Professional Documents
Culture Documents
Mesures dtailles
1.1 Contexte
2.2 Vulnrabilits
16
16
18
19
19
20
21
22
23
23
2.2.10 Tlmaintenance
24
24
25
2.2.13 Intervenants
25
26
26
27
27
27
28
28
28
29
31
32
32
3.1.2 Cartographie
33
34
35
35
36
36
37
38
40
43
44
45
46
47
47
48
48
49
50
50
51
52
53
54
54
57
59
59
62
63
64
66
66
68
69
69
72
74
75
4.3.5 Scurit des consoles de programmation, des stations dingnierie et des postes dadministration
76
78
79
79
83
83
A.1.1 Inventaire
83
A.1.2 Schma
84
84
A.2.1 Inventaires
84
A.2.2 Schma
85
86
A.3.1 Inventaires
86
A.3.2 Schma
86
86
B Journaux dvnements
89
Bibliographie
91
Chapitre 1
.
Introduction
1.1 Contexte
Le prsent document est issu des rflexions du groupe de travail sur la cyberscurit des systmes industriels pilot par lAgence nationale de la scurit des systmes
dinformation (ANSSI) 1 . Lobjectif des travaux de ce groupe, constitu dacteurs du
domaine des systmes automatiss de contrle des procds industriels et de spcialistes de la scurit des systmes dinformation (SSI), est de proposer un ensemble de
mesures pour amliorer le niveau de cyberscurit des systmes industriels.
Ce document sadresse tous les acteurs (entits responsables, chefs de projets,
acheteurs, quipementiers, intgrateurs, matres duvre, etc.) participant la conception, la ralisation, lexploitation et la maintenance des systmes industriels.
Il est galement possible que dans certaines situations des mesures ne puissent sappliquer sans adaptation (pour des raisons de compatibilit avec des systmes industriels existants ou des contraintes mtier spcifiques, par exemple). Ces cas particuliers
devront tre tudis spcifiquement et les mesures qui en dcouleront seront soumises
pour approbation lautorit de cyberdfense.
systemes_industriels@ssi.gouv.fr.
Chapitre 2
.
Considrations relatives la
cyberscurit des installations
industrielles
Lobjectif de ce chapitre est de dresser un tat des lieux succinct de la cyberscurit des
systmes industriels. Pour ce faire, une liste des contraintes qui sont prsentes dans
ces systmes est tablie dans la section 2.1. Ces contraintes sont un des lments
qui distingue les systmes industriels des systmes dinformation de gestion. Il est
important de les identifier afin de proposer des mesures adaptes.
Dans la section 2.2, les principales vulnrabilits rencontres dans ces systmes sont
listes. Elles peuvent dcouler des contraintes listes dans la section prcdente mais
pas seulement. En particulier, on pourra retrouver dans cette section, des vulnrabilits couramment rencontres dans les systmes dinformation de gestion.
Rfrences
C1-MI
Thmes
Matrise des
installations
Contraintes
Multitude dintervenants sur une installation ce qui ne facilite pas la matrise des
actions effectues sur celle-ci.
Multitude de sites isols, notamment
dans les secteurs du transport, de la distribution deau ou de lnergie, bnficiant dune protection physique limite.
La documentation technique de linstallation peut tre limite. Ce qui entrane
une perte du savoir lors des dparts de
personnels et ne facilite pas le traitement
des incidents.
Certains fournisseurs font de la tlmaintenance depuis ltranger.
Sur certaines installations cohabitent
deux oprateurs diffrents, ce qui peut
parfois poser des problmes juridiques
en cas de modification de linstallation.
Par ailleurs, les systmes quils grent
peuvent aussi constituer une menace
entre eux.
Les installations sont souvent htrognes car venant de diffrents fournisseurs ou parce quelles ont volues
au cours du temps. Lhtrognit peut
tre impose pour des raisons de sret
fonctionnelle.
Rfrences
C2-CO
Thmes
Contrats
Contraintes
Les fournisseurs exigent davoir accs
leurs quipements en tlmaintenance
sous peine de ne pas les garantir.
La modification des systmes sans accord pralable du fournisseur peut entrainer une perte de garantie.
Il peut tre contractuellement interdit
de modifier linstallation existante mme
pour implmenter des mesures de cyberscurit.
Certains clients exigent davoir accs
distance aux informations relatives (historisation) la production du site. Pour
des raisons de simplicit, le transfert de
donnes se fait souvent sur un rseau
public comme Internet.
Rfrences
C3-REG
Thmes
Contraintes
Rglementation
Certaines rglementations imposent aux
oprateurs dexporter des donnes vers
un tiers. Par exemple, les dchetteries
doivent fournir un certain nombre de
donnes la DRIRE.
La traabilit est une exigence forte
dans certains domaines comme lagroalimentaire ou lindustrie pharmaceutique par exemple.
Remarque : les mesures de scurit
fonctionnelles imposes par la rglementation dun secteur peuvent renforcer le niveau de scurit de linstallation
et offrir un niveau de risque rsiduel acceptable.
La rglementation en matire de sret
peut limiter la possibilit de modification
des installations. En effet, la modification dune installation peut entraner la
perte dune homologation.
C4-GCH
Gestion
des
changements
Rfrences
C5-OPE
Thmes
Oprations
Contraintes
Certains environnements demandent
une ractivit forte des oprateurs notamment en cas dincident. Les mesures
de scurit ne doivent pas nuire cette
ractivit.
Les oprateurs partagent souvent des
quipements, ce qui peut avoir un impact significatif sur la traabilit (utilisation de comptes gnriques par
exemple).
Les oprateurs doivent souvent visualiser ltat de linstallation en temps rel et
intervenir rapidement. De ce fait, ils ne
peuvent pas verrouiller les postes quils
utilisent.
C6-CECO
Contraintes
conomiques
Rfrences
C7-GOUV
Thmes
Gouvernance
de scurit
Contraintes
Lorsque la direction des systmes dinformation (DSI) se voit attribuer la mission de scuriser les systmes industriels,
elle na pas de lien hirarchique avec les
quipes charges de lopration de ces
derniers. Ceci complique ou ralentit la
mise en uvre de la cyberscurit.
Lorsque la scurisation des systmes industriels est confie une direction mtier, la cyberscurit a souvent une priorit basse et la responsabilit de la gestion des interfaces entre les systmes industriels et les systmes de gestion est
floue.
Il y a peu de personnel en charge de linformatique industrielle sur un site industriel.
Rfrences
C8-CTECH
Thmes
Contraintes
techniques
Contraintes
Les quipements sont dploys pour 15
20 ans. Lobsolescence limite leurs
possibilits de mise jour ainsi que lintgration de fonctions de scurit.
Certains quipements (comme les automates) et protocoles offrent des fonctionnalits de scurit limites voire inexistantes.
Les fournisseurs offrent peu de solutions
techniques permettant une gestion centralise des fonctions de scurit. Par
exemple, il nest souvent pas possible
de changer un mot de passe sur plusieurs quipements disperss gographiquement.
Sur certains systmes, les besoins de performance exigent quil ny ait pas de latence.
C9-CULT
Culture de la
scurit
Dans les milieux o la sret de fonctionnement est trs prsente, il y a souvent un sentiment que celle-ci permet
galement de rgler les problmes de
cyberscurit.
La scurit des systmes dinformation
nest pas aborde lors des cursus de formation et en particulier ceux des automaticiens.
Rfrences
C10-MAT
Thmes
Maturit des
solutions techniques
Contraintes
Il existe peu de comptences en matire de cyberscurit des systmes industriels.
Peu de fournisseurs intgrent la notion de cycle de dveloppement scuris
dans la ralisation de leurs produits.
2.2
Vulnrabilits
Les vulnrabilits des systmes dinformation industriels qui ont t identifies par le
groupe de travail sont listes ci-dessous.
Important
Les encadrs Pourquoi est-ce une vulnrabilit
? nont pas vocation tre
.
exhaustifs et sont l uniquement pour illustrer la vulnrabilit en question.
Remarque
En 2013, de nombreux systmes industriels sont encore vulnrables aux virus
tels que Conficker apparu en 2009 et. pour lequel le correctif est pourtant
connu.
Il est galement courant de voir lutilisation de comptes privilges. Ceci peut tre
d une recherche de facilit de gestion des comptes utilisateurs ou des limitations techniques dun produit utilis. De nombreuses applications, par exemple, ne
sexcutent quavec des comptes de niveau administrateur .
Pourquoi est-ce une vulnrabilit ?
Lutilisation de comptes gnriques augmente considrablement les risques
de compromission notamment du fait de la circulation du mot de passe. En
pratique, les mots de passe utiliss pour les comptes gnriques sont souvent
trop faibles ou nots sur des papiers faciles garer. Ne pas supprimer un
compte aprs le dpart de son titulaire. offre une possibilit daction un ancien employ mcontent. Dautre part, labsence de politique de gestion des
comptes diminue la visibilit sur le systme industriel concern (qui accde
quelles ressources ?). En cas de problme, il sera trs difficile den retrouver
lorigine.
