Cyber-sécurité - Aperçu sur le tutoriel ISA-France
-
Upload
jean-pierre-hauet -
Category
Documents
-
view
256 -
download
17
description
Transcript of Cyber-sécurité - Aperçu sur le tutoriel ISA-France
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
L’IEC 62443 (ISA-99)CYBER-SECURITE DES
AUTOMATISMES ET DES SYSTEMES DE CONTRÔLE DE PROCEDE
Tous droits réservés hauet.com 2015
Présentation de l’intervenant
2
Nota : La première version de ce cours a été réalisée avec le concours Jean-Pierre DALZON, décédé en octobre 2011..
L’auteur :Jean-Pierre HAUET, ancien Chief Technology Officer d’ALSTOM, Associate Partner deKB Intelligence, Président d’ISA-France.
Tous droits réservés hauet.com 2015
Objectifs de la formation
• Rappeler l’enjeu de la cybersécurité des systèmes de contrôle, compte tenu des attaques survenues au cours des dernières années
• Expliquer la démarche préconisée par l’ISA-99 devenue IEC 62443 afin de permettre aux responsables de construire un système de gestion de la cybersécurité d’évaluation de la robustesse de leurs systèmes ou de leurs installations
• Présenter de façon synthétique la terminologie et le contenu des principaux documents normatifs de l’IEC 62443 afin de faciliter leur accès aux futurs utilisateurs
• Préconiser des pratiques de défense de nature à accroître le niveau de cybersécurité des installations, sans prétendre faire une analyse exhaustive des techniques de sécurité
• Proposer quelques annexes pour approfondissement éventuel
3
Tous droits réservés hauet.com 2015
Sommaire du document (1)
Première partie : Généralités• La sécurité des systèmes de contrôle : rappels et définitions• Cybersécurité et sécurité fonctionnelle• La cybersécurité : un risque bien réel• La veille cyber-sécuritaire : où trouver des informations ?• Pourquoi les IACS sont-ils devenus vulnérables ?• Les solutions de l’informatique classique ne sont pas suffisantes –
L’utilité d’un référentielDeuxième partie : l’ISA-99 et l’IEC 62443 • Le comité de standardisation ISA99• L’approche générale de l’IEC 62443• L’IEC 62443 : plan documentaire et principaux documents• L’IEC 62443-1-1 : modèles et concepts
4
Tous droits réservés hauet.com 2015
Sommaire du document (2)
Deuxième partie : l’ISA-99 et l’IEC 62443 (suite)• Establishing an IACS security program : ANSI/ISA-99.02.01 et IEC
62443-2-1 : Requirements for an IACS security management system • L’IEC 62443-2-4 : Security program requirements for IACS service
providers• L’IEC 62433-3-2 : Security risk assessment and system design• L’IEC 62443-3-3 : System security requirements and security
assurance levels• Mise en oeuvre de l’IEC 62443 • Exemple simple de détermination des zones et des conduits• L’IEC TR62443-3-1 : Security technologies for IACS• Evaluation et certification• Conclusions
5
Tous droits réservés hauet.com 2015
Sommaire du document (3)
Annexes• Annexe 1 : Quelques éléments pour bâtir un système de gestion de
la cyber- sécurité• Annexe 2 : Recommandations de bon sens• Annexe 3 : Aperçu sur les techniques de chiffrement• Annexe 4 : Quelques organismes de standardisation ou de
recherche• Annexe 5 : Liens utiles
6
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
Partie 1 : Généralités
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
La sécurité des systèmes d’automatisme et de contrôle :
Rappels et définitions
Tous droits réservés hauet.com 2015
En anglais, « safety » et « security »
• La « safety » a trait aux mesures prises pour protéger un système de dommages inacceptables, qu’ils soient directs ou indirects (aux personnes et à l’environnement), résultent d’incidents ou d’accidents, intentionnels ou non . L’état qui en résulte est qualifié de « safe ». Exemple : se protéger d’un ouragan.
• La « security » a trait aux mesures prises (et à l’état qui en résulte) pour protéger un système contre des actes intentionnés. Exemple : mettre ses avoirs en sécurité à la banque.
• La « cybersecurity » apparait comme une rubrique de la « security » et l’IEC 62443 la définit comme « Measures taken to protect a computer or computer system against unauthorized access or attack »
9
Tous droits réservés hauet.com 2015
En français, « sûreté » et « sécurité »
• La « sécurité » est proche de la « safety » anglaise. Vise l’ensemble des mesures et l’état qui en résulte pour se protéger contre les risques de toute nature : sociale, militaire, environnementale…
– Mettre ses actifs en sécurité à la banque– Se mettre en sécurité en cas d’ouragan…
• Dans le domaine industriel, on parle de « sécurité industrielle », incluant les aspects physiques, environnementaux, humains, etc.
