Cyber-sécurité - Aperçu sur le tutoriel ISA-France by Jean-Pierre Hauet

Ceci est un aperçu du tutoriel ISA-France sur la cyber-sécurité des systèmes de contrôle. Pour l'acquérir, rendez vous sur www.isa-france.org

L’IEC 62443 (ISA-99) Standards Certification Education & Training

CYBER-SECURITE DES AUTOMATISMES ET DES SYSTEMES DE CONTRÔLE DE PROCEDE

Publishing Conferences & Exhibits

Présentation de l’intervenant

L’auteur : Jean-Pierre HAUET, ancien Chief Technology Officer d’ALSTOM, Associate Partner de KB Intelligence, Président d’ISA-France.

Objectifs de la formation •

•

Rappeler l’enjeu de la cybersécurité des systèmes de contrôle, compte tenu des attaques survenues au cours des dernières années Expliquer la démarche préconisée par l’ISA-99 devenue IEC 62443 afin de permettre aux responsables de construire un système de gestion de la cybersécurité d’évaluation de la robustesse de leurs systèmes ou de leurs installations Présenter de façon synthétique la terminologie et le contenu des principaux documents normatifs de l’IEC 62443 afin de faciliter leur accès aux futurs utilisateurs Préconiser des pratiques de défense de nature à accroître le niveau de cybersécurité des installations, sans prétendre faire une analyse exhaustive des techniques de sécurité Proposer quelques annexes pour approfondissement éventuel

Sommaire du document (1) Première partie : Généralités • • • • • •

La sécurité des systèmes de contrôle : rappels et définitions Cybersécurité et sécurité fonctionnelle La cybersécurité : un risque bien réel La veille cyber-sécuritaire : où trouver des informations ? Pourquoi les IACS sont-ils devenus vulnérables ? Les solutions de l’informatique classique ne sont pas suffisantes – L’utilité d’un référentiel

Deuxième partie : l’ISA-99 et l’IEC 62443 • • • •

Le comité de standardisation ISA99 L’approche générale de l’IEC 62443 L’IEC 62443 : plan documentaire et principaux documents L’IEC 62443-1-1 : modèles et concepts Tous droits réservés hauet.com 2015 4

Sommaire du document (2) Deuxième partie : l’ISA-99 et l’IEC 62443 (suite) • • • • • • • • •

Establishing an IACS security program : ANSI/ISA-99.02.01 et IEC 62443-2-1 : Requirements for an IACS security management system L’IEC 62443-2-4 : Security program requirements for IACS service providers L’IEC 62433-3-2 : Security risk assessment and system design L’IEC 62443-3-3 : System security requirements and security assurance levels Mise en oeuvre de l’IEC 62443 Exemple simple de détermination des zones et des conduits L’IEC TR62443-3-1 : Security technologies for IACS Evaluation et certification Conclusions

Sommaire du document (3)

Annexes • Annexe 1 : Quelques éléments pour bâtir un système de gestion de la cyber- sécurité • Annexe 2 : Recommandations de bon sens • Annexe 3 : Aperçu sur les techniques de chiffrement • Annexe 4 : Quelques organismes de standardisation ou de recherche • Annexe 5 : Liens utiles

Partie 1 : Généralités

Standards Certification Education & Training Publishing Conferences & Exhibits

La sécurité des systèmes d’automatisme et de contrôle : Standards Certification

Rappels et définitions

Education & Training Publishing Conferences & Exhibits

En anglais, « safety » et « security » •

•

La « safety » a trait aux mesures prises pour protéger un système de dommages inacceptables, qu’ils soient directs ou indirects (aux personnes et à l’environnement), résultent d’incidents ou d’accidents, intentionnels ou non . L’état qui en résulte est qualifié de « safe ». Exemple : se protéger d’un ouragan. La « security » a trait aux mesures prises (et à l’état qui en résulte) pour protéger un système contre des actes intentionnés. Exemple : mettre ses avoirs en sécurité à la banque. La « cybersecurity » apparait comme une rubrique de la « security » et l’IEC 62443 la définit comme « Measures taken to protect a computer or computer system against unauthorized access or attack »

En français, « sûreté » et « sécurité » •

La « sécurité » est proche de la « safety » anglaise. Vise l’ensemble des mesures et l’état qui en résulte pour se protéger contre les risques de toute nature : sociale, militaire, environnementale… – Mettre ses actifs en sécurité à la banque – Se mettre en sécurité en cas d’ouragan…

