Cyber-sécurité - Aperçu sur le tutoriel ISA-France

Standards

Certification

Education & Training

Publishing

Conferences & Exhibits

Tous droits réservés 2015 Un cours ISA-France - Version 10.0 Août 2015 – Tous droits réservés

L’IEC 62443 (ISA-99)CYBER-SECURITE DES

AUTOMATISMES ET DES SYSTEMES DE CONTRÔLE DE PROCEDE

jphauet

Texte tapé à la machine

Ceci est un aperçu du tutoriel ISA-France sur la cyber-sécurité des systèmes de contrôle. Pour l'acquérir, rendez vous sur www.isa-france.org

Tous droits réservés hauet.com 2015

Présentation de l’intervenant

2

Nota : La première version de ce cours a été réalisée avec le concours Jean-Pierre DALZON, décédé en octobre 2011..

L’auteur :Jean-Pierre HAUET, ancien Chief Technology Officer d’ALSTOM, Associate Partner deKB Intelligence, Président d’ISA-France.


Objectifs de la formation

• Rappeler l’enjeu de la cybersécurité des systèmes de contrôle, compte tenu des attaques survenues au cours des dernières années

• Expliquer la démarche préconisée par l’ISA-99 devenue IEC 62443 afin de permettre aux responsables de construire un système de gestion de la cybersécurité d’évaluation de la robustesse de leurs systèmes ou de leurs installations

• Présenter de façon synthétique la terminologie et le contenu des principaux documents normatifs de l’IEC 62443 afin de faciliter leur accès aux futurs utilisateurs

• Préconiser des pratiques de défense de nature à accroître le niveau de cybersécurité des installations, sans prétendre faire une analyse exhaustive des techniques de sécurité

• Proposer quelques annexes pour approfondissement éventuel

3


Sommaire du document (1)

Première partie : Généralités• La sécurité des systèmes de contrôle : rappels et définitions• Cybersécurité et sécurité fonctionnelle• La cybersécurité : un risque bien réel• La veille cyber-sécuritaire : où trouver des informations ?• Pourquoi les IACS sont-ils devenus vulnérables ?• Les solutions de l’informatique classique ne sont pas suffisantes –

L’utilité d’un référentielDeuxième partie : l’ISA-99 et l’IEC 62443 • Le comité de standardisation ISA99• L’approche générale de l’IEC 62443• L’IEC 62443 : plan documentaire et principaux documents• L’IEC 62443-1-1 : modèles et concepts

4



Deuxième partie : l’ISA-99 et l’IEC 62443 (suite)• Establishing an IACS security program : ANSI/ISA-99.02.01 et IEC

62443-2-1 : Requirements for an IACS security management system • L’IEC 62443-2-4 : Security program requirements for IACS service

providers• L’IEC 62433-3-2 : Security risk assessment and system design• L’IEC 62443-3-3 : System security requirements and security

assurance levels• Mise en oeuvre de l’IEC 62443 • Exemple simple de détermination des zones et des conduits• L’IEC TR62443-3-1 : Security technologies for IACS• Evaluation et certification• Conclusions

5



Annexes• Annexe 1 : Quelques éléments pour bâtir un système de gestion de

la cyber- sécurité• Annexe 2 : Recommandations de bon sens• Annexe 3 : Aperçu sur les techniques de chiffrement• Annexe 4 : Quelques organismes de standardisation ou de

recherche• Annexe 5 : Liens utiles

6

Standards

Certification


Publishing



Partie 1 : Généralités

Standards

Certification


Publishing



La sécurité des systèmes d’automatisme et de contrôle :

Rappels et définitions


En anglais, « safety » et « security »

• La « safety » a trait aux mesures prises pour protéger un système de dommages inacceptables, qu’ils soient directs ou indirects (aux personnes et à l’environnement), résultent d’incidents ou d’accidents, intentionnels ou non . L’état qui en résulte est qualifié de « safe ». Exemple : se protéger d’un ouragan.

• La « security » a trait aux mesures prises (et à l’état qui en résulte) pour protéger un système contre des actes intentionnés. Exemple : mettre ses avoirs en sécurité à la banque.

• La « cybersecurity » apparait comme une rubrique de la « security » et l’IEC 62443 la définit comme « Measures taken to protect a computer or computer system against unauthorized access or attack »

9


En français, « sûreté » et « sécurité »

• La « sécurité » est proche de la « safety » anglaise. Vise l’ensemble des mesures et l’état qui en résulte pour se protéger contre les risques de toute nature : sociale, militaire, environnementale…

– Mettre ses actifs en sécurité à la banque– Se mettre en sécurité en cas d’ouragan…

• Dans le domaine industriel, on parle de « sécurité industrielle », incluant les aspects physiques, environnementaux, humains, etc.

