Systeme-Indus Cas-Pratique Tunnel Partie1 Anssi

.
Cas pratique dun tunnel routier

Partie 1 : classication
La cyberscurit des systmes industriels
Avertissement
Ce document est une tude de cas visant illustrer les deux
guides [SCADA-MTD, SCADA-MSR] publis par lANSSI en janvier 2014.
En particulier, il ne sagit pas dun document de bonnes pratiques ou de
.
recommandations pour les systmes industriels
des tunnels routiers.
Bien que les auteurs se soient attachs rendre cette tude la plus raliste
possible, certaines liberts ont t prises des fins pdagogiques par rapport
aux systmes rellement rencontrs dans les tunnels routiers.
Synthse
.
En 2014, le groupe de travail sur la cyberscurit des systmes industriels (GTCSI),

pilot par lagence nationale de la scurit des systmes dinformation (ANSSI), a
publi deux guides :
La cyberscurit des systmes industriels - Mthode de classification et mesures
principales [SCADA-MTD]
La cyberscurit des systmes industriels - Mesures dtailles [SCADA-MSR]
Lobjectif de la prsente tude de cas est dillustrer ces deux guides par un exemple
complet et concret : un tunnel routier.
La premire partie de cette tude [SCADA-TNL-1] dtaille la dmarche complte de
classification, montrant ainsi comment prendre en compte certains lments.
Ainsi, aprs une prsentation du primtre et du contexte de ltude de cas, les diffrentes menaces sont analyses en prcisant les rapprochements possibles entre cyberscurit et sret de fonctionnement 1 . De ces menaces dcoulent alors la vraisemblance dune attaque et donc la classe de chaque fonction. Enfin, les diffrents regroupements possibles entre classes sont compars pour dfinir larchitecture finale.
La deuxime partie de ltude de cas [SCADA-TNL-2] correspond la dclinaison des
mesures prsentes dans les deux guides.
Larchitecture retenue en fin de premire partie est ainsi analyse de faon macroscopique, au regard des mesures principales du premier guide. Une proposition
de scurisation est ensuite faite laide du second guide, en commenant par les
mesures organisationnelles suivies des mesures techniques.
Enfin, il convient de rappeler quune analyse utilisant cette mthode nest quune
premire approche permettant daffirmer certains choix darchitecture et de mesures
appliquer. Elle ne dispense en rien dune analyse de risque complte, qui est dailleurs
une des mesures identifies. De mme, dautres mesures peuvent tre retenues de
faon tout fait valable si elles permettent de rpondre au besoin de cyberscurit.
1. Voir le glossaire de la mthode de classification pour la dfinition de ces deux notions.
La cyberscurit des systmes industriels Cas pratique dun tunnel routier . 3
Table des matires

.
1 Introduction
2 Contexte
2.1 Prsentation de la socit
2.2 Organisation physique du tunnel
10
2.3 Fonctions mises en uvre dans le tunnel
10
2.4 Dpendances fonctionnelles
13
2.5 Premire approche avant le droul de ltude
14
3 Scnarios de menace
19
3.1 Sret de fonctionnement et vnements redouts
20
3.2 tude des scnarios de menace
21
3.2.1 vnements redouts
21
3.2.2 Scnarios de menace
26
3.2.3 Vulnrabilits
28
3.3 Exemples de scnarios dattaque
31
3.3.1 Cas dune attaque cible : installation dun maliciel
31
3.3.2 Cas dune attaque non cible : propagation dun virus
32
3.3.3 Cas dune attaque cible indirecte : quipements pigs
32
3.4 Analyse de la scurit relative larchitecture de premire approche

avant droul de la mthode
32
4 Classication
35
4.1 chelles
36
4.2 Hypothses de ltude
38
4.3 Classification par fonction
38
4.4 Dpendances fonctionnelles et classes
45
4.5 Classification finale

5 Possibilits de regroupement des classes
46
49
5.1 Les diffrentes configurations envisages
50
5.2 Les principaux lments diffrenciants
52
5.2.1 Formation, contrle et habilitation des intervenants
52
5.2.2 Audits
52
5.2.3 Processus de veille
53
5.2.4 Interconnexions rseau
53
5.2.5 Tldiagnostic, tlmaintenance et tlgestion
53
5.2.6 Surveillance et moyens de dtection
54
5.2.7 Gestion des interventions
54
5.3 Choix de la configuration

Bibliographie
6 . La cyberscurit des systmes industriels Cas pratique dun tunnel routier
56
57
Chapitre 1
.
Introduction
Le prsent document est issu des rflexions du groupe de travail sur la cyberscurit des systmes industriels pilot par lagence nationale de la scurit des systmes dinformation (ANSSI). Lobjectif des travaux de ce groupe, constitu dacteurs
du domaine des systmes automatiss de contrle des procds industriels et de
spcialistes de la scurit des systmes dinformation (SSI), est de proposer un ensemble de mesures pour amliorer le niveau de cyberscurit des systmes industriels. Les premiers travaux mens ont permis la publication en janvier 2014 de deux
guides [SCADA-MTD, SCADA-MSR] qui visent proposer une mthode de classification des systmes industriels et un ensemble de mesures pour apporter un niveau
de scurit adquat en fonction de la criticit de ces systmes.
Le but du prsent document est dillustrer la mthode de classification dcrite dans le
guide [SCADA-MTD], en lappliquant au cadre de la scurisation dun tunnel routier.
Il sagit de la premire partie de cette tude de cas, qui en contient deux.
En accord avec lobjectif affich par le groupe de travail, cette analyse porte exclusivement sur les aspects de cyberscurit, et certains liens qui peuvent tre fait avec
la sret de fonctionnement, mais cette dernire est suppose traite par ailleurs.
Dans le dtail, le chapitre 2 prsente les hypothses de ltude de cas avec une
description de louvrage et des diffrents acteurs conomiques impliqus.
Le chapitre 3 numre de manire approfondie les diffrentes menaces qui psent
sur les systmes industriels dans ce type de contexte et les rapprochements quil est
possible de faire entre les analyses de risque menes au titre de la sret de fonctionnement et de la cyberscurit.
Le chapitre 4 dcrit le raisonnement complet menant la classification des fonctions.
La dmarche sappuie sur des chelles dfinies par loprateur et sur les rsultats de
lanalyse de risque de sret de fonctionnement. Les relations entre les diffrentes
fonctions portes par les systmes industriels du tunnel sont galement analyses en
dtail.
Le chapitre 5 dcrit quant lui les regroupements qui peuvent tre envisags entre
classes pour faciliter la mise en uvre et lexploitation du systme dinformation con-
cern. En effet, la dmarche de classification dcrite dans le guide [SCADA-MTD]

laisse la libert de regrouper les fonctions en sous-systmes condition de respecter
certains principes.
Chapitre 2
.
Contexte
Ltude de cas porte sur la scurisation du systme dinformation industriel dun tunnel
routier fictif situ sous le mont Aigoual, sur la route reliant Meyrueis Notre Dame
de la Rouvire. Il sagit dun ouvrage neuf dans lequel des quipements de dernire
gnration pourront tre dploys suivant les besoins. Il ny a donc pas de gestion
de lexistant ou de plan de migration envisager.
Figure 2.1 Tunnel - carte de situation
2.1 Prsentation de la socit

Le tunnel routier sera exploit par la socit (fictive) Tunnello. La directrice de cette
socit est Mme Alice et son responsable des oprations est M. Bob.
Pour mener bien ces diffrentes tches, la socit Tunnello sest adjointe les services de plusieurs prestataires 1 , eux aussi fictifs, pour certaines tches quelle ne peut
raliser elle-mme :
1. Les noms de ces socits ont t choisis de faon simplifier la comprhension de leur rle
dans la suite du document. Tout rapprochement avec une ou des socits existantes serait fortuit.
Intgro assure la fourniture, lintgration puis la maintenance du SI industriel ;

Audito est en charge des diffrents audits informatiques ncessaires ;
Formatio est en charge de la formation du personnel ;
Telco est loprateur de tlcommunication en charge des accs rseau (accs
Internet et liaisons ddies) ;
Constructio est lentreprise en charge du percement du tunnel.
Il est noter que certaines mesures dtailles dans ce document ont un impact sur le
choix des diffrents prestataires (exigences en matire de labellisation par exemple).
Bien que le nom des prestataires soit indiqu ds ce prambule pour faciliter la lecture
du document, les exigences sont supposes avoir t prises en compte lors du choix
des prestataires pour chaque scnario.
2.2
Organisation physique du tunnel
Le tunnel, sujet de ltude, est un tunnel routier de type mono-tube circulation

bidirectionnelle dune longueur de 2 550 m environ. Du point de vue de la rglementation, il entre dans la catgorie des tunnels faible trafic de longueur comprise
entre 1 500 m et 3 000 m.
En temps normal, ce tunnel est supervis depuis un poste de contrle / commande
principal distant (PCC), localis Millau et sous la responsabilit de la socit Tunnello. Il dispose galement dun poste de contrle / commande secondaire, sur site,
essentiellement utilis en secours et localis ct Meyrueis. En cas dinterruption de
la circulation dans le tunnel, il faut, depuis le PCC de Millau, 1h30 pour se rendre
lentre du tunnel ct Notre-Dame-de-la-Rouvire et 2h ct Meyrueis.
Au sein du tunnel, des locaux techniques (aussi appels niches) sont installs tous
les 200 m environ. Tous les accs ncessaires aux diffrents rseaux de terrain (informatique, lectricit, fluides) peuvent y tre amnags suivant les besoins. On y
trouve ainsi des piquages pour les divers fluides, des alimentations lectriques ou des
commutateurs pour les rseaux informatiques prsents.
2.3
Fonctions mises en uvre dans le tunnel
Pour commencer cette tude, il convient de raliser un inventaire des diffrentes fonctions mises en place dans le cadre du systme industriel daide lexploitation du
tunnel.
Ltude de sret de fonctionnement, mene par ailleurs, a permis didentifier que ce

type de tunnel doit, pour assurer un niveau de sret satisfaisant, mettre en uvre
les fonctions principales suivantes :
lalimentation et la distribution lectrique ;
lindication des sorties de secours 2 ;
la ventilation 3 ;
la signalisation ;
la dtection de vhicules hors gabarit ;
la vido-surveillance ;
la dtection incendie ;
le rseau dappel durgence ;
le contrle de la qualit de lair.
cette liste sajoute le systme de supervision industriel qui, bien quindispensable,
nest pas trait comme une fonction indpendante dans cette tude. Il regroupe deux
sous-fonctions :
lacquisition et le traitement des donnes en provenance de sources multiples 4 ;
le contrle des quipements par lenvoi de tlcommandes et de tlrglages.
Ces deux sous-fonctions sont respectivement appeles visualisation et pilotage ds
lors quune distinction est ncessaire dans la suite du document.
Composants par fonction