• La « sûreté » présente des analogies avec la « security » anglaise– Désigne souvent l’ensemble des actions visant à se prémunir contre des risques
venant de l’extérieur, en particulier les attaques criminelles– La « sûreté nucléaire » couvre un spectre plus large– Dans le domaine industriel, on parle de « sûreté de fonctionnement » :
« aptitude d’un système à accomplir les fonctions qu’on en attend, dans des conditions définies et durant un intervalle de temps donné ».
• La « sécurité fonctionnelle » a été introduite par les normes IEC 61508 et 61511 comme sous-ensemble de la sûreté de fonctionnement
10
Tous droits réservés hauet.com 2015
La sécurité fonctionnelle (functional safety)
• La sécurité fonctionnelle (functional safety : « Sous-ensemble de la sécurité globale, relatif aux équipements et aux systèmes de contrôle-commande associés, qui dépend du fonctionnement correct de systèmes électriques, électriques, programmables électroniques (E/E/PE) concernés par la sécurité ».
• La sécurité fonctionnelle de s’intéresse qu’aux « safety relatedsystems » (systèmes comprenant une ou plusieurs dispositions dont la défaillance peut mettre en cause la « safety » des personnes et de l’environnement) et aux systèmes actifs (ex : systèmes de détection de fumées)
• Les systèmes passifs ne relèvent pas de la sécurité fonctionnelle (ex : portes résistant au feu)
• La sécurité fonctionnelle, telle que définie par l’IEC 61508; n’inclut pas la cybersécurité, qui n’était pas un risque reconnu à l’époque.
11
Tous droits réservés hauet.com 2015
La cybersécurité des installations industrielles
12
• La cybersécurité des installations industrielles a trait à la prévention des risques associés aux intrusions dans un système d’automatisme ou de contrôle (IACS : Industrial Automation and Control System), liés à de possibles actions malintentionnées sur des équipements informatiques, des réseaux de communication, des logiciels ou des données.
• La cybersécurité des installations industrielles va au-delà de la notion de sécurité des systèmes d’information : l’essentiel est moins de sécuriser les informations que le processus contrôlé par l’IACS.
• La cybersécurité est une composante nouvelle de la sécurité industrielle aux côtés de la sûreté de fonctionnement et de la sécurité fonctionnelle.
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
Cybersécurité et sécurité fonctionnelle
Tous droits réservés hauet.com 2015
Cybersécurité et sécurité fonctionnelle
• La sécurité fonctionnelle des systèmes automatisés (E,E,PE) se fonde sur la norme IEC 61508 et sur les normes qui en dérivent.
• La norme IEC 61508 traite du comportement d’un système face à des défaillances ou à des phénomènes, internes et externes, susceptibles d’affecter gravement son fonctionnement.
• Mais au moment de sa conception, la cybersécurité des IACS était une préoccupation du second ordre (isolement et technologies spécifiques des systèmes de contrôle)
• Cependant, les deux disciplines visent à contenir les conséquences dommageables pouvant résulter d’une défaillance dans le bon fonctionnement des processus
16
Tous droits réservés hauet.com 2015
Principales normes de sécurité fonctionnelle
IEC 61508Norme générique
IEC 61511Process
industriels
IEC62061Machines
IEC61513Nucléaire
ISO 26262Automobile
FerroviaireEN 50126,
50128, 50129
AvioniqueDO178d
17
Normes sectorielles
Source : Grenoble INP- Génie industriel
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
La cybersécurité : un risque bien réel
Tous droits réservés hauet.com 2015
Les cyberattaques ne sont pas une paranoïa (1)
25
Beaucoup d’exemples sont disponibles dans la littérature, en dépit de la tendance à conserver secrets les incidents
• Eau– 2000 : une installation radiocommandée de traitement des eaux usées à
Maroochy Shire (Australie) attaquée par un employé insatisfait– 2006 : hacking du système de sécurité d’une installation de filtration de
l’eau à Harrisburg (Pennsylvanie)– 2011 : attaque (en “proof of concept” ) sur l’entreprise de distribution de
l’eau du Sud Houston, etc.• Transports
– Déraillement d’un tramway à Lodz provoqué par un adolescent de 14 ans• Pétrole
– 1982 : la CIA aurait provoquer l’explosion du gazoduc de l ’Oural– 2009 : sabotage d’installations pétrolières au Venezuela– 2009 : attaques du ver Slammer sur des plates-formes offshore– 2009-2011 : attaque Night Dragon contre 12 entreprises gazières et
pétrolières – Vol d’informations sensibles, etc.