• La « sûreté » présente des analogies avec la « security » anglaise– Désigne souvent l’ensemble des actions visant à se prémunir contre des risques

venant de l’extérieur, en particulier les attaques criminelles– La « sûreté nucléaire » couvre un spectre plus large– Dans le domaine industriel, on parle de « sûreté de fonctionnement » :

« aptitude d’un système à accomplir les fonctions qu’on en attend, dans des conditions définies et durant un intervalle de temps donné ».

• La « sécurité fonctionnelle » a été introduite par les normes IEC 61508 et 61511 comme sous-ensemble de la sûreté de fonctionnement

10


La sécurité fonctionnelle (functional safety)

• La sécurité fonctionnelle (functional safety : « Sous-ensemble de la sécurité globale, relatif aux équipements et aux systèmes de contrôle-commande associés, qui dépend du fonctionnement correct de systèmes électriques, électriques, programmables électroniques (E/E/PE) concernés par la sécurité ».

• La sécurité fonctionnelle de s’intéresse qu’aux « safety relatedsystems » (systèmes comprenant une ou plusieurs dispositions dont la défaillance peut mettre en cause la « safety » des personnes et de l’environnement) et aux systèmes actifs (ex : systèmes de détection de fumées)

• Les systèmes passifs ne relèvent pas de la sécurité fonctionnelle (ex : portes résistant au feu)

• La sécurité fonctionnelle, telle que définie par l’IEC 61508; n’inclut pas la cybersécurité, qui n’était pas un risque reconnu à l’époque.

11


La cybersécurité des installations industrielles

12

• La cybersécurité des installations industrielles a trait à la prévention des risques associés aux intrusions dans un système d’automatisme ou de contrôle (IACS : Industrial Automation and Control System), liés à de possibles actions malintentionnées sur des équipements informatiques, des réseaux de communication, des logiciels ou des données.

• La cybersécurité des installations industrielles va au-delà de la notion de sécurité des systèmes d’information : l’essentiel est moins de sécuriser les informations que le processus contrôlé par l’IACS.

• La cybersécurité est une composante nouvelle de la sécurité industrielle aux côtés de la sûreté de fonctionnement et de la sécurité fonctionnelle.

Standards

Certification


Publishing



Cybersécurité et sécurité fonctionnelle


Cybersécurité et sécurité fonctionnelle

• La sécurité fonctionnelle des systèmes automatisés (E,E,PE) se fonde sur la norme IEC 61508 et sur les normes qui en dérivent.

• La norme IEC 61508 traite du comportement d’un système face à des défaillances ou à des phénomènes, internes et externes, susceptibles d’affecter gravement son fonctionnement.

• Mais au moment de sa conception, la cybersécurité des IACS était une préoccupation du second ordre (isolement et technologies spécifiques des systèmes de contrôle)

• Cependant, les deux disciplines visent à contenir les conséquences dommageables pouvant résulter d’une défaillance dans le bon fonctionnement des processus

16


Principales normes de sécurité fonctionnelle

IEC 61508Norme générique

IEC 61511Process

industriels

IEC62061Machines

IEC61513Nucléaire

ISO 26262Automobile

FerroviaireEN 50126,

50128, 50129

AvioniqueDO178d

17

Normes sectorielles

Source : Grenoble INP- Génie industriel

Standards

Certification


Publishing



La cybersécurité : un risque bien réel


Les cyberattaques ne sont pas une paranoïa (1)

25

Beaucoup d’exemples sont disponibles dans la littérature, en dépit de la tendance à conserver secrets les incidents

• Eau– 2000 : une installation radiocommandée de traitement des eaux usées à

Maroochy Shire (Australie) attaquée par un employé insatisfait– 2006 : hacking du système de sécurité d’une installation de filtration de

l’eau à Harrisburg (Pennsylvanie)– 2011 : attaque (en “proof of concept” ) sur l’entreprise de distribution de

l’eau du Sud Houston, etc.• Transports

– Déraillement d’un tramway à Lodz provoqué par un adolescent de 14 ans• Pétrole

– 1982 : la CIA aurait provoquer l’explosion du gazoduc de l ’Oural– 2009 : sabotage d’installations pétrolières au Venezuela– 2009 : attaques du ver Slammer sur des plates-formes offshore– 2009-2011 : attaque Night Dragon contre 12 entreprises gazières et

pétrolières – Vol d’informations sensibles, etc.


