Informatique-Industrielle Sécurité

La cyber-sécurité : Le standard IS a99

Par
Jean-Pierre Hauet, Associate Partner KB Intelligence, Président d’ISA-France,
Membre émérite de la SEE

« texte
publié avec l’aimable autorisation de la revue de l’Electricité et de
l’Electronique ».

 

L’immunité des systèmes de contrôle
appartient au passé et ces systèmes sont, comme les autres systèmes
d’information, des cibles possibles pour le cyber-terrorisme, l’espionnage ou
simplement la malveillance. L’ISA (International Society of Automation) en a pris
conscience en lançant un comité de standardisation, l’ISA-99, dont l’objet est
de développer un ensemble de standards, de bonnes pratiques et de
recommandations techniques visant à contenir la menace cyber-sécuritaire.

 

La
cyber-sécurité des installations industrielles est à la croisée de plusieurs
chemins. Il y a bien évidemment, du fait même de la banalisation des produits
informatiques, des liens de parenté étroits entre cyber-sécurité des systèmes
de contrôle et cyber-sécurité des systèmes d’information. Toutefois les
solutions développées pour assurer la cyber-sécurité des systèmes d’information
ne suffisent pas ou sont mal adaptées.

Deux
facteurs de différenciation importants sont à souligner. En premier lieu, les
systèmes industriels sont beaucoup plus complexes que les systèmes
d’information. Les matériels sont très diversifiés : stations de travail,
serveurs mais aussi automates, capteurs et actionneurs intelligents, variateurs
de vitesse,  réseaux de toute nature
(Ethernet, réseaux de terrain, réseaux temps critique), modems, équipements de
radiocommunication, lecteurs d’étiquettes radiofréquences, alimentations de
secours (UPS), etc. Ces équipements sont rarement homogènes et résultent
souvent d’une accumulation dans le temps. Les personnels qui y ont accès sont
très divers : ingénieurs de conception, d’exploitation, techniciens de
maintenance, sous-traitants et prestataires externes, etc.

Les priorités
sont également différentes.  Usuellement,
la sécurité se décline en trois préoccupations principales : la
confidentialité, l’intégrité et la disponibilité.  Les systèmes d’information et de gestion
nécessitent que l’on porte beaucoup d’attention à la confidentialité des
données alors qu’au niveau du procédé, c’est la continuité de fonctionnement et
donc la disponibilité qui l’emportent.

 

Différences avec la sécurité fonctionnelle

La « safety
» (notion mal traduite en français par le terme de sécurité) a trait aux
mesures prises pour protéger un système contre des dommages pouvant résulter
d’incidents ou d’accidents involontaires. La notion s’applique également aux
caractéristiques de l’état qui en résulte : être« safe », c’est par exemple se
mettre à l’abri d’un ouragan. La sécurité fonctionnelle (functional safety),
appelée encore parfois sûreté de fonctionnement, est la partie de la « safety »
qui dépend du bon fonctionnement d’un système ou d’un équipement actif. Un
système de détection de fumées relève de la sécurité fonctionnelle alors qu’une
porte résistant au feu n’en relève pas.

La norme CEI
61508 s’applique aux systèmes automatisés, désignés E/E/PE, dont la défaillance
d’un composant peut mettre en cause la « safety » des personnes et de
l’environnement. Lorsque de tels systèmes présentent des risques potentiels
pour les personnes, l’environnement ou les biens, diverses sécurités sont mises
en œuvre. Les systèmes instrumentés de sécurité (SIS) sont utilisés comme
moyens de prévention pour réaliser des fonctions instrumentées de sécurité
telles que l’on puisse, grâce à elles, avoir une confiance suffisante dans la
capacité du système à amener et/ou à maintenir le procédé dans un état sûr. La
norme CEI 61508, issue de la norme ANSI/ISA-84.00.01, fixe les prescriptions
relatives à la spécification, la conception, l’installation, l’exploitation et
la maintenance d’un SIS et définit en particulier la notion de SIL (Safety
Integrity Level ou niveau d’intégrité de sécurité) qui est un scalaire, allant
de 1 à 4, caractérisant le niveau de sécurité fonctionnelle offert par un SIS.