Tous droits réservés hauet.com 2015
Le processus Stuxnet
• Construction informatique très complexe, capable de :– s’infiltrer par différents moyens (Clés USB, réseaux, programmes
corrompus)– communiquer avec un centre de contrôle– repérer les équipements fonctionnant sous Windows, notamment (les
stations de supervision Siemens WinCC et les consoles de programmation Step 7
– s’y installer masqué par des rootkits et des certificats volés– modifier la programmation des automates S7-300 pilotant des variateurs de
vitesse
Variateurs
Code STLcorrompu
Stuxnet
Centrifugeuses
• 100 000 porteurs sains infectés dans le monde fin septembre 2010 – Plus de 60 % en Iran
• Probablement 1000 centrifugeuses détériorées
• Première attaque à effet destructif organisée par un état
Tous droits réservés hauet.com 2015
Octobre 2011 : le cas DuquJuin 2015 : Duqu 2
35
• 14 octobre 2011, un laboratoire universitaire de Budapest (le CrySyS) publie un rapport démontrant l’existence d’un nouveau malware présentant de fortes similarités avec Stuxnet
• Symantec publie un rapport intitulé « W32Duqu - The precursor to the next Stuxnet »
• Duqu apparait comme un cheval de Troie qui ne contient pas d’éléments de code relatifs à un système de contrôle particulier mais est destiné à récupérer et à transmettre des éléments d’information
• Une douzaine de pays contaminés• Juin 2015 : Duqu 2 détecté visant à
subtiliser des informations sur les négociations avec l’Iran : utilise des 0-day vulnérabilités sur MSI (Microsoft Software Installer) Source : Symantec – Novembre 2011
Tous droits réservés hauet.com 2015
2014 : attaques Dragonfly
• Décrites par Symantec le 30 juin 2014 mais remontent à 2010/2011
• Proviendraient d’un groupe localisé en Europe de l’Est
• S’attaquent à diverses industries (énergie, pharmacie) et à leurs fournisseurs de systèmes de contrôle
• Cibles : équipements sous Windows XP
• Objectif identifié : vol d’informations• Objectif possible : prise de contrôle et
sabotage• Zones cibles : Etats-Unis et Europe
42
Répartition des attaques Dragonflyselon Symantec
Tous droits réservés hauet.com 2015
On trouve presque tout sur Internet
• Des « exploits » permettant d’utiliser des vulnérabilités des systèmes (Adobe, Windows, Android, IOS, etc.), y compris des exploits « 0-day » (non publiés et non patchés), à des prix allant de 5 000 à 250 000 USD (selon Forbes 2012)
• Des « payloads », ou « charges » qui sont les composants logiciels permettant de développer une attaque en fonction de l’objectif visé (espionnage, sabotage, collecte de données…)
• Des outils de dissimulation (rookits, systèmes de communication furtifs…)
• Des réseaux de « botnets » ou « zombies » travaillant à façon…• Des plates-formes d’outils offrant un nombre considérable de
modules (116 pour Equationdrug)
47
Tous droits réservés hauet.com 2015
Une attaque type : le spear phishing
53
Le spear phishing désigne toute attaque au phishing très ciblée,consistant à envoyer des courriers qui semblent authentiques àl'ensemble des employés ou des membres d'une entreprise, d'unorganisme gouvernemental, d'une organisation ou d'un groupedonné. Le courrier peut sembler provenir de l’employeur ou d'uncollègue.En réalité, les informations sur l'expéditeur du courrier ont étéfalsifiées. Alors que les arnaques au phishing classiquescherchent à voler des informations aux gens, les escroqueries detype spear phishing essaient de pénétrer le systèmeinformatique d'une entreprise.
Tous droits réservés hauet.com 2015
Le spear phishing (2)
54
Serveur Web
Attaquant
Centre de contrôle
Serveur Email
1
1
1Un attaquant déclenche une attaque de spear-phishing contenant un lien vers serveur pirate
2
2
2
Un utilisateur ouvre l’e-mail infecté et entre en liaison avec le serveur pirate. Celui-ci télécharge une commande à distance pirate (RAT).
2
3
3
Les informations sur le compte utilisateur et la configuration du serveur hôte sont envoyées à C&C serveur
4
4
L’attaquant utilise le RAT malware pour reconnaître l’ensemble du système et recolter les données
RAT : Remote Administration Tool
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
La veille cyber-sécuritaire : où trouver des informations ?