Absence de sauvegarde
Les sauvegardes sont souvent partielles, inexistantes ou disponibles chez le fournisseur
seulement. Lorsque des sauvegardes existent, le bon fonctionnement des procdures
de restauration en cas dincident est rarement test.
Remarque
Ninstaller que les lments indispensables est un principe de sret de fonc. risques de dfaillance, simplifie la
tionnement. Cela permet de rduire les
comprhension et la maintenabilit des installations
Remarque
Le cloisonnement devrait tre une bonne pratique en matire de sret de
.
fonctionnement puisquil permet de limiter
les effets dun dysfonctionnement
des systmes sans mme parler de cyberscurit.
2.2.10 Tlmaintenance
La tlmaintenance et la tlgestion sont des pratiques de plus en plus courantes
pour les systmes industriels. Certains sont mme connects sur des rseaux publics
comme Internet ou les rseaux de tlphonie mobile. Ces accs distance peuvent
avoir t mis en place pour des besoins internes mais galement pour permettre des
oprations de maintenance par le fabriquant ou lintgrateur.
Les solutions techniques employes pour la tlgestion ou la tlmaintenance offrent
dans de nombreux cas un niveau de scurit faible.
La scurit de ces terminaux nest pas forcment matrise et lon commence voir
apparatre lutilisation de matriel personnel pour remplir des missions professionnelles, ce que lon appelle parfois le Bring Your Own Device (BYOD).
2.2.13 Intervenants
Les intervenants sur un systme industriel ne sont pas toujours sensibiliss la cyberscurit des systmes dinformation et ne connaissent pas forcment la politique de
scurit des systmes dinformation (PSSI) du systme sur lequel ils interviennent.
2.2.20
Dans de nombreux systmes industriels, les outils de dveloppement sont prsents sur
le rseau. Cela peut tre d au fait que certains produits ne distinguent pas les environnement de production et de dveloppement. Mais cela peut galement rsulter
de pratiques oprationnelles. Les stations dingnierie servent parfois de consoles de
supervision en mme temps.
Pourquoi est-ce une vulnrabilit ?
La prsence des outils de dveloppement sur le rseau facilite la tche de
. modifier le comportement du syslattaquant qui pourra les dtourner pour
tme industriel, de manire lgitime en apparence.
2.2.22
Chapitre 3
.
Les mesures font rfrence aux chapitres de lISO 27002 [3] ainsi quaux recommandations du guide dhygine [14] et aux bonnes pratiques du guide sur la cyberscurit
des systmes industriels [10] publies par lANSSI. Certaines mesures sont galement
abordes dans le guide de classification [13].
Ces rfrences sont indiques dans un encadr comme celui prsent ci-dessous :
Rfrences
Guide de classification : fait rfrence au guide de classification [13].
Vulnrabilit : fait rfrence aux vulnrabilits indiques dans la section 2.2.
Guide SCADA : fait rfrence au guide
. sur les systmes industriels [10].
Guide dhygine : fait rfrence au guide dhygine [14].
ISO 27002 : fait rfrence aux chapitres de lISO 27002 [3] abordant le
sujet.
Les mesures sont indiques en recommandation et notes [R.x] lorsquil sagit dun
conseil. Elles sont indiques en directive et notes [D.x] lorsquil sagit dune obligation. Les mesures sont cumulatives. Ainsi, une installation de classe 2 doit appliquer
les mesures de classe 1 et une installation de classe 3 doit appliquer les mesures de
classe 1 et de classe 2.
Classe 1
[R.1] Une chane de responsabilit de la cyberscurit devrait tre mise en place.
Elle devrait couvrir lensemble des systmes.
[R.2] Les responsabilits pour la cyberscurit devraient tre clairement dfinies pour
chacune des parties prenantes quel que soit laspect concern (dveloppement,
intgration, exploitation, maintenance, etc.).
Classe 2
[D.3] La recommandation R.1 devient une directive.
[D.4] La recommandation R.2 devient une directive.
Classe 3
[D.5] La directive D.3 est renforce. Lidentit et les coordonnes du responsable
de la chane de responsabilit de la cyberscurit doivent tre communiques
lautorit de cyberdfense.
[D.6] La directive D.4 est renforce. Les limites de responsabilit doivent tre revues
priodiquement et au moins une fois par an.
3.1.2 Cartographie
Rfrences
Guide de classification : 2.2.3
Vulnrabilit : 2.2.4
Guide SCADA : BP09, BP02, 2.2.1 .
Guide dhygine : Rgles 1 et 2
ISO 27002 : 8.1.1
Classe 1
[R.7] Il est recommand de rdiger une cartographie :
physique du systme industriel ;
logique du systme industriel ;
des applications (flux).
Classe 2
[D.8] Il est ncessaire dtablir une cartographie :
physique du systme industriel ;
logique du systme industriel ;
des applications ;
de ladministration du systme.
[R.9] La cartographie et la documentation du systme industriel devraient tre revues
rgulirement, chaque modification du systme industriel et au moins une fois
par an.
Classe 3
[D.10] La recommandation R.9 devient une directive.
Une description plus dtaille du contenu attendu pour une cartographie est disponible dans lannexe A
Remarque
Lutilisation doutils industriels comme les logiciels de Gestion de Maintenance Assiste par Ordinateur (GMAO) pour grer les inventaires peut tre
utile. Cela permet de disposer de lensemble des informations dans une
mme base et de les partager avec les. quipes mtier. De plus, la GMAO
contient dj bien souvent un inventaire des composants matriels comme
les automates, les interfaces homme-machine (IHM), capteurs et actionneurs
intelligents par exemple.
Remarque
Il est recommand que lanalyse de risque pour la cyberscurit du systme
.
industriel soit intgre lanalyse de risque
globale du systme pouvant traiter par exemple des aspects de sret de fonctionnement.
Classe 1
[R.11] Les systmes industriels devraient faire lobjet dune analyse de risque pour la
cyberscurit, mme succincte.
Classe 2
[D.12] Les systmes industriels doivent faire lobjet dune analyse de risque pour la
cyberscurit suivant une mthode choisie par lentit responsable.
Classe 3
[D.13] La directive D.12 est renforce. Lanalyse de risque devra tre revue rgulirement, au moins une fois par an.
[R.14] Lanalyse de risque devrait tre ralise en collaboration avec un prestataire
labellis.
Classe 1
[R.15] Un plan de sauvegarde des donnes importantes devrait tre mis en place
afin de permettre leur restauration en cas dincident.
[R.16] Les configurations devraient tre sauvegardes avant et aprs toutes modifications, y compris lorsque celles-ci ont t apportes chaud .
[R.17] Le processus de restauration des sauvegardes devrait tre test rgulirement.
Il pourrait tre test sur un chantillon limit mais reprsentatif du systme industriel dans son ensemble.
Primtre dapplication : Les donnes concernes sont toutes les donnes ncessaires la reconstruction du systme aprs un sinistre : les programmes, les fichiers de
configuration, les firmwares, les paramtres de procd (rglages dasservissement
par exemple), etc. Cela peut galement concerner des donnes ayant un aspect rglementaire comme des exigences de traabilit.
Classe 2
[D.18] Les recommandations R.15, R.16 et R.17 deviennent des directives.
Classe 3 Il ny a pas dexigence supplmentaire pour la classe 3.
Classe 1
Classe 2
[R.22] La confidentialit de la documentation devrait tre garantie.
[R.23] La documentation devrait tre revue intervalle rgulier pour :
sassurer que les documents ncessaires existent bien,
liminer ceux qui ne servent plus.
Classe 3
[D.24] Les recommandations R.19, R.21 et R.22 deviennent des directives.
3.2
Classe 1
[R.25] Des procdures de gestion des intervenants devraient tre mises en place,
notamment lors dune arrive ou dun dpart. Ces procdures devraient notamment traiter :
la cration et la destruction de comptes (cf 4.1),
la gestion des accs aux locaux,
la gestion des quipements mobiles (tlphones, tablettes, PC portables,
etc),
la gestion des documents sensibles.
[R.26] Un processus de gestion des comptences, afin de sassurer que les intervenants disposent des comptences ncessaires pour leurs missions, devrait tre
mis en place. Ce processus devrait en particulier intgrer le transfert de comptences, en cas de dpart ou de changement de poste, des personnes en charge
des systmes.
Classe 2
[D.27] Les recommandations R.25 et R.26 deviennent des directives.
Classe 3
[D.28] Une revue rgulire des intervenants et de leurs comptes doit tre effectue,
au minimum une fois par an.