Le processus Stuxnet

• Construction informatique très complexe, capable de :– s’infiltrer par différents moyens (Clés USB, réseaux, programmes

corrompus)– communiquer avec un centre de contrôle– repérer les équipements fonctionnant sous Windows, notamment (les

stations de supervision Siemens WinCC et les consoles de programmation Step 7

– s’y installer masqué par des rootkits et des certificats volés– modifier la programmation des automates S7-300 pilotant des variateurs de

vitesse

Variateurs

Code STLcorrompu

Stuxnet

Centrifugeuses

• 100 000 porteurs sains infectés dans le monde fin septembre 2010 – Plus de 60 % en Iran

• Probablement 1000 centrifugeuses détériorées

• Première attaque à effet destructif organisée par un état


Octobre 2011 : le cas DuquJuin 2015 : Duqu 2

35

• 14 octobre 2011, un laboratoire universitaire de Budapest (le CrySyS) publie un rapport démontrant l’existence d’un nouveau malware présentant de fortes similarités avec Stuxnet

• Symantec publie un rapport intitulé « W32Duqu - The precursor to the next Stuxnet »

• Duqu apparait comme un cheval de Troie qui ne contient pas d’éléments de code relatifs à un système de contrôle particulier mais est destiné à récupérer et à transmettre des éléments d’information

• Une douzaine de pays contaminés• Juin 2015 : Duqu 2 détecté visant à

subtiliser des informations sur les négociations avec l’Iran : utilise des 0-day vulnérabilités sur MSI (Microsoft Software Installer) Source : Symantec – Novembre 2011


2014 : attaques Dragonfly

• Décrites par Symantec le 30 juin 2014 mais remontent à 2010/2011

• Proviendraient d’un groupe localisé en Europe de l’Est

• S’attaquent à diverses industries (énergie, pharmacie) et à leurs fournisseurs de systèmes de contrôle

• Cibles : équipements sous Windows XP

• Objectif identifié : vol d’informations• Objectif possible : prise de contrôle et

sabotage• Zones cibles : Etats-Unis et Europe

42

Répartition des attaques Dragonflyselon Symantec


On trouve presque tout sur Internet

• Des « exploits » permettant d’utiliser des vulnérabilités des systèmes (Adobe, Windows, Android, IOS, etc.), y compris des exploits « 0-day » (non publiés et non patchés), à des prix allant de 5 000 à 250 000 USD (selon Forbes 2012)

• Des « payloads », ou « charges » qui sont les composants logiciels permettant de développer une attaque en fonction de l’objectif visé (espionnage, sabotage, collecte de données…)

• Des outils de dissimulation (rookits, systèmes de communication furtifs…)

• Des réseaux de « botnets » ou « zombies » travaillant à façon…• Des plates-formes d’outils offrant un nombre considérable de

modules (116 pour Equationdrug)

47


Une attaque type : le spear phishing

53

Le spear phishing désigne toute attaque au phishing très ciblée,consistant à envoyer des courriers qui semblent authentiques àl'ensemble des employés ou des membres d'une entreprise, d'unorganisme gouvernemental, d'une organisation ou d'un groupedonné. Le courrier peut sembler provenir de l’employeur ou d'uncollègue.En réalité, les informations sur l'expéditeur du courrier ont étéfalsifiées. Alors que les arnaques au phishing classiquescherchent à voler des informations aux gens, les escroqueries detype spear phishing essaient de pénétrer le systèmeinformatique d'une entreprise.


Le spear phishing (2)

54

Serveur Web

Attaquant

Centre de contrôle

Serveur Email

1

1

1Un attaquant déclenche une attaque de spear-phishing contenant un lien vers serveur pirate

2

2

2

Un utilisateur ouvre l’e-mail infecté et entre en liaison avec le serveur pirate. Celui-ci télécharge une commande à distance pirate (RAT).

2

3

3

Les informations sur le compte utilisateur et la configuration du serveur hôte sont envoyées à C&C serveur

4

4

L’attaquant utilise le RAT malware pour reconnaître l’ensemble du système et recolter les données

RAT : Remote Administration Tool

Standards

Certification


Publishing



La veille cyber-sécuritaire : où trouver des informations ?


