2015, année de la sécurité SCADA ?

 

2015, année de la sécurité SCADA ?

 

 

Le CLUSIF tire la sonnette d'alarme sur l'urgence de prendre en compte la sécurité des systèmes d'informations évoluant en environnement industriels (SCADA Supervisory Control And Data Acquisition ou système de controle et d'acquisition de données industrielles.)

 

On l'a appris fin décembre 2014 dans un rapport gouvernemental allemand (1), une usine métallurgique allemande a subi une cyberattaque. Les pirates ont pris le contrôle du réseau de l'infrastructure de production après avoir obtenu les informations nécessaires à l'aide de techniques « d'ingénierie sociale » selon le rapport officiel. Les impacts semblent réels en raison de la défaillance de plusieurs composants. Ce dysfonctionnement a empêché l'arrêt contrôlé d'un haut fourneau. Celui-ci en continuant a fonctionner a endommagé une partie de l'infrastructure. Selon le rapport - qui ne donne ni le nom de l'usine, ni la date de l'attaque - les cyber-attaquants disposaient de capacités techniques "très avancées". Comme dans le cas de Stuxnet un autre ver ciblant les systèmes industriels en 2010 dans une usine iranienne - les cyber-attaquants ont semble t-il fait preuve d'une grande connaissance des processus de production et des contrôle industriels. Bien que encore rares, ces événements démontrent les impacts sérieux que peuvent subir des systèmes industriels encore « épargnés » par les cyber-attaques.

 

Cyberisques.com-Clusif-SCADA-2

 

 

Est ce un hasard ? La dernière conférence de l'année du CLUSIF qui vient de se tenir à Paris fin décembre 2014 s'est penchée sur la sécurité des systèmes industriels (3). Philippe Jeannin chez RTE a en charge avec son équipe la sécurité de 105 000 km de lignes électriques et 2600 postes électriques. Son témoignage est révélateur : « l'absence de connexion de nos systèmes SCADA à ceux des SI du groupe nous rassurait. Le 30 juillet 2010, Siemens nous alerte que des infections existent sur certains composants des systèmes SCADA que nous utilisons. Nous contrôlons l'ensemble de nos systèmes industriels et découvrons des virus inoffensifs sur certains postes et pas de Stuxnet ». Une infection attribuée à l'usage de clés USB. Cette alerte a servi de « détonateur » à RTE pour déclencher la mise en place d'un contrôle interne basé entre autres sur l'usage d'une liste blanche. Thierry Cornu, responsable Offre Cybersécurité industrielle chez Euriware (CapGemini) révèle que 5 ans après Stuxnet, 19,6 % des entreprises déclarent...

...

 

Nucléaire-SCADA

 

avoir été infectées sur leurs environnements industriels. Reste que la sécurité des systèmes industriels demande du temps. Selon cet expert, le réel démarrage de projets liés à la sécurité SCADA s'est fait en 2014. Pour Thierry Cornu, cinq marqueurs sont a respecter pour réussir la mise en place d'une politique de sécurité pour SI industriels : désigner une gouvernance, établir les points marquants d'un référentiel, réaliser les tests expérimentaux, passer en « production » sur le SI industriel et … désigner un RSSI « industriel ». Des freins « exprimés » apparaissent au sein de la gouvernance des entreprises pour démarrer ce type de projet : les coûts et le ROI et surtout selon l'expert d'Euriware l'incompatibilité de cette « nouvelle couche de sécurité » sur des systèmes industriels à très fortes contraintes opérationnelles. Concernant les freins « réels », beaucoup d'entreprises expriment des difficultés à appréhender et à quantifier les cyber-risques en environnement SCADA. Bon nombre d'entre elles soulignent aussi les problèmes liés à la gouvernance RSSI et les différences avec la sécurité des SI « traditionnels ».

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

Pour remédier à ces hésitations des experts se sont rassemblés au sein du groupe de travail CLUSIF placés sous la direction de Gérome Billois (Solucom) et Hervé Schauer (HSC) avec la participation de l'ANSSI (dont le guide SCADA a été publié en 2012) et son représentant pour la partie sécurité des SI industriels Stéphane Meynet. Ce groupe a remarquablement travaillé sur un sujet encore trop méconnu. Il suggère certaines pistes (cf section BONUS) a commencer par une liste de documents a consulter pour bénéficier des bonnes pratiques en matières de normalisation. Ces fiches de lecture livrent des priorités parmi les 53 documents recensés. Outre les standards déjà présents (ISO 27001) d'autres plus spécifiques aux enjeux de la sécurité des systèmes industriels sont notés : CEI 62443 et CEI 62645.

 

 

Cyberisques.com-Clusif-SCADA-DOC

 

 

Une certitude, 2015 sera l'année des premières implémentations de normes sécurité en environnement industriel Comme nous l'écrivions il y a quelques mois(http://cyberisques.com/fr/mots-cles-12/302-kaspersky-lab-veut-securiser-les-systemes-industriels-scada l'interconnexion des systèmes industriels à Internet via le SI "bureautique" constitue une des plus grandes vulnérabilités "externes" pour les SI en général. Certes SCADA relie des équipements plutôt que les ordinateurs et gère des systèmes (process) plutôt que des utilisateurs. Mais les cyber-menaces en mode Stuxnet sont bien réelles et terriblement efficaces voire dissuasives lorsqu'elles touchent leurs cibles.  Une architecture SCADA est basée sur des protocoles propriétaires (MODBUS, DNP3 et IEC 60870-5-101...) qui contrôlent les API (Automates Programmables Industriels). Les différents composants d'une architecture SCADA sont les logic controller (PLC), remote terminal unit (RTU), humain machine interface (HMI), et les systèmes de communication réseau. Pratiquement aucun élément n'est sécurisé au sens informatique / internet. S'ajoute à ce constat que la majorité des systèmes installés le sont pour une vingtaine d'années. Leurs mises à jours pour renforcer leur cyber-sécurité n'ont pas été pensées "in design". Il y a donc urgence à convaincre les « boards » des COMEX et CODIR (cf lien ci-dessous) de l'aspect critique de la situation en 2015. De leur coté, les industriels sont déjà convaincus. Les acteurs traditionnels de SCADA sont les industriels à l'origine des automates programmables tels que ABB (Suisse), Rockwell Automation (U.S.), Siemens (Allemagne) et Schneider (France). Au total, le marché mondial des équipements et services liés à la planète SCADA devrait représenter à l'horizon 2020, 11,16 milliards de dollars selon le cabinet MarketsandMarkets. La ventilation des investissements sur une période 2013 – 2016 coté entreprises utilisatrices de systèmes SCADA s’élèveraient selon IDC a plus de 21% avec une part réservée auxlogiciels de securité estimée à 27%.

Jean Philippe Bichard @jpbichard

 

 Cyberisques.com-SCADA-1

 

BONUS :

 

http://www.cylance.com/operation-cleaver/

 

 

1- https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile

 

2 - http://www.epochtimes.fr/front/14/12/15/n3510651/les-cyberattaques-compromettent-les-pdg-et-les-conseils-dadministration.htm

 

3 - Lire à ce sujet l'excellent guide technique réalisé par l'équipe SCADA du CLUSIF : https://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2014-SCADA-Annexes-Fiches-de-lecture.pdf

4 - http://www.theguardian.com/world/2014/dec/22/south-korea-nuclear-power-cyber-attack-hack