Remarque
Suivant les rglementations applicables
. aux systmes industriels, il pourra
tre demand une enqute de scurit sur les intervenants
Classe 1
[R.29] Les intervenants devraient tre habilits et forms la cyberscurit.
[R.30] Une charte de bonne conduite devrait tre mise en place et tous les intervenants devraient la signer lors de leur arrive.
Classe 2
[D.31] Les recommandations R.29 et R.30 deviennent des directives.
Classe 3
[D.32] La directive D.31 est renforce. La formation des intervenants est obligatoire
AVANT toute intervention sur le systme industriel.
[R.33] Les formations de cyberscurit devraient tre dispenses par des prestataires
labelliss.
[R.34] Les sances de formation et sensibilisation la cyberscurit des systmes
industriels devraient tre dispenses en mme temps que les formations de
sret et de scurit du site.
Classe 1
[R.35] Une procdure de gestion des interventions devrait tre mise en place afin
de pouvoir identifier :
la personne qui excute le travail et son donneur dordre ;
la date et lheure de lintervention ;
le primtre sur lequel le travail est excut ;
les actions ralises ;
la liste des quipements retirs ou remplacs (y compris, le cas chant,
les numros didentification) ;
les modifications apportes et leur impact.
[R.36] Lensemble des quipements matriels et logiciels utiliss pour les interventions sur les systmes industriels devraient tre recenss dans la gestion du parc
afin dtre bien identifis et maintenus jour (cf R.7).
Remarque
Ces lments peuvent tre intgrs aux
. permis de travail dj en place et
exigs pour certaines installations.
Classe 2
[D.39] Les recommandations R.35, R.36, R.37, et R.38 deviennent des directives.
[R.40] Pour les cas particuliers o lintervenant apporte ses propres outils (des outils
de diagnostic propres lquipementier par exemple), une procdure, mme
succincte, devrait tre mise en place pour vrifier que les quipements de lintervenant ont un niveau de scurit satisfaisant.
Une telle situation ne devrait arriver quen cas dabsolue ncessit et doit rester
exceptionnelle.
Classe 3
[D.41] Lutilisation doutils particuliers hors dun cadre prvu par la politique de
scurit du systme industriel est interdite. La recommandation R.40 devient
sans objet pour la classe 3.
3.3
Lintgration de la cyberscurit dans le cycle de vie des systmes industriels est une
tape cl pour parvenir aux exigences attendues. Une attention particulire devra tre
porte la cyberscurit lors des phases de conception du systme industriel.
Il est conseill de ne pas traiter le cyberscurit de manire isole. Elle devrait tre intgre dans le projet comme un mtier, au mme titre que llectricit, la mcanique,
etc.
Les projets peuvent tre raliss en interne ou tre externaliss. Dans ce cas, il conviendra de prciser les exigences attendues dans les cahier des charges.
De manire plus gnrale, lorsquil est fait appel une prestation extrieure, les
exigences en matire de scurit doivent tre explicites et contractualises.
Classe 1
[R.42] Les exigences identifies lors de la phase de spcification devraient tre intgres au cahier des charges.
[R.43] Le cahier des charges devrait intgrer une clause exigeant la dfinition dun
point de contact pour la cyberscurit du projet. Celui-ci devrait tre charg
de :
la liaison avec la chane de responsabilit de lentit responsable (cf 3.1.1) ;
la garantie du respect de la politique de cyberscurit ;
la communication sur les divergences par rapport aux exigences et les
autres non-conformits.
[R.44] Le cahier des charges devrait comprendre la liste des documents attendus
avec notamment :
une analyse de risque (cf 3.1.3) ;
une analyse fonctionnelle ;
une analyse organique ;
un dossier dexploitation et de maintenance ;
une cartographie (cf 3.1.2).
[R.45] Le cahier des charges devrait contenir des clauses demandant des tests de
cyberscurit, notamment lors des recettes usine et plateforme. La liste des tests
demands devrait suivre la recommandation R.71.
Classe 2
[D.46] Les recommandations R.42, R.43, R.44 et R.45 deviennent des directives.
[D.47] Le cahier des charges doit contenir une clause de confidentialit pour lensemble des informations du projet le ncessitant en prcisant la dure de conservation des documents.
[R.48] Le cahier des charges devrait contenir une clause de rvision rgulire de
lanalyse de risques. Le niveau de risque devrait tre prsent rgulirement
lentit responsable (par exemple pendant le comit de pilotage).
[R.49] Les documents de spcification fournis par le contractant devraient dcrire de
faon dtaille les moyens techniques, humains et organisationnels mobiliss
afin de permettre leur traabilit et de pouvoir vrifier leur niveau de cyberscurit.
[R.50] Le contractant devrait fournir un plan dassurance scurit dcrivant toutes
les mesures rpondant aux exigences de cyberscurit demandes (cf [8]).
[R.51] Le contractant devrait utiliser un environnement de dveloppement scuris
(cf 4.3.6).
[R.52] Le contrat devrait intgrer une clause pour que lentit responsable puisse
auditer le contractant ou les fournisseurs afin de vrifier que lensemble des
mesures de cyberscurit demandes sont bien appliques.
Classe 3
[D.53] Les recommandations R.48, R.49, R.50, R.52 et R.51 deviennent des directives.
[R.54] Le cahier des charges devrait contenir une clause exigeant la fourniture dquipements matriels et logiciels labelliss sur le plan de la cyberscurit.
[R.55] Le cahier des charges devrait exiger des concepteurs de logiciels une dmonstration que leurs processus de dveloppement emploient des mthodes
dingnierie ltat de lart, des processus de contrle qualit et des techniques
de validation afin de rduire les dfaillances logicielles et les vulnrabilits.
[R.56] Afin de faciliter lapplication de la recommandation R.55, le contractant devrait tre labellis.
Classe 1
[R.57] Les exigences techniques devraient intgrer lensemble des mesures techniques prsentes dans le chapitre 4. titre dexemple, la conception devrait
prendre en compte :
la ncessit dauthentifier les intervenants (cf 4.1) ;
la ncessit de dfinir une architecture scurise (cf 4.2) ;
la ncessit de scuriser les quipements (cf 4.3) ;
la ncessit de pouvoir requalifier un systme suite des mises jour de
scurit.
[R.58] Des procdures et des moyens techniques devraient tre dfinis pour permettre des oprations de maintenance prventive et curative afin de maintenir
le niveau de cyberscurit dans la dure.
Par exemple, des modes dgrads pourraient tre prvus pour raliser des
mises jour. On pourra, par exemple, configurer les sorties dun automate
pour quelles restent sur leurs derniers tats, pendant la mise jour de son
firmware.
[R.59] La dfinition de la localisation des quipements devrait prendre en compte
leur scurit physique.
[R.60] Les spcifications du projet devraient exiger que les oprations non indispensables la conduite du systme industriel soient effectues sur un autre systme
dinformation. Les quipements et logiciels associs ne devraient pas tre prsents sur le systme industriel. titre dexemple, des postes bureautiques non
connects au systme industriel devraient tre prvus pour permettre la consultation de la documentation, le remplissage de feuilles de suivi, etc.
Classe 2
[D.61] Les recommandations R.57, R.59 et R.60 deviennent des directives.
[R.62] La conception devrait intgrer des outils et mcanismes pour grer la scurit
et faciliter les exigences telles que :
la matrise de la configuration (cf 3.3.6) ;
le durcissement des configurations (cf 4.3.1) ;
la gestion des vulnrabilits (cf 4.3.2).
Classe 3
[D.63] La recommandation R.62 devient une directive.
Classe 1
[R.64] Lors de la conception, les interfaces et la complexit du systme devraient
tre limites au maximum afin de limiter lintroduction de vulnrabilits lors de
limplmentation.
[R.65] Les caractristiques de cyberscurit des quipements (mcanismes dauthentification, sgrgation des droits, etc.) devraient tre intgres au processus
de choix de ceux-ci.
[R.66] Des rles devraient tre dfinis pour les intervenants. Ces rles devraient tre
intgrs dans la gestion des droits des comptes informatiques. Les rles devraient correspondre strictement aux missions de chacun (politique des moindres
privilges). En particulier, les utilisateurs et les administrateurs devraient tre
distingus (cf 4.1.1).
Classe 2
[D.67] Les recommandations R.65 et R.66 deviennent des directives.
Classe 3 Il ny a pas de mesure supplmentaire pour la classe 3.
[R.72] Les audits devraient tre raliss par des prestataires externes labelliss.
Classe 3
[D.73] La recommandation R.71 devient une directive.
[D.74] Les audits devront tre effectus au moins une fois par an.
Remarque
Lentreprise en charge de lexploitation peut ne pas tre le propritaire du
systme et donc ne pas avoir t implique dans son projet de ralisation.
.
