Professional Documents
Culture Documents
Mars 2013
Protection multicouche pour les systmes de contrle industriel
et les rseaux SCADA
Introduction Stuxnet
Les systmes de contrle industriel de la plupart des principaux fournisseurs sont Stuxnet est probablement
l'attaque mene contre des
vulnrables, comme le dmontrent les centaines d'exploitations de vulnrabilits infrastructures critiques qui a t
gratuitement disponibles sur Internet. Cela va des systmes laisss sans mot la plus mdiatise: le sabotage
de passe ou avec des mots de passe fixes, des problmes de configuration et d'une installation nuclaire
des bogues logiciels. Ds qu'un agresseur est en mesure d'excuter un logiciel iranienne utilisant des automates
programmables industriels (PLC)
qui a accs un contrleur, la probabilit d'une attaque russie augmente trs de Siemens pour le contrle et
nettement. l'automatisation des processus.
Au cours des 20 dernires annes, le secteur informatique a acquis une Stuxnet a exploit plusieurs
vulnrabilits, inconnues
exprience considrable dans la protection des rseaux informatiques. La
l'poque, de Microsoft Windows.
rutilisation du savoir-faire et des technologies dvelopps au fil des annes Il s'est d'abord propag
permet d'conomiser beaucoup de temps et d'argent, mais ne peut se faire via des cls mmoire USB
qu'avec une bonne comprhension de la diffrence entre les environnements intentionnellement infectes,
qui ont t insres dans les PC
SCADA/ICS et les environnements informatiques.
Windows connects au rseau
des PLC, puis a infect les
Ce document prsente une description sommaire des menaces ciblant les automates.
infrastructures critiques, et propose des solutions pour attnuer ces risques grce
l'utilisation de la mme protection multicouche qui contribue protger les Des pirates russes se sont
introduits dans le systme
systmes informatiques contre les attaques. de distribution d'eau du
centre de l'Illinois.
La menace En novembre 2011, le FBI et
le Dpartement de la Scurit
Les installations du secteur industriel et manufacturier, et les infrastructures
intrieure des tats-Unis ont
critiques (lectricit, ptrole, gaz, eau, dchets, etc.), s'appuient fortement sur rvl qu'une cyberattaque avait
des quipements lectriques, mcaniques et hydrauliques. Ces quipements provoqu l'arrt d'une pompe
sont contrls et superviss par des systmes informatiques ddis tels que eau prs de Springfield dans
l'Illinois. Reuters a rapport
contrleurs et capteurs. Ces systmes sont raccords des systmes de
que l'attaque du 8 novembre
gestion, et forment ensemble des rseaux utilisant les solutions SCADA (systme provenait de Russie et que
de tlsurveillance et d'acquisition de donnes) et ICS (systme de contrle les pirates informatiques ont
industriel). SCADA et ICS permettent la collecte et l'analyse efficaces des arrt et relanc la pompe
plusieurs reprises, provoquant
donnes, et le contrle automatique des quipements tels que pompes, vannes et
le malfonctionnement de ses
relais. circuits et sa mise hors service.
Les avantages fournis par ces systmes ont contribu leur adoption grande Les experts considrent qu'il
chelle. Leur robustesse et leur stabilit permettent aux installations des s'agit du premier incident de ce
genre: une cyberattaque mene
infrastructures critiques d'utiliser des solutions SCADA et ICS pendant de longues avec succs par des pirates
priodes, souvent pendant 10, 20 ans, et parfois au-del. trangers visant une installation
industrielle l'intrieur des
Toutefois, les avantages offerts par les systmes SCADA et ICS les rendent tats-Unis.
galement susceptibles d'endommager l'exploitation et les processus des
infrastructures. En modifiant les commandes envoyes aux contrleurs ou les
donnes releves partir des capteurs, des agresseurs peuvent modifier les
processus lectriques, chimiques, mcaniques ou autres. Ces changements
peuvent introduire des modifications soudaines et apparentes, voire lentes
et difficiles remarquer, aux processus industriels. Ils peuvent avoir pour
consquence la production de produits dfectueux, la perte de productivit, des
interruptions de service, ou pire, prsenter de vritables risques pour la scurit
publique.