Un certain
nombre de types de menaces, internes ou externes au système, contre lesquelles
il y a lieu de se protéger, ont été prises en compte lors de l’élaboration des
normes ISA84 et CEI 61508 : défaillances matérielles, défauts logiciels, effets
de la température, de l’humidité, des agressions électromécaniques, etc. Mais
les menaces d’attaque cyber-sécuritaire étaient quasiment ignorées.
L’apparition du risque cyber-sécuritaire a conduit à identifier un nouvel
ensemble de menaces contre lesquelles il faut se prémunir, comme en sécurité
fonctionnelle, par des contre-mesures appropriées, mais qui diffère de la
sécurité fonctionnelle par deux facteurs qui rendent le problème beaucoup plus
complexe : les attaques sont délibérées et, en conséquence, elles ne sont pas
probabilisables de façon objective, à la différence de la défaillance des
composants  électroniques.

A contrario,
la cyber-sécurité peut  bénéficier des
expériences de Pasteur sur l’absence de génération spontanée : la menace vient
toujours de quelque part et par conséquent la protection cyber-sécuritaire peut
et doit se focaliser exclusivement sur les accès au système, quels qu’ils
soient.

 

L’approche ISA99

Pendant
longtemps, la réponse des exploitants de systèmes de contrôle face à un risque
supposé de cyber-attaques, a été principalement : « le système est protégé car
il est isolé ». Cette réponse n’est pas suffisante : un système n’est jamais
complètement isolé du monde extérieur de façon permanente même s’il l’est à
certaines périodes, et en particulier en régime d’exploitation. Il existe
toujours des moments où il devient nécessaire de procéder à des opérations de
maintenance ou de mise à jour, par des moyens divers, notamment ceux qui
relèvent des « conduits de compensation » : clés USB, CD-Rom, laptops, etc.
C’est un principe fondamental de l’ISA99 de ne jamais considérer un système
comme isolé mais d’imposer l’identification de tous ses points d’entrée,
permanents ou épisodiques.

Le groupe de
standardisation ISA-99 mis en place par l’ISA (International Society of Automation)
s’est donné comme objectif de développer un ensemble de rapports techniques, de
bonnes pratiques et de standards dont le respect permet de conférer aux
systèmes d’automatismes et de contrôle – y compris les systèmes répartis du
type SCADA – un niveau acceptable de confiance face aux attaques
cyber-sécuritaires. Comme dans la démarche ISA84/CEI 61508, il s’agit de faire
se rejoindre une évaluation des risques, résultant d’une analyse des menaces,
des vulnérabilités à ces menaces et de leurs conséquences potentielles, et une
évaluation de la robustesse du système face à ces risques, que l’on va
caractériser non pas  par un scalaire (du
type SIL) mais par un vecteur, le SAL (Security Assurance Level), afin de tenir
compte du caractère multi-facettes des problèmes cyber-sécuritaires.

Cette
analyse doit être réalisée au stade de la conception ; elle doit également se
faire avant la mise en service et de façon périodique, pendant l’exploitation :
la cyber-sécurité n’est jamais définitivement acquise, les menaces évoluent,
les pratiques se relâchent et un système peut perdre de sa résilience au fil du
temps. La non-coïncidence entre les deux approches conduit à introduire des
contre-mesures jusqu’à ce que la cohérence soit atteinte.

 

Analyse et identification

L’analyse
des risques suppose tout d’abord une évaluation des menaces susceptibles de
s’exercer sur le système à protéger. Une menace est une violation potentielle
de la sécurité liée à une circonstance, une action ou un événement. Les menaces
doivent être identifiées et catégorisées. Elles peuvent être internes (employé
mécontent ou congédié) ou externes, accidentelles (négligences : modifications
non validées sur OS, programmes d’application non mis à jour, accès à des sites
contaminés, connexion de PC contaminés) ou volontaires (introduction de
malwares, perturbation des communications, pénétration dans les bases de
données, injection de données erronées, piratage d’information, hameçonnage,
appâtage, « défacement » de site Web, déni de service, etc.), générales ou
spécifiques au système. L’identification des menaces doit prendre en compte un
ensemble de circonstances plausibles. L’analyse du passé est importante aussi
bien que les informations sur les menaces du moment.

