Le 3 décembre, le Club
Automation terminait son
cycle de rendez-vous de
l’année 2015 par une journée
de formation, d’information
et de débats consacrée à
la cybersécurité ; un sujet
d’autant plus préoccupant
que l’Industrie du Futur porte
en germe, l’ouverture des
systèmes de commande de
machines… à Internet.
Pour les participants qui avaient
répondu à l’invitation du Club
Automation, la journée du
3 décembre a commencé d’une
manière inhabituelle puisque la
matinée avait été réservée à une
session de formation à la cybersécurité
qui s’est déroulée sur trois
heures.
Maxime Olivier de Prolepse qui
participe depuis plusieurs années aux travaux de l’Agence nationale de
sécurité des systèmes d’information
(ANSSI), a débuté son intervention
par une sensibilisation à la cybersécurité
visant à rapprocher le cas général
des systèmes d’information et le cas
particulier des systèmes industriels.
La première pierre d’une démarche
constructive, consiste à faire dialoguer
les différents protagonistes qu’ils
viennent de l’informatique, du monde
des réseaux, de l’automatisation, de la
sureté fonctionnelle, etc.
Ce présupposé accepté, il a détaillé
ce que sont les attentes légitimes des
exploitants et des utilisateurs d’un
système d’information : la confidentialité,
l’intégrité et la disponibilité des
ressources. A ces trois dimensions
s’ajoutent éventuellement des obligations
réglementaires qui peuvent
imposer la traçabilité des opérations,
la certification des informations, l’inviolabilité
des sauvegardes, la gestion
de la preuve, etc.
Maxime Olivier a ensuite insisté sur
l’importance de se livrer à une analyse
des risques en rappelant que l’ANSSI
a mis au point avec la méthode EBIOS
(expression des besoins et identification
des objectifs de sécurité), un
outil complet de gestion des risques
SSI conforme au référentiel général
de sécurité (RGS) et aux normes
ISO 27001, ISO 27005 et ISO 31000.
En perpétuelle évolution depuis vingt
ans, la méthode EBIOS version 2010
est assortie d’une base de connaissances
enrichie d’exemples concrets
permettant d’élaborer des scénarios
de risque pertinents.
Le but d’une telle analyse est de
préciser le nombre, la nature des
risques et les cibles potentiellement
visées sur le système considéré. A
partir d’un recensement exhaustif des
risques pouvant compromettre ses
principes de fonctionnement, il est possible d’opérer une classification
entre les risques dont il est possible
de se protéger en déployant une
mesure adaptée, ceux qu’il est possible
de transférer et enfin, ceux qu’il est
acceptable de prendre.
Le formateur de Prolepse a encore
précisé les étapes qui doivent conduire
à l’homologation tout en expliquant,
les principes qui en découlent comme
la nécessité d’identifier l’autorité qui
signera le document formalisant les
mesures prises ou non, contre les
risques identifiés.
Défendre les
systèmes numériques
Au début de l’après-midi, deux
des auteurs de l’ouvrage intitulé «
Cybersécurité des installations industrielles
», Patrice Bock et Pascal Sitbon
ont notamment détaillé les spécificités
des systèmes en service sur les sites
industriels.
En préambule de l’intervention, Pascal
Sitbon a insisté sur la nécessité de
considérer qu’un besoin de sécurité,
c’est d’abord un besoin « métier ». Il
a notamment insisté sur l’importance
d’avoir une approche orientée sur le
risque global. Plutôt que se concentrer
sur la seule cybersécurité, il est important
de prendre en considération
la globalité de la mission qui est du
ressort de l’organisation tant du point
de vue de la qualité que de l’obligation
de service.
Outre la nécessité de cloisonner les
ressources pour éviter qu’une attaque
de cybersécurité fasse s’écrouler
toute une chaîne de traitements, il
a aussi rappelé que la sûreté et la
sécurité des installations composent
des approches tendent à se renforcer
mutuellement même si elles peuvent
devenir antagonistes sous certaines
conditions.
Patrick Bock a ensuite parlé des
référentiels et notamment l’étude du
Clusif réalisée en 2014 pour faire un
état des lieux sur ce sujet dont, trois
référentiels spécialement intéressant à
l’instar du NIST 800-82 américain, les
ouvrages de l’ANSSI et le référentiel
ISA IEC 62443 (notamment les fondamentaux
62443-1-1 et leur mise en
application 62443-3-2).
Dans les grandes lignes, le principe
consiste à segmenter une installation
en zones physiques et zones logiques
afin d’identifier les flux qui circulent
entre ces dernières afin de pouvoir
opérer une surveillance et éventuellement,
mettre en place des systèmes
de filtrage (pare-feu, détection d’intrusion,
sondes, etc.). Il est aussi important
d’affecter des objectifs de sécurité
à chaque zone.
Toutes ces notions revêtent une
importance nouvelle avec la prise
en compte de la cybersécurité dans
la Loi de programmation militaire
(LPM) qui identifie douze secteurs
d’activité dans lesquels interviennent
des opérateurs d’importance vitale
(OIV) comme la production, le
stockage et la distribution d’énergie, le
traitement et la distribution de l’eau,
etc. Les industries qui dépendent de
l’un de ces secteurs auront trois ans
à partir de juillet 2016 pour homologuer
la base installée de leur système
d’information. Les projets en cours
de déploiement devront être homologués
sous un an tandis que les projets
à venir devront l’être avant même leur
mise en exploitation.