Les individus et les organisations qui mnent des attaques contre les systmes Une compagnie d'lectricit
SCADA et ICS ont une comprhension dtaille de l'environnement dans allemande attaque.
lequel ces systmes fonctionnent, et ont une motivation spcifique. Ce peut En dcembre 2012, 50Hertz,
tre des employs mcontents, des gouvernements trangers, des entreprises une compagnie d'lectricit
allemande, a t frappe par
concurrentes, des criminels ou des militants. une cyberattaque qui a dur
cinq jours et a dconnect ses
Afin de modifier un ordre de commande ou un relev de capteur, un agresseur doit systmes de communication
avoir accs au dispositif de commande/au capteur mme, ou accs un systme sur Internet. C'est le premier
distant qui est en communication avec. Cela ncessite un accs physique ou assaut numrique confirm
contre un gestionnaire de rseau
distance un ordinateur ou un rseau connect au dispositif de commande/au europen. 50Hertz est l'un des
capteur. quatre oprateurs de systmes
de transmission allemands,
La plupart des rseaux SCADA/ICS disposent d'un certain niveau de dfense qui fournit plus de 18 millions
de primtre, y compris par la segmentation du rseau et les technologies de personnes de l'lectricit
provenant en grande partie
de pare-feu. Contourner les dfenses de primtre depuis l'extrieur est
d'nergies renouvelables comme
gnralement difficile. Les agresseurs sont ainsi toujours la recherche d'autres l'olien et le solaire. L'attaque
moyens de pntrer l'intrieur, par exemple, travers une porte drobe ou en a bloqu nos domaines Internet
dclenchant des actions depuis l'intrieur de l'organisation pour ouvrir un canal de sorte que dans les premires
heures, le courrier lectronique
de communication avec l'extrieur. Par exemple :
et la connectivit Internet ont t
L'utilisation d'un port d'accs distance habituellement rserv un bloqus, dclare Boris Schucht,
fournisseur de services de maintenance de PDG de 50Hertz.
Le piratage d'un canal lgitime entre les systmes informatiques et les systmes Une compagnie ptrolire
SCADA/ICS attaque
En dcembre 2012, Aramco,
Convaincre un utilisateur interne de cliquer sur un lien dans un email depuis un la compagnie ptrolire
poste de travail connect au rseau SCADA/ICS et Internet nationale d'Arabie Saoudite a
Infecter des ordinateurs portables et/ou des supports amovibles l'extrieur du dclar qu'une cyberattaque
avait endommag prs de
rseau SCADA/ICS, puis infecter les systmes internes lorsqu'ils se connectent 30000ordinateurs, avec pour
au rseau pour collecter de donnes, mettre jour le contrleur/les capteurs, objectif d'arrter la production
etc. de ptrole et de gaz en Arabie
Saoudite, le plus grand
Exploiter des erreurs de configuration de la scurit ou des dispositifs exportateur de l'Organisation
connects des pays exportateurs de ptrole.
L'attaque a utilis un virus
Une fois l'intrieur, les agresseurs peuvent exploiter les informations qu'ils ont informatique appel Shamoon,
acquises sur le rseau, ou bien effectuer une reconnaissance pour cartographier qui s'est rpandu dans le rseau
d'Aramco et a rinitialis les
l'environnement. Ils peuvent galement employer des mthodes d'accs bien disques durs des ordinateurs.
connues pour voir si elles fonctionnent, notamment en raison de la faiblesse
des politiques de scurit. La faiblesse des implmentations spcifiques d'un
protocole ou encore les erreurs de configuration typiques sont trs souvent mises
profit.
Des attaques se produisent tous les jours dans le monde entier, comme le
soulignent les centaines de cas apparus ces dernires annes. Elles sont une
menace srieuse et imminente pour toute entreprise.
198 incidents ont t signals et tudis par l'organisme amricain ICS- Des informations publies
CERT en 2011: identifient une attaque
En janvier 2012, l'organisme
ICS-CERT a identifi une
entreprise victime d'une attaque,
sur la base d'informations
dcouvertes dans des forums
Internet sur l'open source. Une
fois contact, le personnel de
l'entreprise a dclar avoir dj
dcouvert la faille, qui avait
conduit des ajustements non
autoris des paramtres de
contrle du systme de gestion
de l'nergie, entranant des
tempratures anormalement
leves dans l'entreprise.
