L’attaque par le virus Stuxnet contre l’Iran en 2010 a fait prendre
conscience de la vulnérabilité des SCADA. Ce spécialiste de la question chez le
spécialiste de la sécurisation des réseaux nous décrit la démarche à suivre
pour garder la maîtrise de son système industriel en toute circonstance.
Par Eric
Lemarchand, Ingénieur Système chez Fortinet.
Les environnements
SCADA (Supervisory Control And Data Acquisition ou télésurveillance et
acquisition de données en français), pourtant identifiés comme critiques, sont
paradoxalement les moins sécurisés et devenus la cible potentielle des
cybercriminels, comme nous avons pu le constater avec Stuxnet, premier ver
découvert qui espionne et reprogramme des systèmes industriels.
Ce virus a
exploité des vulnérabilités Windows de type zero day (c’est-à-dire pour
lesquelles il n’existait pas de patchs) pour compromettre des dizaines de
milliers systèmes informatiques, à la fois des ordinateurs et une centrale
d’enrichissement d’uranium.
Il aura fallu le
cas d’attaque de l’ampleur de Stuxnet pour que la sécurité devienne l’une des
préoccupations majeures des entreprises industrielles. Alors que les attaques
informatiques traditionnelles engendrent généralement des dégâts immatériels,
les industriels ont, dans le cas de Stuxnet, pris conscience de la capacité
destructrice et bien réelle des vers et virus avancés, affectant non seulement
les données d’une entreprise mais également les systèmes de gestion des eaux,
des produits chimiques, de l’énergie…
Dorénavant, les
industriels cherchent à intégrer la sécurisation de leurs équipements, et ce,
de façon native. Même si les moyens commencent à être mis en œuvre pour
sécuriser les industries, il est aussi nécessaire que les hauts dirigeants de
ces entreprises soutiennent ce besoin de sécurisation, sans quoi, bon nombre de
responsables informatiques ne trouveront pas d’échos positifs à leurs
initiatives, et auront des budgets et ressources limités.
De plus, à défaut
d’un standard, il existe des guides de bonne conduite permettant d’appréhender
les problématiques que pose ou impose SCADA, édités par exemple par NERC (North
American Electric Reliability Corporation) ou l’ANSSI (Agence Nationale de la
Sécurité des Systèmes d’Information) en France. Voici quelques étapes
importantes à respecter pour appliquer une sécurité globale sur ces infrastructures
jugées sensibles.
Des mises à jour régulières
Patcher
régulièrement ses systèmes d’exploitation, applications et composants SCADA est
une étape essentielle pour éviter les failles déjà connues par les fournisseurs
de sécurité.
De plus, la mise
en place d’un outil de détection et d’analyse des vulnérabilités permettant
d’intercepter des menaces Internet malveillantes avant qu’elles n’impactent le
réseau ou le serveur cible permettra de prendre des mesures proactives pour
prévenir des attaques, éviter des interruptions de services, réagir rapidement
et en temps réel face aux menaces émergentes.
Cloisonner son réseau SCADA
Il est
indispensable d’isoler son réseau SCADA de tout autre réseau de l’entreprise.
Pour cela, la définition de DMZ ou bastions permet de segmenter une
architecture SCADA. Ainsi, le réseau de l’IHM sera dissocié des automates et
dispositifs de mesures, des systèmes de supervision, des unités de contrôle à
distance et des infrastructures de communications, permettant à chaque
environnement d’être confiné et d’éviter des attaques par rebond.
En quelques mots,
les réseaux SCADA doivent être protégés de la même manière que les réseaux
d’entreprises des logiciels malveillants et intrusions, en utilisant des
systèmes de prévention d’intrusions (IPS) et des solutions anti-malware.
Validation protocolaire
Après avoir
partitionné et séparé les différents éléments d’une architecture SCADA, la
prochaine étape logique est d’appliquer une validation et un contrôle
protocolaire liés aux différents composants. En d’autres termes, il est
nécessaire d’inspecter le protocole Modbus pour être certain qu’il n’est ni mal
utilisé ni vecteur d’une attaque. Egalement, assurez-vous que les applications
qui génèrent des demandes Modbus sont des applications légitimes et qu’elles
sont générées depuis le bon poste de travail. Ainsi, la reconnaissance des
applications prend son sens.
Contrôler et identifier les actions administrateurs-utilisateurs
En complément de
la segmentation des réseaux, il devient nécessaire d’établir des règles d’accès
par authentification pour que seules les personnes autorisées puissent accéder
au réseau, données et applications et puissent interagir avec les systèmes
SCADA, afin que ces derniers ne soient pas endommagés par un tiers. Ainsi, un
administrateur sera identifié de façon différente d’un utilisateur lambda, ce
qui lui permettra d’effectuer certaines configurations au travers d’IHM alors
que l’utilisateur pourra uniquement avoir une visibilité sur des équipements de
mesure.
Superviser l’ensemble des réseaux
Se doter d’un
outil de corrélation et de gestion d’événements est indispensable. Cela permet d’obtenir
une visibilité globale sur l’état sécuritaire de l’ensemble du réseau et permet
par exemple à un administrateur de connaître à la fois l’état d’un automate, le
niveau de patch d’un IHM et sa relation avec un utilisateur ou un composant de
l’architecture. La remontée d’événements de sécurité est toute aussi
importante. L’administrateur ainsi informé pourra mettre en place des actions
ou contre-mesures adaptées en fonction du niveau de criticité de l’événement.
La mise en
application de ces étapes est parfois fastidieuse mais la meilleure solution
pour protéger ces systèmes critiques est d’adopter une stratégie de défense en
profondeur avec une couche de sécurité à tous les niveaux, même au niveau des
API, pour un contrôle précis des échanges et communications entre les
composants de l’environnement SCADA et l’infrastructure réseau.
Avec des attaques
de plus en plus sophistiquées de type APT, il devient urgent que les
organisations industrielles prennent conscience que la sécurité des
environnements SCADA est essentielle. Il en va de leur pérennité. Un contrôle
précis sur leurs réseaux, utilisateurs et applications leur permettra de se
prémunir d’éventuels risques qu’il est facile d’éviter. Enfin, il est important
de bénéficier d’une protection en temps réel pour identifier rapidement les
menaces potentielles et mettre en place les outils de protection adéquats
conçus par des équipes spécialisées.