Cela peut concerner les cas de dlgations
de service public, de concession
dexploitation ou de contrat dexploitation avec obligation de rsultat par
exemple.
Classe 1
[R.75] Avant de mettre en exploitation un systme il faudrait :
tablir un tat des lieux exhaustif du niveau de cyberscurit du systme ;
sassurer des moyens disponibles pour le maintenir un niveau acceptable.
Classe 2
[D.76] Les systmes industriels doivent tre homologus par lentit responsable.
Classe 3
[D.77] Les systmes industriels doivent tre homologus et requirent une autorisation pralable de mise en service. Lhomologation doit tre faite par un organisme extrieur.
La gestion des modifications concerne les programmes des automates, les applications SCADA, les fichiers de configurations des diffrents quipements (quipements
rseaux, capteurs et actionneurs intelligents par exemple), etc.
Classe 1
[R.78] Des outils devraient tre utiliss pour contrler rapidement les diffrences
entre la version courante et la version installer et sassurer que seules les
modifications ncessaires et demandes ont t appliques.
[R.79] Les mises jour et modifications apportes aux systmes devraient tre traces.
Classe 2
[D.80] La recommandation R.79 devient une directive.
[R.81] Un processus de vrification des versions de programme en cours dexcution par rapport une version de rfrence devrait tre mis en place. Cela
permet de sassurer que les configurations excutes par le systme industriel
(les automates, les SCADA, etc.) sont bien les bonnes.
[R.82] Les modifications devraient tre values dans un environnement de test au
pralable.
Classe 3
[D.83] La recommandation R.78 devient une directive. Les impacts des modifications doivent tre valids par lentit responsable avant mise en production.
[D.84] Les recommandations R.81 et R.82 deviennent des directives.
Classe 1
[R.85] Un processus de veille sur les menaces et vulnrabilits devrait tre mis en
place.
Remarque
Ce processus devrait notamment reposer sur les sources ouvertes dis. (CERT-FR, ICS-CERT), les CERT
ponibles telles que les CERT nationaux
des quipementiers et des dveloppeurs de logiciels.
Classe 2
[D.86] La recommandation R.85 devient une directive.
[R.87] La diffusion, par les fournisseurs, des bulletins de vulnrabilit pour lensemble des quipements matriels et logiciels utiliss dans le systme industriel
devrait tre contractualise.
[R.88] Un processus de veille sur lvolution des techniques de protection devrait
tre mis en place. Il pourrait tre bas galement sur des sources ouvertes
disponibles comme le site web de lANSSI.
Classe 3
[D.89] Les recommandations R.85, R.87 et R.88 deviennent des directives.
[D.90] Un processus de veille sur lvolution des techniques dattaque et sur lvolution de la menace doit tre mis en place. En cas dvolution importante, une
rvaluation de lanalyse de risque doit tre engage.
Classe 1
[R.91] Des clauses relatives la gestion de lobsolescence des quipements et logiciels, en indiquant par exemple la date laquelle ils ne seront plus pris en
charge, devraient tre intgres dans les contrats avec les fournisseurs.
[R.92] Un plan de gestion de lobsolescence pour remplacer les quipements et
applications obsoltes devrait tre mis en place.
Classe 2
[D.93] La recommandation R.91 devient une directive.
Classe 3 Il ny a pas de mesure complmentaire pour cette classe.
3.4
Classe 1
[R.94] Une politique de contrle daccs physique devrait tre dfinie. Cette politique devrait notamment prvoir de :
rcuprer les cls ou badges dun employ son dpart (cf R.25) ;
changer rgulirement les codes de lalarme de lentreprise ;
Classe 1
[R.102] Les serveurs devraient tre installs dans des locaux ferms sous contrle
daccs (si possible dans des salles informatiques).
[R.103] Les units centrales des stations, les quipements rseaux industriels et les
automates devraient tre placs dans des armoires fermes cl.
[R.104] Des prises daccs au systme industriel ne devraient pas tre accessibles
dans les endroits ouverts au public.
Classe 2
[D.105] Les recommandations R.102, R.103 et R.104 deviennent des directives.
[D.106] La recommandation R.104 est renforce par la directive suivante : les prises
daccs au systme industriel ne doivent pas tre accessibles dans les zones sans
surveillance.
[R.107] Lintgrit physique des cbles devrait tre protge (par exemple : un capotage).
[R.108] Lorsquelles ne sont pas utilises, les prises ddies la maintenance devraient tre obtures (bouchons, plaques doccultation...). Le retrait de lobturateur suit une procdure bien dfinie et est soumis autorisation pralable.
[R.109] Un dispositif de dtection douverture, avec remonte dalarme, devrait tre
mis en place sur les armoires des quipements sensibles. A minima, sur les
coffrets extrieurs contenant des composants sensibles, un moyen de contrle
visuel, comme la pose de scells par exemple devrait tre install. Le retrait de
ces moyens visuels devrait suivre une procdure bien dfinie et tre soumis
autorisation pralable.
Classe 3
[D.110] Les recommandations R.104, R.108 et R.109 deviennent des directives.
3.5
Rfrences
Guide de classification : 2.2.7
Vulnrabilit : 2.2.15
Guide SCADA : 2.2.7
Guide dhygine : Rgle 36
ISO 27002 : 17.1
Classe 1
[R.111] Un plan de sauvegarde des donnes sensibles devrait tre mis en place afin
de pouvoir reconstruire le systme aprs sinistre (cf 3.1.4).
[R.112] Les plans de reprise et de continuit dactivit devraient intgrer les incidents
de cyberscurit.
Classe 2
[R.113] Les plans de reprise et de continuit dactivit devraient tre tests rgulirement et au moins une fois par an.
Classe 3
[D.114] Les recommandations R.111, R.112 et R.112 deviennent des directives.
Classe 1
[R.118] Un processus de gestion de crise devrait tre mis en place. Celui-ci devrait
permettre de dterminer :
que faire lors de la dtection dun incident ;
qui alerter ;
qui est la personne qui doit coordonner les actions en cas de crise ;
quelles sont les premires mesures appliquer.
[R.119] Le processus de gestion de crise devrait galement contenir une procdure
descalade pour grer les incidents au bon niveau de responsabilit et dcider
en consquence :
sil faut dclencher un plan de reprise dactivit ;
si une action judiciaire est ncessaire.
[R.120] La gestion de crise devrait galement dfinir une phase danalyse post incident dans le but de dterminer lorigine de lincident et damliorer la cyberscurit du systme industriel.
Remarque
Une note de lANSSI dcrit les bons rflexes
en cas dintrusion sur un systme
.
dinformation [4].
Classe 2
[R.121] Les procdures de gestion de crise devraient tre testes rgulirement et au
moins une fois par an.
Classe 3
[D.122] Les recommandations R.118, R.119, R.120 et R.121 deviennent des directives.
Chapitre 4
.
Important
Il revient lentit responsable de dfinir
. qui sera en charge de lapplication
des mesures sur les installations.
Les mesures sont indiques en recommandation et notes [R.x] lorsquil sagit dun
conseil. Elles sont indiques en directive et notes [D.x] lorsquil sagit dune obligation. Les mesures sont cumulatives. Ainsi, une installation de classe 3 doit appliquer
les mesures de classe 1 et de classe 2.
Les mesures font rfrence aux chapitres de lISO 27002 [3] ainsi quaux recommandations du guide dhygine [14] et aux bonnes pratiques du guide sur la cyberscurit
des systmes industriels [10] publies par lANSSI. Certaines mesures sont galement
abordes dans le guide de classification [13].
Ces rfrences sont indiques dans un encadr comme celui prsent ci-dessous :
Rfrences
Guide de classification : fait rfrence au guide de classification [13].
Vulnrabilit : fait rfrence aux vulnrabilits indiques dans la section 2.2.
Guide SCADA : fait rfrence au guide
. sur les systmes industriels [10].
Guide dhygine : fait rfrence au guide dhygine [14].
ISO 27002 : fait rfrence aux chapitres de lISO 27002 [3] abordant le
sujet.
Le primtre dapplication est prcis pour chaque famille de mesures, voire chaque
mesure. Sans prcision complmentaire, il est le mme pour toutes les mesures dune
famille. Par dfaut, le primtre comprend les quipements suivants :
Les quipements sur lesquels peuvent porter les mesures sont :
les serveurs, stations et postes de travail ;
les stations dingnierie et consoles de programmation ;
les quipements mobiles : ordinateurs portables, tablettes, ordiphones, etc. ;
les logiciels et applications de supervision (SCADA) :
les logiciels et applications de GPAO et de MES si existants ;
les interfaces homme-machine (crans tactiles) ;
les automates et units dportes (RTU) ;
les quipements rseau (commutateurs, routeurs, pare-feu, bornes daccs sans
fil) ;
les capteurs et actionneurs intelligents ;
Cette liste est un exemple et doit tre adapte au contexte de chaque systme.