L'entreprise n'tait pas au
courant que des informations
confidentielles sur ses systmes
avaient t publies sur Internet
ni de l'adresse IP malveillante
associe la faille.
3. Configuration et renforcement
La plupart des systmes informatiques peuvent tre configurs pour limiter
certaines oprations qui ne sont pas ncessaires des dploiements spcifiques.
C'est une ligne de dfense importante, non seulement contre les agresseurs, mais
galement pour viter les erreurs.
Exemples:
a. Canaux d'administration distance (ports, connexions par modem)
b. Supports amovibles (cls USB, smartphones)
c. quipement portable (ordinateurs portables)
d. Transfert de fichiers et de donnes vers d'autres systmes
e. Connexions rseau
f. Interfaces Wifi
g. Interfaces srie
Des politiques concrtes de transmission automatique et manuelle
d'informations entre les rseaux sont-elles en place?
Une technologie fiable qui conseille les utilisateurs sur les actions qu'ils sont sur
le point d'entreprendre et pouvant prsenter un risque pour la scurit est-elle
en place?
Des procdures et des outils logiciels efficaces d'analyse des journaux et des
vnements de scurit sont-il en place?
Stratgie de scurit
Pour parvenir au niveau de protection requis pour les rseaux industriels et
critiques, la scurit doit voluer d'une simple superposition de technologies vers
un processus de travail efficace. Check Point recommande aux entreprises de
considrer trois dimensions lorsqu'elles dploient une stratgie et une solution de
scurit:
1. Rgles de scurit
Une politique de scurit bien dfinie, largement comprise et troitement aligne
sur les besoins et la stratgie de l'entreprise, plutt qu'un assemblage de
technologies disparates et de vrifications au niveau des systmes, est le point
d'entre de la scurit. Les rgles de scurit devraient prendre en compte les
priorits de l'entreprise et suggrer des moyens d'assurer son activit dans un
environnement scuris.
Nous avons par exemple constat que des employs utilisent des priphriques
USB dans les postes de travail connects des automates critiques. Au lieu de
seulement dployer des technologies bloquant l'utilisation du des appareils USB,
ce qui conduit les utilisateurs trouver des moyens de contourner le problme
et entrane ainsi des problmes de scurit, il est prfrable de crer une politique
qui reconnat les cas o leur utilisation peut tre ncessaire et dfinir la procdure
suivre pour une utilisation scurise. Les utilisateurs devraient tre informs
automatiquement de toute application ncessaire des rgles de scurit.
2. Facteur humain
Les utilisateurs des systmes informatiques font partie intgrante du processus
de scurit. Ce sont souvent les utilisateurs qui commettent des erreurs
provoquant des infections de logiciels malveillants et des fuites de donnes. Les
entreprises devraient tre trs attentives l'implication des utilisateurs dans le
processus de scurit. Les employs doivent tre informs et sensibiliss la
politique de scurit, et ce qui est attendu d'eux lorsqu'ils surfent sur Internet ou
partagent des donnes confidentielles. La scurit devrait tre aussi transparente
que possible, sans modifier leur faon de travailler.
b) Assurer que tous les postes de travail et les quipements portables utiliss pour
la gestion et la maintenance ne contiennent pas de logiciels malveillants et sont
scuriss.
- Il est recommand d'affecter des postes de travail distincts aux logiciels de
gestion SCADA
- Les postes de travail se connectant la fois un rseau critique interne
et d'autres rseaux moins sensibles ou mme Internet sont un risque
majeur. Dans les cas o une telle configuration est ncessaire:
o Les utilisateurs doivent tre pleinement conscients des risques
o La configuration des logiciels et de la scurit devrait limiter les
oprations pouvant tre effectues sur ces postes de travail
o Une analyse rigoureuse de l'ensemble du trafic et des fichiers doit tre
effectue en temps rel
- Tous les postes de travail doivent tre renforcs et contrls par une suite
de protection de poste intgrant les fonctions suivantes:
o Pare-feu
o Contrle des applications
o Contrle des ports
o Chiffrement/authentification des supports amovibles
o Prvention des intrusions
o Antivirus
c) Assurer que le trafic SCADA vhicul dans le primtre est valide et exempt de
toute tentative d'exploitation des vulnrabilits
- Il est recommand de filtrer ou au moins contrler toutes les
communications SCADA
- Des passerelles de scurit devraient tre installes dans le rseau SCADA,
en mode en ligne ou en mode surveillance, avec les composants suivants:
Administration
La gestion d'un vaste rseau compos de centaines voire de milliers de dispositifs
est une tche complexe. L'administration centralise distance des politiques
de scurit et une visibilit efficace sur la situation sont cruciales pour scuriser
efficacement l'infrastructure.