• •

Dans le domaine industriel, on parle de « sécurité industrielle », incluant les aspects physiques, environnementaux, humains, etc. La « sûreté » présente des analogies avec la « security » anglaise – Désigne souvent l’ensemble des actions visant à se prémunir contre des risques venant de l’extérieur, en particulier les attaques criminelles – La « sûreté nucléaire » couvre un spectre plus large – Dans le domaine industriel, on parle de « sûreté de fonctionnement » : « aptitude d’un système à accomplir les fonctions qu’on en attend, dans des conditions définies et durant un intervalle de temps donné ».

•

La « sécurité fonctionnelle » a été introduite par les normes IEC 61508 et 61511 comme sous-ensemble de la sûreté de fonctionnement

La sécurité fonctionnelle (functional safety) •

•

• •

La sécurité fonctionnelle (functional safety : « Sous-ensemble de la sécurité globale, relatif aux équipements et aux systèmes de contrôle-commande associés, qui dépend du fonctionnement correct de systèmes électriques, électriques, programmables électroniques (E/E/PE) concernés par la sécurité ». La sécurité fonctionnelle de s’intéresse qu’aux « safety related systems » (systèmes comprenant une ou plusieurs dispositions dont la défaillance peut mettre en cause la « safety » des personnes et de l’environnement) et aux systèmes actifs (ex : systèmes de détection de fumées) Les systèmes passifs ne relèvent pas de la sécurité fonctionnelle (ex : portes résistant au feu) La sécurité fonctionnelle, telle que définie par l’IEC 61508; n’inclut pas la cybersécurité, qui n’était pas un risque reconnu à l’époque.

La cybersécurité des installations industrielles •

•

La cybersécurité des installations industrielles a trait à la prévention des risques associés aux intrusions dans un système d’automatisme ou de contrôle (IACS : Industrial Automation and Control System), liés à de possibles actions malintentionnées sur des équipements informatiques, des réseaux de communication, des logiciels ou des données. La cybersécurité des installations industrielles va au-delà de la notion de sécurité des systèmes d’information : l’essentiel est moins de sécuriser les informations que le processus contrôlé par l’IACS. La cybersécurité est une composante nouvelle de la sécurité industrielle aux côtés de la sûreté de fonctionnement et de la sécurité fonctionnelle.

Cybersécurité et sécurité fonctionnelle Standards Certification Education & Training Publishing Conferences & Exhibits

Cybersécurité et sécurité fonctionnelle

• •

•

La sécurité fonctionnelle des systèmes automatisés (E,E,PE) se fonde sur la norme IEC 61508 et sur les normes qui en dérivent. La norme IEC 61508 traite du comportement d’un système face à des défaillances ou à des phénomènes, internes et externes, susceptibles d’affecter gravement son fonctionnement. Mais au moment de sa conception, la cybersécurité des IACS était une préoccupation du second ordre (isolement et technologies spécifiques des systèmes de contrôle) Cependant, les deux disciplines visent à contenir les conséquences dommageables pouvant résulter d’une défaillance dans le bon fonctionnement des processus

Principales normes de sécurité fonctionnelle

IEC 61508 Norme générique

IEC 61511 Process industriels

IEC62061 Machines

IEC61513 Nucléaire

ISO 26262 Automobile

Ferroviaire EN 50126, 50128, 50129

Avionique DO178d

Normes sectorielles

Source : Grenoble INP- Génie industriel 17

Standards Certification

La cybersécurité : un risque bien réel

Education & Training Publishing Conferences & Exhibits

Les cyberattaques ne sont pas une paranoïa (1) Beaucoup d’exemples sont disponibles dans la littérature, en dépit de la tendance à conserver secrets les incidents

• Eau – 2000 : une installation radiocommandée de traitement des eaux usées à Maroochy Shire (Australie) attaquée par un employé insatisfait – 2006 : hacking du système de sécurité d’une installation de filtration de l’eau à Harrisburg (Pennsylvanie) – 2011 : attaque (en “proof of concept” ) sur l’entreprise de distribution de l’eau du Sud Houston, etc.

