconnexion réseau.
Échanges par médias amovibles
Tout comme les échanges réseau, ceux par médias amovibles doivent être filtrés :
Limiter les points d'échange et désactiver l'USB sur les systèmes qui n'en ont pas besoin.
Utiliser un dispositif matériel ou logiciel qui limite les échanges USB, l'identifiant des clés, le contenu des données échangées ou leur signature numérique.
En résumé
La faible fréquence d'évolution des systèmes industriels nécessite une sécurité par design et la mise en œuvre de mesures qui ne nécessitent pas d'évolution périodique, en particulier une politique de restriction logicielle par liste blanche.
Lorsqu'un système final n'est pas sécurisé en l'état, il faut couvrir en amont les vecteurs d'attaque par des mesures d'architecture.
Il est indispensable de filtrer les échanges par médias amovibles.
La vérification systématique de signature numérique de toutes les données importées sur l'infrastructure industrielle est une mesure particulièrement efficace.