Tous droits réservés hauet.com 2015
Où trouver des informations ? (1)
• En France : l’ANSSI et le CERTA
56
Tous droits réservés hauet.com 2015
Répartition par secteur des incidents rapportés au CERT en 2014
59
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
Pourquoi les IACS sont-ils devenus vulnérables ?
Tous droits réservés hauet.com 2015
Le mythe de « l’air gap » a disparu
• Un IACS moderne est très complexe et fortement interconnecté
• De multiples points d’entrée permettent d’accéder aux espaces-mémoires et aux contrôleurs
• L’hypothèse d’un air-gap entre l’IACS et les réseaux d’entreprise est en règle générale irréaliste
• Focaliser la défense sur les points d’accès les plus évidents (typiquement le pare-feu entre le niveau contrôle et le niveau IACS) crée l’illusion de la protection.
74
Tous droits réservés hauet.com 2015
Le mythe de l’air gap a disparu
75
Tous droits réservés hauet.com 2015
Pourquoi les IACS sont-ils devenus vulnérables ?
• Mise en réseau des systèmes de contrôle Surveillance à distance, debugging et maintenance Accès aux données en temps réel, pour applications telles que l’équilibrage
des réseaux ou le trading Intégration des réseaux de contrôle et des réseaux d’entrepriseUn IACS n’est jamais totalement isolé Connexions non sécurisées (locales
ou distantes)
• Utilisation de produits sur étagère (COTS) Stacks de réseaux non durcis Operating systems banalisés pour les stations opérateurs ou d’ingénierie Applications non régulièrement patchées Les IACS sont devenus la proie de toute sorte de malwares
• Absence de politique de management de la cybersécurité Surveillance insuffisante des visiteurs, des sous-traitants, etc. Employés mécontents ou congédiés
76
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
Les solutions de l’informatique classique ne
sont pas suffisantes – L’utilité d’un référentiel
Tous droits réservés hauet.com 2015
En bref : les systèmes IAC et IT diffèrent sensiblement
89
Source : ISA99.01.01
Disponibilité
Intégrité
Confidentialité
Systèmes d’automatismes et de contrôle
Systèmes d’information et de gestion
Prio
rité Intégrité
Confidentialité
Disponibilité
Tous droits réservés hauet.com 2015
Les exigences de performance sont différentes
90
IT IACS
Non temps réel Temps réel
Délais de réponse admis Temps de réponse critique
Messages longs et peu fréquents Messages courts et fréquents
Beta test admis in situ Qualification préalable requise
Intervention sur appel admise Reconfiguration automatique souvent exigée
Tous droits réservés hauet.com 2015
Bien choisir son référentiel normatif
103
• Référentiel générique SI : série ISO/IEC 27000 • Référentiel IACS : série ISO/IEC 62443, issue de l’ISA-99 • Guidelines NIST : Guide to Industrial Control Systems (ICS) Security – 800-82 (2011)• Guides ANSSI : Guide sur la cybersécurité des installations industrielles
(2012) – Méthode de classification et mesures principales – Mesures détaillées (2014)
• Référentiels sectorielsNucléaire : o IEC 62645 (CDV) – Liaison avec ISA-99 en cours de discussion o AIEA (Reference manual 2011)o Standards EDFRéseaux électriques o Standards NERC/CIP (obligatoires aux USA pour les réseaux de transport)o NIST Interagency Report (IR) 7628 Rev1 Guidelines for Smart Grid Cybersecurity”
(2014-10)o IEC 62351 : Vise à sécuriser les données et les communications dans les
systèmes de puissanceo Guides ENISA et rapports CEN-CENELEC-ETSI « SG-CG/M490 »
Tous droits réservés hauet.com 2015
Respecter les dispositions réglementaires
En France• Loi du 18 décembre 2013 - Chapitre IV : Dispositions relatives à la
protection des infrastructures vitales contre la cybermenace– « Art. L. 1332-6-1.-Le Premier ministre fixe les règles de sécurité
nécessaires à la protection des systèmes d'information des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation. Ces opérateurs sont tenus d'appliquer ces règles à leurs frais.