Important
Certaines exigences font appel des mcansimes cryptographiques (chiffrement, signature, authentification, .etc.). Ces mcanismes devront tre
conformes aux annexes B du rfrentiel gnral de scurit [6].
Classe 1
[R.123] Chaque utilisateur devrait tre identifi de manire unique.
[R.124] Tous les comptes disposant de privilges importants comme les comptes
administrateurs devraient tre protgs par un mcanisme dauthentification
comme un mot de passe par exemple. Les comptes utilisateurs et administrateurs devraient tre strictement spars.
[R.125] Les comptes gnriques, en particulier ceux disposant de privilges importants sont dconseills.
Lorsquils sont indispensables, leur utilisation devra tre limite des usages
trs prcis et tre documente.
[R.126] Des rles devraient tre dfinis, documents et implments pour que les
comptes des utilisateurs aient des privilges correspondant exactement leurs
missions.
[R.127] Un audit des dvnements lis lutilisation des comptes devrait tre mis
en place.
[R.128] Les comptes appartenant des personnels nintervenant plus sur le systme
industriel devraient tre supprims ou, a minima, dsactivs (cf R.25).
Classe 2
[D.129] Les recommandations R.123, R.124 et R.125 deviennent des directives. Les
comptes par dfaut et gnriques ne doivent pas tre utiliss sauf contrainte
oprationnelle forte. Les comptes disposant de privilges comme les comptes
administrateurs ne doivent pas tre des comptes gnriques et doivent tre
distincts des comptes utilisateurs.
[D.130] La recommandation R.126 devient une directive. De plus, les comptes avec
privilges devront tre valids par le responsable hirarchique de lutilisateur.
[D.131] La recommandation R.128 devient une directive et complte la directive
D.27.
[R.132] Une revue annuelle des comptes utilisateurs devrait tre mise en place. Elle
pourrait notamment permettre de vrifier la bonne application des directives
D.129 et D.130 et de la directive D.131. Cette revue devrait porter une attention particulire aux comptes dadministration.
[R.133] Lorsque cela est possible, un accs en lecture seule devrait tre configur
pour les interventions de maintenance de premier niveau.
[R.134] Si la gestion des comptes est centralise, la configuration de lannuaire centralis devra tre audite rgulirement et au moins une fois par an. Pour le
cas de lActive Directory, on pourra se reporter larticle [1].
Important
Une solution centralise (comme par exemple Active Directory, LDAP, etc.)
peut faciliter la gestion des comptes et
. droits des intervenants. Ce type de
solution peut galement crer un point de vulnrabilit unique et doit donc
tre tudi avec le plus grand soin.
Classe 3
[D.135] Les recommandations R.127, R.132 et R.134 deviennent des directives.
Classe 1
[R.136] Les diffrents composants (quipements et logiciels) ne doivent tre accessibles quaprs une authentification avec identifiant et mot de passe. Lorsque
cela est possible, la politique de mots de passe doit rpondre a minima aux
exigences suivantes :
les mots de passe doivent tre robustes (cf. [12]) ;
les mots de passe par dfaut doivent tre changs.
[R.137] Une temporisation dinhibition doit tre privilgie par rapport au blocage
en cas dchec dauthentification.
[R.138] Le mot de passe doit tre protg en confidentialit et en intgrit quand
celui-ci est transmis sur le rseau.
[R.139] Dans le cas o une authentification ne peut pas tre applique, du fait de
contraintes oprationnelles notamment, des mesures compensatoires devraient
tre dfinies et documentes. A titre dexemple, on pourra envisager :
dappliquer un contrle daccs physique ;
de limiter les fonctionnalits accessibles (consultation sans modification,
par exemple) ;
de mettre en place une authentification par carte puce sans code ;
de cloisonner plus fortement lquipement ;
etc.
Exemple
Dans une salle de contrle oprationnelle en 24/7, les intervenants ont
besoin de pouvoir agir vite sur les applications SCADA. Des comptes
individuels peuvent tre inadapts. Il peut tre envisageable dans ce cas
. de passe individuel car laccs
de ne pas exiger didentifiant et de mot
la salle de contrle est possible uniquement des intervenants habilits,
les accs physiques sont tracs, et la salle de contrle est occupe en
permanence.
[R.140] Les fichiers contenant les mots de passe ou leur empreinte devraient tre
conservs de manire assurer leur confidentialit et leur intgrit.
[R.141] Une procdure scurise pour la rinitialisation des mots de passe en cas
de perte devrait tre dfinie.
Classe 2
[D.142] Les recommandations R.138, R.139 et R.140 deviennent des directives.
[R.143] Lorsque cela est possible, une authentification forte (carte puce, OTP,
etc.) devrait tre mise en place sur les postes de travail et serveurs. Cette mesure peut tre tendue aux quipements de terrain le permettant (automates,
entres/sorties dportes), etc.
[R.144] Lorsque la recommandation R.143 ne peut pas tre applique, la politique
de mots passe de la recommandation R.136 devrait tre renforce par :
conservation de lhistorique des mots de passe (par exemple les 5 derniers) ;
la vrification technique de la complexit du mot de passe ;
le renouvellement du mot de passe (par exemple au bout de 90 jours).
Remarque
Certains outils permettent de vrifier au moment de la dfinition dun
nouveau mot de passe sil nest pas trop proche des anciens. Lide peut
paratre sduisante car il est souvent ais de deviner un mot de passe
. autres mots de passe de lutilisadonn partir de la connaissance des
teur. Cependant, cette technique ncessite de conserver un historique
des mots de passe en clair, ce qui peut tre dangereux. Lhistorisation
simple peut tre faite en ne conservant que les empreintes.
4.2
Classe 1
[R.148] Les systmes industriels devraient tre dcoups par zones fonctionnelles ou
zones techniques cohrentes. Ces zones devraient tre cloisonnes entre elles.
[R.149] Une politique de filtrages entre les zones devrait tre mise en place. Pour
dfinir une politique de filtrage, on pourra notamment se reporter au guide sur
les pare-feu de lANSSI [11].
Pour les flux utilisant le protocole IP, on en rappelle nanmoins ici quelques
grands principes :
un flux est identifi par ladresse IP source, ladresse IP destination, le
protocole (par exemple UDP ou TCP) et, le cas chant, les numros de
port source et destination ;
les flux sont refuss par dfaut ;
seuls les flux ncessaires au fonctionnement du systme industriel sont
autoriss ;
Exemple
A titre dexemple, on rappelle quelques exemples de protocoles et de
ports utiliss par les protocoles industriels :
Modbus : TCP/502
S7 : TCP/102
[R.150] Lorsque des flux non-IP doivent transiter entre deux zones distinctes, un filtrage devrait tre effectu sur les identifiants source et destination. Par exemple,
dans le cas dEthernet, on pourra effectuer le filtrage sur les adresses MAC
source et destination.
Par ailleurs, on pourra faire un filtrage sur les protocoles autoriss.
[R.151] Autant que possible, un cloisonnement physique devrait tre privilgi entre
les zones fonctionnelles du systme industriel. Indpendamment de la cyberscurit, le cloisonnement physique participe galement renforcer la disponibilit des systmes.
[R.152] Lorsque une sparation physique nest pas possible entre les zones fonctionnelles du systme industriel, un cloisonnement logique devrait tre mis en place.
Lutilisation des VLAN est un exemple de cloisonnement logique possible.
[R.153] Le rseau dadministration des quipements devrait tre cloisonn des autres
rseaux, a minima de manire logique. Le primtre porte sur les quipements
dinformatique classique comme les commutateurs, passerelles, routeurs, parefeu, etc.
[R.154] Les postes dadministration ne devraient pas avoir dautre usage. Ils ne devraient pas tre connects Internet ni un rseau de gestion.
Remarque
Les VLAN nont pas t conus comme un mcanisme de scurit. Leur
configuration devra tre faite avec .soin pour assurer le cloisonnement
de manire effective.
Exemple
Voici un exemple de cloisonnement logique :
1 VLAN dadministration pour les composants rseau, les postes
de travail dadministration et les serveurs dadministration ;
1 VLAN de serveurs ;
.
1 VLAN des postes de conduite ;
1 VLAN des postes de dveloppement ;
1 VLAN par procd contenant les automates et autres quipements associs (entres/sorties dportes, etc.).
Classe 2
[D.155] Les recommandations R.148, R.149, R.150, et R.151 deviennent des directives.
[D.156] Les recommandation R.153 et R.154 deviennent des directives. Il est possible que certains quipements, notamment dancienne gnration, ne permettent pas techniquement de raliser un tel cloisonnement. Dans ce cas, une
analyse spcifique devra tre mene pour tudier les contre-mesures possibles
et dfinir le niveau de risque rsiduel.