Dun point de vue technique, chaque fonction peut impliquer un nombre plus ou
moins important de composants. Sans tenir compte de la mutualisation possible de
certains quipements (dont les automates et les consoles IHM 5 ), la liste des fonctions
et des composants associs est rsume dans le tableau suivant.
2. Cette fonction recouvre notamment les systmes de type TOTEM ainsi que les chevrons dynamiques tels que dfinis dans le document du CETU sur lauto-vacuation des usagers [CETU-EVAC].
Elle ninclue pas les panneaux lumineux rglementaires dont lalimentation est permanente.
3. Tunnello a retenu pour la ventilation et le dsenfumage une stratgie transversale, en accord
avec la catgorie du tunnel [CETU-VENT]. Il dcide de plus dutiliser une extraction concentre.
4. Notamment les tlmesures, les tlsignalisations ou les tlalarmes.
5. Les automates programmables industriels (API) assurent la partie commande automatise du
systme industriel. Voir lannexe A.3 de la seconde partie de ltude pour plus de prcision.
Fonctions
Indication des
sorties de secours
Ventilation
Signalisation
Appel durgence
Dtection vhicules
hors gabarit
Vido-surveillance
Dtection incendie
Contrle de la
qualit de lair
Alimentation et
distribution
lectrique
Supervision
Composants
Automate
Disjoncteurs et interrupteurs
Capteurs dtat
Automate
Moteurs des ventilateurs 6
Capteurs de vitesse de rotation
Capteurs anmomtriques
Trappes dextraction tlcommandes
Station mto extrieure pour la gestion des contrepressions
Automate
Signaux lumineux daffectation de voies
Signaux lumineux de dviation pour vhicules hors gabarit
Panneaux message variable
Barrires daccs motorises
Capteurs dtat
Bornes tlphoniques
Systme de gestion des communications
Enregistreur
Automate
Capteurs de gabarit
Systme de gestion de la vido-surveillance
Camras
Enregistreur
Centrale de dtection incendie (automate ddi)
Dtecteurs de fume
Fibro-laser
Automate
Opacimtres
Dtecteurs monoxyde de carbone et dazote.
Automate
Disjoncteurs et interrupteurs
Centrale de mesure
Capteurs dtat
Serveurs du systme de supervision
Poste de supervision
Console de vido-surveillance
2.4
Dpendances fonctionnelles
En cherchant les relations entre les fonctions, mais sans prendre en compte larchitecture physique, il est possible de dgager les dpendances suivantes :
Fonctions
Indication des
sorties de secours
Ventilation
Signalisation
Appel durgence
Dtection vhicules
hors gabarit
Vido-surveillance
Dtection incendie
Contrle de la
qualit de lair
Alimentation et
distribution
lectrique
Supervision
Dpendances
Ordres mis par la dtection incendie
Remontes de donnes vers la supervision
Ordres mis par la supervision
Ordres mis par la Dtection incendie
Ordres mis par la Centrale incendie
Ordres mis par la Dtection de vhicules hors gabarit
Remontes des communications vers loprateur tlphonique
Ordres envoys vers la signalisation
Remontes de donnes de tlmesure vers la supervision
Remontes dimages vers la supervision
Ordres envoys vers lIndication des sorties de secours, la
Ventilation, la Signalisation.
Ordres envoys vers la ventilation
Ordres de pilotage manuel mis vers lensemble des fonctions
Remontes de donnes depuis lensemble des fonctions
Remontes des images de vido-surveillance
6. La boucle dasservissement entre le moteur et ses capteurs de vitesse est gnralement ralise
par un variateur de vitesse qui en pratique est linterlocuteur de lAPI pour les ordres comme pour
les remontes de donnes. La fonction utilise galement des capteurs anmomtriques pour mesurer
lefficacit relle de la ventilation.
Les relations entre les fonctions peuvent se rsumer ceux de la figure 2.2. Ce dernier
fait apparatre les deux sous-fonctions de la surpervision, savoir le pilotage et la
visualisation la seule fin de lisibilit du schma. Cela ne prsume en rien, ce
stade, dune segmentation de ces deux sous-fonctions par lemploi dquipements
distincts.
Figure 2.2 Systme industriel - Graphe des dpendances fonctionnelles
2.5
Premire approche avant le droul de ltude
Au del des fonctions numres dans le paragraphe prcdent, la figure 2.3 fait
apparatre les diffrents composants logiques (modules applicatifs) qui interviennent
selon les localisations (zones) gographiques : les PCC, le tunnel et les diffrents
rseaux qui les relient.
Larchitecture prsente dans la figure 2.4 est issue de lanalyse de sret de fonctionnement, avant prise en compte de la cyberscurit. Elle prsente ainsi le primtre
du systme industriel tel quil serait dploy sans prise en compte de la cyberscurit.
Elle met en avant :
les composants et leur localisation gographique ;
les liaisons entre ces composants.
On retrouve tous les composants prsents au niveau des PCC :
les serveurs du systme de supervision industrielle en redondance pour assurer
la disponibilit des applications ;
Figure 2.3 Systme industriel - Premire approche logique avant classification et

mthode de scurisation
les consoles pour le rseau de supervision ;

le serveur de tlphonie (IPBX) pour les communications passes partir des
postes dans le tunnel.
En cas de dfaillance matrielle, la redondance et la disponibilit des composants
et des rseaux assurent le bon fonctionnement des fonctions de scurit. On note
toutefois que sil y a bien une redondance des serveurs de supervision, celle-ci se
limite au PCC secondaire, sans dport vers le PCC principal : en cas de perte du
site secondaire, les fonctions de supervision ne peuvent donc plus tre assures par
lquipe dexploitation prsente Millau. Toutefois, si cela peut poser des problmes
dans le suivi des incidents, cela ne remet pas en cause la scurit des personnes
et des biens (dans le sens sret) du tunnel car les automates peuvent continuer de
fonctionner sans leur supervision.
La figure 2.4 prsente notamment un poste de travail (console de supervision)
reli un serveur de supervision. Dans cette premire approche technique, ce poste
Figure 2.4 Systme industriel - Premire approche technique avant classification et

mthode de scurisation
de travail est un poste fixe prsent dans le PCC. partir de ce poste de travail, les
fonctions suivantes sont assures :
la supervision : il sagit de permettre lexploitant de surveiller lactivit du
tunnel et le cas chant de piloter certains quipements par exemple en modifiant certaines valeurs de consigne ;
ladministration et la maintenance de la solution de supervision : il sagit
de linstallation, du paramtrage et de la configuration du ou des logiciel(s)
ncessaires la supervision du tunnel ;
ladministration et la maintenance des quipements industriels : il sagit de
linstallation matrielle et logicielle, de la mise jour des composants prsents
dans le tunnel et du support informatique par lintgrateur.
La fonction de supervision est assure par Tunnello qui exploite le tunnel. Dans la suite
de cette tude, les termes dadministrateur mtier, dexploitant, et galement, par
abus de langage, dutilisateur de la solution, correspondent ceux dont le rle est

dassurer cette fonction de supervision.
Les fonctions de maintenance et dadministration, sur la solution de supervision comme
sur les quipements prsents dans le tunnel, sont assures par la socit Integro qui
intgre et maintient la solution technique, en utilisant ses propres postes ou non. Dans
la suite de cette tude, les termes dadministrateur informatique et dintgrateur,
correspondent ceux dont le rle est dassurer ces fonctions dadministration.
Pour permettre des actions de maintenance sur le terrain (i.e. dans le tunnel), un
poste mobile est prvu. Ce poste nomade de maintenance permet de se connecter
aux quipements du tunnel pour raliser des oprations qui ne seraient pas ou plus
ralisables partir du poste fixe du PCC.
Dans cette premire approche, ce poste de maintenance est donc potentiellement
utilisable la fois par les personnels de Tunnello (les exploitants) et par les personnels
de Integro (les intgrateurs). Ntant pas li un groupe dutilisateurs mais une
localisation, ce poste de maintenance pourra galement tre utilis pour dautres
actions, ds lors quil est ncessaire de disposer de droits tendus sur un quipement.
Chapitre 3
.
Scnarios de menace
Bien que cette analyse ne soit pas une vritable analyse de risque, un panorama de la
menace reste un pr-requis toute tude de mise en place de mesures de protection,
afin de sassurer du bien fond de celles-ci.
Pour raliser ce panorama, il est bon de se rappeler que cette analyse nest pas faite
de faon isole. Un dossier de scurit a en effet t constitu pour louverture du
tunnel en exploitation, dossier pour lequel une tude de sret de fonctionnement a
t faite 1 . Bien que cette dernire ne soit pas suffisante pour mener directement les
travaux de renforcement de la cyberscurit, elle constitue une base de dpart quil
ne faut pas sous-estimer.
Il est rappel que les missions du tunnel sont :
permettre le transit de vhicules de lentre la sortie du tunnel ;
assurer la scurit des usagers et du personnel en fonctionnement nominal ;
assurer la scurit des usagers et du personnel en cas dincendie ou de prsence
de gaz.
De mme, on rapellera les dfinitions suivantes pour viter tout malentendu 2 :
La cyberscurit , ou scurit des systmes dinformation, traite de la protection
en disponibilit, intgrit ou confidentialit des donnes stockes, traites ou
transmises.
La sret de fonctionnement vise sassurer que le systme industriel est apte
accomplir des fonctions dans des conditions dfinies. La sret de fonctionnement traite en particulier les proprits de fiabilit, maintenabilit, disponibilite et scurit (FMDS). La scurit est entendu ici au sens des biens et des
personnes.
1. Les deux tudes peuvent aussi tre menes simultanment en fonction de la maturit des intervenants.
2. Voir le glossaire de la mthode de classification [SCADA-MTD] pour les dfinitions compltes
de ces deux notions telles que retenues pour la prsente tude de cas.
3.1 Sret de fonctionnement et vnements