• Transports – Déraillement d’un tramway à Lodz provoqué par un adolescent de 14 ans

• Pétrole – – – –

1982 : la CIA aurait provoquer l’explosion du gazoduc de l ’Oural 2009 : sabotage d’installations pétrolières au Venezuela 2009 : attaques du ver Slammer sur des plates-formes offshore 2009-2011 : attaque Night Dragon contre 12 entreprises gazières et pétrolières – Vol d’informations sensibles, etc.

Le processus Stuxnet •

Construction informatique très complexe, capable de : – s’infiltrer par différents moyens (Clés USB, réseaux, programmes corrompus) – communiquer avec un centre de contrôle – repérer les équipements fonctionnant sous Windows, notamment (les stations de supervision Siemens WinCC et les consoles de programmation Step 7 – s’y installer masqué par des rootkits et des certificats volés – modifier la programmation des automates S7-300 pilotant des variateurs de Code STL vitesse corrompu

• • •

100 000 porteurs sains infectés dans le monde fin septembre 2010 – Plus de 60 % en Iran Probablement 1000 centrifugeuses détériorées Première attaque à effet destructif organisée par un état

Stuxnet

Centrifugeuses Variateurs

Octobre 2011 : le cas Duqu Juin 2015 : Duqu 2 • • •

• •

14 octobre 2011, un laboratoire universitaire de Budapest (le CrySyS) publie un rapport démontrant l’existence d’un nouveau malware présentant de fortes similarités avec Stuxnet Symantec publie un rapport intitulé « W32Duqu - The precursor to the next Stuxnet » Duqu apparait comme un cheval de Troie qui ne contient pas d’éléments de code relatifs à un système de contrôle particulier mais est destiné à récupérer et à transmettre des éléments d’information Une douzaine de pays contaminés Juin 2015 : Duqu 2 détecté visant à subtiliser des informations sur les négociations avec l’Iran : utilise des 0day vulnérabilités sur MSI (Microsoft Software Installer) Source : Symantec – Novembre 2011

2014 : attaques Dragonfly • Décrites par Symantec le 30 juin 2014 mais remontent à 2010/2011 • Proviendraient d’un groupe localisé en Europe de l’Est • S’attaquent à diverses industries (énergie, pharmacie) et à leurs fournisseurs de systèmes de contrôle • Cibles : équipements sous Windows XP • Objectif identifié : vol d’informations • Objectif possible : prise de contrôle et sabotage • Zones cibles : Etats-Unis et Europe Tous droits réservés hauet.com 2015

Répartition des attaques Dragonfly selon Symantec 42

On trouve presque tout sur Internet •

•

• • •

Des « exploits » permettant d’utiliser des vulnérabilités des systèmes (Adobe, Windows, Android, IOS, etc.), y compris des exploits « 0-day » (non publiés et non patchés), à des prix allant de 5 000 à 250 000 USD (selon Forbes 2012) Des « payloads », ou « charges » qui sont les composants logiciels permettant de développer une attaque en fonction de l’objectif visé (espionnage, sabotage, collecte de données…) Des outils de dissimulation (rookits, systèmes de communication furtifs…) Des réseaux de « botnets » ou « zombies » travaillant à façon… Des plates-formes d’outils offrant un nombre considérable de modules (116 pour Equationdrug)

Une attaque type : le spear phishing

Le spear phishing désigne toute attaque au phishing très ciblée, consistant à envoyer des courriers qui semblent authentiques à l'ensemble des employés ou des membres d'une entreprise, d'un organisme gouvernemental, d'une organisation ou d'un groupe donné. Le courrier peut sembler provenir de l’employeur ou d'un collègue. En réalité, les informations sur l'expéditeur du courrier ont été falsifiées. Alors que les arnaques au phishing classiques cherchent à voler des informations aux gens, les escroqueries de type spear phishing essaient de pénétrer le système informatique d'une entreprise.

Le spear phishing (2) 1

Un attaquant déclenche une attaque de spear-phishing contenant un lien vers serveur pirate

Un utilisateur ouvre l’e-mail infecté et entre en liaison avec le serveur pirate. Celui-ci télécharge une commande à distance pirate (RAT).