• Décrets du 27 mars 2015– sécurité des systèmes d'information des opérateurs d'importance vitale– qualification des produits de sécurité et des prestataires de service de
confiance
104
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
Partie 2 : L’ISA99 et l’IEC 62443
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
Mission et compositionProcessus d’élaboration des
standards
Le comité de standardisation ISA99
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
L’approche générale de l’IEC 62443
Tous droits réservés hauet.com 2015
Le champ d’application de l’IEC 62443
• Tous les systèmes industriels d’automatisme et de contrôle (IACS)
• Y compris les systèmes de supervision rencontrés dans les industries de process
• Y compris les Scadas (Supervisory control and data acquisition) : Réseaux de transport et de distribution d’électricité Réseaux de distribution d’eau et de gaz Production de gaz et de pétrole Pipelines et gazoducs
• Autres applications éventuelles
120
Tous droits réservés hauet.com 2015
Situation du standard IEC 62443 vis-àvisdes principales normes de sécurité
121
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
Plan documentaire et principaux documents
L’IEC 62443
Tous droits réservés hauet.com 2015
Evolution de la structure documentaire
• En 2009, il a été décidé de procéder à un renommage de tous les documents produits ou en cours de production par l’ISA99 afin de faciliter leur prise en compte par l’IEC dans le cadre de la norme IEC 62443. En 2011, il a été décidé d’introduire dans l’IEC un document issu du WIB qui est devenu l’IEC 62443-2-4
• Les premiers chiffres de l’indexation vont du général au particulier. 1 : Documents généraux 2 : Documents de niveau « entreprise » : policies and procedures 3 : Documents de niveau « système » 4 : Documents de niveau « composant »
• La programme de travail du comité ISA99 s’étale jusqu’à 2016. Les documents finalisés sont publiés comme normes par l’ANSI et par la CEI
• Certains documents sont en cours de révision, afin notamment de s’harmoniser les normes ISO/IEC 27000.
126
Tous droits réservés hauet.com 2015
Structure documentaire IEC (juillet 2015)
128
Tous droits réservés hauet.com 2015
Programme de travail (juillet 2015)
J F M A M J J A S O N D J F M A M J J A S O N D J F M A M J J A S O N D J F M A M J J A S O N D
62443-1-1 Terminology, concepts and models ANSI/ISA-62443-1-1-2007 In revision DC janv 2016 R C V E P
TR62443-1-2 Master glossary of terms and abbreviations (technical report) ISA-62443-1-2-WD In development DC oct 2015 D C V E P
62443-1-3 System security compliance metrics N/A In development DC oct 2016 D C R V R E P
62443-1-4 IACS security life cycle and use case N/A Proposed DC TBD
62443-2-1 IACS security management system - Requirements ANSI/ISA-62443-2-1-2009 In revision CDV R
TR62443-2-2 IACS security management system - Implementation guidance N/A In development WD
TR62443-2-3 Patch management in the IACS environment (technical report) ISA-TR62443-2-3-WD Ballot comments in
review ISA TR
62443-2-4 Certification of IACS supplier security policies and practices IEC 62443-2-4-WD Plan to adopt ISA Std
TR62443-3-1 Security technologies for IACS (technical report) ANSI/ISA-TR99.00.01-2007 In revision DC
62443-3-2 Security assurance levels for zones and conduits ISA-62443-3-2-WD In development CDV nov 2016 D V E P
62443-3-3 System security requirements and security assurance levels ANSI/ISA-62443-3-3-2013 Published 2013 TBD P
62443-4-1 Product development requirements ISA-62443-4-1-WD In development CDV mai 2016 C V E A P
62443-4-2 Technical security requirements for IACS components ISA-62443-4-2-WD In development DC C
Document States:Legend:
Working Draft WD - ProposedDraft for Comment DC D - Working DraftCommittee Draft for Vote CDV C - Committee Draft for CommentISA Standard ISA Std V - Committee Draft for VoteISA Technical Report ISA TR E - Editorial ReviewIEC Standard IEC Std A - ANSI/ISA ApprovedTo be determined TBD P - ISA Published
I - IEC ApprovedR - In RevisionW - Withdrawn
2016ISA/IEC Designation Title Available edition
Next Planned Publication
DateQ1 Q2 Q3 Q4Q1 Q2 Q3 Q4
2015Current Status Next
Milestone Q3 Q420182017
Q4Q2 Q3 Q1 Q2Q1
Tous droits réservés hauet.com 2015
Revue rapide des documents
131
Les documents approuvés et publiés sont téléchargeables sur le site www.isa.org ou peuvent être acquis en CD-Rom
Nota : Le rapport ANSI/ISA-TR99.00.02 – 2004, « Integrating ElectronicSecurity into the Manufacturing and Control Systems Environment»proposait une approche pour auditer un système, déterminer ses failleséventuelles face aux différentes attaques dont il peut être l’objet etfaciliter la vérification de la bonne application des mesures de mise enconformité face aux recommandations formulées.Il a servi de base au standard ISA-99-02-01 « Establishing an Industrial Automation and Control System Security Program” publié en 2009 et actuellement en cours de revision sous le titre “Requirements for an IACS security management system”.