redouts
Dans le cadre de ltude de sret de fonctionnement, Tunnello a notamment men
diverses analyses, dont :
une analyse et modlisation fonctionnelle ;
une analyse prliminaire de risques ou de dangers (APR / APD) ;
une analyse des modes de dfaillance, de leurs effets et de leur criticit (AMDEC) ;
un arbre de dfaillances (AdD).
Ces diffrentes analyses, et plus particulirement larbre de dfaillance et lAMDEC
systme (ou AMDEC fonctionnelle), ont fait merger les modes de dfaillance fonctionnelle : fonction intempestive, absence de fonction, fonction errone, non arrt
de la fonction, etc. Elles ont ainsi permis didentifier et de caractriser la criticit des
vnements redouts lis aux dfaillances des fonctions du systme.
Certains de ces vnements redouts, volontaires ou non, pouvant avoir pour origine
un dysfonctionnement au niveau informatique, ils peuvent tre repris en entre de
lanalyse de scurit du systme informatique industriel sous la forme dvnements
redouts.
La scurit des usagers en cas dincendie

titre dexemple, la prsente section reprend les lments concernant la scurit
des usagers en cas dincendie du point de vue de la sret de fonctionnement : les
effets des modes de dfaillance sur le systme y sont dclins, accompagns de leurs
principaux impacts pour les usagers.
Rupture de la surveillance de la scurit incendie
En labsence dinformation, des usagers continuent davancer vers le foyer
et, lorsquils sen aperoivent, il leur est difficile de se diriger vers les sorties
de secours. Il en rsulte potentiellement un nombre important de blessures
ou de dcs, par brlure ou par intoxication, parmi les usagers prsents.
Les secours ntant pas avertis de faon optimale, leur arrive tardive peut
tre un facteur aggravant.
Dgradation de la surveillance de la scurit incendie
En cas de dtection tardive de lincendie, les impacts sont les mmes que
dans le cas dune non dtection, mais le nombre dusagers concerns
peut tre comparativement moins important puisque linformation parvient
finalement aux usagers.
La mauvaise localisation de lincendie peut dclencher une ventilation localise inadapte. De ce fait, le courant dair cr attise le feu au lieu de le
contenir. De plus, les fumes saccumulent en quantit trop importante
certains endroits et ralentissent lvacuation et lintervention des secours.
Traitement dune information Incendie en absence dincendie
Le dclenchement intempestif dune alerte incendie peut mobiliser inutilement des moyens et des personnels.
Lindisponibilit du tunnel se prolongera au del de la leve de doute,
afin de prendre en compte les ractions potentiellement incontrles des
usagers ainsi que le retour de ceux ayant quitt leur vhicules.
3.2
tude des scnarios de menace
Les lments dcrits dans la section prcdente, ainsi que ceux en provenance du
travail quivalent sur les autres groupes dvnements redouts (prsence de gaz
par exemple) permettent dinitier le panorama des menaces potentielles sur le systme industriel, avec les listes des vnements redouts, des vulnrabilits ainsi que
des impacts. Ces listes sont ensuite compltes par une rflexion plus axe sur les
spcificits de la cyberscurit.
3.2.1 vnements redouts

Comme indiqu en introduction de ce chapitre, il est possible de dgager une liste
dvnements redouts partir de lanalyse de sret de fonctionnement, complte
par une rflexion sur la cyberscurit.
Dans le cadre de ltude de cas, les vnements redouts qui ont t retenus pour
une tude plus prcise dans la suite de cette section sont les suivants :
la compromission des donnes de mtrologie (supervision) ;
la modification des ordres de pilotage (supervision) ;
la modification des donnes automates ;
laltration des donnes dhistorique ;
linjection de donnes de terrain.
Les cinq prochaines sous-sections listent les diffrents scnarios qui peuvent mener
chacun de ces vnements redouts ainsi que les impacts que peuvent engendrer
ces vnements.
Ces scnarios seront ensuite dcrits dans la section 3.2.2.
Compromission des donnes de mtrologie

Dans le cas de cet vnement redout, les valeurs affiches par la supervision sont
modifies par lattaquant et ne refltent donc plus ncessairement la ralit. Par extension, on inclut dans cette catgorie laltration des images de la vido-surveillance.
Les scnarios de menace pouvant conduire cet vnement redout
Localisation
Au niveau du PCC
Au niveau du tunnel
Scnarios de menace
Accs non autoris au poste de travail.
Compromission du poste de travail.
Accs non autoris au serveur de supervision.
Compromission du serveur de supervision.
Accs non autoris au rseau du PCC.
Accs non autoris aux automates (API).
Accs non autoris aux rseaux de terrain.
Compromission des automates.
Compromission des consoles IHM 3 .
Compromission des capteurs / actionneurs.
Les impacts
La compromission des donnes de mtrologie a pour rsultat une vision fausse de
la ralit, que ce soit au niveau des oprateurs ou des automates.
Il peut ds lors en dcouler une absence de raction approprie, telle que labsence
de dclenchement du dsenfumage en cas dincendie, ou, linverse, des dcisions
inappropries telles que des dclenchements dalarmes intempestives. Loprateur
peut aussi croire quune raction automatique a bien eu lieu alors quil nen est rien.
Plus gnralement, lvnement peut sapparenter une perte de contrle distance
du tunnel par les oprateurs dautant plus grave quelle peut passer inaperue.
Lvnement peut galement engendrer une altration de la journalisation de ltat
du systme ou une diffusion de fausses vidos destination des crans de supervision
masquant des actions malveillantes.
Modication des consignes de pilotage

3. Les interfaces homme-machines permettent dassurer une interaction sur le terrain entre les
oprateurs et les API. Voir lannexe A.5 de la seconde partie de ltude [SCADA-TNL-2] pour plus de
prcision.
Concernant cet vnement redout, les ordres reus par les quipements du systme
industriel ont t altrs par lattaquant. Ils ne correspondent donc plus ncessairement aux instructions donnes par les oprateurs.
Localisation
Au niveau du PCC
Au niveau du tunnel
Scnarios de menace
Accs non autoris au poste de travail.
Compromission du poste de travail.
Accs non autoris aux consoles IHM.
Compromission des consoles IHM.
Accs non autoris aux capteurs / actionneurs.
Les impacts
Les impacts dune modification des consignes de pilotage sont trs significatifs.
Les serveurs de supervision peuvent tre dans un tat instable, avec des arrts ou des
redmarrages intempestifs, ne permettant plus lexploitant dassurer ses fonctions
de pilotage de lactivit du tunnel de manire fiable.
Cet vnement est par ailleurs un facteur aggravant lorsquil intervient en mme
temps quune compromission des donnes de mtrologie. En effet, lexploitant ne
peut plus se fier ni aux informations quil reoit ni aux ordres quil met (se mettre
dans une position dattente scurise par exemple). Labsence de tout contrle par la
supervision peut perturber srieusement le fonctionnement des installations.
Modication des donnes automates

Il sagit ici de considrer le cas dune modification des donnes stockes au sein de
lautomate par lattaquant. Il peut sagir des applicatifs clients, des programmes, de
la configuration ou des firmwares des automates.
Localisation
Au niveau du PCC
Au niveau du tunnel
Scnarios de menace
Non-applicable.
Accs non autoris au poste de maintenance.
Compromission du poste de maintenance.
Utilisation du poste de maintenance comme pont de
connexion.
Perte ou vol du poste de maintenance.
Les impacts
Du fait de leur criticit, la modification des donnes stockes au sein de lautomate
est lvnement redout dont les impacts sont les plus importants.
Il nest en effet plus possible davoir confiance dans le bon fonctionnement de lautomate, notamment dans la cohrence des dcisions quil peut tre amen prendre
en raction aux informations qui lui parviennent ou dans sa capacit maintenir les
installations dans un tat stable et prdictible.
De plus, il est possible pour lattaquant de mettre en place des actions pr-programmes, se dclenchant sans lien avec la situation relle ou en les dissimulant de la
supervision par les oprateurs.
Laltration des donnes des automates peut aussi rendre les installations totalement
inoprantes ou incontrlables.
Enfin, il est frquent que les programmes au sein des automates comprennent des
limites admissibles dans les valeurs transmises aux actionneurs pour en garantir le
bon fonctionnement. Une altration de ces limitations peut entraner des actions en
dehors des zones de sret (exemple dun moteur tournant sensiblement plus vite
que ce que peut supporter ses fixations, ce qui peut entraner une destruction des
installations de ventilation).
Altration des donnes dhistorique