Où trouver des informations ? (1)

• En France : l’ANSSI et le CERTA

56


Répartition par secteur des incidents rapportés au CERT en 2014

59

Standards

Certification


Publishing



Pourquoi les IACS sont-ils devenus vulnérables ?


Le mythe de « l’air gap » a disparu

• Un IACS moderne est très complexe et fortement interconnecté

• De multiples points d’entrée permettent d’accéder aux espaces-mémoires et aux contrôleurs

• L’hypothèse d’un air-gap entre l’IACS et les réseaux d’entreprise est en règle générale irréaliste

• Focaliser la défense sur les points d’accès les plus évidents (typiquement le pare-feu entre le niveau contrôle et le niveau IACS) crée l’illusion de la protection.

74


Le mythe de l’air gap a disparu

75


Pourquoi les IACS sont-ils devenus vulnérables ?

• Mise en réseau des systèmes de contrôle Surveillance à distance, debugging et maintenance Accès aux données en temps réel, pour applications telles que l’équilibrage

des réseaux ou le trading Intégration des réseaux de contrôle et des réseaux d’entrepriseUn IACS n’est jamais totalement isolé Connexions non sécurisées (locales

ou distantes)

• Utilisation de produits sur étagère (COTS) Stacks de réseaux non durcis Operating systems banalisés pour les stations opérateurs ou d’ingénierie Applications non régulièrement patchées Les IACS sont devenus la proie de toute sorte de malwares

• Absence de politique de management de la cybersécurité Surveillance insuffisante des visiteurs, des sous-traitants, etc. Employés mécontents ou congédiés

76

Standards

Certification


Publishing



Les solutions de l’informatique classique ne

sont pas suffisantes – L’utilité d’un référentiel


En bref : les systèmes IAC et IT diffèrent sensiblement

89

Source : ISA99.01.01

Disponibilité

Intégrité

Confidentialité

Systèmes d’automatismes et de contrôle

Systèmes d’information et de gestion

Prio

rité Intégrité

Confidentialité

Disponibilité


Les exigences de performance sont différentes

90

IT IACS

Non temps réel Temps réel

Délais de réponse admis Temps de réponse critique

Messages longs et peu fréquents Messages courts et fréquents

Beta test admis in situ Qualification préalable requise

Intervention sur appel admise Reconfiguration automatique souvent exigée


Bien choisir son référentiel normatif

103

• Référentiel générique SI : série ISO/IEC 27000 • Référentiel IACS : série ISO/IEC 62443, issue de l’ISA-99 • Guidelines NIST : Guide to Industrial Control Systems (ICS) Security – 800-82 (2011)• Guides ANSSI : Guide sur la cybersécurité des installations industrielles

(2012) – Méthode de classification et mesures principales – Mesures détaillées (2014)

• Référentiels sectorielsNucléaire : o IEC 62645 (CDV) – Liaison avec ISA-99 en cours de discussion o AIEA (Reference manual 2011)o Standards EDFRéseaux électriques o Standards NERC/CIP (obligatoires aux USA pour les réseaux de transport)o NIST Interagency Report (IR) 7628 Rev1 Guidelines for Smart Grid Cybersecurity”

(2014-10)o IEC 62351 : Vise à sécuriser les données et les communications dans les

systèmes de puissanceo Guides ENISA et rapports CEN-CENELEC-ETSI « SG-CG/M490 »


Respecter les dispositions réglementaires

En France• Loi du 18 décembre 2013 - Chapitre IV : Dispositions relatives à la

protection des infrastructures vitales contre la cybermenace– « Art. L. 1332-6-1.-Le Premier ministre fixe les règles de sécurité

nécessaires à la protection des systèmes d'information des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation. Ces opérateurs sont tenus d'appliquer ces règles à leurs frais.

• Décrets du 27 mars 2015– sécurité des systèmes d'information des opérateurs d'importance vitale– qualification des produits de sécurité et des prestataires de service de

confiance

104

Standards

Certification


Publishing



Partie 2 : L’ISA99 et l’IEC 62443

Standards

Certification


Publishing



Mission et compositionProcessus d’élaboration des

standards

Le comité de standardisation ISA99

Standards

Certification


Publishing



L’approche générale de l’IEC 62443


Le champ d’application de l’IEC 62443

• Tous les systèmes industriels d’automatisme et de contrôle (IACS)

• Y compris les systèmes de supervision rencontrés dans les industries de process