2 Serveur Web

2 1

Attaquant

Serveur Email

4 L’attaquant utilise le RAT malware pour reconnaître l’ensemble du système et recolter les données

Centre de contrôle

Les informations sur le compte utilisateur et la configuration du serveur hôte sont envoyées à C&C serveur

La veille cyber-sécuritaire : où trouver des informations ? Standards Certification Education & Training Publishing Conferences & Exhibits

Où trouver des informations ? (1) • En France : l’ANSSI et le CERTA

Répartition par secteur des incidents rapportés au CERT en 2014

Pourquoi les IACS sont-ils devenus vulnérables ? Standards Certification Education & Training Publishing Conferences & Exhibits

Le mythe de « l’air gap » a disparu

• Un IACS moderne est très complexe et fortement interconnecté • De multiples points d’entrée permettent d’accéder aux espaces-mémoires et aux contrôleurs • L’hypothèse d’un air-gap entre l’IACS et les réseaux d’entreprise est en règle générale irréaliste • Focaliser la défense sur les points d’accès les plus évidents (typiquement le pare-feu entre le niveau contrôle et le niveau IACS) crée l’illusion de la protection. Tous droits réservés hauet.com 2015 74

Le mythe de l’air gap a disparu

Pourquoi les IACS sont-ils devenus vulnérables ? • Mise en réseau des systèmes de contrôle  Surveillance à distance, debugging et maintenance  Accès aux données en temps réel, pour applications telles que l’équilibrage des réseaux ou le trading  Intégration des réseaux de contrôle et des réseaux d’entreprise  Un IACS n’est jamais totalement isolé Connexions non sécurisées (locales ou distantes)

• Utilisation de produits sur étagère (COTS)  Stacks de réseaux non durcis  Operating systems banalisés pour les stations opérateurs ou d’ingénierie  Applications non régulièrement patchées  Les IACS sont devenus la proie de toute sorte de malwares

Les solutions de l’informatique classique ne sont pas suffisantes – L’utilité d’un référentiel

Standards

Certification

Education & Training Publishing

Conferences & Exhibits

En bref : les systèmes IAC et IT diffèrent sensiblement Systèmes d’automatismes et de contrôle

Systèmes d’information et de gestion

Confidentialité

Intégrité

Confidentialité

Priorité

Disponibilité

Les exigences de performance sont différentes IT

IACS

Non temps réel

Temps réel

Délais de réponse admis

Temps de réponse critique

Messages longs et peu fréquents

Messages courts et fréquents

Beta test admis in situ

Qualification préalable requise

Intervention sur appel admise

Reconfiguration automatique souvent exigée

Bien choisir son référentiel normatif • • • •

•

Référentiel générique SI : série ISO/IEC 27000 Référentiel IACS : série ISO/IEC 62443, issue de l’ISA-99 Guidelines NIST : Guide to Industrial Control Systems (ICS) Security – 800-82 (2011) Guides ANSSI : Guide sur la cybersécurité des installations industrielles (2012) – Méthode de classification et mesures principales – Mesures détaillées (2014) Référentiels sectoriels

Nucléaire : o IEC 62645 (CDV) – Liaison avec ISA-99 en cours de discussion o AIEA (Reference manual 2011) o Standards EDF

Réseaux électriques o Standards NERC/CIP (obligatoires aux USA pour les réseaux de transport) o NIST Interagency Report (IR) 7628 Rev1 Guidelines for Smart Grid Cybersecurity” (2014-10) o IEC 62351 : Vise à sécuriser les données et les communications dans les systèmes de puissance o Guides ENISA et rapports CEN-CENELEC-ETSI « SG-CG/M490 » Tous droits réservés hauet.com 2015 103

Respecter les dispositions réglementaires En France •

Loi du 18 décembre 2013 - Chapitre IV : Dispositions relatives à la protection des infrastructures vitales contre la cybermenace – « Art. L. 1332-6-1.-Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d'information des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation. Ces opérateurs sont tenus d'appliquer ces règles à leurs frais.