Ici, lattaquant parvient effacer ou altrer des donnes dhistoriques. Il peut sagir
de journaux dactivit, de tableaux de bord ou dalertes.
Localisation
Au niveau du PCC
Au niveau du tunnel
Scnarios de menace
Les impacts
La principale consquence dune altration des donnes dhistorique est de ne potentiellement plus tre en capacit de rpondre aux obligations de traabilit.
Si les missions du tunnel ne sont pas directement remises en cause, cette absence
dhistorique remet en cause la confiance que lon peut accorder lintgrit des
diffrents lments du systme informatique industriel. Il est ds lors difficile de reprer
les lments prcurseurs des vnements redouts ci-dessus, et toute investigation est
rendue impossible.
Injection de donnes de terrain

Lattaquant arrive propager des informations arbitraires au sein du systme industriel. Il peut sagir de fausses remontes de valeurs supposes venir de capteurs, ou
de faux ordres destination des actionneurs.
Localisation
Au niveau du PCC
Au niveau du tunnel
Scnarios de menace
Compromission des consoles IHM.
Accs non autoris aux capteurs / actionneurs.
Accs non autoris au poste de maintenance.
Compromission du poste de maintenance.
Utilisation du poste de maintenance comme pont de
connexion.
Perte ou vol du poste de maintenance.
Les impacts
Les impacts de cet vnement redout sont relativement proche des deux premiers,
savoir laltration des donnes de mtrologie et celle des consignes de pilotage.
3.2.2 Scnarios de menace

Le tableau suivant liste les scnarios de menace possibles dans le PCC. Le dtail des
vulnrabilits sera prcis dans la section 3.2.3.
Scnario de menace
Accs non autoris au
poste de travail
Compromission du poste
de travail
Accs non autoris au

serveur de supervision
Compromission
du
serveur de supervision
Accs non autoris au

rseau du PCC
Vulnrabilit
Pas de verrouillage systmatique de la session.
Pas de protection des identifiants et des mots de passe.
Faiblesse des mots de passe.
Faiblesse de la configuration.
Vulnrabilit du systme dexploitation.
Absence de vrification de linnocuit des supports
amovibles.
Navigation Internet et messagerie. 4
Utilisation inapproprie du poste de travail.
Application dune mise jour compromise.
Accs depuis un poste de travail compromis.
Envoi de trames forges.
amovibles.
Accs direct Internet.
Vulnrabilit des quipements rseau.
Faiblesse du cloisonnement MPLS.
Accs physique aux quipements rseau.
Le tableau suivant liste les scnarios de menace possibles dans le tunnel. Le dtail
des vulnrabilits sera prcis dans la section 3.2.3.
4. Lorsque ces fonctions sont strictement ncessaires pour le poste en question. Dans le cas contraire, ils sont inclus dans les usages inappropris du poste.
Scnario de menace
Accs non autoris aux
rseaux de terrain
automates (API)
Compromission des automates

consoles IHM
Compromission des consoles IHM

capteurs / actionneurs
Vulnrabilit
Accs physique aux quipements rseau.
Accs physique au cblage rseau.
Vulnrabilit des quipements rseau.
Utilisation dun compte par dfaut.
Vulnrabilit des automates.
Envois de trames forges.
Accs depuis un poste compromis.
Mise jour diffuse par le constructeur ou lintgrateur
et comportant des erreurs.
Mise jour compromise diffuse par un attaquant se
faisant passer pour lintgrateur.
Mise jour compromise diffuse par un attaquant ayant
accs au rseau.
Mise jour compromise diffuse suite la compromission du poste de maintenance.
Utilisation dun compte par dfaut.
Faiblesse des mots de passe. 5
Vulnrabilit du programme des consoles IHM.
accs au rseau.
Pas de protection des identifiants et des mots de passe. 6
Vulnrabilit des automates.
Accs physique.
6. Lorsque ces identifiants et mots de passe existent.
Scnario de menace
Compromission des capteurs / actionneurs
Accs non autoris au

poste de maintenance
Compromission du poste
de maintenance
Utilisation du poste de
maintenance
comme
pont de connexion
Perte ou vol du poste de
maintenance
Vulnrabilit
accs au rseau.
amovibles.
Vrification antivirale insuffisante sur la messagerie.
Navigation internet.
Utilisation inapproprie du poste de travail.
Double connexion (par exemple, utilisation dune cl
3G tout en tant connect aux installations du tunnel).
Une mauvaise configuration peut rendre les installations du tunnel directement accessibles depuis Internet.
Ngligence.
Agression.
Acte volontaire de lexploitant ou de lintgrateur.
3.2.3 Vulnrabilits
Le tableau ci-dessous liste les vulnrabilits pouvant men un accs non-autoris.
Vulnrabilit
Pas de verrouillage systmatique de la session
Description
Un utilisateur exploitant ou intgrateur a laiss sa session ouverte. De manire similaire, il ny a pas de fermeture automatique de session aprs un laps de temps,
laissant la possibilit quiconque dutiliser la session.
6. La complexit du mot de passe doit tre adapte la sensibilit du systme industriel, tout en
prenant en compte lenvironnement et lutilisabilit de ce type de console.
Vulnrabilit
Pas de protection des
identifiants et des mots de
passe
Faiblesse des mots de

passe
Faiblesse des protocoles
de communication
Vulnrabilit du systme
dexploitation
Perte ou vol dun poste

nomade
Utilisation dun compte

par dfaut
Description
Ces informations utilisateur sont, par exemple, inscrites
sur un tableau ou un cahier ou tout autre support accessible par une personne non autorise. De manire
similaire, les lments dauthentification des utilisateurs
ne sont pas stocks de manire scurise.
La politique de gestion du mot de passe nest pas assez forte pour imposer des mots de passe dont la complexit est suffisante.
Les protocoles utiliss ne permettent pas de protection des changes, que ce soit en confidentialit ou
en intgrit, permettant une interception ou une modification des flux. Cela peut concerner par exemple les
changes entre serveur de supervision et poste de travail, ou entre PCC principal et secondaire.
La configuration du poste ou de lquipement ne correspond pas aux bonnes pratiques (absence de pare-feu
local, poste en AutoLogin ) et rend de fait le poste
inutilement sensible aux attaques.
Une vulnrabilit peut tre dcouverte au niveau du
systme dexploitation donnant la possibilit un attaquant daccder et de compromettre le systme de
supervision.
La probabilit dune perte ou dun vol est sensiblement
plus importante pour un poste de travail nomade que
pour un ordinateur de bureau. Ce point est par ailleurs
aggrav lorsque le poste est partag et nest pas affect un lieu ou une personne : il est en effet possible
que la disparition du poste passe inaperue, laissant un
temps plus important lattaquant pour rcuprer les
donnes sensibles ou les accs pr-configurs certains quipements quil pourrait contenir.
Les constructeurs et diteurs peuvent mettre en place un
ou plusieurs comptes par dfaut pour faciliter la prise en
main, laissant quiconque ayant la documentation un
accs avec les autorisations accordes ces comptes.
Vulnrabilit
Accs depuis un poste
compromis
Accs physique
quipements
aux
Accs physique au rseau
Description
Un utilisateur na pas conscience que son poste a t
compromis et accde un autre quipement (serveur
de supervision, API, etc.). Lattaquant lorigine de la
compromission peut rcuprer les identifiants et mots
de passe utiliss ou profiter de la connexion tablie.
Labsence de limitation dans laccs physique aux
quipements (postes de travail, capteurs, actionneurs,
etc.) laisse la possibilit nimporte qui dy apporter
des modifications (pigeage, modification de la configuration, etc.).
Labsence de limitation dans laccs physique aux
quipements rseaux du PCC ou du tunnel la possibilit
nimporte qui de modifier les connexions existantes ou
de connecter un quipement extrieur.
Le tableau suivant liste les vulnrabilits pouvant mener une compromission.

Vulnrabilit
Absence de vrification de linnocuit des
supports amovibles
Description
En labsence de restriction sur lusage des supports
amovibles, un utilisateur peut involontairement importer puis transporter un maliciel dun poste un
autre.
Outre les supports amovibles classiques, limport et la
transmission peuvent aussi se faire via un tlphone
quil connecte sur le port USB de son poste pour le
recharger.
Accs direct internet et

aux courriels
Un utilisateur accde directement et sans prcaution

particulire un site web compromis depuis son poste
de travail ou ouvre une pice jointe malveillante. Une
fois contamin, il utilise ce mme poste pour se connecter un quipement.
Cet accs peut se faire via la connexion rseau usuelle
du poste ou via un tlphone connect en USB.
Un utilisateur peut installer des logiciels usage non
professionnel sur son poste de travail (jeux, lecteur audio, etc.).
Utilisation inapproprie
du poste de travail
Vulnrabilit
Manque de vrification
des mises jour
Accs depuis un poste de

travail compromis
Diffusion non maitrise

dinformations sensibles
3.3
Description
Un utilisateur rcupre une mise jour et la dploie
sur lquipement concern. Labsence de vrification ne
permet pas de sassurer que la mise jour correspond
bien celle diffuse par le constructeur ou lintgrateur.
Un utilisateur na pas conscience que son poste a t
compromis et accde un autre quipement (serveur
de supervision, API, etc.). La connexion est alors utilise
pour propager le maliciel lorigine de la compromission.
Dans le cadre dune action de communication, lentreprise dcrit avec trop de prcision les quipements et
leur mise en uvre. Lattaquant na plus qu sinformer
sur les vulnrabilits des quipements en question pour
mener son attaque.
Exemples de scnarios dattaque
3.3.1 Cas dune attaque cible : installation dun maliciel

