La mise en réseau des systèmes, les liaisons locales mal
maîtrisées et les connexions à distance non sécurisées
auxquelles s’ajoutent des technologies toujours plus
standardisées contribuent largement à la vulnérabilité croissante
des systèmes de contrôle industriels. Il existe heureusement
une foule de solutions complémentaires qui améliorent la
connaissance de l’infrastructure, la surveillent et contrôlent ses
points d’accès.
Les portes, les serrures, les points
de contrôle, les dispositifs
d’authentification des individus ou
encore, les rondes de vigiles sont autant
de moyens utilisés pour sécuriser les
espaces physiques. Or, ce qui existe
dans le monde réel peut avec un
peu d’imagination et de recours aux
technologies de protection des réseaux,
être profitablement transposé dans le
monde numérique.
Première constatation : la sécurisation du
système d’information industriel est
impossible si le réseau informatique
général est ouvert aux quatre vents
puisque les échanges entre ces deux
infrastructures ne peuvent que
s’intensifier à l’avenir. Si les recettes
miracles n’existent guère, les bonnes
pratiques et les moyens permettant de
fiabiliser et de sécuriser un réseau
Ethernet sont connus : mise en place de
compte d’utilisateurs sur tous les postes
de travail, utilisation généralisée
d’antivirus, déploiement d’un annuaire
centralisé de type LDAP permettant de
gérer les droits d’accès via une
authentification forte, échanges de
données cryptées avec les logiciels et les
applications sensibles, installation de
pare-feu d’inspection approfondie à tous
les points critiques, mise en place de
mécanismes de contrôle strict des ports
USB, traçabilité des connexions internes
et externes, etc.
Aucun des points précédents ne doit être
négligé afin d’éviter que la couche
informatique qui par nature, n’impacte que des couches logiques dans une
entreprise, ne puisse par l’entremise d’un
système de contrôle industriel, avoir un
effet physique dans le monde réel.
Connaîs-toi toi-même
La protection d’une chaine de production
industrielle, nécessite une surveillance
complète de l’ensemble de ses modules
et de leurs interactions. Ici, la particularité est bien évidemment de comprendre et
de supporter les protocoles du monde
industriel.
Les actions à conduire dans le système
d’information industriel recouvrent
différentes démarches. La première à
mettre en oeuvre va consister à obtenir
une vue d’ensemble exhaustive de tout ce
qui entre dans sa constitution. A cette fin,
il faut être en mesure de recenser les
équipements actifs et d’identifier leurs
correspondants sur le réseau, de classifier
et qualifier les différents types d’échange,
de vérifier la validité des protections
d’accès de toutes les terminaisons ou
encore, de recenser et qualifier tous les
points d’entrées aboutissant dans le
réseau industriel.
Et bien sûr, une fois que toutes ces
informations auront été collectées, il
conviendra de les référencer dans un
serveur qui d’une part, témoignera de la
constitution du système d’information
industriel mais donnera aussi, une image
de ce qu’est son fonctionnement normal
en régime de croisière. Ce dernier point
peut servir de pilier à la surveillance du
réseau industriel en fournissant une
référence à laquelle se rapporter afin de
qualifier si un fonctionnement semble
suspect.
L’un des meilleurs exemples que l’on
puisse donner d’une solution de
recensement adapté aux systèmes
industriels est la plateforme ICS
Cybervision de la société Sentryo. Des
sondes passives supportant l’immense
majorité des protocoles industriels
courants, identifient en quelques heures
les composants fonctionnels jusqu’à
fournir une véritable carte du réseau en
place. A partir de sa base de données, le
serveur Sentryo va alors permettre
d’identifier les configurations
inappropriées (mot de passe par défaut,
point d’accès non protégé, etc.) et
matérialiser l’état des échanges entre les
terminaisons pour garantir l’intégrité du
système industriel en identifiant les
actions potentiellement suspectes.