• Y compris les Scadas (Supervisory control and data acquisition) : Réseaux de transport et de distribution d’électricité Réseaux de distribution d’eau et de gaz Production de gaz et de pétrole Pipelines et gazoducs

• Autres applications éventuelles

120


Situation du standard IEC 62443 vis-àvisdes principales normes de sécurité

121

Standards

Certification


Publishing



Plan documentaire et principaux documents

L’IEC 62443


Evolution de la structure documentaire

• En 2009, il a été décidé de procéder à un renommage de tous les documents produits ou en cours de production par l’ISA99 afin de faciliter leur prise en compte par l’IEC dans le cadre de la norme IEC 62443. En 2011, il a été décidé d’introduire dans l’IEC un document issu du WIB qui est devenu l’IEC 62443-2-4

• Les premiers chiffres de l’indexation vont du général au particulier. 1 : Documents généraux 2 : Documents de niveau « entreprise » : policies and procedures 3 : Documents de niveau « système » 4 : Documents de niveau « composant »

• La programme de travail du comité ISA99 s’étale jusqu’à 2016. Les documents finalisés sont publiés comme normes par l’ANSI et par la CEI

• Certains documents sont en cours de révision, afin notamment de s’harmoniser les normes ISO/IEC 27000.

126


Structure documentaire IEC (juillet 2015)

128


Programme de travail (juillet 2015)

J F M A M J J A S O N D J F M A M J J A S O N D J F M A M J J A S O N D J F M A M J J A S O N D

62443-1-1 Terminology, concepts and models ANSI/ISA-62443-1-1-2007 In revision DC janv 2016 R C V E P

TR62443-1-2 Master glossary of terms and abbreviations (technical report) ISA-62443-1-2-WD In development DC oct 2015 D C V E P

62443-1-3 System security compliance metrics N/A In development DC oct 2016 D C R V R E P

62443-1-4 IACS security life cycle and use case N/A Proposed DC TBD

62443-2-1 IACS security management system - Requirements ANSI/ISA-62443-2-1-2009 In revision CDV R

TR62443-2-2 IACS security management system - Implementation guidance N/A In development WD

TR62443-2-3 Patch management in the IACS environment (technical report) ISA-TR62443-2-3-WD Ballot comments in

review ISA TR

62443-2-4 Certification of IACS supplier security policies and practices IEC 62443-2-4-WD Plan to adopt ISA Std

TR62443-3-1 Security technologies for IACS (technical report) ANSI/ISA-TR99.00.01-2007 In revision DC

62443-3-2 Security assurance levels for zones and conduits ISA-62443-3-2-WD In development CDV nov 2016 D V E P

62443-3-3 System security requirements and security assurance levels ANSI/ISA-62443-3-3-2013 Published 2013 TBD P

62443-4-1 Product development requirements ISA-62443-4-1-WD In development CDV mai 2016 C V E A P

62443-4-2 Technical security requirements for IACS components ISA-62443-4-2-WD In development DC C

Document States:Legend:

Working Draft WD - ProposedDraft for Comment DC D - Working DraftCommittee Draft for Vote CDV C - Committee Draft for CommentISA Standard ISA Std V - Committee Draft for VoteISA Technical Report ISA TR E - Editorial ReviewIEC Standard IEC Std A - ANSI/ISA ApprovedTo be determined TBD P - ISA Published

I - IEC ApprovedR - In RevisionW - Withdrawn

2016ISA/IEC Designation Title Available edition

Next Planned Publication

DateQ1 Q2 Q3 Q4Q1 Q2 Q3 Q4

2015Current Status Next

Milestone Q3 Q420182017

Q4Q2 Q3 Q1 Q2Q1


Revue rapide des documents

131

Les documents approuvés et publiés sont téléchargeables sur le site www.isa.org ou peuvent être acquis en CD-Rom

Nota : Le rapport ANSI/ISA-TR99.00.02 – 2004, « Integrating ElectronicSecurity into the Manufacturing and Control Systems Environment»proposait une approche pour auditer un système, déterminer ses failleséventuelles face aux différentes attaques dont il peut être l’objet etfaciliter la vérification de la bonne application des mesures de mise enconformité face aux recommandations formulées.Il a servi de base au standard ISA-99-02-01 « Establishing an Industrial Automation and Control System Security Program” publié en 2009 et actuellement en cours de revision sous le titre “Requirements for an IACS security management system”.