A chaque
menace, est attaché un certain niveau de vulnérabilité (typiquement un  antivirus absent ou non mis à jour). La
vulnérabilité peut résulter de choix techniques intentionnels ou malencontreux.
Il faut tenir compte également de l’effet de l’âge, de l’obsolescence des
équipements

Un système
initialement non vulnérable peut le devenir dans un nouvel environnement, avec
des conditions d’exploitation différentes, un nouveau personnel, etc.

L’identification
de toutes les vulnérabilités est un point clé de l’analyse. Il faut, en particulier,
identifier tous les points d’intrusion potentiels à partir d’un schéma
d’architecture détaillant les communications, ne pas oublier les outils
d’ingénierie, la chaîne de données, la téléassistance et «l’asset management» et
analyser les liaisons sans fil, les modems, les connexions par Internet, avec
PC portables et tout matériel ou logiciel susceptible d’être connecté (clés
USB, CD-Roms, smart phones). Il faut aussi analyser la sous-traitance de
développement logiciel et  l’utilisation
de logiciels non soumis à validation, ne pas oublier les matériels et logiciels
qui auraient pu être préalablement connectés à un système non protégé et penser
à la mise à jour irrégulière des logiciels de protection et des logiciels des
machines exposées, OS et applications (par souci de disponibilité et crainte
d’effets secondaires).

Une menace,
si elle se réalise, engendre un dommage plus ou moins grave. Le risque peut se
caractériser par deux grandeurs : sa probabilité d’occurrence, qui résulte de
la combinaison de la probabilité de réalisation de la menace avec celle que la
menace soit effectivement exploitée, et sa criticité, qui caractérise la
gravité des dommages éventuels. La norme impose que soient définies des
échelles de valeur pour chacune de ces deux grandeurs, qui pourront être
typiquement à trois ou à quatre niveaux. Si des échelles à quatre niveaux ont
été retenues, elles pourront se combiner sous forme d’une matrice
d’appréciation des risques (du type de celle du tableau 1). A chaque niveau de
risque, sera attaché un niveau d’assurance sécurité à atteindre, d’autant plus
élevé que le risque aura été reconnu comme élevé.

 

Zones et conduits


L’analyse
des risques et l’évaluation de la robustesse face à ces risques ne se fait pas
au niveau du système mais au niveau de zones et de conduits. Une zone de
sécurité est un regroupement logique et en règle générale physique de
ressources ayant des exigences similaires en matière de sécurité. Elle se
définit à partir des modèles physique et fonctionnel de l’architecture de
contrôle. C’est au niveau de la zone qu’une politique de sécurité doit être
définie en fonction des menaces et des vulnérabilités recensées sur cette zone
et des conséquences qui peuvent en résulter.

Le découpage
en zone procède de deux logiques complémentaires : d’une part celle de la
défense en profondeur visant à circonscrire les conséquences d’un dommage et à
opposer à une menace des remparts successifs, d’autre part celle de la défense
des accès à la périphérie de préférence à un durcissement de chacun des
constituants, approche plus difficile et plus onéreuse.

Les zones ne
sont jamais isolées. Elles sont reliées, soit au monde extérieur, soit à une
autre zone par un ou plusieurs conduits qui regroupent des canaux de
communication, réels (réseaux et équipements associés) ou équivalents (conduits
de compensation : connexions USB ou autres). Un conduit est une forme de zone
particulière, qui ne peut pas être décomposée en sous-zones mais qui constitue
une enveloppe de protection des canaux qu’il contient, à la manière d’un
fourreau qui contient des câbles. Selon le niveau de protection offert par ce
conduit (protection externe du type VPN et/ou protection interne du type
pare-feu) un conduit pourra rehausser le niveau de protection d’une zone aval ou
au contraire le laisser s’abaisser en transférant sur cette zone le niveau
d’assurance sécurité de la zone amont.