Une attaque cible correspond un acte volontaire avec lintention de nuire aux
missions du tunnel.
Cest le cas, par exemple, dun employ mal intentionn de lintgrateur Integro.
Il bnficie dun poste de travail sur lequel sont installs les outils de maintenance
du logiciel de supervision. Il se peut que lemploy introduise un maliciel dans le
code source. Si aucune protection ou vrification de code nest effectue, soit lors
de la compilation en local, soit lors de la copie du code compil, le logiciel infect
sera copi sur le poste dadministration qui sera ensuite dploy sur le serveur de
supervision.
partir de ce moment, tous les composants du rseau de supervision et du rseau
de terrain peuvent tre infects par la propagation du maliciel.
Dans ce cas, lapplication de supervision est inoprante. Les alarmes ne sont plus
remontes au niveau de la console de lexploitant. De mme, les camras vidos
ne permettent plus de contrler visuellement la circulation dans le tunnel. Par consquent, et par mesure de prcaution, le tunnel doit tre ferm.
3.3.2 Cas dune attaque non cible : propagation dun virus

Une attaque non cible correspond un acte, volontaire ou non, sans que celui-ci
ne traduise une volont de nuire aux missions du tunnel.
Cest le cas par exemple, dun employ de lexploitant Tunnello qui connecte son
poste de travail pour tlcharger une mise jour du firmware dun quipement. Il
en profite pour naviguer sur quelques sites non scuriss pour son usage personnel,
infectant son poste avec un maliciel maquill en document bureautique. Aprs sa
navigation, lemploy dconnecte son poste dInternet et le connecte sur le rseau du
tunnel pour mettre jour lquipement concern : le maliciel peut alors se propager
sur le serveur de supervision.
Si le maliciel nest pas destin aux systmes industriels, il peut simplement rendre
inoprant lensemble des ordinateurs du PCC, serveur de supervision compris. Cela
ne permet plus aux oprateurs de sassurer du bon fonctionnement du tunnel, et ils
dcident alors de fermer ce dernier.
Si linverse le maliciel est typ industriel , il peut se propager sur les quipements
du tunnel, envoyant par exemple des commandes STOP dans les diffrents protocoles
courants. Cela a pour effet de rendre le tunnel inexploitable et de provoquer des
dgradations au niveau de certains actionneurs.
3.3.3 Cas dune attaque cible indirecte : quipements pigs

Une attaque indirecte consiste faire intgrer des quipements pigs avant leur
arrive sur le site (en sortie dusine ou durant son acheminement).
Cette tude de cas exclut nanmoins explicitement lhypothse dun attaquant de
niveau tatique capable dutiliser un tiers (fournisseur, intgrateur ou un transporteur)
pour raliser une attaque de ce type sur le tunnel : la chane dapprovisionnement
de Tunnello est en effet considre comme matrise et intgre.
3.4
Analyse de la scurit relative larchitecture

de premire approche avant droul de la
mthode
Larchitecture de la figure 2.4, prsente avant la mthode de scurisation, montre

les composants physiques rpartis sur le rseau de supervision et le rseau de terrain.
Ce schma fait apparatre les quipements vidos directement connects au rseau
de supervision (par lintermdiaire de switchs).
On constate la redondance pour chaque type de composant :

les postes de commandement : Meyrueis et Millau ;
les serveurs de supervision lintrieur dun poste de contrle/commande ;
les quipements connects au rseau de supervision et au rseau de terrain.
La section prcdente a mis en avant des exemples dattaques, volontaires ou non,
qui sappliquent larchitecture non scurise de la figure 2.4. La connexion dun
poste de travail (de lintgrateur ou de lexploitant) sur le rseau de supervision est
une faille avre du systme industriel. En effet :
le poste de lintgrateur nest pas matris ;
le poste de lexploitant peut a priori se connecter Internet (que cette connexion
soit simultane ou non avec la connexion aux quipements du tunnel) ;
le mme poste est utilis pour la maintenance de plusieurs tunnels.
Par ailleurs, le manque de journalisation et de dtection dintrusion ne permet pas
de dceler au plus tt des menaces potentielles.
Enfin, aucun moyen de filtrage ne permet dassurer un niveau de cloisonnement entre
les diffrents rseaux, ce qui limite la scurisation (au sens cyberscurit) de cette
solution.
Les moyens de scurisation sont dtaills par scnario dans les chapitres suivants.
Chapitre 4
.
Classification
Daprs la mthodologie formalise par le groupe de travail, il convient, une fois la
liste des fonctions principales tablie (cf. la section 2.3), de raliser la classification
de ces dernires suivant leur besoin en termes de cyberscurit.
Il est rappel que pour les systmes industriels la mthode propose trois classes
numrotes de 1 3, par ordre croissant de criticit, dont les couvertures sont :
Classe 1 : le risque et limpact dune attaque sont faibles ;
Classe 2 : le risque ou limpact dune attaque est significatif ;
Classe 3 : le risque ou limpact dune attaque est critique.
La classification est ralise en fonction de la vraisemblance et de limpact dune
attaque.
Limpact dune attaque est mesur suivant des chelles qui peuvent tre suivant les cas
normaliss ou propres lentreprise, suivant son niveau de rsilience et les risques
quelle estime acceptable. Ces chelles sont gnralement valides par la direction
en amont des analyses de risques et valables pour lensemble des projets. La section
4.1 prsente les chelles retenues par Tunnello.
La vraisemblance quant- elle repose sur les critres suivants :
E lexposition, qui reflte les niveaux de fonctionnalit et de connectivit ;
A le niveau de lattaquant ;
I le niveau daccessibilit du systme industriel par les intervenants.
La vraisemblance sobtient alors avec la formule suivante :
A+I 2
V =E+
2
On se reportera la documentation de rfrence de la mthode de classification [SCADA-MTD]

pour une description plus complte des classes (section 2.1) et des critres (section
3.2), ainsi que les relations entre ces derniers.
4.1 chelles
Au vu de ses obligations et de ses besoins, la socit Tunnello a arrt une chelle de
gravit de 1 5, reposant sur les chelles dimpact telles quindiques ci-dessous :
Impacts
humains
Impacts
nanciers
Niveau
Qualicatif
Insignifiant
Mineur
3
4
5
Modr
Majeur
Catastrophique
Niveau
Qualicatif
Insignifiant
Mineur
Modr
Majeur
Catastrophique
Description
des
consquences
Accident dclar sans arrt ni
traitement mdical.
Accident dclar avec arrt ou
traitement mdical.
Invalidit permanente.
Un dcs.
Plusieurs dcs.
Description
des
consquences
Accident nentranant aucun
travail de remise en tat
Accident
entranant
des
travaux de remise en tat
limits
Dtrioration majeure du tunnel dont la remise en tat
reprsente plus de 5% du prix
de construction du tunnel
Niveau
Qualicatif
Insignifiant
Mineur
Modr
Majeur
Catastrophique
Impacts
en
disponibilit
Description
des
consquences
Accident entranant une perturbation sur un seul sens de
circulation
Accident provoquant la fermeture dun sens de circulation ou perturbant les deux
sens de circulation (circulation
alterne par exemple) pendant plusieurs heures
Dtrioration mineure du
tunnel reprsentant plusieurs
jours dindisponibilit pour
rparation
Dtrioration majeure du tunnel reprsentant plus dun
mois dindisponibilit pour rparation
Dtrioration majeure du tunnel reprsentant plus de 6
mois dindisponibilit pour rparation
Il est noter que pour simplifier son tude, Tunnello a dcid dinclure les impacts
juridiques et dimage, au sein de limpact financier qui couvre galement les pertes
dexploitation : du fait de son activit, ces derniers se prsenteront surtout sous la
forme de dommages et intrts ou de perte dactivit.
Tunnello estime galement que les impacts en disponibilit de niveau mineur et modr ne sappliquent quen cas dimpact sur les priodes de pointe (priode de fort
transit durant les vacances scolaires), le contournement par la route historique (qui
reprsente une augmentation de trajet de 30 minutes) tant jug acceptable le reste
de lanne.
Tunnello a par ailleurs dcid de prendre les mmes chelles dfinissant les niveaux
de vraisemblance, dattaquant et dintervenant que celles donnes en exemple dans
le guide [SCADA-MTD], celles-ci tant juges adaptes la situation.
4.2
Hypothses de ltude
Pour lensemble de lanalyse, Tunnello retient un attaquant de type organisation prive

aux moyens consquents (terrorisme par exemple), donc de niveau 4 daprs le guide
sur la classification.
Par ailleurs, comme la possibilit de traabilit de lensemble des actions sur lensemble des composants ne peut tre garantie, les intervenants sont supposs de niveau 2,
cest--dire autoriss et habilits, pour lensemble des fonctions.
Enfin, les fonctions critiques doivent pouvoir tre dclenches de manire autonome
et automatique (fonctions rflexes).
4.3
Classication par fonction
Cette analyse sappuie en grande partie sur lanalyse des risques et des menaces
prsente dans le chapitre 3. Dans un premier temps, elle est mene sur les fonctions isoles, cest--dire sans prendre en compte les dpendances dcrites dans la
section 2.4, qui seront prises en compte par la suite.
Dtection incendie
La dtection incendie est une fonction de sret de fonctionnement particulirement
critique puisquelle est charge de dclencher certaines actions rflexes et de lever
des alertes sur incident destination du poste de contrle/commande.
Lanalyse donne ainsi une fonctionnalit de 2 et une connectivit de 4. tant donnes
les hypothses sur les intervenants et les attaquants, on en dduit une exposition de
4, et une vraisemblance de 6.
Lanalyse AMDEC de la fonction (section 3.1) permet par ailleurs Tunnello de quantifier limpact dun ventuel dysfonctionnement de la fonction un niveau catastrophique (5).
On obtient ainsi une fonction de classe 3.
Figure 4.1 Classification - Dtection incendie
Contrle de la qualit de lair

