Cybercriminalité dans les systèmes industriels

Architectures industrielles sous ICS / SCADA, la cybercriminalité en mode industriel

Tout le monde en parle comme d’une cyber-catastrophe inévitable. Des trains vont êtres déroutés volontairement, des centrales électriques « cyber-menacées », des avions détournés, des usines chimiques piratées… Les cyber-attaques existent déjà. L’une des dernières s’est produite en Ukraine en janvier 2016. L’une des plus médiatisée a sans doute été Stuxnet sur une usine iranienne d’enrichissement d’uranium en 2010. Aujourd’hui, sur un système SCADA, il suffit de dix personnes avec dix ordinateurs pour créer une petite armée qui peut arrêter les unités dans une usine, déclencher un black out sur une ville, modifier des dosages en environnement hospitalier… et pratiquer du chantage auprès des autorités. Ces opérations paraissent impossible pourtant… D’autant que certains sites publics livrent des informations parfois utiles aux attaquants (Shodan HQ).

Des entreprises de toutes tailles sont concernées

Les environnements ICS / SCADA gèrent des systèmes de production d’entreprises petits ou grandes. Certaines on l’aura compris jouent un rôle de premier plan pour la sécurité des populations. Ce sont les fameux opérateurs d’importance vitale (OIV) répertoriés par l’ANSSI. L’agence à depuis plusieurs années mis l’accent sur ces infrastructures sensibles et prévenu les autorités. En 2016, ces systèmes de gestion des process et automates industriels demeurent étrangers à bon nombre de professionnels de la cybersécurité « bureautique ». Si des solutions techniques existent  (http://www.itworldcanada.com/article/indegy-offers-network-appliance-to-improve-industrial-controllers-protection/380604) il faut reconnaître qu’il manque encore des compétences pour les mettre en place.

Les approches habituelles en cybersécurité ne peuvent s’appliquer sur les systèmes ICS / SCADA

Au niveau de la sécurité des architectures ICS / SCADA une grande différence existe entre la sûreté de ces systèmes qui contrôlent les défaillances techniques de robots, pompes, vannes… et la sécurité « classique » qui prévient les malveillances, cyber-attaques sur des réseaux de gestion IP. Deux mondes se rencontrent avec l’émergence de solutions de sécurités en environnement SCADA : sûreté et sécurité. Les approches habituelles des RSSI ne peuvent s’appliquer telles quelles sur les systèmes SCADA (hommes, protocoles, normes, outils, vulnérabilités…). L’une des tendances en sécurité de sites SCADA pour 2016 consiste a nommer des RSSI industriels.

Pourquoi le besoin de sécuriser des environnements SCADA « explose » en 2016 ?

La généralisation des interconnexions de réseaux, entre réseaux industriels et bureautique et donc Internet expose davantage des réseaux SCADA jusque là « isolés ». Dès lors, les environnements SCADA sortent de leur isolement : interconnexion et télémaintenances via Internet s’imposent mais avec les cyber-risques que cela entraîne. Les vulnérabilités sur les SI industriels sont connues mais peu répertoriées : du poste de pilotage des unités d’automates aux micro-données générées par les automates sans oublier les connexions intempestives (clé USB par exemple). Les automaticiens ne possèdent pas la même culture en matière de cybersécurité que les informaticiens. Les automaticiens évoquent davantage des notions de haute disponibilité plutôt que de sécurité. En outre, les automates sont souvent gérés par des systèmes d’exploitation « grand public » type anciennes versions de Windows. Enfin la migration de protocoles et de systèmes spécifiques vers un environnement ouvert et connu des cybercriminels comme TCP/IP augmente la surface de risques.

Quels conseils proposés aux entreprises désireuses de sécuriser leurs sites industriels sous ICS / SCADA ?

• sensibiliser les automaticiens et nommer un RSSI « industriel » en fonction du secteur
• ne pas connecter les SI industriels à Internet sans « filtres efficaces »
• toujours utiliser des machines dédiées
• les automates sont aussi vulnérables, utiliser les premiers protocoles spécifiques OPC
• mettre en place des « white list » qui gèrent les automates au niveau des outils utilisés (certains trojan se déguisent en outils d’administration)
• utiliser les Patch (correctifs) adaptés aux vulnérabilités découvertes (les patch sont testés, rien à craindre)

Consulter les  nouvelles offres des éditeurs spécialisés en cybersécurité qui travaillent en partenariat avec les industriels à l origines des systèmes ICS / SCADA installés.

Article invité de Jean-Philippe Bichard – www.cyberisques.com – Journaliste IT Cybersécurité / Data Protection
Follow @JPBICHARD//platform.twitter.com/widgets.js
Follow @SophosFrance//platform.twitter.com/widgets.js