•

Décrets du 27 mars 2015 – sécurité des systèmes d'information des opérateurs d'importance vitale – qualification des produits de sécurité et des prestataires de service de confiance

Partie 2 : L’ISA99 et l’IEC 62443 Standards Certification Education & Training Publishing Conferences & Exhibits

Le comité de standardisation ISA99 Standards Certification Education & Training Publishing Conferences & Exhibits

Mission et composition Processus d’élaboration des standards

Standards

L’approche générale de l’IEC 62443

Certification Education & Training Publishing Conferences & Exhibits

Le champ d’application de l’IEC 62443

• Tous les systèmes industriels d’automatisme et de contrôle (IACS) • Y compris les systèmes de supervision rencontrés dans les industries de process • Y compris les Scadas (Supervisory control and data acquisition) :    

Réseaux de transport et de distribution d’électricité Réseaux de distribution d’eau et de gaz Production de gaz et de pétrole Pipelines et gazoducs

• Autres applications éventuelles

Situation du standard IEC 62443 vis-àvis des principales normes de sécurité

L’IEC 62443 Standards

Plan documentaire et principaux documents

Certification Education & Training Publishing Conferences & Exhibits

Evolution de la structure documentaire •

•

En 2009, il a été décidé de procéder à un renommage de tous les documents produits ou en cours de production par l’ISA99 afin de faciliter leur prise en compte par l’IEC dans le cadre de la norme IEC 62443. En 2011, il a été décidé d’introduire dans l’IEC un document issu du WIB qui est devenu l’IEC 62443-2-4 Les premiers chiffres de l’indexation vont du général au particulier.    

•

1 : Documents généraux 2 : Documents de niveau « entreprise » : policies and procedures 3 : Documents de niveau « système » 4 : Documents de niveau « composant »

La programme de travail du comité ISA99 s’étale jusqu’à 2016. Les documents finalisés sont publiés comme normes par l’ANSI et par la CEI Certains documents sont en cours de révision, afin notamment de s’harmoniser les normes ISO/IEC 27000.

Structure documentaire IEC (juillet 2015)

Programme de travail (juillet 2015)

ISA/IEC Designation 62443-1-1 TR62443-1-2

Title Terminology, concepts and models Master glossary of terms and abbreviations (technical report)

2015 2016 2017 2018 Next Planned Publication Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Date J F M A M J J A S O N D J F M A M J J A S O N D J F M A M J J A S O N D J F M A M J J A S O N D

Available edition

Current Status

Next Milestone

ANSI/ISA-62443-1-1-2007

In revision

janv 2016

ISA-62443-1-2-WD

In development

oct 2015

D D

62443-1-3

System security compliance metrics

N/A

In development

oct 2016

62443-1-4

IACS security life cycle and use case

N/A

Proposed

TBD

62443-2-1

IACS security management system Requirements

ANSI/ISA-62443-2-1-2009

In revision

CDV

TR62443-2-2

IACS security management system Implementation guidance

N/A

In development

TR62443-2-3

Patch management in the IACS environment (technical report)

ISA-TR62443-2-3-WD

Ballot comments in review

ISA TR

62443-2-4

Certification of IACS supplier security policies and practices

IEC 62443-2-4-WD

Plan to adopt

ISA Std

TR62443-3-1

Security technologies for IACS (technical report)

ANSI/ISA-TR99.00.01-2007

In revision

62443-3-2

Security assurance levels for zones and conduits

ISA-62443-3-2-WD

In development

CDV

62443-3-3

System security requirements and security assurance levels

ANSI/ISA-62443-3-3-2013

Published 2013

TBD

62443-4-1

Product development requirements

ISA-62443-4-1-WD

In development

CDV

62443-4-2

Technical security requirements for IACS components

ISA-62443-4-2-WD

In development

C C

V E P V E P

WD DC CDV ISA Std ISA TR IEC Std TBD

nov 2016

P mai 2016

V E C

Document States: Working Draft Draft for Comment Committee Draft for Vote ISA Standard ISA Technical Report IEC Standard To be determined

Legend: - Proposed D - Working Draft C - Committee Draft for Comment V - Committee Draft for Vote E - Editorial Review A - ANSI/ISA Approved P - ISA Published I - IEC Approved R - In Revision W - Withdrawn

A P

Revue rapide des documents

Les documents approuvés et publiés sont téléchargeables sur le site www.isa.org ou peuvent être acquis en CD-Rom

Nota : Le rapport ANSI/ISA-TR99.00.02 – 2004, « Integrating Electronic Security into the Manufacturing and Control Systems Environment» proposait une approche pour auditer un système, déterminer ses failles éventuelles face aux différentes attaques dont il peut être l’objet et faciliter la vérification de la bonne application des mesures de mise en conformité face aux recommandations formulées. Il a servi de base au standard ISA-99-02-01 « Establishing an Industrial Automation and Control System Security Program” publié en 2009 et actuellement en cours de revision sous le titre “Requirements for an IACS security management system”. Tous droits réservés hauet.com 2015 131

