Comment initier la cyber sécurisation de son système de contrôle industriel ?

En premier lieu, il faut avant tout connaître ses installations pour identifier les faiblesses et les moyens à mettre en place, tant en prévention qu’en défense. Il faut donc cartographier les périmètres constituant le système de contrôle industriel (capteurs, actionneurs, automatismes et supervisions), le but étant de tous les protéger.

La prévention passe par la surveillance des installations et des flux afin de détecter les intrusions et de les tracer. On ne rappellera pas ici l’importance de la prévention par le déploiement de bonnes pratiques auprès des utilisateurs.

Si l’objectif est de limiter le risque d’intrusion en protégeant les accès, il est aussi important de retarder les intrusions et de limiter leur impact. Ainsi, segmenter les réseaux permet de limiter la profondeur de l’intrusion.

Enfin, malgré toutes les précautions prises, il est nécessaire de concevoir et tester des plans de reprise et des plans de continuité d’activité ; il faut pouvoir mobiliser des moyens et des méthodes pour se mettre en condition de remise en état de marche des composants du système après un incident.

Cet article a pour objectif de lister des actions rapides à mettre en oeuvre pour débuter une cyber sécurisation de ses systèmes de contrôle industriel.

Un ensemble d’actions est possible sans changement de matériel, ni de refonte de son système. On peut parler de bonnes pratiques.

Tout d’abord, on prendra des précautions au déploiement des solutions en contrôlant l’intégrité des packages d’installation. Ensuite, on dressera l’inventaire des solutions afin de désinstaller les applications inutilisées, réduisant ainsi la surface d’attaque.

On devra aussi s’intéresser à la gestion des comptes utilisateur :

• Chiffrer l’annuaire,
• Supprimer les comptes ou profils inutilisés,
• Ne pas utiliser de compte générique mais uniquement des comptes « nommés » attribués à des personnes physiques,
• Définir les rôles de chaque profil accédant à la supervision en limitant au mieux les privilèges de l’administrateur, des opérateurs, des développeurs et des mainteneurs des applications.

On mettra en œuvre une vraie politique de gestion des mots de passe :

• Définir une durée de vie des mots de passe,
• Définir des règles de force des mots de passe,
• Mettre en place une modification obligatoire à la première connexion.

On encadrera l’utilisation des applications :

• Former les utilisateurs aux bonnes pratiques,
• Sensibiliser les utilisateurs au repérage des comportements inhabituels,
• Déconnecter en automatique les applications,
• Verrouiller en automatique, sur l’inactivité, les sessions utilisateur,
• Consigner les actions opérateurs,
• Penser à exploiter les fichiers de traces du SCADA.

Enfin, une règle de bonne hygiène informatique consistera à ne pas disposer de session Windows avec des privilèges élevés sur les postes de supervision, voire exécuter le logiciel en mode service s’il n’y a pas d’utilisation du poste par un opérateur (cas des serveurs).

Dans ce cadre, l’authentification des utilisateurs via l’Active Directory pour l’ouverture des sessions Windows comme pour l’accès aux logiciels grâce au SSO (Single Sign On) doit être privilégiée par rapport aux systèmes d’authentification « propriétaires ». Cela permettra aussi de notifier les événements importants à un Manager SNMP central & Syslog.

Afin de limiter les portes d’entrée aux attaques, on désinstallera les fonctionnalités non nécessaires ; ainsi si l’on dispose d’une supervision proposant des clients web non déployés, la désinstallation des extensions du serveur Web est primordiale. Dans la même logique, on désactivera les fonctions inutilisées, comme par exemple les ports et services d’un serveur OPC, autre accès potentiel pour les attaques.

Il faudra disposer de solutions SCADA permettant de redistribuer les rôles au sein du système :

•  Isoler les services applicatifs,
•  Séparer les serveurs d’acquisition des postes d’exploitation,
• Protéger les serveurs sensibles (acquisition et archivage).

Cette redistribution s’accompagnera d’une segmentation des réseaux supportée par la mise en œuvre de pare-feux et de DMZ (demilitarized zone ou zone démilitarisée).

La segmentation des réseaux passe par la définition de règles de routage et l’utilisation de pare-feux (firewalls) pouvant aller jusqu’à la création d’une DMZ (demilitarized zone ou zone démilitarisée). Une DMZ est un réseau intermédiaire entre deux autres réseaux (réseau industriel, bureautique, extranet ou encore Internet). Dans ce cas la configuration des pare-feux permet de connecter une machine sur deux réseaux à la fois tout en bloquant les accès entre eux. Au pire seule la machine de la DMZ peut être compromise par un acte malveillant , elle sert de fusible.

On peut ainsi isoler sur un serveur dans une DMZ, des services à ouvrir aux accès extérieurs, tout en bloquant l’accès au réseau industriel ; et inversement. La DMZ réduit les risques de compromission des actifs industriels comme ceux du système d’information bureautique.

(voir notre article  sur le rôle de la segmentation des réseaux)

On aura débuté par un inventaire des périmètres de son système de contrôle industriel, il faudra ensuite faire vivre la connaissance que l’on a de son système en mettant en place une veille des vulnérabilités, notamment auprès de ses fournisseurs de produit. Une surveillance sera organisée au travers de l’analyse des journaux et du trafic réseau.

Côté solutions, on se dotera d’une politique de gestion des mises à jour ; pour cela on organisera le test et le déploiement des patchs de sécurité proposés par les éditeurs, ainsi que l’installation des mises à jour. De la même manière, on appliquera les mises à jour du système d’exploitation, mais aussi des règles de durcissement de configuration de celui-ci.

Segmenter le réseau, créer des DMZ, n’affranchit pas de surveiller les flux sur les réseaux afin de détecter des accès inconnus, des activités non identifiées. Cette surveillance ne sera pas circonscrite au seul réseau industriel, mais à l’ensemble des réseaux de l’entreprise.

Enfin, il faudra prévoir le pire en mettant en œuvre des modes de fonctionnement dégradés pour continuer l’exploitation en cas d’incident et plus globalement concevoir des plans de reprise d’activité et des plans de continuité d’activité (PRA et PCA). Sans oublier que ces plans ne sont pertinents que s’ils sont régulièrement évalués via des exercices de simulation de crise ; ne serait-ce qu’en vérifiant l’intégrité des backups en les remontant sur des machines « vierges ».

On peut rapidement mettre en œuvre des fondamentaux de la cybersécurité pour protéger son système de contrôle industriel : déployer les bonnes pratiques d’usage auprès des collaborateurs, gérer de façon active les comptes et les mots de passe, installer les mises à jour et profiter des architectures distribuées des SCADA.

La segmentation des réseaux et la surveillance des flux sont ensuite les moyens de lutter contre le risque, d’une part en protégeant les systèmes, d’autre part en détectant les incidents (tentatives ou attaques).