Cette fonction est destine reprer des concentrations trop importantes de gaz
toxiques, et tout particulirement les gaz dchappement. Comme pour la dtection
incendie, elle est charge de dclencher certaines actions rflexes et de lever des
alertes sur incident destination du poste de contrle/commande.
Cette premire analyse donne donc une fonctionnalit de 2 et une connectivit de 4.
tant donnes les hypothses sur les intervenants et les attaquants, on en dduit une
exposition de 4, et une vraisemblance de 6.
Lanalyse AMDEC de la fonction permet par ailleurs Tunnello de quantifier limpact dun ventuel dysfonctionnement de la fonction un niveau majeur (4) en cas
daccumulation non dtecte temps (et donc non prise en compte par les autres
fonctions).
Figure 4.2 Classification - Contrle de la qualit de lair
Indication des sorties de secours

Disposant dune batterie pour pallier un ventuel arrt de lalimentation lectrique, la
fonction dindication des sorties de secours peut tre mise en uvre de deux faons :
dconnecte et autonome, elle reste allume en permanence ;
connecte comme les autres composants du tunnel, elle est pilote par la centrale incendie ou la supervision.
Dans le premier cas, la fonction nest pas proprement parl un systme industriel
et peut tre exclue de la suite de lanalyse.
Dans le second cas, on retrouve une fonctionnalit de 1 et une connectivit de 4.
tant donnes les hypothses sur les intervenants et les attaquants, on en dduit une
exposition de 4, et une vraisemblance de 6.
Limpact direct est insignifiant (larrt de la fonction alors que le tunnel est en mode
nominal na pas de consquence), mais limpact indirect, comme facteur aggravant
dun incident, est de niveau 5 (mort de plusieurs personnes nayant pas trouv la
sortie de secours).
Figure 4.3 Classification - Indication des sorties de secours
Ventilation
La ventilation du tunnel est une fonction vitale tant en mode nominal que suite
un incident. Il sagit en effet, dans le premier cas, dviter laccumulation de gaz
dchappement (toxiques pour les personnes) et, dans le deuxime cas, dvacuer
les fumes (mais sans attiser les flammes dun incendie).
La ventilation fonctionne donc la fois en mode rflexe et sur pilotage du poste de
contrle/commande, qui la supervise.
Lanalyse donne donc une fonctionnalit de 2 et une connectivit de 4. tant donnes

Limpact dun dysfonctionnement peut tre catastrophique, tant en fonctionnement
nominal (asphyxie par laccumulation des gaz dchappement) que suite un accident (asphyxie par les fumes non vacues, activation dun incendie, etc).
Figure 4.4 Classification - Ventilation
Signalisation
Cette fonction correspond la fois aux panneaux message variable et aux divers
signaux (signaux lumineux daffectation de voies, barrires daccs motorises, etc.)
qui peuvent tre utiliss dans le tunnel. Ces signaux sont essentiellement pilots par
le poste de contrle/commande.
Leur dysfonctionnement peut entraner un accident mais les conducteurs devant rester
matres de leurs vhicules, limpact est considr comme modr (3).
Figure 4.5 Classification - Signalisation
Rseau dappel durgence

Cette fonction correspond la possibilit pour les personnes circulant dans le tunnel
de pouvoir prendre contact avec le poste de contrle/commande ou dfaut les
secours pour signaler une urgence ou une difficult (par exemple une panne du
vhicule rendant impossible la fin de son trajet au sein du tunnel).
Ce dispositif a pour but premier de permettre un usager de demander de lassistance pour rsoudre un problme le concernant. De plus ce dispositif vient en complment dautres dispositifs permettant dalerter le PCC de la survenue dun incident.
Son impact est donc considr comme de niveau 1.
Figure 4.6 Classification - Rseau dappel durgence
Dtection de vhicules hors gabarit

Cette fonction correspond aux quipements permettant de dtecter des vhicules qui
pourraient ventuellement bloquer le trafic lentre ou lintrieur du tunnel (remorques hors norme par exemple), pour les inciter utiliser un autre itinraire.
Ces quipements sont superviss par le poste de contrle/commande. Lanalyse donne donc une fonctionnalit de 2 et une connectivit de 4. tant donnes les hypothses sur les intervenants et les attaquants, on en dduit une exposition de 4, et
une vraisemblance de 6.
Le dysfonctionnement de ce mcanisme, complmentaire aux panneaux routiers de
sorte quun conducteur respectant le code de la route ne sengagera pas, entranera
au pire la fermeture du tunnel, donc un impact de niveau 1.
Figure 4.7 Classification - Dtection de vhicules hors gabarit
Vido-surveillance
La vido-surveillance permet aux oprateurs du poste de contrle/commande de
suivre ltat du trafic laide de camras situes lintrieur du tunnel.
La vido-surveillance tant essentiellement utilise comme une aide lexploitation
du tunnel en complment des autres fonctions, un dysfonctionnement est considr
comme ayant un impact de 1.
Figure 4.8 Classification - Vido-surveillance
Alimentation et distribution lectrique

Cette fonction regroupe les capteurs et actionneurs en charge de la stabilit de
lalimentation lectrique, en particulier sa bascule en mode secouru (linstallation
dispose dun groupe lectrogne et dun onduleur). La supervision de cette fonction
peut galement dclencher un mode dgrad (par exemple la fermeture du tunnel
tout en maintenant les fonctions ncessaires une vacuation sans incident). On en
dduit donc un niveau de fonctionnalit de 2.
Lalimentation et la distribution tant supervises par le poste de contrle principal,
sa connectivit est de 4. Il est noter que suivant les cas, la supervision au moins
partielle par le fournisseur dnergie peut entraner un niveau de connectivit plus
important (soit un niveau de 5).
tant donnes les hypothses, on en dduit pour cette fonction une exposition de
niveau 4 (ou 5 si supervision par le fournisseur dnergie) et donc une vraisemblance
de 6 (dans les deux cas).
Une attaque contre lalimentation aura un impact direct modr (au plus un dpart
dincendie). Toutefois, dans le cas dune alimentation automatise, la fonction protger est bien la disponibilit de la fourniture dnergie et non son automatisation. En
labsence de procdures de contournement satisfaisantes (pas de prsence sur place
permettant la mise en place rapide dune alimentation de secours), limpact indirect
correspond au niveau le plus lev en cas dindisponibilit dune des fonctions ncessitant une alimentation lectrique. La ventilation, remplissant cette condition, induit
donc un impact de 5.
On en conclut donc que lalimentation lectrique est de classe 3.
Figure 4.9 Classification - Alimentation et distribution lectrique
4.4
Dpendances fonctionnelles et classes
Au del de la classification des fonctions de manire unitaire, il convient de complter

lanalyse par ltude des relations entre ces fonctions.
En effet, un des principes fondateurs de lanalyse des dpendances fonctionnelles est
quune information fournie par un quipement de classe haute peut tre transmise
un quipement de classe infrieure, mais quune information issue dun quipement
de classe basse ne peut tre transmise vers un quipement de niveau suprieur.
Dit autrement, un quipement de classe 2 peut transmettre des alertes et lments
de supervision vers un quipement de classe 1, mais son fonctionnement ne devrait
dpendre que dinformations en provenance dquipements de classe 2 ou 3. Un
quipement de classe 3 ne peut quant lui ne dpendre que dinformations fournies
par dautres quipements de mme classe.
Ce principe est une directive dans le cas o la classe de niveau haut est la classe 3
(D.159), et une recommandation dans le cas o la classe suprieure est 2 (R.157).
Ainsi, en application de ce principe, lanalyse des dpendances fonctionnelles du
chapitre prcdent (et rsume dans la figure 2.2) impose de reclasser la dtection
hors gabarit en classe 2 du fait de sa relation avec la signalisation.
De mme, il dcoule de ce cloisonnement entre les diffrentes classes la ncessit
dinstancier la fonction poste de contrle pour chaque classe prsente dans le systme dinformation industriel, comme on peut le voir apparatre dans la figure 4.10.
4.5
Classication nale
En conclusion, le rsultat de lanalyse est prsent dans le tableau suivant. Cette

classification des fonctions sera utilise pour la suite de lanalyse.
Classe
Classe 1
Classe 2
Classe 3
Fonctions
Vido surveillance
Rseau dappel durgence
Dtection des vhicules hors gabarit
Signalisation
Alimentation et distribution lectrique
Indication des sorties de secours
Ventilation
Dtection incendie
Contrle de la qualit de lair
En partant du principe quune fonction commune plusieurs classes, comme cest le

cas de la Supervision, ne peut tre mutualise, on obtient le schma de dpendances
fonctionnelles 4.10.
Figure 4.10 Systme industriel - Graphe des dpendances fonctionnelles

En pratique, il est possible de conserver un cloisonnement fort entre les diffrentes
classes ou de raliser certains regroupements, les prconisations respecter tant
alors celles de la classe la plus leve du regroupement. Dans le chapitre suivant,

les diffrentes mesures principales [SCADA-MTD] seront dclines suivant plusieurs
configurations correspondant aux regroupements suivants :
1. toutes les fonctions sont regroupes au sein dun mme ensemble de classe
C3 ;
2. les fonctions sont rparties en trois ensembles distincts suivant leur classe (C1,
C2 et C3) ;
3. les fonctions de classe C1 et C2 sont regroupes, les fonctions de classe C3
formant un second ensemble ;
4. les fonctions de classe C2 et C3 sont regroupes, les fonctions de classe C1
formant un second ensemble.
Chapitre 5
.
Possibilits de regroupement des classes