[R.157] Les flux devraient tre unidirectionnels entre les systmes industriels de classe
2 et les systmes industriels de classe 1. Lunidirectionnalit des flux pourra tre
assure par un pare-feu.
[R.158] Les rseaux dadministration des quipements devraient tre cloisonns physiquement des autres rseaux. A minima, ils devraient tre spars logiquement
laide de tunnels VPN. Lutilisation de produits qualifis pour ltablissement
de ces tunnels est recommande.
Classe 3
[D.159] Les flux doivent tre unidirectionnels entre des zones de classe 3 et de classe
infrieure. Lunidirectionnalit est assure physiquement par une diode.
[R.166] Les flux sont unidirectionnels depuis le systme industriel de classe 2 vers
le systme dinformation de gestion. Lunidirectionnalit des flux pourra tre
assure par un pare-feu.
Classe 3
[D.167] Les flux doivent tre unidirectionnels entre les systmes industriels et les systmes de gestion. Lunidirectionnalit devra tre assure physiquement par une
diode.
[R.168] La diode devrait tre labellise.
Classe 1
[R.169] Les accs vers Internet depuis le systme industriel devraient tre limits. En
particulier, lensemble des postes de supervision et des quipements de terrain
ne devraient pas avoir daccs Internet.
[R.170] Rciproquement, les accs depuis Internet vers le systme industriel devraient tre limits.
[R.171] Les interconnexions entre des systmes rpartis sur des localisations diffrentes devraient garantir la confidentialit, lintgrit et lauthenticit des communications. On pourra utiliser un VPN IPsec par exemple.
[R.172] Un dispositif de filtrage (pare-feu) devrait tre mis en place au niveau des
passerelles dinterconnexion.
[R.173] Les passerelles dinterconnexion devraient tre configures de manire scurise. On pourra se reporter au guide de lANSSI [7].
Classe 2
[D.174] Les recommandations R.169, R.170, R.171, R.172 deviennent des directives.
[R.175] Les quipements utiliss pour linterconnexion devraient tre labelliss.
Classe 3
[D.176] Une interconnexion directe entre un systme industriel de classe 3 et un
rseau public ne doit pas tre autorise.
lquipement devrait tre cloisonn et seuls les flux requis devraient tre
autoriss entre lquipement et le reste du systme industriel ;
les opration de tlmaintenance ne devraient tre faites qu laide de
protocoles scuriss, assurant notamment lintgrit et lauthenticit des
changes.
[R.178] Dans le cas dune connexion par modem noffrant pas de systme dauthentification robuste, a minima, un systme de rappel (call-back) devrait tre
utilis pour valider le numro de tlphone appelant.
[R.179] Lquipement de connexion utilis pour la tlmaintenance devrait tre labellis.
Classe 2
[D.180] La solution de tlmaintenance doit suivre les rgles suivantes :
elle doit assurer la confidentialit, lintgrit et lauthenticit des communications (exemple : VPN IPsec) ;
une authentification forte deux facteurs doit tre mise en place ;
les quipements de connexion doivent tre cloisonns du reste du systme
industriel et seuls les flux indispensables la tlmaintenance doivent tre
autoriss ;
la journalisation des vnements de scurit doit tre active.
[R.181] Une sonde de dtection devrait tre dploye au niveau de la passerelle
de connexion pour pouvoir analyser lensemble du trafic entrant et sortant
(cf R.279).
Classe 3
[D.182] La tlmaintenance ne doit pas tre autorise. Si des oprations de tlmaintenance taient imprativement ncessaires, les quipements distants et la
liaison doivent tre intgrs au primtre du systme de classe 3. Lensemble
des mesures de classe 3 doivent leur tre appliques et en particulier celles de
la section 4.2.5.
[D.183] Des solutions de tldiagnostic peuvent tre mises en place. Dans ce cas,
la solution doit mettre en place les mesures suivantes :
la connexion distante ne se fera que sur un serveur cloisonn ;
les donnes ncessaires au tldiagnostic seront pousses sur ce serveur
au travers dune diode. Cette diode devrait tre labellise.
Remarque
Dans certains cas, lutilisation de rseau
. sans fil peut tre un secours lutilisation des rseaux publics filaires.
Classe 1
[R.192] Lusage de technologies sans fil devrait tre limit au strict ncessaire.
[R.193] En fonction de lusage, les flux de donnes devraient tre chiffrs et signs
ou seulement signs.
[R.194] Les points daccs sans fil devraient mettre en place les mcanismes suivants :
lauthentification du point daccs et du dispositif qui se connecte linfrastructure ;
les fonctionnalits de contrle daccs rseau (ex : EAP) ;
la journalisation des connexions.
[R.195] Les communications sans fil devraient tre cloisonnes au maximum en isolant les priphriques sans fil dans un rseau physique ou logique spar.
[R.196] Lorsque les vnements de scurit ne sont pas superviss par un dispositif
centralis, il est recommand que les vnements gnrs par les quipements
sans fil soient examins rgulirement.
[R.197] La porte des missions devrait tre rduite au maximum en diminuant la
puissance dmission.
Important
Mme avec une puissance rduite, il est possible de capter des missions dun rseau sans fil grande. distance en utilisant des antennes
et des dispositifs adapts.
Classe 2
[D.198] La recommandation R.196 devient une directive.
[D.199] Les correctifs de scurit doivent tre appliqus systmatiquement sur les
quipements des rseaux sans fil.
[R.200] Une sonde de dtection dintrusion devrait tre dploye au niveau de linterconnexion entre le rseau sans fil et les autres rseaux du systme industriel.
Classe 3
[D.201] La recommandation R.200 devient une directive.
[D.202] Lusage des technologies sans fil est fortement dconseill et doit tre limit
aux cas o il nexiste pas dautre solution.
[D.203] Lutilisation de technologie sans fil doit tre interdite sur toutes les liaisons
ayant des besoins critiques de disponibilit.
[D.204] Les vnements de scurit gnrs par les quipements sans fil doivent
tre centraliss et superviss en temps rel.
[R.205] Lensemble des quipements utiliss dans des rseaux sans fil devraient tre
labelliss.
Classe 1
[R.206] Les protocoles non scuriss (http, telnet, ftp, etc.) devraient tre dsactivs
au profit des protocoles scuriss (https, ssh, sftp, etc.) pour assurer lintgrit,
la confidentialit, lauthenticit et labsence de rejeu des flux.
Classe 2
[R.207] Pour les protocoles ne pouvant pas tre scuriss pour des raisons techniques et oprationnelles, des mesures compensatoires devraient tre mises en
place comme :
mettre en place des protections primtriques (pare-feu) ;
encapsuler les flux dans un VPN pour en assurer lintgrit et lauthenticit.
Classe 3
[D.208] Les recommandations R.206 et R.207 deviennent des directives.
Remarque
Les protocoles scuriss ne doivent pas toujours chiffrer les flux. Si les flux,
passent par des rseaux non-matriss, le chiffrement est sans doute ncessaire. En revanche, sur un rseau matris, le chiffrement nest pas toujours
.
souhaitable car incompatible avec lutilisation
de sondes de dtection. La
signature des donnes peut tre suffisante.
Labsence de chiffrement ne doit pas tre incompatible avec la recommandation R.138 et la directive D.142.
Important
Certains protocoles intgrent des mcanismes de vrification dintgrit des
donnes bass sur des CRC. Cette mesure,
efficace en sret de fonctionne.
ment, ne constitue pas une protection face des attaques dans le domaine
de la cyberscurit.
4.3
[R.210] Sur les postes de travail, ordinateurs portables et serveurs, on devrait galement supprimer ou, au minimum, dsactiver :
les outils de dbogage et de dveloppement des systmes en production ;
les donnes et fonctions de tests, ainsi que les comptes associs ;
lensemble des programmes non indispensables.
Remarque
Des lecteurs PDF et des logiciels de bureautique sont parfois installs sur des stations SCADA afin de pouvoir consulter des documents
. prfrable de mettre disposition
comme des modes opratoires. Il est
des utilisateurs dautres postes que les stations SCADA pour utiliser les
applications de bureautique et les lecteurs PDF (cf. R.60).
Classe 2
[D.216] La recommandation R.215 devient une directive.
[R.217] Des outils de dfense en profondeur du poste de travail devraient tre mis
en place. En particulier, une liste blanche des applications ayant le droit de
sexcuter devrait tre mise en place sur les quipements.
[R.218] Pour les automates, lorsque les quipements le permettent, les mcanismes
suivants devraient tre activs :
la protection daccs la CPU et/ou au programme ;
la restriction des adresses IP pouvant se connecter ;
la dsactivation du mode de programmation distance.
Classe 3
[D.219] Les recommandations R.217 et R.218 deviennent des directives.