L’ISA99
définit des règles pour le découpage en zones et conduits, qui ne doit être ni
trop complexe ni trop sommaire.  Une
attention particulière doit être portée aux SIS, aux systèmes sans fil et aux
équipements mobiles ou nomades (laptops, PDAs, smart phones). Ces systèmes
peuvent faire l’objet d’une zone spécifique. Une zone démilitarisée (DMZ) peut
également être introduite lorsqu’il est nécessaire d’introduire une zone tampon
par laquelle passeront toutes les communications vers une zone sensible telle
que la zone de contrôle.

 

Exigences fondamentales et vecteurs SAL

L’analyse de
risques et la décomposition du système en zones de sécurité, permet d’attribuer
à chaque zone un objectif d’assurance sécurité (« target »). Cet objectif
s’exprime sous forme d’un vecteur qui comporte sept composantes, chacune
d’entre elles correspondant à l’une des exigences fondamentales de
cyber-sécurité selon l’ISA99. Ces exigences sont baptisées FR1 à FR7 (voir
tableau).

En fonction
des risques, ces exigences devront être respectées à un niveau plus ou moins
élevé allant, dans le projet de standard, de 1 à 4 (comme pour le SIL).

La cotation
du système en termes d’objectif d’assurance sécurité doit être rapprochée de
son évaluation en termes de réalisation (SAL « achieved ») résultant d’un audit
du système. Le standard fixe, pour chaque exigence fondamentale, un ensemble de
critères qui permettront, selon qu’ils sont respectés ou non, d’attribuer une
note correspondant au niveau atteint. La comparaison entre les niveaux « target
» et les niveaux « achieved » permet d’identifier des insuffisances éventuelles
et de les localiser. C’est là que devra porter en priorité l’effort de mise en
œuvre de contre-mesures afin d’amener, en réalisation, toutes les composantes
des vecteurs SAL aux niveaux définis en objectif.

 

Les contre-mesures

Le choix des
contre-mesures à mettre en œuvre reste bien évidemment de la responsabilité du
maître d’ouvrage ou de l’exploitant. Le standard ISA99 liste cependant, dans un
rapport technique, les pistes à suivre pour parvenir à l’objectif visé :

Réduire la surface d’attaque. Il s’agit
de prendre toutes les mesures nécessaires pour donner le moins de prise
possible à une attaque : limiter le nombre de protocoles et de choix
technologiques ; éviter les protocoles faibles (Telnet, SNMP V1 & V2,
Modbus TCP, Http,  SMTP, POP3, OPC
Classic) qui peuvent être facilement identifiés et écoutés ; limiter au maximum
les conduits vers l’extérieur y compris vers les niveaux de gestion de
l’entreprise ; surveiller les « conduits de compensation » : clés USB,
Portables et tablettes, CD Roms ; activer les sécurités partout où elles sont
prévues ; bloquer toutes les communications non nécessaires vers les zones
sensibles (SIS) ; surveiller très soigneusement les accès à distance.

Organiser la défense en profondeur.
Cela commence par la segmentation de l’architecture en réseaux physiquement
distincts desservant chacun une zone qui sera en outre elle-même convenablement
protégée. C’est aussi, chaque fois que possible, organiser une segmentation
virtuelle en n’autorisant, par des switchs ou des routeurs convenablement
programmés, que les trafics nécessaires. C’est enfin créer, lorsque cela est
utile, des DMZ, entre les zones de contrôle et salle de commande notamment,
afin d’y loger les serveurs qui 
s’interfacent avec les niveaux supérieurs et inférieurs.

Protéger les zones et programmer
correctement les pare-feu.
La protection des zones se fait prioritairement
par l’installation de pare-feu industriels ayant les performances requises. La
qualité de leur programmation est essentielle. Les pare-feu doivent filtrer
tout le trafic non autorisé (par adresse et/ou par type). Ils doivent  être dotés d’un mécanisme de reporting  chaque fois qu’un trafic anormal est
constaté. Ils doivent être testés pour s’assurer que les trafics non autorisés
sont bloqués. Ils peuvent être reconfigurables dynamiquement par des serveurs
situés en amont ou en aval.