Des solutions technologiques comme
celles proposées par Thalès ou encore
Sentryo (voir dans ce numéro page
16), existent aujourd’hui pour
établir une cartographie à jour des
systèmes et des réseaux industriels,
pour recenser les versions des logiciels
exploités et donc, connaître
l’état des déploiements de mises
à jour, pour rechercher les accès
distants activés et connaître leur
niveau de protection, etc.
Les enjeux pour le SI
industriel
Dans la suite du débat, Frédéric
Planchon, directeur général de FPC
Ingénierie s’est d’abord attaché
à rappeler les divergences d’approches
qui existent entre un
système informatique dédié à la
gestion et celui qui régule les automatismes
industriels.
Il a rappelé que l’affectation du
contrôle-commande peut amener
à un fonctionnement irrégulier ou
dégradé qui est inacceptable voire,
générer des arrêts intempestifs,
activer des actions dangereuses pour
les biens ou les personnes. Les buts
poursuivis peuvent aller d’un arrêt
complet dans le but d’obtenir une
rançon pour pouvoir redémarrer ou
réaliser un vol de données d’accès ou
de fonctionnement pour utilisation
ultérieure. Si les attaques externes
constituent une réelle menace, il faut
aussi tenir compte des négligences et
de la malveillance interne.
Le système industriel inclut toutes
les machines et tous les systèmes qui
remplissent des fonctions : superviseurs,
automates programmables,
calculateurs, etc. qui exécutent des
programmes le plus souvent écrits dans
un environnement de développement.
Les failles de sécurité peuvent exister
dans cet environnement peuvent
potentiellement affecter tous les
programmes dont il est la source.
D’autres failles peuvent être présentes
au niveau de l’environnement d’exécution
(run-time), du système d’exploitation
(Windows, Linux, etc.) voire
au sein même du matériel, dans les
firmwares embarqués sur les puces
de silicium.
L’analyse de risque est-elle adaptée
à cette nouvelle donne ? Frederic
Planchon constate que la sûreté logicielle
est une activité coûteuse et peu
adaptée aux industries qui est de plus,
réservée aux secteurs critiques. Les
études de sûreté de fonctionnement
pour leur part, ne prennent en général
pas en compte la fiabilité logicielle.
Enfin, il faut aussi reconnaître qu’il
existe une certaine dilution de la chaine
de responsabilité de la fiabilité et de
la robustesse : composants logiciels,
machines, intégrateurs, installateurs,
exploitants, etc.
En effet, la cybersécurité n’est pas
qu’une question purement numérique.
On peut légitimement s’interroger
pour savoir si les lieux où se trouvent
les systèmes de contrôle sont protégés
physiquement (détection d’intrusion,
contrôle d’accès). Les personnes utilisant
le système de contrôle-commande
sont-elles l’objet d’une habilitation ou
d’un contrôle ? Les documents décrivant
les vulnérabilités et les mesures de
sécurité sont-ils en accès restreint et
contrôlé ? La gestion de configuration
au sens large permet-elle de remettre
en service de manière efficace et fiable
le système après un crash, quelle qu’en
soit la nature ?
Encore ne s’agit-il que d’un très
succinct résumé des problématiques
soulevées par Frederic Planchon
qui propose une nouvelle approche
baptisée, analyse pour l’évaluation des
risques opérationnels (Apéro), basé
sur une analyse fonctionnelle utilisant
la représentation SADT (Structured
Analysis and Design Technique).
Place aux
témoignages
Stéphane Corblin, responsable de la
sécurité SI et Olivier Bouly, responsable
service expertise du SIAAP, sont
venus apporter leurs témoignages
concernant la cybersécurité dans
une entreprise publique à caractère
Industrielle qui transporte et dépollue
chaque jour les eaux usées, les eaux
pluviales et les eaux industrielles de
l’agglomération parisienne.
Leur intervention a permis de montrer
les difficultés qui surgissent lorsqu’une
organisation est répartie sur plusieurs
sites (direction, usines, etc.) dont
la coordination repose sur des
communications par fibre optique à
très haut débit où se trouvent concentrés
des échanges touchant les process
(SNCC, API Scada, etc.), les postes de
contrôle qui reçoivent des directives
mais aussi, remontent des informations
sur le fonctionnement, etc.
L’approche retenue a consisté à identifier
des zones (gestion, productique,
industrielle, etc.) protégées les unes
des autres par des firewalls avec la mise
en place pour les remontées d’information,
d’espaces d’échange disposant
d’une double isolation, pour communiquer
de manière unidirectionnelle avec
les sites de production. Les données
sont concentrées sur un serveur dédié.
La journée s’est terminée avec l’intervention
de Jean Luc Panchet chargé
des études et des projets de défense
et sécurité au département de maîtrise
d’ouvrage des projets à la RATP.
Il a tenu à rappeler qu’il faut fixer
des objectifs et des priorités liées à
l’activité en ayant une vision globale
pour assurer une coprod
ction avec
les partenaires internes et externes.
Une approche constructive consiste
à allier sûreté de fonctionnement et
cybersécurité.
Selon lui, l’approche globale des
risques nécessite de connaître les
systèmes et l’architecture aux niveaux
organisationnel (les réseaux, l’organisation
et les hommes), logique (les
identités numériques, les logiciels et les
données) et physique (les équipements,
les locaux et les sites).