Les problématiques de sécurité qui se posent dans le cadre des systèmes d’information industriels sont souvent sous-estimées, par rapport aux systèmes d’information de gestion. Le Clusif (Club de la sécurité de l’information français) a fait le point sur les menaces et la façon de se protéger, suite aux réflexions d’un groupe de travail dédié aux systèmes SCADA.
Au cours d’une conférence tenue le 20 avril 2017, le Clusif a présenté le contenu de ses travaux, réalisés par le groupe de travail SCADA. Pour Thierry Chiofalo, consultant chez Intrinsec et responsable des conférences au Clusif, « « Aujourd’hui, des systèmes industriels informatisés gèrent des réseaux d’importance majeure (eau, énergie, transports). Les enjeux sont importants : il peut s’agir de sécurité des personnes, de santé publique ou de services vitaux qu’il faut défendre contre des incidents parfois graves. »
Pour ce dernier, dans le cas des SCADA, la démarche de sécurisation peut différer de celle que l’on pourrait appliquer à un système dédié au back office par exemple. Les parties prenantes sont diverses, puisqu’il faut intégrer la direction industrielle, tout comme les facteurs externes (la Loi de programmation militaire).
Le Clusif a produit un document sur la sécurité des systèmes SCADA. Des fiches ont ainsi été réalisées à partir de cas réels, d’incidents ou de preuves de concept. « Le document s’adresse bien entendu aux responsables sécurité des systèmes d’information, mais aussi à une population plus large, telle que des techniciens, mainteneurs, intégrateurs, éditeurs, responsables informatiques, responsables d’exploitation et industriels voire des directions générales, amenés à traiter cette problématique », précise Anthony Di Prima, de Wavestone et animateur du groupe de travail.
Les pays les plus touchés sont les plus industrialisés (USA/Europe). Anthony Di Prima note toutefois qu’il existe une réglementation aux États-Unis, imposant aux entreprises de signaler certains incidents, ce qui peut expliquer la prépondérance des événements liés à ce pays dans l’étude. Parmi les enseignements du document publié par le groupe de travail SCADA du CLUSIF, on retiendra que les attaques de gravité majeure sont d’un niveau de complexité élevé, voire très élevé : elles sont rendues possibles si l’attaquant dispose de moyens financiers et matériels conséquents et d’un haut niveau d’expertise. En effet, une attaque sur un système industriel nécessite une connaissance pointue du métier et des processus associés. Ce qui explique peut-être pourquoi de telles attaques sont encore peu nombreuses.
Par ailleurs, l’augmentation croissante ces dernières années du nombre d’incidents s’explique sans doute par une généralisation des technologies de l’information : la plupart des protocoles industriels sont à présent déclinés sur TCP/IP, et de plus en plus de logiciels de niveau 2 (supervision, historisation) voire des composants de niveau 1 (PLC, RTU) fonctionnent sur des systèmes d’exploitation issus du monde IT classique. L’interconnexion des réseaux industriels avec les réseaux de bureautique, dans des objectifs de performance, de reporting et d’économie impacte probablement ces systèmes, tout comme la sous-traitance des projets, les astreintes distantes et l’externalisation de la maintenance qui multiplient les accès aux réseaux industriels.
Le groupe de travail relève que le contrôle des flux logiques et physiques aux interconnexions entre le SI de gestion et le SI industriel et au sein de ce dernier auraient constitué des mesures efficaces pour contrer les incidents. Tout comme la maîtrise des accès externes avec authentification forte et des procédures d’isolement en cas d’alerte
Au cours de la conférence du CLUSIF, trois entreprises (Michelin, Engie et RTE) ont présenté des retours d’expérience en matière de protection des SCADA. Pierre Raufast, RSSI Europe et responsable du CERT Michelin, a rappelé que le groupe industriel comptait près de 70 usines dans 17 pays, avec différentes activités et donc différents types d’outils industriels. Les contraintes sont donc multiples, avec, notamment, une disponibilité attendue est de 24 heures sur 24, sept jours sur sept avec une obsolescence (mécanique et automatisme) subie. L’équipe informatique industrielle est par ailleurs restreinte et n’est donc pas présente en permanence sur tous les sites.
Michelin a commencé par procéder à un inventaire des systèmes existants ainsi que des vulnérabilités avant de procéder à une séparation des réseaux industriels et de gestion. Parmi les challenges à venir, l’entreprise note « l’usine 4.0 » et l’Internet of Things portés par la volonté de « digitaliser » l’entreprise. Mais également une augmentation des cyber-attaques industrielles dans un contexte difficile de sécurisation des automates et où la surface d’attaque augmente (mobilité, IoT, ATAWAD, BYOD). Pour Pierre Raufast, « une grande coopération entre la direction des systèmes d’information et de l’informatique industrielle est un facteur de succès. »
Chez RTE, la problématique SCADA est centrale. Selon Frédéric Lenoir, responsable sécurité SI, « ces systèmes longtemps difficiles à atteindre et donc peu ciblés, le sont désormais. » Trois grandes évolutions sont intervenues au sein de RTE : la centralisation du système SCADA de téléconduite, une transformation des réseaux de collecte et l’environnement est devenu plus « hostile » avec la multiplication des cyber menaces. Frédéric Lenoir note que les coûts des cyber-attaques sont trois fois supérieurs à ceux des catastrophes naturelles contre lesquelles les entreprises sont généralement bien protégées.
D’autant que les systèmes industriels ont une spécificité, rappelée par Faiz Djellouli, consultant en sécurité chez Engie, : « Les systèmes de contrôle industriels ont une obsolescence comprise entre 10 et 20 ans tandis que les systèmes d’information traditionnels ont une obsolescence de deux à trois ans. Si ces derniers peuvent subir des arrêts en dehors des horaires de bureau, ce n’est pas le cas des premiers qui doivent offrir un fonctionnement stable vingt-quatre heures sur vingt-quatre 365 jours par an. »
Pour Jean Caire, de la RATP, il est souvent difficile de convaincre des utilisateurs des systèmes industriels d’un risque cyber. D’autant que dans le domaine du transport sur rail, identifier des scénarios fonctionnels permettant de provoquer un accident est une tâche très compliquée. Le ferroviaire demande une connaissance très poussée des systèmes et il est rare, voire impossible de trouver des prestataires extérieurs pouvant apporter ce type de scénarios. Par ailleurs, il est plus simple et bien moins coûteux de provoquer un accident avec une attaque physique. Jean Caire souligne par ailleurs que lorsque les systèmes sont homologués, il devient difficile d’appliquer des patchs. Enfin, « on mesure mal l’impact des mesures de sécurité pour les systèmes sur les personnels en période de stress dû à un incident », précise-t-il
| Les quatre difficultés pour sécuriser les systèmes SCADA
– Systèmes d’exploitation obsolescents – Gestion des utilisateurs tant sur les systèmes que sur les lieux physiques – Gestion des malwares presque inexistante – Difficulté de ségrégation des réseaux. |