Le chapitre prcdant nous a permis de raliser une premire classification thorique
des diffrentes fonctions, suivant les besoins en cyberscurit. Cette classification est
rsume en section 4.5.
Il apparat que des fonctions sont prsentes dans chacune des trois classes. Partant de ce constat, Tunnello dcide donc de regarder si une certaine rationalisation
est envisageable en regroupant certaines classes sans pour autant baisser le niveau
de cyberscurit. Pour se faire, Tunnello et son intgrateur passent en revue les diffrences essentielles qui existent dans la dclinaison des mesures principales pour
chacun des regroupements envisags.
A des fins didactiques, cette revue des regroupements envisageables est prsent sparment de la dclinaison des mesures principales (on se rfrera au chapitre idoine
de la seconde partie de cette tude [SCADA-TNL-2]). Dans une analyse relle, ces
deux tapes sont ralises de faon conjointe, au moins dans un premier temps :
les avantages et inconvnients des diffrents regroupements se dgagent au fur et
mesure que sont affines les mesures principales. Le prsent chapitre se concentre exclusivement sur les points de divergences ayant une influence sur le choix dun
possible regroupement, on se reportera au chapitre idoine pour une dclinaison complte des mesures principales.
Il est rappel que lorsque deux classes ou plus sont regroupes, ce sont les rgles
correspondant la classe la plus sensible qui sont systmatiquement appliques. En
dautre termes, les classes plus basses salignent sur la classe la plus haute au sein
du regroupement.
5.1 Les diffrentes congurations envisages

Configuration
C1, C2, C3
Tout C3
C1+C2, C3
C1, C2+C3
Commentaires
Ce regroupement correspond une application directe de
la classification issue du chapitre prcdent. Les mesures
sont ainsi appliques en segmentant larchitecture par
classe, pour nappliquer que les mesures ncessaires
chaque classe.
Ce cas est par la suite not C1, C2, C3
A linverse du regroupement prcdent, le systme dinformation est considr dans sa globalit, sans prendre en
compte la classification des fonctions. Les rgles sont ainsi
sur une architecture ne comportant pas de segmentation
lie aux classes. Les rgles applicables sont alors celles de
la classe la plus leve prsente dans le systme, soit la
classe 3 dans le cas prsent.
Ce cas est par la suite not tout C3
Le but est de drouler lensemble des rgles sur une architecture intermdiaire, regroupant deux des trois classes.
Elle regroupe donc C1 et C2 dun cot, C3 de lautre.
Ce cas est par la suite not C1+C2, C3
Comme prcdemment, le but est de drouler lensemble des rgles sur une autre architecture intermdiaire,
regroupant deux des trois classes. Cette configuration regroupe ainsi C2 et C3 dun cot et C1 de lautre.
Ce cas est par la suite not C1, C2+C3
Avant de procder au choix de la meilleure configuration, il peut tre utile, pour

mieux comprendre le mode de fonctionnement du tunnel, de modliser les flux entre
les diffrentes classes sous la forme dun schma darchitecture logique simplifie,
dclin du graphe de dpendance des fonctions (cf. figure 4.10).
Les figures 5.1 5.4 correspondent ces schmas darchitecture pour les quatre
configurations envisages.
Figure 5.1 Schma de flux - tout C3
Figure 5.2 Schma de flux - schma rseaux C1, C2, C3
Figure 5.3 Schma de flux - C1+C2, C3
Figure 5.4 Schma de flux - C1, C2+C3
5.2
Les principaux lments diffrenciants
5.2.1 Formation, contrle et habilitation des intervenants

Formation et habilitation :
Dans le cadre de ses processus RH, Tunnello sassure que les exploitants disposent
dun niveau de formation adapt leur poste, qui inclut un module de sensibilisation la cyberscurit. Cette formation initiale est complte, pour toutes les personnes concernes, par une habilitation ralise en interne pour intervenir sur les
quipements de classe 2 et ralise par un organisme externe certifi lorsquelles
concernent des quipements de classe 3.
Contrle :
Tunnello transcrit les informations propres au SIRH (identit, comptes, habilitations
le cas chant, quipements sur lesquels Tunnello est autoris intervenir) dans des
annuaires techniques, un par classe. Ceux-ci sont utiliss autant que possible par
les quipements de la classe correspondante pour la gestion des autorisations et
journalisent les accs via les mcanismes de supervision.
De ce fait, un regroupement de certaines classes permet une mutualisation des annuaires correspondants et donc une simplification de lensemble de lexploitation.
5.2.2 Audits
Des audits sont ncessaires pour les diffrentes classes, comme cela sera prcis lors
de la dclinaison des diffrentes mesures. On peut toutefois noter que ces derniers
sont dautant plus importants que la classe concerne est leve.
De plus, un audit interne ralis par une quipe ddie ce type dactivit peut
savrer suffisant pour les infrastructures de classe 1, alors que lappel un prestataire
labellis est obligatoire pour les infrastructures de classe 3.
Maintenir la sparation lorsque cela est possible permet donc de fait de limiter les
impacts financiers et sur lexploitation, puisque les contraintes de la classe 3 ne sont
pas rpercutes sur les classes infrieures.
5.2.3 Processus de veille

Pour chaque nouvelle vulnrabilit, Intgro value lexposition du systme et les impacts potentiels pour dcider avec les quipes dexploitation et le responsable de la
scurit des systmes industriels de laction mener (acceptation et documentation
du risque, mise jour de lquipement, mise en place de moyens palliatifs, etc.).
Les contraintes, notamment en terme de dlais, pour la ralisation de cette valuation
et, le cas chant, lapplication des correctifs, sont lis la classe des quipements.
Ce processus aura donc un impact dautant plus important que les classes hautes
regrouperont un nombre important dquipements.
5.2.4 Interconnexions rseau

Les postes de contrle/commande, dune part, et le systme de terrain, dautre part,
sont considrs comme deux ensembles distincts au sein de la mme architecture.
Des pare-feux, redondants et distincts, sont donc mis en place de part et dautre de
la liaison pour cloisonner ces deux ensembles au sein de chacune des classes. Ces
pare-feux sont de plus qualifis pour les classes C2 et C3.
De mme, pour chacune des classes, les communications entre ces deux ensembles
sont ralises au travers dune paire de passerelles VPN IPsec qualifies ddies la
classe considre.
Le regroupement de certaines classes aurait pour effet une rduction de ces quipements
de scurit au niveau rseau.
5.2.5 Tldiagnostic, tlmaintenance et tlgestion

La Supervision permet de modifier le fonctionnement du systme par lintermdiaire
de la sous-fonction Pilotage et son action possible sur les paramtres de consigne.
En ce sens, la Supervision depuis le PCC de Millau forme un mcanisme de gestion
distance, ou tlgestion.
Ce mcanisme repose notamment sur des communications entre le PCC et le site du

tunnel, communications qui sont ralises au travers dun tunnel chiffr et authentifi
sur une liaison spcialise (segmentation par MPLS), comme indiqu plus haut dans
ce chapitre (cf 5.2.4).
Par ailleurs, comme cela sera dtaill dans les chapitres consacrs la dclinaison
des diffrentes mesures, il nexiste pas de rseau dadministration proprement parl.
Ceci impose de fait lutilisation dun poste nomade par classe pour la maintenance
des quipements industriels.
L encore, une rduction du nombre dinfrastructures par le regroupement de certaines classes permettrait de rduire le nombre de liaisons MPLS ncessaires et de
postes nomades ddis la maintenance.
5.2.6 Surveillance et moyens de dtection

De par larchitecture mise en uvre, Intgro prvoit un serveur de journalisation par
classe, au moins pour les quipements permettant une remonte automatique. Ceuxci gnrent un rapport de synthse destination du service dexploitation, sur une
base quotidienne pour la classe 3, bihebdomadaire pour la classe 2 et hebdomadaire
pour la classe 1.
Les anomalies et alarmes remontes sont par ailleurs prises en compte suivant des
modalits prvues dans le cadre de la gestion des incidents, dtailles plus loin dans
la section idoine. Cette gestion est, entre autre, pilote par la classe des quipements
concerns.
Concernant la journalisation, on constate quune rduction du nombre de classes
simplifie lexploitation en uniformisant les procdures correspondantes. Dans le mme
temps, ne pas regrouper des quipements dans une classe haute lorsque cela nest
pas ncessaire vite de lui appliquer des procdures inutilement contraignantes.
5.2.7 Gestion des interventions

Principes gnraux
Il est considr comme acquis que toute intervention engendre la cration dun ticket
dans le gestionnaire idoine quels que soient lquipement concern et lintervention. Tunnello considre donc que ce gestionnaire de tickets fait office de carnet de
consignation.
Accs aux locaux
Du fait de la prsence dquipements de classe 3, Tunnello a prvu la mise en place

