Le Club Automation planche sur la cybersécurité

Le 3 décembre, le Club Automation terminait son cycle de rendez-vous de l’année 2015 par une journée de formation, d’information et de débats consacrée à la cybersécurité ; un sujet d’autant plus préoccupant que l’Industrie du Futur porte en germe, l’ouverture des systèmes de commande de machines… à Internet.

Pour les participants qui avaient répondu à l’invitation du Club Automation, la journée du 3 décembre a commencé d’une manière inhabituelle puisque la matinée avait été réservée à une session de formation à la cybersécurité qui s’est déroulée sur trois heures.

Maxime Olivier de Prolepse qui participe depuis plusieurs années aux travaux de l’Agence nationale de sécurité des systèmes d’information (ANSSI), a débuté son intervention par une sensibilisation à la cybersécurité visant à rapprocher le cas général des systèmes d’information et le cas particulier des systèmes industriels. La première pierre d’une démarche constructive, consiste à faire dialoguer les différents protagonistes qu’ils viennent de l’informatique, du monde des réseaux, de l’automatisation, de la sureté fonctionnelle, etc.

Ce présupposé accepté, il a détaillé ce que sont les attentes légitimes des exploitants et des utilisateurs d’un système d’information : la confidentialité, l’intégrité et la disponibilité des ressources. A ces trois dimensions s’ajoutent éventuellement des obligations réglementaires qui peuvent imposer la traçabilité des opérations, la certification des informations, l’inviolabilité des sauvegardes, la gestion de la preuve, etc.

Maxime Olivier a ensuite insisté sur l’importance de se livrer à une analyse des risques en rappelant que l’ANSSI a mis au point avec la méthode EBIOS (expression des besoins et identification des objectifs de sécurité), un outil complet de gestion des risques SSI conforme au référentiel général de sécurité (RGS) et aux normes ISO 27001, ISO 27005 et ISO 31000. En perpétuelle évolution depuis vingt ans, la méthode EBIOS version 2010 est assortie d’une base de connaissances enrichie d’exemples concrets permettant d’élaborer des scénarios de risque pertinents.

Le but d’une telle analyse est de préciser le nombre, la nature des risques et les cibles potentiellement visées sur le système considéré. A partir d’un recensement exhaustif des risques pouvant compromettre ses principes de fonctionnement, il est possible d’opérer une classification entre les risques dont il est possible de se protéger en déployant une mesure adaptée, ceux qu’il est possible de transférer et enfin, ceux qu’il est acceptable de prendre.

Le formateur de Prolepse a encore précisé les étapes qui doivent conduire à l’homologation tout en expliquant, les principes qui en découlent comme la nécessité d’identifier l’autorité qui signera le document formalisant les mesures prises ou non, contre les risques identifiés.

Défendre les systèmes numériques

Au début de l’après-midi, deux des auteurs de l’ouvrage intitulé « Cybersécurité des installations industrielles », Patrice Bock et Pascal Sitbon ont notamment détaillé les spécificités des systèmes en service sur les sites industriels.

En préambule de l’intervention, Pascal Sitbon a insisté sur la nécessité de considérer qu’un besoin de sécurité, c’est d’abord un besoin « métier ». Il a notamment insisté sur l’importance d’avoir une approche orientée sur le risque global. Plutôt que se concentrer sur la seule cybersécurité, il est important de prendre en considération la globalité de la mission qui est du ressort de l’organisation tant du point de vue de la qualité que de l’obligation de service.

Outre la nécessité de cloisonner les ressources pour éviter qu’une attaque de cybersécurité fasse s’écrouler toute une chaîne de traitements, il a aussi rappelé que la sûreté et la sécurité des installations composent des approches tendent à se renforcer mutuellement même si elles peuvent devenir antagonistes sous certaines conditions.

Patrick Bock a ensuite parlé des référentiels et notamment l’étude du Clusif réalisée en 2014 pour faire un état des lieux sur ce sujet dont, trois référentiels spécialement intéressant à l’instar du NIST 800-82 américain, les ouvrages de l’ANSSI et le référentiel ISA IEC 62443 (notamment les fondamentaux 62443-1-1 et leur mise en application 62443-3-2). Dans les grandes lignes, le principe consiste à segmenter une installation en zones physiques et zones logiques afin d’identifier les flux qui circulent entre ces dernières afin de pouvoir opérer une surveillance et éventuellement, mettre en place des systèmes de filtrage (pare-feu, détection d’intrusion, sondes, etc.). Il est aussi important d’affecter des objectifs de sécurité à chaque zone.

Toutes ces notions revêtent une importance nouvelle avec la prise en compte de la cybersécurité dans la Loi de programmation militaire (LPM) qui identifie douze secteurs d’activité dans lesquels interviennent des opérateurs d’importance vitale (OIV) comme la production, le stockage et la distribution d’énergie, le traitement et la distribution de l’eau, etc. Les industries qui dépendent de l’un de ces secteurs auront trois ans à partir de juillet 2016 pour homologuer la base installée de leur système d’information. Les projets en cours de déploiement devront être homologués sous un an tandis que les projets à venir devront l'être avant même leur mise en exploitation.