Surveiller les points
d’accès
Destiné à servir de point d’entrée et de
sortie d’un réseau, le pare-feu reste l’un
des éléments majeurs d’une défense en
profondeur efficace et le premier rempart
pour stopper les attaques ou ralentir leur
progression. La fonction principale d’un
pare-feu est de bloquer les flux non
autorisés. Tout autre service que le
pare-feu est également capable de rendre
comme la détection d’intrusion, le
routage avancé ou la traduction
d’adresses IP, n’est en réalité qu’une
fonction secondaire.
Une observation préalable s’impose : un
pare-feu qui ne serait pas spécialement
conçu pour tenir compte de la spécificité
des flux échangés dans, et à destination
d’un Ethernet de qualification industrielle,
ne saurait ici convenir. Le second constat
d’importance est qu’il est indispensable
que chaque point d’entrée et de sortie du
réseau soit équipé d’un dispositif de
protection.
Comme son équivalent dédié au réseau
Ethernet bureautique, un pare-feu
spécialement étudié pour les réseaux
industriels va proposer l’administration de
ses fonctions de filtrage et de gestion des
paramètres de sécurité. Il se doit aussi
d’être compatible avec les contraintes
industrielles et surtout, il doit supporter
une gamme de protocoles suffisamment
étendues (Modbus, S7, DNP3, OPC UA,
Ethernet/IP, IEC 104…) pour couvrir les
besoins d’une majorité d’installations.
La fonction plus attendue d’un pare-feu
industriel de nouvelle génération reste
l’inspection de l’ensemble du trafic ou, Deep Packet Inspection (DPI). Cette
dernière tient compte de l’émetteur et de
la destination en s’appuyant non plus sur
les seules adresses IP mais en tenant
compte des applications utilisées et en les
associant à l’utilisateur, où qu’il se trouve
et quel que soit le type d’appareil utilisé.
Lorsqu’elle s’appuie sur une base de
signatures, l’inspection en profondeur
recherche à l’intérieur même des paquets
échangés, les contenus potentiellement
dangereux afin de bloquer les
exploitations de vulnérabilité, les vers et
les virus, les logiciels espions, les réseaux
de zombies et même, les logiciels
malveillants inconnus.
Favoriser le contrôle
positif
Dans un pare-feu industriel, le contrôle de
signatures ne vise pas à s’appuyer sur un
référentiel de toutes les menaces
existantes comme le font certains
logiciels antivirus.
Il s’agit en fait de mettre en place un
modèle de contrôle positif qui va
permettre d’activer des applications ou
des fonctions spécifiques afin de bloquer
tout autre type de trafic de manière
implicite ou explicite. Un pare-feu de
nouvelle génération procède en une
passe, à une inspection intégrale de tout
le trafic sur tous les ports, fournissant
ainsi le contexte complet de l’application,
les contenus associés et l’identité de
l’utilisateur.
La détection d’intrusion
Un système de détection d’intrusion ou IDS (de l’anglais, Intrusion Detection System) est un mécanisme destiné à repérer des
activités anormales ou suspectes sur une cible qui peut être un réseau, un serveur, un automate, etc. Un tel dispositif permet
d’avoir connaissance des tentatives d’intrusions qu’elles aient échoué ou réussi. Cette fonction peut être assurée par un
pare-feu mais elle peut aussi être prise en charge par une solution logicielle de surveillance qui va surveiller le trafic à
destination d’une terminaison spécifique ou d’un groupe d’équipements.
Les systèmes de détection d’intrusion utilisent principalement trois méthodes de détection.
– Avec la détection basée sur la signature, le système détecte des marqueurs qui correspondent à des menaces connues. Les
signatures basées sur la détection subissent la limite que pose la mise à jour des banques de signatures.
– La détection d’anomalie consiste à comparer les activités normales avec des événements observés qui semblent présenter
des écarts significatifs avec le modèle. Les alertes sont générées par des méthodes statistiques qui comparent l’activité
actuelle par rapport à l’activité précédente. Ceux-ci peuvent être personnalisés en fonction de la recherche et de l’observation.