IEC 62443-1-1

Général

Models & concepts • Remise à jour en octobre 2007 d’un document de 2002 La version officielle actuelle a été publiée, avant la convergence avec IEC, sous la référence ANSI/ISA99.00.01-2007. L’IEC a publié une version TS sous la référence IEC 62433-1-1 • Une révision importante est en cours pour clarifier l’aspect normatif au sens CEI, introduire de nouveaux concepts et servir de base à l’ensemble des documents. • Points traités : General Concepts [Informative] Fundamental Concepts [Normative] Security Program Maturity [Normative] Models [Normative] System Definition [Normative]

Foundational Requirements [Normative] System Segmentation [Normative] Security Levels [Normative] Security Lifecycle [Normative]

Standards Certification

L’IEC 62443-1-1 : modèles et concepts

Education & Training Publishing Conferences & Exhibits

IEC 62443-1-1 : quelles questions ? • • •

• • •

Quel est le domaine d’application de la notion de « sécurité des automatismes industriels et des systèmes de contrôle » ? Comment définir les besoins et les exigences en utilisant une terminologie cohérente ? Quels sont les concepts de base servant de fondations à une analyse plus approfondie des activités, des attributs des systèmes et des actions nécessaires à la réalisation de systèmes de contrôle électroniquement surs? Comment peut-on regrouper et classifier les composants des automatismes industriels et des systèmes de contrôle afin d’en définir et d’en gérer la sécurité? Quels sont les différents objectifs de sécurité en fonction des applications des systèmes de contrôle ? Comment ces objectifs peuvent-ils être définis et codifiés?

Les concepts essentiels

• Sécurité et cycles de vie • Processes : policies, procedures et guidelines • Technology : foundational requirements - FR (Exigences essentielles) • Actifs à protéger (assets) • Zones et conduits • Défense en profondeur • Security levels (SLs) • Contremesures (Countermeasures)

Définition des zones de sécurité •

Une zone de sécurité est un regroupement logique et en règle générale physique de ressources ayant des exigences similaires en matière de sécurité. Une zone se définit à partir des modèles physique et fonctionnel de l’architecture de contrôle. Une politique de sécurité relative à chaque zone doit alors être fixée.

•

Le processus de définition des « zones » démarre à l’aide du modèle de représentation “ physique ” du système sur lequel viendront se greffer les fonctionnalités et les activités (de l’exploitation à la maintenance, en passant par les réglages...). Lorsqu’une ressource supporte plusieurs fonctions (ou activités), on l’affectera à une zone correspondant à l’exigence de la fonction la plus contraignante, ou bien on créera une zone séparée avec une politique spécifique de sûreté.

•

Exemple d’un serveur d’historiques : un tel serveur doit accéder aux données critiques de fonctionnement. Mais, du point de vue de la sécurité, il relève davantage de la gestion, car de nombreux utilisateurs potentiels (superviseurs, équipe d’optimisation de procédé, statisticiens, contrôleurs qualité…) sont intéressés par les données recueillies et doivent disposer d’un accès plus libéral aux informations. Dans ce cas, on peut envisager de créer une zone spécifique pour les historiques, éventuellement séparée par une zone démilitarisée (DMZ) de la zone de contrôle.

Exemple de zones hiérarchisées

Niveau de sécurité et vecteurs SLs Les vecteurs d’assurance sécurité (Security Levels - SLs) représentent la confiance que l’on peut avoir quant à l’aptitude d’un système, d’une zone et/ou de ses constituants d’apporter le niveau de niveau de sécurité voulu. Le niveau de sécurité est défini : •

en objectif (Target) : niveau de protection à atteindre pour chaque zone et conduit, en utilisant, éventuellement, un ensemble de contremesures : SL-T

•

en capacité (Capability) : niveau que permettent d’atteindre les caractéristiques propres d’un composant ou d’un système : SL-C

•

en réalisation (Achieved) : niveau effectivement atteint grâce aux propriétés intrinsèques des composants constituant une zone ou un conduit et à l’apport éventuel de contremesures: SL-A

ANSI/ISA-99.02.01-2009 Establishing an IACS security program en cours de révision, devient :

