Surveiller le fonctionnement, détecter les intrusions

La mise en réseau des systèmes, les liaisons locales mal maîtrisées et les connexions à distance non sécurisées auxquelles s’ajoutent des technologies toujours plus standardisées contribuent largement à la vulnérabilité croissante des systèmes de contrôle industriels. Il existe heureusement une foule de solutions complémentaires qui améliorent la connaissance de l’infrastructure, la surveillent et contrôlent ses points d’accès.


Les portes, les serrures, les points de contrôle, les dispositifs d’authentification des individus ou encore, les rondes de vigiles sont autant de moyens utilisés pour sécuriser les espaces physiques. Or, ce qui existe dans le monde réel peut avec un peu d’imagination et de recours aux technologies de protection des réseaux, être profitablement transposé dans le monde numérique.

Première constatation : la sécurisation du système d’information industriel est impossible si le réseau informatique général est ouvert aux quatre vents puisque les échanges entre ces deux infrastructures ne peuvent que s’intensifier à l’avenir. Si les recettes miracles n’existent guère, les bonnes pratiques et les moyens permettant de fiabiliser et de sécuriser un réseau Ethernet sont connus : mise en place de compte d’utilisateurs sur tous les postes de travail, utilisation généralisée d’antivirus, déploiement d’un annuaire centralisé de type LDAP permettant de gérer les droits d’accès via une authentification forte, échanges de données cryptées avec les logiciels et les applications sensibles, installation de pare-feu d’inspection approfondie à tous les points critiques, mise en place de mécanismes de contrôle strict des ports USB, traçabilité des connexions internes et externes, etc.

Aucun des points précédents ne doit être négligé afin d’éviter que la couche informatique qui par nature, n’impacte que des couches logiques dans une entreprise, ne puisse par l’entremise d’un système de contrôle industriel, avoir un effet physique dans le monde réel.

Connaîs-toi toi-même

La protection d’une chaine de production industrielle, nécessite une surveillance complète de l’ensemble de ses modules et de leurs interactions. Ici, la particularité est bien évidemment de comprendre et de supporter les protocoles du monde industriel.

Les actions à conduire dans le système d’information industriel recouvrent différentes démarches. La première à mettre en oeuvre va consister à obtenir une vue d’ensemble exhaustive de tout ce qui entre dans sa constitution. A cette fin, il faut être en mesure de recenser les équipements actifs et d’identifier leurs correspondants sur le réseau, de classifier et qualifier les différents types d’échange, de vérifier la validité des protections d’accès de toutes les terminaisons ou encore, de recenser et qualifier tous les points d’entrées aboutissant dans le réseau industriel.

Et bien sûr, une fois que toutes ces informations auront été collectées, il conviendra de les référencer dans un serveur qui d’une part, témoignera de la constitution du système d’information industriel mais donnera aussi, une image de ce qu’est son fonctionnement normal en régime de croisière. Ce dernier point peut servir de pilier à la surveillance du réseau industriel en fournissant une référence à laquelle se rapporter afin de qualifier si un fonctionnement semble suspect.

L’un des meilleurs exemples que l’on puisse donner d’une solution de recensement adapté aux systèmes industriels est la plateforme ICS Cybervision de la société Sentryo. Des sondes passives supportant l’immense majorité des protocoles industriels courants, identifient en quelques heures les composants fonctionnels jusqu’à fournir une véritable carte du réseau en place. A partir de sa base de données, le serveur Sentryo va alors permettre d’identifier les configurations inappropriées (mot de passe par défaut, point d’accès non protégé, etc.) et matérialiser l’état des échanges entre les terminaisons pour garantir l’intégrité du système industriel en identifiant les actions potentiellement suspectes.

Surveiller les points d’accès

Destiné à servir de point d’entrée et de sortie d’un réseau, le pare-feu reste l’un des éléments majeurs d’une défense en profondeur efficace et le premier rempart pour stopper les attaques ou ralentir leur progression. La fonction principale d’un pare-feu est de bloquer les flux non autorisés. Tout autre service que le pare-feu est également capable de rendre comme la détection d’intrusion, le routage avancé ou la traduction d’adresses IP, n’est en réalité qu’une fonction secondaire.

Une observation préalable s’impose : un pare-feu qui ne serait pas spécialement conçu pour tenir compte de la spécificité des flux échangés dans, et à destination d’un Ethernet de qualification industrielle, ne saurait ici convenir. Le second constat d’importance est qu’il est indispensable que chaque point d’entrée et de sortie du réseau soit équipé d’un dispositif de protection.

Comme son équivalent dédié au réseau Ethernet bureautique, un pare-feu spécialement étudié pour les réseaux industriels va proposer l’administration de ses fonctions de filtrage et de gestion des paramètres de sécurité. Il se doit aussi d’être compatible avec les contraintes industrielles et surtout, il doit supporter une gamme de protocoles suffisamment étendues (Modbus, S7, DNP3, OPC UA, Ethernet/IP, IEC 104…) pour couvrir les besoins d’une majorité d’installations.

La fonction plus attendue d’un pare-feu industriel de nouvelle génération reste l’inspection de l’ensemble du trafic ou, Deep Packet Inspection (DPI). Cette dernière tient compte de l’émetteur et de la destination en s’appuyant non plus sur les seules adresses IP mais en tenant compte des applications utilisées et en les associant à l’utilisateur, où qu’il se trouve et quel que soit le type d’appareil utilisé. Lorsqu’elle s’appuie sur une base de signatures, l’inspection en profondeur recherche à l’intérieur même des paquets échangés, les contenus potentiellement dangereux afin de bloquer les exploitations de vulnérabilité, les vers et les virus, les logiciels espions, les réseaux de zombies et même, les logiciels malveillants inconnus.