[R.220] Les outils devraient tre labelliss.
Important
Lutilisation dun dispositif de protection antivirale peut ne pas tre adapt
aux systmes industriels pour les raisons suivantes :
les mcanismes de mise jour des signatures peuvent apporter des
vulnrabilits et ncessiter des connexions vers des systmes dinformation externes qui nexistaient pas jusqualors ;
un dispositif de protection antivirale
peut tre incompatible avec les
.
principes et exigences de sret de fonctionnement.
Lutilisation dun antivirus devrait sans doute se faire dans un poste ou un
serveur ddi comme indiqu dans la recommandation R.235 et la directive
D.241 mais elle nest pas recommande pour les autres composants du
systme industriel. Le durcissement des configurations, comme indiqu dans
les recommandations R.217 et R.218, doit tre privilgi.
Intgrit et authenticit
Classe 1
[R.221] Le processus de livraison de lensemble des logiciels, programmes et lments de configuration ainsi que de leurs mises jour devrait intgrer un mcanisme de vrification de lintgrit et de lauthenticit (signature). Les lments
concerns sont en particulier :
les firmwares ;
les systmes dexploitation et logiciels standards ;
les progiciels SCADA ;
les programmes dautomates et de SCADA ;
les fichiers de configuration des quipements rseau ;
etc.
Classe 2
[D.222] La recommandation R.221 devient une directive.
[R.223] Lintgrit et lauthenticit des firmwares, logiciels et programmes applicatifs
(automates, SCADA, etc.) devraient tre vrifies rgulirement. Idalement,
cette tche devrait tre automatise et excute une fois par jour.
Classe 3
[D.224] La directive D.222 est renforce de la manire suivante. Les lments dont
lintgrit et lauthenticit doivent tre vrifies, doivent tre signs par le fournisseur (quipementier, dveloppeur, intgrateur,etc). La signature doit tre vrifie par lentit responsable la rception et par lquipement au chargement.
[D.225] La recommandation R.223 devient une directive.
Classe 1
[R.226] Un processus de gestion des vulnrabilits doit tre mis en uvre afin de :
rechercher les correctifs disponibles pour corriger ces vulnrabilits ;
identifier les vulnrabilits connues et mesurer leurs impacts sur les systmes ;
dployer les correctifs en commenant par les plus importants ;
recenser les vulnrabilits qui nont pas pu tre corriges (soit par manque
de correctifs, soit parce que le correctif na pas pu tre appliqu en raison
de contraintes oprationnelles).
Remarque
Appliquer des correctifs nest pas une opration anodine. Il est important de sassurer de leur compatibilit avec le fonctionnement des applications. Le dploiement des correctifs doit tre intgr dans les plans de
maintenance des installations. Il peut,
. en effet, tre judicieux de mettre
en place les correctifs lorsque linstallation est larrt pour une maintenance mcanique par exemple. Aujourdhui, les correctifs concernent
galement les PLC et les quipements de terrain comme les capteurs et
actionneurs intelligents.
[R.227] Les correctifs de scurit doivent tre appliqus en priorit sur les quipements les plus exposs (postes de travail, PC portables, stations dingnierie,
consoles de programmation, pare-feu, VPN, etc.).
Classe 2
[D.228] Les vulnrabilits non corriges doivent tre clairement identifies. Un suivi
spcifique doit tre mis en uvre et des mesures palliatives doivent tre appliques pour diminuer lexposition due ces vulnrabilits.
[R.229] Les correctifs devraient tre valids par les fournisseurs avant le dploiement.
[R.230] Une vrification de lapplication effective des correctifs de scurit devrait
tre effectue. Cette vrification pourra constituer un indicateur de suivi de la
cyberscurit du systme industriel.
Classe 3
[D.231] Les recommandations R.226, R.227, R.229 et R.230 deviennent des directives.
[R.232] Un environnement de test reprsentatif des systmes en production devrait
tre mis en uvre afin de sassurer de leur non-rgression aprs lapplication
des correctifs.
Classe 3
[D.240] La recommandation R.239 devient une directive.
[D.241] Un sas doit tre mis en place pour changer des donnes avec les systmes
industriels. Il doit tre plac dans une zone matrise. Cet change de donnes
est une action ponctuelle qui doit tre encadre par une procdure.
[R.242] La solution de sas devraient tre labellise.
Classe 1
[R.248] Lusage des priphriques personnels quels quils soient (ordiphones, tablettes, cls USB, appareils photos, etc.) devrait tre interdit.
[R.249] Une charte dutilisation des terminaux nomades et une signaltique pour
rappeler cette exigence devraient tre mis en place.
[R.250] Les quipements autoriss se connecter aux systmes devraient tre clairement identifis et valids.
[R.251] Lorsque lquipement contient des donnes sensibles, sa mmoire de stockage devrait tre chiffre.
[R.252] Un processus dattribution des terminaux mobiles devrait tre mis en place.
Il devrait permettre, a minima :
de valider lattribution du terminal par le responsable hirarchique ;
dassurer la traabilit entre le terminal et ses utilisateurs ;
de sensibiliser lutilisateur aux rgles dusage en vigueur.
Classe 2
[D.253] les recommandations R.248, R.249, R.251 et R.252 deviennent des directives.
[R.254] Les quipements utiliss devraient tre ddis au systme industriel, y compris ceux utiliss par des prestataires extrieurs.
[R.255] Ces quipements ne devraient pas quitter le site.
Classe 3
[D.256] Les recommandations R.251, R.254 et R.255 deviennent des directives.
Les consoles de programmation sont des quipements nomades et les stations dingnierie des stations de travail fixes. Dans les deux cas, il sagit de postes ddis
lingnierie des processus du systme industriel. Il peut arriver que le terme poste
dadministration soit utilis ce qui peut prter confusion.
Les postes dadministration sont ddis ladministration des quipements dinfrastructure (commutateurs, serveurs, station, pare-feu, etc.) du systme industriel.
Pour les mesures techniques sur le cloisonnement des fonctions dadministration, on
pourra se reporter la section 4.2.1.
Classe 1
[R.257] Les stations dingnierie devraient respecter les rgles suivantes :
tre ddies aux activits dingnierie ;
ne pas tre connectes Internet ;
tre installes dans des locaux matriss (sous contrle daccs) ;
se voir appliquer les rgles de durcissement des stations de travail ;
tre teintes lorsquelles ne sont pas utilises.
[R.258] Les consoles de programmation devraient :
tre ddies aux activits de maintenance et dexploitation ;
ne pas tre connectes Internet ;
ne pas tre connectes dautres systmes que le systme industriel ;
appliquer les rgles pour les terminaux mobiles ;
appliquer les rgles de durcissement de configuration et de renforcement
des protections ;
tre stockes dans un local scuris ;
tre facilement identifiables (marquage visuel par exemple).
[R.259] Les postes dadministration devraient :
tre ddis ladministration des quipements dinfrastructure ;
ne pas tre connects Internet ;
appliquer les rgles de durcissement de configuration et de renforcement
des protections ;
tre installs dans des locaux matriss (sous contrle daccs) ;
tre teints lorsquils ne sont pas utiliss.
[R.260] Les outils de dveloppement ne doivent pas tre installs sur les machines
de production. Seuls les environnement de production (runtime) doivent tre
installs sur les serveurs et stations SCADA par exemple.
[R.261] La recommandation R.260 peut tre difficile appliquer dans le cas de lutilisation de systmes numriques de contrle-commande (SNCC). Il conviendra
alors dtudier des solutions compensatoires pour isoler le systme et rduire
sa surface dattaque.
Classe 2
[D.262] Les recommandations R.257, R.258, R.259, R.260 et R.261 deviennent
des directives.
Classe 3
[R.263] Les postes dadministration ne devraient pas tre utiliss pour la surveillance
permanente des systmes.
Classe 1
[R.264] Des rgles de bonne pratique de programmation devraient tre dfinies,
appliques et vrifies. Pour cela, on pourra par exemple utiliser les options
avances de certains compilateurs ou des outils ddis la vrification des
bonnes pratiques de programmation.
Remarque
Certains compilateurs, ateliers de dveloppement de SCADA et dautomates
disposent de nombreuses options pour remonter des avertissements supplmentaires lutilisateur. Ces options ne. sont souvent pas actives par dfaut.
Elles permettent pourtant dviter de nombreuses erreurs de programmation
et bogues pouvant induire des vulnrabilits.
Remarque
Lapplication et la vrification des bonnes
pratiques de programmation ne
.
permet pas dviter tous les bogues peuvant mener des vulnrabilits.
Classe 2
[R.265] Un environnement de dveloppement devrait tre ddi au systme industriel.
Remarque
Lenvironnement de dveloppement peut tre interne ou chez des four.
nisseurs. Dans ce cas il convient dindiquer
les exigences attendues
dans le cahier des charges (cf. R.51).