Standards Certification

IEC 62443-2-1 Requirements for an IACS security management system

Education & Training Publishing Conferences & Exhibits

Exigences organisation et exigences système

Security policy

Identification, authentication & access control – FR1

Organization of Security

Use control – FR2

Asset management

Access control Information systems acquisition, development and maintenance Cyber-security incident management

System Integrity (FR3)

Data confidentiality (FR4)

Clauses

Communications & operations management

Technology

Physical & environmental security

Process

Human resources security

Restrict data flow (FR5)

Timely response to event (FR6)

Business continuity management Compliance

IEC 62443‐2‐1 (dérivée de ISO 27002) : process

Resource availability (FR7)

IEC 62443‐3‐3 et IEC 62443‐4‐2: technology

IEC 62443-3-2 Security Risk Assessment and System Design Standards Certification Education & Training Publishing Conferences & Exhibits

IEC 62443-3-2

• Décrit comment doit être défini le « Système Under Consideration » (SUC) • Décrit comment partitionner le système en zones et conduits • Définit les exigences pour la conduite des analyses de risques • Définit comment établir les niveaux de sécurité « Target » • Précise comment doivent être établies et documentées les exigences de sécurité pour atteindre ces objectifs Nota : le texte, en cours de finalisation, reprend beaucoup d’éléments qui étaient traités dans l’ANSI/ISA99.00.01-2007 (devenue IEC 62443-1-1)

Des échelles de risque plus sophistiquées peuvent être utilisées

Notion de facteur de réduction des risques • Le CRRF (Cyber Risk reduction Factor) mesure le facteur de réduction du risque nécessaire pour le ramener au niveau tolérable • Le CRRF peut être exprimé par le ratio entre risque non mitigé et risque tolérable

Risque tolerable :4

Risque “non mitigé”

Synopsis de la méthodologie 62443-3-2 Début

Architecture système initiale Diagrammes et inventaires

Identifier le SUC (System Under Consideration)

Architecture système mise à jour Diagrammes et inventaires

Analyses de risques existantes (PHA) et matrice de risque corporate avec objectifs de sécurité

Mener une analyse de risque de haut-niveau

Niveau de sécurité initial pour le SUC

Normes et meilleures pratiques, recommandations du vendeur, spécifications fonctionnelles, etc.

Partitionner le SUC en zones et conduits

Diagramme initial des zones et conduits

Mener une analyse de risques détaillées pour chaque zone et conduit

Risques résiduels et niveaux de sécurité objectifs pour chaque zone & conduit

Politiques de l’entreprise, réglementations, recommandations pour les risques tolérables, etc.

Documenter les exigences de sécurité, les hypothèses et les contraintes

Spécification des exigences de cybersécurité (CRS)

222

Standards Certification

IEC 62443-3-3 System security requirements and security assurance levels

Education & Training Publishing Conferences & Exhibits

Rappel : l’approche technique • Sept « Foundational Requirements » (FR) FR1

Identification, authentication control and access control (AC)

FR5 Restrict data flow (RDF)

FR2 Use control (UC)

FR6 Timely response to events (TRE)

FR3 Data Integrity (DI)

FR7 Resource availability (RA)

FR4 Data confidentiality (DC)

•

Une liste de 100 critères techniques permettant de quantifier le « Security level » d’un système dans une échelle de 1 à 4, au regard de chacun des FR, en «capabilité » ou en « achieved »

Mise en œuvre de l’IEC 62443 Synthèse

Standards

Certification Education & Training Publishing Conferences & Exhibits

Le cycle des programmes de cybersécurité

Standards Certification Education & Training

Exemple simple de détermination des zones et des conduits IEC TR62443-1-4

Publishing Conferences & Exhibits

Station de remplissage de camions en produits toxiques (produits chlorés)

Station de chargement

Switch Moteurs, variateurs, pompes.