La fonction
d’observateur de réseau est primordiale. Il est rare que les attaques
sophistiquées aboutissent du premier coup. Des signes avant-coureurs,
tentatives de connexion, trafic anormal, en interne comme en externe, peuvent
être détectés à temps, si les mécanismes d’observation ont été mis en place et
sont régulièrement consultés.

Durcir les composants et installer des
antivirus.
Les antivirus sont loin de constituer la protection absolue car
ils ne fonctionnent que lorsqu’on dispose d’une signature des logiciels
malveillants. Ils sont donc inefficaces en cas d’attaques utilisant des failles
0-day (c’est-à-dire non préalablement identifiées ou publiées), ce qui était le
cas de Stuxtnet. Ils peuvent également être contournés par encodage des
malwares. Ils sont utiles cependant et complètent les pare-feu. Ils relèvent à
ce titre de la défense en profondeur. Leur mise à jour doit être aussi
fréquente que possible, en tenant compte des contraintes de l’exploitation.

Gérer les mots de passe. Ils offrent
souvent une protection illusoire. La mise en place de principes de gestion
rigoureux mais pragmatiques est nécessaire, en tenant compte des contraintes
opérationnelles. Quelques règles simples doivent être observées : ne jamais les
envoyer en clair sur un réseau ; les changer régulièrement ; les partager aussi
peu que possible ; refuser les mots de passe de moins de huit caractères ; ne
pas utiliser de mots existant dans des dictionnaires ou désignant des lieux
géographiques ; utiliser des caractères complexes.

Il convient
de veiller cependant très attentivement à la façon dont sont formulées les
instructions. Des mots de passe successifs tels que Juliet@01, Juliet@02,
Juliet@03… satisferont souvent aux instructions édictées sans pour autant
apporter une sécurité suffisante.

Sécuriser les accès distants. Ils
constituent de tels facteurs de progrès dans l’entreprise qu’il n’est pas
envisageables de les interdire. Nous entrons dans un monde de réseaux, l’avenir
est au « cloud computing » et aux services déportés. Il faut par contre
s’assurer de leur utilité et prendre toutes les précautions que la technique
rend aujourd’hui possibles.

Au niveau du
réseau d‘usine ou d’entreprise, les 
accès doivent se faire impérativement par mise en œuvre d’un Virtuel
Private Network (VPN), en utilisant les technologies du type TLS (Transport
Layer Security) ou mieux IPSec (Internet Protocol Security) qui assurent
l’intégrité, la confidentialité, l’authentification et la protection contre le
rejeu.

Au niveau du
contrôle, on évitera les connexions filaires. Par contre, les connexions
sans-fil, à la condition expresse que soient activés les modes de sécurité du
type AES CCMP avec serveur d’authentification Radius, offrent de meilleures
garanties, en combinant la protection physique résultant du saut de fréquence
et/ou de l’étalement de spectre avec les techniques les plus avancées de
chiffrement (clés asymétriques basées sur des courbes elliptiques).

Former et sensibiliser les personnels. Il
va sans dire que la protection par la technique reste insuffisante si elle
n’est pas accompagnée d’un programme de sensibilisation et de formation du
personnel. Ce dernier sera d’autant plus motivé pour y adhérer que les mesures
prises ne relèveront pas de l’incantation mais s’appuieront sur une approche
professionnelle telle que préconisée par l’ISA99.

 

Un standard en évolution

L’ensemble
de standards ISA99 fournit un référentiel méthodologique abordant le problème
dans sa globalité, à la différence d’autres cadres normatifs, qu’il faut
cependant connaître (ISO 27000, NERC-CIP, NIST 800-82, draft CEI 62645 pour le
nucléaire). Les constituants de l’ISA99 ne sont pas encore tous achevés;
cependant les textes essentiels sont d’ores et déjà repris par l’ANSI et la CEI
sous la référence CEI 62443. Ils sont accessibles à partir du site www.isa.org
. Chacun peut apporter sa contribution en participant au comité ISA-99 et aux
groupes de travail associés. Une organisation, l’ISA Security Compliance
Institute, délivre un label de conformité l’ISA Secure.

j84_pp42-47_techno_cyber

Ces articles peuvent vous intéresser :