Des solutions technologiques comme celles proposées par Thalès ou encore Sentryo (voir dans ce numéro page 16), existent aujourd’hui pour établir une cartographie à jour des systèmes et des réseaux industriels, pour recenser les versions des logiciels exploités et donc, connaître l’état des déploiements de mises à jour, pour rechercher les accès distants activés et connaître leur niveau de protection, etc.

Les enjeux pour le SI industriel

Dans la suite du débat, Frédéric Planchon, directeur général de FPC Ingénierie s’est d’abord attaché à rappeler les divergences d’approches qui existent entre un système informatique dédié à la gestion et celui qui régule les automatismes industriels.

Il a rappelé que l’affectation du contrôle-commande peut amener à un fonctionnement irrégulier ou dégradé qui est inacceptable voire, générer des arrêts intempestifs, activer des actions dangereuses pour les biens ou les personnes. Les buts poursuivis peuvent aller d’un arrêt complet dans le but d’obtenir une rançon pour pouvoir redémarrer ou réaliser un vol de données d’accès ou de fonctionnement pour utilisation ultérieure. Si les attaques externes constituent une réelle menace, il faut aussi tenir compte des négligences et de la malveillance interne.

Le système industriel inclut toutes les machines et tous les systèmes qui remplissent des fonctions : superviseurs, automates programmables, calculateurs, etc. qui exécutent des programmes le plus souvent écrits dans un environnement de développement. Les failles de sécurité peuvent exister dans cet environnement peuvent potentiellement affecter tous les programmes dont il est la source. D’autres failles peuvent être présentes au niveau de l’environnement d’exécution (run-time), du système d’exploitation (Windows, Linux, etc.) voire au sein même du matériel, dans les firmwares embarqués sur les puces de silicium.

L’analyse de risque est-elle adaptée à cette nouvelle donne ? Frederic Planchon constate que la sûreté logicielle est une activité coûteuse et peu adaptée aux industries qui est de plus, réservée aux secteurs critiques. Les études de sûreté de fonctionnement pour leur part, ne prennent en général pas en compte la fiabilité logicielle. Enfin, il faut aussi reconnaître qu’il existe une certaine dilution de la chaine de responsabilité de la fiabilité et de la robustesse : composants logiciels, machines, intégrateurs, installateurs, exploitants, etc.

En effet, la cybersécurité n’est pas qu’une question purement numérique. On peut légitimement s’interroger pour savoir si les lieux où se trouvent les systèmes de contrôle sont protégés physiquement (détection d’intrusion, contrôle d’accès). Les personnes utilisant le système de contrôle-commande sont-elles l’objet d’une habilitation ou d’un contrôle ? Les documents décrivant les vulnérabilités et les mesures de sécurité sont-ils en accès restreint et contrôlé ? La gestion de configuration au sens large permet-elle de remettre en service de manière efficace et fiable le système après un crash, quelle qu’en soit la nature ?

Encore ne s’agit-il que d'un très succinct résumé des problématiques soulevées par Frederic Planchon qui propose une nouvelle approche baptisée, analyse pour l’évaluation des risques opérationnels (Apéro), basé sur une analyse fonctionnelle utilisant la représentation SADT (Structured Analysis and Design Technique).

Place aux témoignages

Stéphane Corblin, responsable de la sécurité SI et Olivier Bouly, responsable service expertise du SIAAP, sont venus apporter leurs témoignages concernant la cybersécurité dans une entreprise publique à caractère Industrielle qui transporte et dépollue chaque jour les eaux usées, les eaux pluviales et les eaux industrielles de l'agglomération parisienne. Leur intervention a permis de montrer les difficultés qui surgissent lorsqu’une organisation est répartie sur plusieurs sites (direction, usines, etc.) dont la coordination repose sur des communications par fibre optique à très haut débit où se trouvent concentrés des échanges touchant les process (SNCC, API Scada, etc.), les postes de contrôle qui reçoivent des directives mais aussi, remontent des informations sur le fonctionnement, etc.

L’approche retenue a consisté à identifier des zones (gestion, productique, industrielle, etc.) protégées les unes des autres par des firewalls avec la mise en place pour les remontées d’information, d’espaces d’échange disposant d’une double isolation, pour communiquer de manière unidirectionnelle avec les sites de production. Les données sont concentrées sur un serveur dédié.

La journée s’est terminée avec l’intervention de Jean Luc Panchet chargé des études et des projets de défense et sécurité au département de maîtrise d'ouvrage des projets à la RATP. Il a tenu à rappeler qu’il faut fixer des objectifs et des priorités liées à l’activité en ayant une vision globale pour assurer une coproduction avec les partenaires internes et externes. Une approche constructive consiste à allier sûreté de fonctionnement et cybersécurité.

Selon lui, l’approche globale des risques nécessite de connaître les systèmes et l’architecture aux niveaux organisationnel (les réseaux, l’organisation et les hommes), logique (les identités numériques, les logiciels et les données) et physique (les équipements, les locaux et les sites).