PWR OK RUN GEFanuc SERIES90-30

BATT

A 12345678 CPU

A 12345678 F

B 12345678

PROGRAMMABLE CONTROLLER

100-240 VAC40A 50/60HZ

A12345678 F

B 12345678

A 12345678 F

B12345678

A12345678 F

B 12345678

A 12 345 678 F

B12345678

A 123 456 78 F

B 12 345 678

A 12345678 F

B 123 456 78

A 12345678 F

B 12345678

F B 12345678

Contrôleur

Station de contrôle distante

+ 24VDC OUTPUT -

B A T T E R Y

Switch Routeur et parefeu

Internet

IEC TR62443-3-1 Security technologies for IACS Standards Certification Education & Training Publishing Conferences & Exhibits

Comment se protéger La protection repose sur une combinaison de : - Mesures techniques (IEC 62433-3-3) - Mesures organisationnelles : policies & procedures (IEC 62443.2.1 nouveau)

Recommandation générale : réduire la surface d’attaque • Limiter le nombre de protocoles et de choix technologiques • Eviter les protocoles faibles sur TCP (Modbus TCP, HTTP, OPC Classic). OPC Security peut être une bonne solution mais… performances! • Limiter au maximum les conduits vers l’extérieur y compris vers les niveaux de gestion de l’entreprise • Surveiller les « conduits de compensation » : clés USB, portables et tablettes, CD Roms • Activer les sécurités partout où elles sont prévues • Bloquer toutes les communications non nécessaires vers les zones sensibles (SIS) Tous droits réservés hauet.com 2015

262

Les protocoles sur IP non sécurisés

Protocoles sur IP non sécurisés Couche transport

Protocole

Ports assignés

TCP

Telnet

TCP

HTTP

UDP

SNMP V1&V2

161

TCP

FTP

20 ‐ Données 21 ‐ Commandes

UDP

TFTP

UDP

DNS

TCP

POP3

110

TCP

SMTP

Plate-forme IF-MAP du TCG • IF-MAP est une architecture de sécurité basée sur un serveur de meta-données servant de « clearing house » pour tous les échanges d’informations entre les éléments du système

TCG : Trusted Computing Group

286

Trusted Platform modules du TCG •

• •

• • • •

Module de sécurité adjoint de façon indissociable et inviolable à un équipement à protéger Combine protection par matériel et par logiciel Stocke toutes mes primitives de sécurité relatives aux mécanismes de chiffrement et de hachage Assure l’identification de l’équipement et son authentification Assure la protection contre les attaques « au dictionnaire » Permet de s’assurer de l’intégrité des logiciels et des données opérées par l’équipement Normalisé ISO/IEC 11889 Tous droits réservés hauet.com 2015 287

Evaluation et certification Standards Certification Education & Training Publishing Conferences & Exhibits

ISA Security Compliance Institute

•

L’ISA Security Compliance Institute met en œuvre l’ISASecure™ programme qui reconnait et promeut les produits et les pratiques cyber-sécuritaires au profit des fournisseurs d’équipements. Le logo ISASecure™ est attribué à des fournisseurs d’équipements pour des produits et systèmes ainsi que pour les processus de développement qui apportent la preuve de leurs caractéristiques cyber-sécuritaires.

Conclusions Standards Certification Education & Training Publishing Conferences & Exhibits

On peut réduire le risque • •

En prendre conscience Analyser les risques et la résilience du système (l’IEC 62443 fournit un référentiel méthodologique) Agir au niveau :

•

 Des constituants (attention aux maillons faibles)  Du système (remonter la sécurité des zones par des conduits)  De la discipline d’exploitation

•

La cybersécurité est un chantier toujours ouvert •

Attention : à la différence de la sécurité fonctionnelle, le risque ne vient pas de l’intérieur des équipements (pas de vieillissement). Ceux-ci ont simplement la capacité de résister, plus ou moins bien, à des attaques de plus en plus perfectionnées : internes ou externes. Attention aux signes avant-coureurs…

Annexe 1 Quelques éléments préparatoires avant de bâtir un programme de cyber- sécurité

Standards

Certification

Education & Training Publishing

Conferences & Exhibits

Bien définir l’objectif  Vérifier si la société a connaissance du standard IEC 62443  Initier la mise en place d’un CSMS (Cyber-Security Management System) Ou Evaluer le niveau de maturité du CSMS Identifier les actions potentielles d’amélioration Les exposer clairement aux personnels concernés en soulignant l’enjeu qui s’y attache.

Répondre ensuite de façon méthodique à une liste de questions progressives qui éveilleront l’intérêt des personnes concernées et consitueront une première étape avant le lancement du CSMS basé sur l’IEC 62443 Tous droits réservés hauet.com 2015 308