– Les systèmes de détection d’intrusion peuvent aussi analyser le fonctionnement de protocoles spécifiques pour déterminer si
le trafic respecte les normes qui en découle. Par exemple, un message de connexion répété à partir d’un seul client dans un
court intervalle de temps peut indiquer qu’une attaque de déni de service (DoS) est en cours.
Les systèmes de détection d’intrusion sont conçus pour déclencher une alerte lorsqu’un fonctionnement inhabituel ou une
signature spécifique a été détectée. Un analyste doit enquêter et déterminer si l’alerte est un faux positif ou une attaque
potentielle contre le réseau. L’exploitation des données collectées passent donc par une intervention humaine. Si les grandes
entreprises peuvent disposer de spécialistes de ces questions dans leur service informatique, les PME et les TPE auront intérêt
à se tourner vers des spécialistes comme FPC Ingénierie.
À l’heure actuelle, des applications
peuvent contourner un pare-feu
n’assurant qu’un filtrage de ports ou
d’adresses en utilisant diverses
techniques. Un pare-feu industriel de
nouvelle génération appliquera
nativement au trafic plusieurs mécanismes
de classification. Les applications non
identifiées, qui ne représentent alors
qu’un faible pourcentage du trafic mais représentent un risque élevé, font l’objet
d’une gestion systématique.
Une fois le trafic entièrement classifié, une
prévention coordonnée des cyberattaques
peut alors être appliquée pour
bloquer les contenus malveillants,
prévenir les exploitations de vulnérabilité,
les virus, les logiciels espions et les
requêtes DNS suspectes. Certains
pare-feux intègrent un mécanisme appelé
sandbox (bac-à-sable) pour exécuter les
requêtes inconnues afin d’observer
directement leur effet dans un
environnement de test virtuel. Lorsqu’une
activité malveillante est identifiée, le
pare-feu génère automatiquement une
signature du fichier infecté et du trafic
associé pour renforcer la protection.
Le cas des diodes de
données
Dans une infrastructure de
communication industrielle, certaines
zones n’ont aucun besoin de recevoir des
informations en provenance de l’extérieur.
Jusqu’à un passé récent, ces espaces
étaient la plupart du temps déconnectés
du réseau global. Aujourd’hui, une telle
situation tend à disparaître car le bon
fonctionnement d’une entreprise requiert
notamment, que les applications
renvoient des états d’achèvement, des
rapports de fonctionnement et des
indicateurs permettant de planifier la
production. De plus en plus souvent, ces
informations sont remontées vers un
système de gestion central qui peut être
présent sur le réseau industriel ou, comme
c’est le cas de plus en plus souvent, sur le
réseau Ethernet général.
Il est cependant possible de reproduire le
confinement qui existait antérieurement
en intercalant une diode de données
(datadiode) sur le port d’entrée de l
zone
dont on souhaite préserver l’isolation.
Comme une diode électronique, la
datadiode va imposer un sens
unidirectionnel au flux de données. Les
systèmes industriels isolés du monde
extérieur pourront renvoyer des états
vers les couches supérieures sans que ces
dernières puissent leur retourner la
moindre information. Le plus souvent
cette isolation n’est pas seulement
numérique, elle aussi galvanique puisque
ce sont des émetteurs optoélectroniques
qui remontent les données.
Evidemment, une diode de données
industrielles va supporter les protocoles
les plus courants (Modbus, OPC UA/DA,
DNP3, IEC, etc.) qui sont essentiellement
des langages bidirectionnels. La diode de
données va donc traduire ces séquences
dans un protocole unidirectionnel
propriétaire tandis que le trafic TCP/IP
sera converti en UDP/IP. Dans tous les cas,
deux serveurs proxy internes assureront
les acheminements pour renforcer la
sécurité.