IEC 62443-1-1

132

Models & concepts• Remise à jour en octobre 2007 d’un document de 2002La version officielle actuelle a été publiée, avant la convergence avec IEC, sous la référence ANSI/ISA99.00.01-2007. L’IEC a publié une version TS sous la référence IEC 62433-1-1• Une révision importante est en cours pour clarifier l’aspect normatif au sens CEI, introduire de nouveaux concepts et servir de base à l’ensemble des documents. • Points traités :

Général

General Concepts [Informative]Fundamental Concepts [Normative]Security Program Maturity [Normative]Models [Normative]System Definition [Normative]

Foundational Requirements [Normative] System Segmentation [Normative]Security Levels [Normative]Security Lifecycle [Normative]

Standards

Certification


Publishing



L’IEC 62443-1-1 :modèles et concepts


IEC 62443-1-1 : quelles questions ?

• Quel est le domaine d’application de la notion de « sécurité des automatismes industriels et des systèmes de contrôle » ?

• Comment définir les besoins et les exigences en utilisant une terminologie cohérente ?

• Quels sont les concepts de base servant de fondations à une analyse plus approfondie des activités, des attributs des systèmes et des actions nécessaires à la réalisation de systèmes de contrôle électroniquement surs?

• Comment peut-on regrouper et classifier les composants des automatismes industriels et des systèmes de contrôle afin d’en définir et d’en gérer la sécurité?

• Quels sont les différents objectifs de sécurité en fonction des applications des systèmes de contrôle ?

• Comment ces objectifs peuvent-ils être définis et codifiés?

149


Les concepts essentiels

• Sécurité et cycles de vie• Processes : policies, procedures et guidelines• Technology : foundational requirements - FR (Exigences

essentielles) • Actifs à protéger (assets)• Zones et conduits• Défense en profondeur• Security levels (SLs)• Contremesures (Countermeasures)

150


Définition des zones de sécurité

• Une zone de sécurité est un regroupement logique et en règle générale physique deressources ayant des exigences similaires en matière de sécurité. Une zone se définità partir des modèles physique et fonctionnel de l’architecture de contrôle. Unepolitique de sécurité relative à chaque zone doit alors être fixée.

• Le processus de définition des « zones » démarre à l’aide du modèle dereprésentation “ physique ” du système sur lequel viendront se greffer lesfonctionnalités et les activités (de l’exploitation à la maintenance, en passant par lesréglages...). Lorsqu’une ressource supporte plusieurs fonctions (ou activités), onl’affectera à une zone correspondant à l’exigence de la fonction la plus contraignante,ou bien on créera une zone séparée avec une politique spécifique de sûreté.

• Exemple d’un serveur d’historiques : un tel serveur doit accéder aux donnéescritiques de fonctionnement. Mais, du point de vue de la sécurité, il relève davantagede la gestion, car de nombreux utilisateurs potentiels (superviseurs, équiped’optimisation de procédé, statisticiens, contrôleurs qualité…) sont intéressés par lesdonnées recueillies et doivent disposer d’un accès plus libéral aux informations. Dansce cas, on peut envisager de créer une zone spécifique pour les historiques,éventuellement séparée par une zone démilitarisée (DMZ) de la zone de contrôle.

159


Exemple de zones hiérarchisées

161

Les zones « filles » héritent des propriétés des zones« parents » sauf contremesures spécifiques


Niveau de sécurité et vecteurs SLs

176

Le niveau de sécurité est défini :

• en objectif (Target) : niveau de protection à atteindre pour chaque zone et conduit, en utilisant, éventuellement, un ensemble de contremesures : SL-T

• en capacité (Capability) : niveau que permettent d’atteindre les caractéristiques propres d’un composant ou d’un système : SL-C

• en réalisation (Achieved) : niveau effectivement atteint grâce aux propriétés intrinsèques des composants constituant une zone ou un conduit et à l’apport éventuel de contremesures: SL-A

Les vecteurs d’assurance sécurité (Security Levels - SLs) représentent la confiance que l’on peut avoir quant à l’aptitude d’un système, d’une zone et/ou de ses constituants d’apporter le niveau de niveau de sécurité voulu.

Les composantes des vecteurs SLs correspondent à chacune des Exigences Fondamentales (FR) pertinentes pour le système considéré.

