LA MISE EN RÉSEAU DES
SYSTÈMES, LES LIAISONS
LOCALES MAL MAÎTRISÉES
ET LES CONNEXIONS À
DISTANCE NON SÉCURISÉES
AUXQUELLES S’AJOUTENT DES
TECHNOLOGIES TOUJOURS
PLUS STANDARDISÉES
CONTRIBUENT LARGEMENT
À LA VULNÉRABILITÉ
CROISSANTE DES SYSTÈMES
DE CONTRÔLE INDUSTRIELS.
IL EXISTE HEUREUSEMENT DES
SOLUTIONS QUI AMÉLIORENT
LA CONNAISSANCE DE
L’INFRASTRUCTURE, LA
SURVEILLENT ET CONTRÔLENT
SES POINTS D’ACCÈS.
La sécurisation du système d’information
industriel est impossible si le réseau
informatique général est ouvert aux quatre
vents puisque les échanges entre ces deux
infrastructures ne peuvent que s’intensifier
à l’avenir. Si les recettes miracles n’existent
guère, les bonnes pratiques et les moyens
permettant de fiabiliser et de sécuriser un
réseau Ethernet sont connus : mise en place
de compte d’utilisateurs sur tous les postes
de travail, utilisation généralisée d’antivirus,
déploiement d’un annuaire centralisé de
type LDAP permettant de gérer les droits
d’accès via une authentification forte,
échanges de données cryptées avec les
logiciels et les applications sensibles,
installation de pare-feu d’inspection
approfondie à tous les points critiques,
mise en place de mécanismes de contrôle
strict des ports USB, traçabilité des
connexions internes et externes, etc.
Les actions à conduire dans le système
d’information industriel recouvrent
différentes démarches. La première à
mettre en œuvre va consister à obtenir une
vue d’ensemble exhaustive de tout ce qui
entre dans sa constitution. A cette fin, il
faut être en mesure de recenser les
équipements actifs et d’identifier leurs
correspondants sur le réseau, de classifier
et qualifier les différents types d’échange,
de vérifier la validité des protections
d’accès de toutes les terminaisons ou
encore, de recenser et qualifier tous les
points d’entrées aboutissant dans le réseau
industriel.
Et bien sûr, une fois que toutes ces
informations auront été collectées, il
conviendra de les référencer dans un
serveur qui d’une part, témoignera de la
constitution du système d’information
industriel mais donnera aussi, une image de
ce qu’est son fonctionnement normal en régime de croisière. Ce dernier point peut
servir de pilier à la surveillance du réseau
industriel en fournissant une référence à
laquelle se rapporter afin de qualifier si un
fonctionnement semble suspect.
L’un des meilleurs exemples que l’on puisse
donner d’une solution de recensement
adapté aux systèmes
industriels est la
plateforme ICS
Cybervision de la
société Sentryo.
Des sondes
passives
supportant l’immense majorité des protocoles
industriels courants, identifier en quelques
heures les composants fonctionnels jusqu’à
fournir une véritable carte du réseau en
place. A partir de sa base de données, le
serveur Sentryo va alors permettre
d’identifier les configuration inappropriées
(mot de passe par défaut, point d’accès non
protégé, etc.) et matérialiser l’état des
échanges entre les terminaisons pour
garantir l’intégrité du système industriel en
identifier les actions potentiellement
suspectes.
SURVEILLER LES POINTS
D’ACCÈS
Destiné à servir de point d’entrée et de sortie
d’un réseau, le pare-feu reste l’un des
éléments majeurs d’une défense en
profondeur efficace et le premier rempart
pour stopper les attaques ou ralentir leur
progression. La fonction principale d’un
pare-feu est de bloquer les flux non
autorisés. Tout autre service que le pare-feu
est également capable de rendre comme la
détection d’intrusion, le routage avancé ou la
traduction d’adresses IP, n’est en réalité
qu’une fonction secondaire.
Une observation préalable s’impose : un
pare-feu qui ne serait pas spécialement
conçu pour tenir compte de la spécificité des
flux échangés dans, et à destination d’un
Ethernet de qualification industrielle, ne
saurait ici convenir. Le second constat
d’importance est qu’il est indispensable que
chaque point d’entrée et de sortie du réseau
soit équipé d’un dispositif de protection.
Comme son équivalent dédié au réseau
Ethernet bureautique, un pare-feu
spécialement étudié pour les réseaux
industriels va proposer l’administration de
ses fonctions de filtrage et de gestion des
paramètres de sécurité. Il se doit aussi d’être
compatible avec les contraintes industrielles
et surtout, il doit supporter une gamme de
protocoles suffisamment étendues (Modbus,
S7, DNP3, OPC UA, Ethernet/IP, IEC 104…)
pour couvrir les besoins d’une majorité
d’installations.
La fonction la plus attendue d’un pare-feu
industriel de nouvelle génération, reste
l’inspection de l’ensemble du trafic ou, Deep
Packet Inspection (DPI). Cette dernière tient
compte de l’émetteur et de la destination en
s’appuyant non plus sur les seules adresses IP
mais en tenant compte des applications
utilisées et en les associant à l’utilisateur, où
qu’il se trouve et quel que soit le type
d’appareil utilisé. Lorsqu’elle s’appuie sur une
base de signatures, l’inspection en
profondeur recherche à l’intérieur même des
paquets échangés, les contenus
potentiellement dangereux afin de bloquer
les exploitations de vulnérabilité, les vers et
les virus, les logiciels espions, les réseaux de
zombies et même, les logiciels malveillants
inconnus.
FAVORISER LE CONTRÔLE
POSITIF
Dans un pare-feu industriel, le contrôle de
signatures ne vise pas à s’appuyer sur un
référentiel de toutes les menaces existantes
comme le font certains logiciels antivirus.
Il s’agit en fait de mettre en place un modèle
de contrôle positif qui va permettre d’activer
des applications ou des fonctions spécifiques
afin de bloquer tout autre type de trafic de
manière implicite ou explicite. Un pare-feu
de nouvelle génération procède en une
passe, à une inspection intégrale de tout le
trafic sur tous les ports, fournissant ainsi le
contexte complet de l’application, les
contenus associés et l’identité de l’utilisateur.
À l’heure actuelle, des applications peuvent
contourner un pare-feu n’assurant qu’un
filtrage de ports ou d’adresses en utilisant
diverses techniques. Un pare-feu industriel
de nouvelle génération appliquera
nativement au trafic plusieurs mécanismes
de classification. Les applications non
identifiées, qui ne représentent alors qu’un
faible pourcentage du trafic mais
représentent un risque élevé, font l’objet
d’une gestion systématique.
Une fois le trafic entièrement classifié, une
prévention coordonnée des cyber-attaques
peut alors être appliquée pour bloquer les
contenus malveillants, prévenir les
exploitations de vulnérabilité, les virus, les
logiciels espions et les requêtes DNS
suspectes. Certains pare-feux intègrent un
mécanisme appelé sandbox (bac-à-sable)
pour exécuter les requêtes inconnues afin
d’observer directement leur effet dans un
environnement de test virtuel. Lorsqu’une
activité malveillante est identifiée, le
pare-feu génère automatiquement une
signature du fichier infecté et du trafic
associé pour renforcer la protection.
Thierry PIGOT