Favoriser le contrôle positif

Dans un pare-feu industriel, le contrôle de signatures ne vise pas à s’appuyer sur un référentiel de toutes les menaces existantes comme le font certains logiciels antivirus.

Il s’agit en fait de mettre en place un modèle de contrôle positif qui va permettre d’activer des applications ou des fonctions spécifiques afin de bloquer tout autre type de trafic de manière implicite ou explicite. Un pare-feu de nouvelle génération procède en une passe, à une inspection intégrale de tout le trafic sur tous les ports, fournissant ainsi le contexte complet de l’application, les contenus associés et l’identité de l’utilisateur.

La détection d’intrusion Un système de détection d’intrusion ou IDS (de l’anglais, Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur une cible qui peut être un réseau, un serveur, un automate, etc. Un tel dispositif permet d’avoir connaissance des tentatives d’intrusions qu’elles aient échoué ou réussi. Cette fonction peut être assurée par un pare-feu mais elle peut aussi être prise en charge par une solution logicielle de surveillance qui va surveiller le trafic à destination d’une terminaison spécifique ou d’un groupe d’équipements. Les systèmes de détection d’intrusion utilisent principalement trois méthodes de détection. - Avec la détection basée sur la signature, le système détecte des marqueurs qui correspondent à des menaces connues. Les signatures basées sur la détection subissent la limite que pose la mise à jour des banques de signatures. - La détection d’anomalie consiste à comparer les activités normales avec des événements observés qui semblent présenter des écarts significatifs avec le modèle. Les alertes sont générées par des méthodes statistiques qui comparent l’activité actuelle par rapport à l’activité précédente. Ceux-ci peuvent être personnalisés en fonction de la recherche et de l’observation. - Les systèmes de détection d’intrusion peuvent aussi analyser le fonctionnement de protocoles spécifiques pour déterminer si le trafic respecte les normes qui en découle. Par exemple, un message de connexion répété à partir d’un seul client dans un court intervalle de temps peut indiquer qu’une attaque de déni de service (DoS) est en cours. Les systèmes de détection d’intrusion sont conçus pour déclencher une alerte lorsqu’un fonctionnement inhabituel ou une signature spécifique a été détectée. Un analyste doit enquêter et déterminer si l’alerte est un faux positif ou une attaque potentielle contre le réseau. L’exploitation des données collectées passent donc par une intervention humaine. Si les grandes entreprises peuvent disposer de spécialistes de ces questions dans leur service informatique, les PME et les TPE auront intérêt à se tourner vers des spécialistes comme FPC Ingénierie.

À l’heure actuelle, des applications peuvent contourner un pare-feu n’assurant qu’un filtrage de ports ou d’adresses en utilisant diverses techniques. Un pare-feu industriel de nouvelle génération appliquera nativement au trafic plusieurs mécanismes de classification. Les applications non identifiées, qui ne représentent alors qu’un faible pourcentage du trafic mais représentent un risque élevé, font l’objet d’une gestion systématique.

Une fois le trafic entièrement classifié, une prévention coordonnée des cyberattaques peut alors être appliquée pour bloquer les contenus malveillants, prévenir les exploitations de vulnérabilité, les virus, les logiciels espions et les requêtes DNS suspectes. Certains pare-feux intègrent un mécanisme appelé sandbox (bac-à-sable) pour exécuter les requêtes inconnues afin d’observer directement leur effet dans un environnement de test virtuel. Lorsqu’une activité malveillante est identifiée, le pare-feu génère automatiquement une signature du fichier infecté et du trafic associé pour renforcer la protection.

Le cas des diodes de données

Dans une infrastructure de communication industrielle, certaines zones n’ont aucun besoin de recevoir des informations en provenance de l’extérieur. Jusqu’à un passé récent, ces espaces étaient la plupart du temps déconnectés du réseau global. Aujourd’hui, une telle situation tend à disparaître car le bon fonctionnement d’une entreprise requiert notamment, que les applications renvoient des états d’achèvement, des rapports de fonctionnement et des indicateurs permettant de planifier la production. De plus en plus souvent, ces informations sont remontées vers un système de gestion central qui peut être présent sur le réseau industriel ou, comme c’est le cas de plus en plus souvent, sur le réseau Ethernet général.

Il est cependant possible de reproduire le confinement qui existait antérieurement en intercalant une diode de données (datadiode) sur le port d’entrée de la zone dont on souhaite préserver l’isolation.

Comme une diode électronique, la datadiode va imposer un sens unidirectionnel au flux de données. Les systèmes industriels isolés du monde extérieur pourront renvoyer des états vers les couches supérieures sans que ces dernières puissent leur retourner la moindre information. Le plus souvent cette isolation n’est pas seulement numérique, elle aussi galvanique puisque ce sont des émetteurs optoélectroniques qui remontent les données.

Evidemment, une diode de données industrielles va supporter les protocoles les plus courants (Modbus, OPC UA/DA, DNP3, IEC, etc.) qui sont essentiellement des langages bidirectionnels. La diode de données va donc traduire ces séquences dans un protocole unidirectionnel propriétaire tandis que le trafic TCP/IP sera converti en UDP/IP. Dans tous les cas, deux serveurs proxy internes assureront les acheminements pour renforcer la sécurité.