de contrle daccs aux locaux par badge individuel, dune alarme et de vidosurveillance pour les postes de contrle principal et secondaire. La politique de scurit rserve la dlivrance de ces badges aux seuls intervenants internes.
Les autres locaux et coffrets, non protgs par le contrle daccs mais hbergeant
des quipements de classe 3, sont dots dune alarme, de scells et de serrures dont
les cls sont conserves dans une bote cl au sein du poste de contrle secondaire.
Leur accs ncessite donc indirectement lutilisation du badge.
Lobligation dappeler le poste de contrle principal pour lever lalarme est considre
par Tunnello comme un mcanisme de traabilit suffisant pour les coffrets contenant
des quipements de classe 2 ou concernant la vido-surveillance (classe 1) ds lors
que les coffrets sont bien sous alarme. Une cl et des scells sont donc confis aux
intervenants pour ces fonctions. La traabilit permet par ailleurs Intgro de pouvoir
intervenir sur ces quipements sans la prsence dun exploitant de Tunnello.
Pour les autres coffrets ne contenant que des quipements de classe 1, les cls des
coffres ddis sont confies aux intervenants en charge de ces fonctions.
Cette rapide analyse montre quen ne regroupant pas des quipements dans une
classe haute lorsque cela nest pas ncessaire, Tunnello vite de lui appliquer des
procdures inutilement contraignantes, comme par exemple la ncessaire prsence
dun salari Tunnello pour raliser ou accompagner une opration de maintenance
simple.
Maintenance des quipements
Le cahier des charges stipule que les quipements de classe 2 et 3 doivent tre fournis
avec tous les outils matriels et logiciels ncessaires au diagnostic et aux interventions,
et ce pour couvrir tous les cas de figure, avec toutefois une tolrance pour les outils
dont lusage reste exceptionnel dans le cas des quipements de classe 2.
Le contrat de maintenance des quipements doit galement couvrir les outils de diagnostic et de maintenance et leur mise jour. Ces quipements sont acquis par la
socit Tunnello et ddis au site.
Comme pour le point prcdent, un regroupement inutile des quipements dans une
classe haute pourrait avoir un impact financier important.
5.3
Choix de la conguration
Lanalyse des lments diffrenciants ci-dessus montrent que si regrouper des classes
pour rationnaliser les infrastructures peut prsenter quelques avantages tant dans
la conception que dans lexploitation de lensemble, cela prsente galement des
inconvnients.
Ainsi, le rflexe classique qui consisterait rassembler lensemble des quipements
dans une unique infrastructure de classe 3 permet effectifement de limiter le nombre
dquipements mais impose des contraintes importantes au niveau de lexploitation
des lments les moins sensibles : lobligation de ddier au site un ensemble complet
des outils de maintenance et de diagnostique pour le rseau dappel durgence ou
le suivi renforc des alertes pour cette fonction peuvent sembler sur-dimensionns.
De ce fait, Tunnello ne retient pas la configuration tout C3 .
Pour des raisons similaires, Tunnello met une prfrence pour la configuration C1,
C2+C3 la configuration C1+C2, C3 , car il lui parait un peu plus simple de
factoriser les procdures dans le premier cas que dans le second.
Lanalyse des figures 5.1 5.4 montre par ailleurs que les configurations tout C3
et C1, C2+C3 semblent, du point de vue des schmas de flux, plus simples que
les deux autres du fait de lindpendance des diffrents regroupements.
linverse, les configurations C1+C2, C3 et C1, C2, C3 font apparatre
un lien entre les deux rseaux de terrain C3 et C2 dans un sens. En effet, partir
de donnes collectes sur les capteurs du rseau de terrain C3 (notamment Dtection incendie et Contrle de la qualit de lair), certaines informations doivent tre
envoyes aux actionneurs du rseau de terrain C2 (signalisation).
Ces lments viennent donc conforter le fait dcarter la configuration C1+C2,
C3 au profit de la configuration C1, C2+C3 .
Enfin, la configuration C1, C2, C3 , qui prsente une infrastructure diffrente par
classe vite effectivement des contraintes inutiles mais prsente une architecture plus
couteuse et plus complexe maintenir en raison des deux rseaux de terrain.
Dans le cas particulier du tunnel, la sparation de C1 dun cot et C2+C3 de lautre
permet de limiter les contraintes sur les quipements de classe 2 tout en rduisant
la complexit technique et organisationnelle. Les contraintes supplmentaires appliques aux quipements de classe 2 sont relativement limites du fait de la nature
des fonctions de classe 2 et de la possibilit de mutualiser les fonctions de scurit
avec les quipements de classe 3.
Tunnello dcide donc de mettre en uvre la configuration C1, C2+C3 .
Bibliographie
.
[SCADA-MTD] La cyberscurit des systmes industriels - Mthode de classification

et mesures principales.
Guide Version 1.0, ANSSI, janv 2014.
http://www.ssi.gouv.fr/uploads/2014/01/securite_
industrielle_GT_methode_classification-principales_
mesures.pdf.
[SCADA-MSR] La cyberscurit des systmes industriels - Mesures dtailles.
Guide Version 1.0, ANSSI, janv 2014.
http://www.ssi.gouv.fr/uploads/2014/01/securite_
industrielle_GT_details_principales_mesures.pdf.
[SCADA-TNL-1] Cas pratique dun tunnel routier - Partie 1 : classification.
Cas pratique Version 1.0, ANSSI, sept 2016.
http://www.ssi.gouv.fr/systemesindustriels.
[SCADA-TNL-2] Cas pratique dun tunnel routier - Partie 2 : mesures.
Cas pratique Version 1.0, ANSSI, sept 2016.
http://www.ssi.gouv.fr/systemesindustriels.
[CETU-EVAC] Signalisation et dispositions daccompagnement de lauto-vacuation
des usagers dans les tunnels routiers.
Guide Version 1.0, CETU - Centre dtudes des tunnels, septembre
2010.
http://www.cetu.developpement-durable.gouv.fr/IMG/pdf/
CETU_Doc_info_AEV_2010-10-15_cle0765fa_cle57299f.pdf.
[CETU-VENT] Les dossiers pilotes - ventilation.
Guide Version 1.0, CETU - Centre dtudes des tunnels, novembre 2003.
http://www.cetu.developpement-durable.gouv.fr/IMG/pdf/DP_
ventilation_cle557d66-3.pdf.
Cette tude de cas sur la cyberscurit des systmes industriels a t ralise par
lAgence nationale de la scurit des systmes dinformation (ANSSI) avec le concours
des socits et organismes suivants :
CEA,
Schneider Electric,
Siemens,
RATP.
propos de lANSSI
LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre le
7 juillet 2009 sous la forme dun service comptence nationale.
En vertu du dcret n 2009-834 du 7 juillet 2009 modifi par le dcret n 2011-170
du 11 fvrier 2011, lagence assure la mission dautorit nationale en matire de
dfense et de scurit des systmes dinformation. Elle est rattache au Secrtaire
gnral de la dfense et de la scurit nationale, sous lautorit du Premier ministre.
Pour en savoir plus sur lANSSI et ses missions, rendez-vous sur www.ssi.gouv.fr.
Version 1.0 octobre 2016

Licence information publique librement rutilisable (LIP V1 2010.04.02)
Agence nationale de la scurit des systmes dinformation

ANSSI - 51 boulevard de la Tour-Maubourg - 75700 PARIS 07 SP
Site internet : www.ssi.gouv.fr
Messagerie : conseil.technique [at] ssi.gouv.fr

Systeme-Indus Cas-Pratique Tunnel Partie1 Anssi

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Systeme-Indus Cas-Pratique Tunnel Partie1 Anssi

Uploaded by

Copyright:

Available Formats

.

Cas pratique dun tunnel routier

La cyberscurit des systmes industriels

En 2014, le groupe de travail sur la cyberscurit des systmes industriels (GTCSI),

La cyberscurit des systmes industriels Cas pratique dun tunnel routier . 3

Table des matires

2.1 Prsentation de la socit

2.2 Organisation physique du tunnel

2.3 Fonctions mises en uvre dans le tunnel

2.4 Dpendances fonctionnelles

2.5 Premire approche avant le droul de ltude

3.1 Sret de fonctionnement et vnements redouts

3.2 tude des scnarios de menace

3.2.1 vnements redouts

3.2.2 Scnarios de menace

3.3 Exemples de scnarios dattaque

3.3.1 Cas dune attaque cible : installation dun maliciel

3.3.2 Cas dune attaque non cible : propagation dun virus

3.3.3 Cas dune attaque cible indirecte : quipements pigs

3.4 Analyse de la scurit relative larchitecture de premire approche

4.2 Hypothses de ltude

4.3 Classification par fonction

4.4 Dpendances fonctionnelles et classes

La cyberscurit des systmes industriels Cas pratique dun tunnel routier . 5

4.5 Classification finale

5.1 Les diffrentes configurations envisages

5.2 Les principaux lments diffrenciants

5.2.1 Formation, contrle et habilitation des intervenants

5.2.3 Processus de veille

5.2.4 Interconnexions rseau

5.2.5 Tldiagnostic, tlmaintenance et tlgestion

5.2.6 Surveillance et moyens de dtection

5.2.7 Gestion des interventions

5.3 Choix de la configuration

6 . La cyberscurit des systmes industriels Cas pratique dun tunnel routier

La cyberscurit des systmes industriels Cas pratique dun tunnel routier . 7

cern. En effet, la dmarche de classification dcrite dans le guide [SCADA-MTD]

8 . La cyberscurit des systmes industriels Cas pratique dun tunnel routier

Figure 2.1 Tunnel - carte de situation

2.1 Prsentation de la socit

La cyberscurit des systmes industriels Cas pratique dun tunnel routier . 9

Intgro assure la fourniture, lintgration puis la maintenance du SI industriel ;

Organisation physique du tunnel

Le tunnel, sujet de ltude, est un tunnel routier de type mono-tube circulation

Fonctions mises en uvre dans le tunnel

10 . La cyberscurit des systmes industriels Cas pratique dun tunnel routier

Ltude de sret de fonctionnement, mene par ailleurs, a permis didentifier que ce

Composants par fonction

La cyberscurit des systmes industriels Cas pratique dun tunnel routier . 11

12 . La cyberscurit des systmes industriels Cas pratique dun tunnel routier

La cyberscurit des systmes industriels Cas pratique dun tunnel routier . 13

Figure 2.2 Systme industriel - Graphe des dpendances fonctionnelles

Premire approche avant le droul de ltude

14 . La cyberscurit des systmes industriels Cas pratique dun tunnel routier

Figure 2.3 Systme industriel - Premire approche logique avant classification et

les consoles pour le rseau de supervision ;

La cyberscurit des systmes industriels Cas pratique dun tunnel routier . 15

Figure 2.4 Systme industriel - Premire approche technique avant classification et

16 . La cyberscurit des systmes industriels Cas pratique dun tunnel routier

abus de langage, dutilisateur de la solution, correspondent ceux dont le rle est

La cyberscurit des systmes industriels Cas pratique dun tunnel routier . 17

La cyberscurit des systmes industriels Cas pratique dun tunnel routier . 19

3.1 Sret de fonctionnement et vnements