Tous droits réservés hauet.com 2015
IEC 62443-1-1
132
Models & concepts• Remise à jour en octobre 2007 d’un document de 2002La version officielle actuelle a été publiée, avant la convergence avec IEC, sous la référence ANSI/ISA99.00.01-2007. L’IEC a publié une version TS sous la référence IEC 62433-1-1• Une révision importante est en cours pour clarifier l’aspect normatif au sens CEI, introduire de nouveaux concepts et servir de base à l’ensemble des documents. • Points traités :
Général
General Concepts [Informative]Fundamental Concepts [Normative]Security Program Maturity [Normative]Models [Normative]System Definition [Normative]
Foundational Requirements [Normative] System Segmentation [Normative]Security Levels [Normative]Security Lifecycle [Normative]
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
L’IEC 62443-1-1 :modèles et concepts
Tous droits réservés hauet.com 2015
IEC 62443-1-1 : quelles questions ?
• Quel est le domaine d’application de la notion de « sécurité des automatismes industriels et des systèmes de contrôle » ?
• Comment définir les besoins et les exigences en utilisant une terminologie cohérente ?
• Quels sont les concepts de base servant de fondations à une analyse plus approfondie des activités, des attributs des systèmes et des actions nécessaires à la réalisation de systèmes de contrôle électroniquement surs?
• Comment peut-on regrouper et classifier les composants des automatismes industriels et des systèmes de contrôle afin d’en définir et d’en gérer la sécurité?
• Quels sont les différents objectifs de sécurité en fonction des applications des systèmes de contrôle ?
• Comment ces objectifs peuvent-ils être définis et codifiés?
149
Tous droits réservés hauet.com 2015
Les concepts essentiels
• Sécurité et cycles de vie• Processes : policies, procedures et guidelines• Technology : foundational requirements - FR (Exigences
essentielles) • Actifs à protéger (assets)• Zones et conduits• Défense en profondeur• Security levels (SLs)• Contremesures (Countermeasures)
150
Tous droits réservés hauet.com 2015
Définition des zones de sécurité
• Une zone de sécurité est un regroupement logique et en règle générale physique deressources ayant des exigences similaires en matière de sécurité. Une zone se définità partir des modèles physique et fonctionnel de l’architecture de contrôle. Unepolitique de sécurité relative à chaque zone doit alors être fixée.
• Le processus de définition des « zones » démarre à l’aide du modèle dereprésentation “ physique ” du système sur lequel viendront se greffer lesfonctionnalités et les activités (de l’exploitation à la maintenance, en passant par lesréglages...). Lorsqu’une ressource supporte plusieurs fonctions (ou activités), onl’affectera à une zone correspondant à l’exigence de la fonction la plus contraignante,ou bien on créera une zone séparée avec une politique spécifique de sûreté.
• Exemple d’un serveur d’historiques : un tel serveur doit accéder aux donnéescritiques de fonctionnement. Mais, du point de vue de la sécurité, il relève davantagede la gestion, car de nombreux utilisateurs potentiels (superviseurs, équiped’optimisation de procédé, statisticiens, contrôleurs qualité…) sont intéressés par lesdonnées recueillies et doivent disposer d’un accès plus libéral aux informations. Dansce cas, on peut envisager de créer une zone spécifique pour les historiques,éventuellement séparée par une zone démilitarisée (DMZ) de la zone de contrôle.
159
Tous droits réservés hauet.com 2015
Exemple de zones hiérarchisées
161
Les zones « filles » héritent des propriétés des zones« parents » sauf contremesures spécifiques
Tous droits réservés hauet.com 2015
Niveau de sécurité et vecteurs SLs
176
Le niveau de sécurité est défini :
• en objectif (Target) : niveau de protection à atteindre pour chaque zone et conduit, en utilisant, éventuellement, un ensemble de contremesures : SL-T
• en capacité (Capability) : niveau que permettent d’atteindre les caractéristiques propres d’un composant ou d’un système : SL-C
• en réalisation (Achieved) : niveau effectivement atteint grâce aux propriétés intrinsèques des composants constituant une zone ou un conduit et à l’apport éventuel de contremesures: SL-A
Les vecteurs d’assurance sécurité (Security Levels - SLs) représentent la confiance que l’on peut avoir quant à l’aptitude d’un système, d’une zone et/ou de ses constituants d’apporter le niveau de niveau de sécurité voulu.
Les composantes des vecteurs SLs correspondent à chacune des Exigences Fondamentales (FR) pertinentes pour le système considéré.