Standards

Certification


Publishing



ANSI/ISA-99.02.01-2009Establishing an IACS security program

en cours de révision, devient :IEC 62443-2-1

Requirements for an IACS security management system


Exigences organisation et exigences système

186

IEC 62443‐2‐1 (dérivée de ISO 27002) : process

IEC 62443‐3‐3 et IEC 62443‐4‐2: technology

Security policy

Organization of Security

Asset management

Human resources security

Physical & environmental securityCommunications & operations management

Information systems acquisition, development and maintenance

Access control

Cyber-security incident managementBusiness continuity management

Compliance

Proc

ess

Technology

Identification, authentication & access control – FR1

Use control – FR2

System Integrity (FR3)

Data confidentiality (FR4)

Restrict data flow (FR5)

Timely response to event (FR6)

Resource availability (FR7)

Clauses

Standards

Certification


Publishing



IEC 62443-3-2Security Risk Assessment

and System Design


IEC 62443-3-2

• Décrit comment doit être défini le « Système Under Consideration » (SUC)

• Décrit comment partitionner le système en zones et conduits• Définit les exigences pour la conduite des analyses de risques• Définit comment établir les niveaux de sécurité « Target »• Précise comment doivent être établies et documentées les

exigences de sécurité pour atteindre ces objectifs

194

Nota : le texte, en cours de finalisation, reprend beaucoup d’éléments qui étaient traités dans l’ANSI/ISA99.00.01-2007 (devenue IEC 62443-1-1)


Des échelles de risque plus sophistiquées peuvent être utilisées

Exemple de matrice de risques – Source : ISA 62443-3-2

219


Notion de facteur de réduction des risques

• Le CRRF (Cyber Risk reduction Factor) mesure le facteur de réduction du risque nécessaire pour le ramener au niveau tolérable

• Le CRRF peut être exprimé par le ratio entre risque non mitigé et risque tolérable

221

Risquetolerable

:4

Risque“non

mitigé”

Dans l’exemple ci-contre:CRRF de la zone considérée = 16/4 soit 4


Synopsis de la méthodologie 62443-3-2

222

Identifier le SUC (System Under Consideration)

Mener une analyse de risque de haut-niveau

Partitionner le SUC en zones et conduits

Documenter les exigences de sécurité, les hypothèses et les

contraintes

Architecture système initialeDiagrammes et inventaires

Architecture système mise à jour

Diagrammes et inventaires

Analyses de risques existantes (PHA) et matrice

de risque corporate avec objectifs de sécurité

Niveau de sécurité initial pour le SUC

Normes et meilleures pratiques, recommandations du vendeur, spécifications

fonctionnelles, etc.

Diagramme initial des zones et conduits

Risques résiduels et niveaux de sécurité objectifs pour chaque zone & conduit

Politiques de l’entreprise, réglementations,

recommandations pour les risques tolérables, etc.

Spécification des exigences de cybersécurité (CRS)

Mener une analyse de risques détaillées pour chaque zone et

conduit

Début

Standards

Certification


Publishing



IEC 62443-3-3 System security requirements and security assurance levels


Rappel : l’approche technique

• Sept « Foundational Requirements » (FR)

232

FR1 Identification, authentication control and access control (AC) FR5 Restrict data flow (RDF)

FR2 Use control (UC) FR6 Timely response to events (TRE)

FR3 Data Integrity (DI) FR7 Resource availability (RA)

FR4 Data confidentiality (DC)

• Une liste de 100 critères techniques permettant de quantifier le « Security level » d’un système dans une échelle de 1 à 4, au regard de chacun des FR, en «capabilité » ou en « achieved »

Standards

Certification


Publishing



Mise en œuvre de l’IEC 62443Synthèse


Le cycle des programmes de cybersécurité

240

Standards

Certification


Publishing



Exemple simple de détermination des zones

et des conduitsIEC TR62443-1-4


Station de remplissage de camions en produits toxiques (produits chlorés)

251

CPUA 1 2 3 4 5 6 7 8

F

B 1 2 3 4 5 6 7 8

A 1 2 3 4 5 6 7 8

F

B 1 2 3 4 5 6 7 8

A 1 2 3 4 5 6 7 8

F

B 1 2 3 4 5 6 7 8

A 1 2 3 4 5 6 7 8

F

B 1 2 3 4 5 6 7 8

A 1 2 3 4 5 6 7 8

F

B 1 2 3 4 5 6 7 8

A 1 2 3 4 5 6 7 8

F

B 1 2 3 4 5 6 7 8

A 1 2 3 4 5 6 7 8

F

B 1 2 3 4 5 6 7 8

A 1 2 3 4 5 6 7 8

F

B 1 2 3 4 5 6 7 8

A 1 2 3 4 5 6 7 8

F

B 1 2 3 4 5 6 7 8

GE FanucSERIES 90-30

PROGRAMMABLECONTROLLER

+24VDCOUTPUT-

100-240VAC 40A50/60HZ

BATTERY

PWR

OK

RUN

BATT

Station de chargement

Moteurs, variateurs, pompes.