[R.266] En plus de bonnes pratiques de dveloppement voques dans la recommandation R.264, des rgles de dveloppement de scurit (secure coding)
devraient tre mises en place et appliques.
[R.267] Des outils danalyse statique et des tests de robustesses devraient tre utiliss
systmatiquement.
[R.268] Des audits de code devraient tre effectus par des prestataires externes.
Classe 3
[D.269] Les recommandations R.265, R.266, R.267 et R.268 deviennent des directives.
[D.270] Le niveau de scurit de lenvironnement de dveloppement doit tre vrifi
par des audits.
4.4
Remarque
Une partie des changements de paramtres des processus peut, dans cer.
tains cas, tre dj enregistre au niveau
des applications de SCADA sous
forme dvnements ou de courbes.
Classe 2
[D.275] Les recommandations R.271, R.273 et R.274 deviennent des directives.
[R.276] Les journaux devraient tre analyss rgulirement.
Classe 3
[D.277] La recommandation R.276 devient une directive.
[R.278] Une solution de SIEM centralisant lensemble des journaux dvnements
de scurit devrait tre mise en place. Elle devrait permettre de corrler les
journaux en vue de dtecter des incidents de scurit. La solution de SIEM,
pour ne pas tre considre de classe 3, devra tre place derrire une diode
comme indiqu la directive D.159.
Moyens de dtection
Classe 1 Il ny a pas de mesure pour cette classe.
Classe 2
[R.279] Des moyens de dtection dintrusion devraient tre mis en place en priphrie des systmes et sur les points identifis comme critiques qui comprennent
notamment :
les interconnexions entre des systmes distants ;
les interconnexions des systmes de tlgestion ;
les interconnexions entre le SI de gestion et le SI industriel ;
les points de connexion spcifiques vers lextrieur (WiFi industriel par
exemple) ;
les stations sas ;
le rseau fdrateur de postes de supervision industriel (SCADA) ;
les rseaux dautomates jugs sensibles.
[R.280] Les moyens de dtection mis en uvre devraient tre labelliss.
[R.281] Les vnements collects par les sondes devraient tre centraliss.
[R.282] Un processus devrait clairement dcrire comment les vnements remonts
par les sondes sont pris en compte.
Classe 3
[D.283] Les recommandations R.279, R.281, R.282 deviennent des directives.
Annexe A
.
Cartographie
Les quipes qui exploitent et maintiennent les systmes industriels doivent pouvoir
sappuyer sur une documentation fiable et jour. Nous proposons dans ce chapitre
quatre types de cartographie diffrents niveaux pour avoir une connaissance aussi
prcise que possible du systme concern. Chacune de ces cartographies consistera
en une liste et en un schma qui organise les lments rfrencs.
A.1.1 Inventaire
Cet inventaire devra comporter notamment les lments suivants :
la liste des quipements communicants du systme industriel :
Cette liste comportera par exemple les automates, les entres sorties dportes,
les capteurs, les actionneurs, les variateurs de vitesse, les centrales de mesures,
les disjoncteurs, les interrupteurs, les serveurs physiques, les postes de travail,
les units de stockage. Pour chaque lment, on prcisera :
le nom ;
la marque ;
le modle ou la rfrence 1 ;
la version du firmware (software version) embarqu et la version du produit
(product version) si pertinent ;
les caractristiques matrielles si pertinent ;
lemplacement physique (btiment, pice, armoire, baie) ;
la liste des commutateurs relis ;
1. Certains quipements (les automates modulaires, par exemple) contiennent plusieurs rfrences.
A.1.2 Schma
Il sagit de la reprsentation des diffrents sites gographiques, faisant apparatre :
les commutateurs, les numros de VLAN associs ;
les liens entre quipements ;
en cas dinstallation inter-site, les identifiants dinterconnexion (MPLS, VPLS,
numros de tlphone) ;
les quipements.
A.2
On sintresse ici la topologie logique des rseaux (les plan dadressage IP et nonIP, noms de sous-rseaux, liens logiques entre ceux-ci, principaux quipements actifs,
etc.). Cette cartographie pourra galement tre organise sous la forme dinventaires
et dun schma.
A.2.1 Inventaires
On propose de rpertorier les lments suivants :
les organisations :
avec pour chacune dentre elles,
le responsable.
la liste des plages dadresses IP :
avec pour chacune,
la liste des commutateurs en support ;
la description fonctionnelle de la plage IP ;
la
la
la
la
A.2.2
Schma
A.3
Le point de vue applicatif correspond aux applications mtier et aux flux de communication entre elles. Comme prcdemment, on pourra organiser cette cartographie
sous la forme dinventaires et dun schma.
A.3.1 Inventaires
On pourra notamment lister les lments suivants :
le responsable ;
le type dapplication (application SCADA, programme automate, historique,
etc.) ;
le nombre dutilisateurs ;
les quipements (physiques ou logiques) supports ;
les services en coute sur le rseau et ports rseaux associs ;
les flux applicatifs ;
la version de lapplication.
A.3.2 Schma
Il sagit dune reprsentation des composants des applications et des flux entre elles :
les programmes des automates ;
les applications de SCADA ;
les services dinfrastructure (DNS, NTP, passerelle Internet, etc.) ;
les services dadministration ( service dinventaires, dadministration distance,
etc.)
la matrice de flux associe chaque application et service.
A.4
Cartographie de ladministration et de la
surveillance du systme dinformation
Cette dernire cartographie ne sapplique que si une gestion centralise des droits
dadministration sur les quipements a t mise en place. Dans le cas o les droits
sur les quipements ne sont grs que par des comptes locaux, cette cartographie se
rduira une liste des comptes et des droits associs pour chaque quipement.
La cartographie devra contenir :
Annexe B
.
Journaux d'vnements
Liste minimale (mais non exhaustive) des vnements daudit configurer :
tentatives dauthentification (russite ou chec) ;
actions des utilisateurs dans le systme ;
utilisation des comptes privilges ;
dfaillances des mcanismes de scurit ;
tentatives de connexions rseau ;
dmarrage et arrt des fonctionnalits daudit ;
activation, dsactivation et modification du comportement ou de paramtres
des mcanismes de scurit (authentification, gnration daudit, etc.) ;
actions entreprises en raison dune dfaillance du stockage des audits ;
toute tentative dexportation dinformations ;
utilisation de la fonction de gestion ;
modification du groupe dutilisateurs faisant partie dun rle ;
dtection dune violation physique ;
toute tentative dtablissement dune session utilisateur ;
tentatives de chargement, modification ou rcupration de programme, microprogramme ou firmware ;
modification de paramtres systmes (heure, adresse IP ou non IP, temps de
cycle, chien de garde,etc) ;
modification ou forage de donnes applicatives ;
passage dun quipement en mode stop, marche, stand-by, redmarrage.
Remarque
Les vnements peuvent tre centraliss sur un serveur de type syslog. De
nombreux quipements permettent en effet de configurer un serveur syslog
cible. Pour les journaux dvnements. Microsoft il existe des utilitaires permettant, pour chaque nouvel vnement enregistr, de lenvoyer vers un serveur syslog.
Pour plus dinformation consulter la note dinformation du CERTA [5] et la note technique relative aux recommandations de scurit pour la mise en uvre dun systme
de journalisation [15].
Bibliographie
.
[1]
[2]
[3]
ISO. ISO27002 : Security techniques - Code of practice for security management. 2013.
[4]
[5]
[6]
[7]
[8]
Agence nationale de la scurit des systmes dinformation. Guide de lexternalisation. mai 2012.
[9]
Ce guide sur la cyberscurit des systmes industriels a t ralis par lAgence nationale de la scurit des systmes dinformation (ANSSI) avec le concours des socits
et organismes suivants :
Actemium,
Airbus Defence and Space,
Arkoon-Netasq,
A.R.C. Informatique,
Atos Worldgrid,
Hirschmann,
Cassidian Cybersecurity,
CEA,
CLUSIF,
DCNS,
DGA Matrise de linformation,
Euro system,
EXERA,
GDF SUEZ,
Gimlec,
INERIS,
Itris Automation Square,
Lexsi,
Schneider Electric,
Siemens,
Sogeti,
RATP,
Solucom,
Thales,
Total.
propos de lANSSI
LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre le
7 juillet 2009 sous la forme dun service comptence nationale.
En vertu du dcret n 2009-834 du 7 juillet 2009 modifi par le dcret n 2011-170
du 11 fvrier 2011, lagence assure la mission dautorit nationale en matire de
dfense et de scurit des systmes dinformation. Elle est rattache au Secrtaire
gnral de la dfense et de la scurit nationale, sous lautorit du Premier ministre.
Pour en savoir plus sur lANSSI et ses missions, rendez-vous sur www.ssi.gouv.fr.