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
ANSI/ISA-99.02.01-2009Establishing an IACS security program
en cours de révision, devient :IEC 62443-2-1
Requirements for an IACS security management system
Tous droits réservés hauet.com 2015
Exigences organisation et exigences système
186
IEC 62443‐2‐1 (dérivée de ISO 27002) : process
IEC 62443‐3‐3 et IEC 62443‐4‐2: technology
Security policy
Organization of Security
Asset management
Human resources security
Physical & environmental securityCommunications & operations management
Information systems acquisition, development and maintenance
Access control
Cyber-security incident managementBusiness continuity management
Compliance
Proc
ess
Technology
Identification, authentication & access control – FR1
Use control – FR2
System Integrity (FR3)
Data confidentiality (FR4)
Restrict data flow (FR5)
Timely response to event (FR6)
Resource availability (FR7)
Clauses
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
IEC 62443-3-2Security Risk Assessment
and System Design
Tous droits réservés hauet.com 2015
IEC 62443-3-2
• Décrit comment doit être défini le « Système Under Consideration » (SUC)
• Décrit comment partitionner le système en zones et conduits• Définit les exigences pour la conduite des analyses de risques• Définit comment établir les niveaux de sécurité « Target »• Précise comment doivent être établies et documentées les
exigences de sécurité pour atteindre ces objectifs
194
Nota : le texte, en cours de finalisation, reprend beaucoup d’éléments qui étaient traités dans l’ANSI/ISA99.00.01-2007 (devenue IEC 62443-1-1)
Tous droits réservés hauet.com 2015
Des échelles de risque plus sophistiquées peuvent être utilisées
Exemple de matrice de risques – Source : ISA 62443-3-2
219
Tous droits réservés hauet.com 2015
Notion de facteur de réduction des risques
• Le CRRF (Cyber Risk reduction Factor) mesure le facteur de réduction du risque nécessaire pour le ramener au niveau tolérable
• Le CRRF peut être exprimé par le ratio entre risque non mitigé et risque tolérable
221
Risquetolerable
:4
Risque“non
mitigé”
Dans l’exemple ci-contre:CRRF de la zone considérée = 16/4 soit 4
Tous droits réservés hauet.com 2015
Synopsis de la méthodologie 62443-3-2
222
Identifier le SUC (System Under Consideration)
Mener une analyse de risque de haut-niveau
Partitionner le SUC en zones et conduits
Documenter les exigences de sécurité, les hypothèses et les
contraintes
Architecture système initialeDiagrammes et inventaires
Architecture système mise à jour
Diagrammes et inventaires
Analyses de risques existantes (PHA) et matrice
de risque corporate avec objectifs de sécurité
Niveau de sécurité initial pour le SUC
Normes et meilleures pratiques, recommandations du vendeur, spécifications
fonctionnelles, etc.
Diagramme initial des zones et conduits
Risques résiduels et niveaux de sécurité objectifs pour chaque zone & conduit
Politiques de l’entreprise, réglementations,
recommandations pour les risques tolérables, etc.
Spécification des exigences de cybersécurité (CRS)
Mener une analyse de risques détaillées pour chaque zone et
conduit
Début
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
IEC 62443-3-3 System security requirements and security assurance levels
Tous droits réservés hauet.com 2015
Rappel : l’approche technique
• Sept « Foundational Requirements » (FR)
232
FR1 Identification, authentication control and access control (AC) FR5 Restrict data flow (RDF)
FR2 Use control (UC) FR6 Timely response to events (TRE)
FR3 Data Integrity (DI) FR7 Resource availability (RA)
FR4 Data confidentiality (DC)
• Une liste de 100 critères techniques permettant de quantifier le « Security level » d’un système dans une échelle de 1 à 4, au regard de chacun des FR, en «capabilité » ou en « achieved »
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
Mise en œuvre de l’IEC 62443Synthèse
Tous droits réservés hauet.com 2015
Le cycle des programmes de cybersécurité
240
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
Exemple simple de détermination des zones
et des conduitsIEC TR62443-1-4
Tous droits réservés hauet.com 2015
Station de remplissage de camions en produits toxiques (produits chlorés)
251
CPUA 1 2 3 4 5 6 7 8
F
B 1 2 3 4 5 6 7 8
A 1 2 3 4 5 6 7 8
F
B 1 2 3 4 5 6 7 8
A 1 2 3 4 5 6 7 8
F
B 1 2 3 4 5 6 7 8
A 1 2 3 4 5 6 7 8
F
B 1 2 3 4 5 6 7 8
A 1 2 3 4 5 6 7 8
F
B 1 2 3 4 5 6 7 8
A 1 2 3 4 5 6 7 8
F
B 1 2 3 4 5 6 7 8
A 1 2 3 4 5 6 7 8
F
B 1 2 3 4 5 6 7 8
A 1 2 3 4 5 6 7 8
F
B 1 2 3 4 5 6 7 8
A 1 2 3 4 5 6 7 8
F
B 1 2 3 4 5 6 7 8
GE FanucSERIES 90-30
PROGRAMMABLECONTROLLER
+24VDCOUTPUT-
100-240VAC 40A50/60HZ
BATTERY
PWR
OK
RUN
BATT
Station de chargement
Moteurs, variateurs, pompes.