Contrôleur

Switch

Station de contrôle locale

Routeur et pare-feu

Station de contrôle distante

Switch

Internet

Standards

Certification


Publishing



IEC TR62443-3-1Security technologies for IACS


Comment se protéger

La protection repose sur une combinaison de :- Mesures techniques (IEC 62433-3-3)- Mesures organisationnelles : policies & procedures (IEC

62443.2.1 nouveau)

261


Recommandation générale :réduire la surface d’attaque

• Limiter le nombre de protocoles et de choix technologiques

• Eviter les protocoles faibles sur TCP (Modbus TCP, HTTP, OPC Classic). OPC Security peut être une bonne solution mais… performances!

• Limiter au maximum les conduits vers l’extérieur y compris vers les niveaux de gestion de l’entreprise

• Surveiller les « conduits de compensation » : clés USB, portables et tablettes, CD Roms

• Activer les sécurités partout où elles sont prévues• Bloquer toutes les communications non nécessaires vers

les zones sensibles (SIS)

262


Les protocoles sur IP non sécurisés

263

Protocoles sur IP non sécurisésCouche transport Protocole Ports assignés

TCP Telnet 23

TCP HTTP 80

UDP SNMP V1&V2 161

TCP FTP 20 ‐ Données21 ‐ Commandes

UDP TFTP 69

UDP DNS 53

TCP POP3 110

TCP SMTP 25


Plate-forme IF-MAP du TCG

• IF-MAP est une architecture de sécurité basée sur un serveur de meta-données servant de « clearing house » pour tous les échanges d’informations entre les éléments du système

286TCG : Trusted Computing Group


Trusted Platform modules du TCG

• Module de sécurité adjoint de façon indissociable et inviolable à un équipement à protéger

• Combine protection par matériel et par logiciel

• Stocke toutes mes primitives de sécurité relatives aux mécanismes de chiffrement et de hachage

• Assure l’identification de l’équipement et son authentification

• Assure la protection contre les attaques « au dictionnaire »

287

• Permet de s’assurer de l’intégrité des logiciels et des données opérées par l’équipement

• Normalisé ISO/IEC 11889

Standards

Certification


Publishing



Evaluation et certification


ISA Security Compliance Institute

• L’ISA Security Compliance Institute met en œuvre l’ISASecure™ programme qui reconnait et promeut les produits et les pratiques cyber-sécuritaires au profit des fournisseurs d’équipements.

• Le logo ISASecure™ est attribué à des fournisseurs d’équipements pour des produits et systèmes ainsi que pour les processus de développement qui apportent la preuve de leurs caractéristiques cyber-sécuritaires.

296

Standards

Certification


Publishing



Conclusions


On peut réduire le risque

306

• En prendre conscience• Analyser les risques et la résilience du système (l’IEC 62443 fournit

un référentiel méthodologique)• Agir au niveau :

Des constituants (attention aux maillons faibles) Du système (remonter la sécurité des zones par des conduits) De la discipline d’exploitation

• La cybersécurité est un chantier toujours ouvert

• Attention : à la différence de la sécurité fonctionnelle, le risque ne vient pas de l’intérieur des équipements (pas de vieillissement). Ceux-ci ont simplement la capacité de résister, plus ou moins bien, à des attaques de plus en plus perfectionnées : internes ou externes. Attention aux signes avant-coureurs…

Standards

Certification


Publishing



Annexe 1Quelques éléments préparatoires

avant de bâtir un programme de cyber- sécurité


Bien définir l’objectif

Vérifier si la société a connaissance du standard IEC 62443 Initier la mise en place d’un CSMS (Cyber-SecurityManagement System)Ou Evaluer le niveau de maturité du CSMSIdentifier les actions potentielles d’amélioration

308

Les exposer clairement aux personnels concernés en soulignant l’enjeu qui s’y attache.

Répondre ensuite de façon méthodique à une liste dequestions progressives qui éveilleront l’intérêt des personnesconcernées et consitueront une première étape avant lelancement du CSMS basé sur l’IEC 62443

Cyber-sécurité - Aperçu sur le tutoriel ISA-France

Documents

Transcript of Cyber-sécurité - Aperçu sur le tutoriel ISA-France