Contrôleur
Switch
Station de contrôle locale
Routeur et pare-feu
Station de contrôle distante
Switch
Internet
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
IEC TR62443-3-1Security technologies for IACS
Tous droits réservés hauet.com 2015
Comment se protéger
La protection repose sur une combinaison de :- Mesures techniques (IEC 62433-3-3)- Mesures organisationnelles : policies & procedures (IEC
62443.2.1 nouveau)
261
Tous droits réservés hauet.com 2015
Recommandation générale :réduire la surface d’attaque
• Limiter le nombre de protocoles et de choix technologiques
• Eviter les protocoles faibles sur TCP (Modbus TCP, HTTP, OPC Classic). OPC Security peut être une bonne solution mais… performances!
• Limiter au maximum les conduits vers l’extérieur y compris vers les niveaux de gestion de l’entreprise
• Surveiller les « conduits de compensation » : clés USB, portables et tablettes, CD Roms
• Activer les sécurités partout où elles sont prévues• Bloquer toutes les communications non nécessaires vers
les zones sensibles (SIS)
262
Tous droits réservés hauet.com 2015
Les protocoles sur IP non sécurisés
263
Protocoles sur IP non sécurisésCouche transport Protocole Ports assignés
TCP Telnet 23
TCP HTTP 80
UDP SNMP V1&V2 161
TCP FTP 20 ‐ Données21 ‐ Commandes
UDP TFTP 69
UDP DNS 53
TCP POP3 110
TCP SMTP 25
Tous droits réservés hauet.com 2015
Plate-forme IF-MAP du TCG
• IF-MAP est une architecture de sécurité basée sur un serveur de meta-données servant de « clearing house » pour tous les échanges d’informations entre les éléments du système
286TCG : Trusted Computing Group
Tous droits réservés hauet.com 2015
Trusted Platform modules du TCG
• Module de sécurité adjoint de façon indissociable et inviolable à un équipement à protéger
• Combine protection par matériel et par logiciel
• Stocke toutes mes primitives de sécurité relatives aux mécanismes de chiffrement et de hachage
• Assure l’identification de l’équipement et son authentification
• Assure la protection contre les attaques « au dictionnaire »
287
• Permet de s’assurer de l’intégrité des logiciels et des données opérées par l’équipement
• Normalisé ISO/IEC 11889
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
Evaluation et certification
Tous droits réservés hauet.com 2015
ISA Security Compliance Institute
• L’ISA Security Compliance Institute met en œuvre l’ISASecure™ programme qui reconnait et promeut les produits et les pratiques cyber-sécuritaires au profit des fournisseurs d’équipements.
• Le logo ISASecure™ est attribué à des fournisseurs d’équipements pour des produits et systèmes ainsi que pour les processus de développement qui apportent la preuve de leurs caractéristiques cyber-sécuritaires.
296
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
Conclusions
Tous droits réservés hauet.com 2015
On peut réduire le risque
306
• En prendre conscience• Analyser les risques et la résilience du système (l’IEC 62443 fournit
un référentiel méthodologique)• Agir au niveau :
Des constituants (attention aux maillons faibles) Du système (remonter la sécurité des zones par des conduits) De la discipline d’exploitation
• La cybersécurité est un chantier toujours ouvert
• Attention : à la différence de la sécurité fonctionnelle, le risque ne vient pas de l’intérieur des équipements (pas de vieillissement). Ceux-ci ont simplement la capacité de résister, plus ou moins bien, à des attaques de plus en plus perfectionnées : internes ou externes. Attention aux signes avant-coureurs…
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés
Annexe 1Quelques éléments préparatoires
avant de bâtir un programme de cyber- sécurité
Tous droits réservés hauet.com 2015
Bien définir l’objectif
Vérifier si la société a connaissance du standard IEC 62443 Initier la mise en place d’un CSMS (Cyber-SecurityManagement System)Ou Evaluer le niveau de maturité du CSMSIdentifier les actions potentielles d’amélioration
308
Les exposer clairement aux personnels concernés en soulignant l’enjeu qui s’y attache.
Répondre ensuite de façon méthodique à une liste dequestions progressives qui éveilleront l’intérêt des personnesconcernées et consitueront une première étape avant lelancement du CSMS basé sur l’IEC 62443