Collaboration
Lorsque les cybercriminels utilisent des logiciels malveillants, bots et autres
formes de menaces avances, ils ciblent souvent plusieurs sites et entreprises
pour augmenter les chances de russite de leurs attaques. Comme de
nombreuses entreprises font face ces menaces sparment, la plupart de ces
attaques passent inaperues si les entreprises n'ont pas le moyen de partage
entre elles les informations sur les menaces. Pour maintenir une avance sur les
menaces modernes, les entreprises doivent collaborer. En partageant les donnes
des menaces entre elles, elles sont en mesure de renforcer leur protection et la
rendre plus efficace.
Assistance professionnelle
Il est difficile pour les entreprises de toute taille de disposer de suffisamment
d'experts en matire de scurit capables de maintenir en permanence une
avance face au nombre sans cesse croissant et la varit des tentatives
malveillantes d'infiltration de leur rseau, d'installations de logiciels malveillants,
de vols de donnes confidentielles, etc. Une alternative viable consiste
employer les services d'un fournisseur de solutions de scurit capable de
dcouvrir de nouveaux vecteurs et techniques d'attaques, et de dvelopper les
dfenses appropries.
Dispositifs de scurit
Les dispositifs de scurit pour les rseaux SCADA doivent souvent tre installs
dans des environnements peu adapts aux quipements informatiques standard.
Il est alors essentiel de renforcer la conception mcanique de ces dispositifs de
scurit. Les spcifications industrielles en matire de poussire, de tempratures
extrmes, d'humidit et de vibrations doivent tre respectes pour assurer une
durabilit physique. Les dispositifs durables doivent avoir un MTBF (temps moyen
entre les pannes) trs lev et contenir un nombre minimum de pices mobiles
telles que ventilateurs et disques durs.
Pare-feu
Les pare-feux sont la pierre angulaire de la dfense du primtre et de la
segmentation du rseau. Des passerelles de scurit devraient tre installes
tous les points de connexion pour garantir que seul le trafic appropri et autoris
entre ou sort du rseau SCADA/ICS.
Antivirus
L'antivirus rseau est un lment essentiel d'une stratgie de scurit
multicouche. Mme si les rseaux SCADA/ICS peuvent tre isols des autres
rseaux utiliss pour les besoins informatiques, des passerelles devraient tre
installes aux points d'interconnexion du rseau SCADA/ICS pour superviser le
trafic et empcher la propagation des virus et des logiciels malveillants capables
de pntrer dans le rseau.
Antibots
L'antibots est devenu un composant essentiel d'une stratgie de prvention
des menaces en raison de l'mergence des botnets. Les systmes sont souvent
compromis et connects de manire furtive des botnets sans qu'il soit possible
de dtecter les actions effectues par les bots. Une fois qu'ils sont infects
par un bot, les systmes attendent de recevoir les instructions d'un centre de
commandement pour perturber l'infrastructure critique l'aide de ses propres
commandes.
Micro-logiciel ! ! ! !
Langage Ladder ! ! !
Portes drobes !
Fuzzing ! !
Web ! N/A N/A
Configuration de
base ! ! ! !
puisement
Fonctionnalits non
documentes ! ! !
Un des produits vieux de presque 20 ans et cotant environ 10000, utilis dans
les sous-stations lectriques pour la production d'nergie et autres systmes
critiques ne possdait pas de mcanisme d'authentification pour contrler la mise
en ligne du code de programmation de l'automate. Son fichier de configuration,
numrant entre autres les noms des utilisateurs et leurs mots de passe, tait
facilement accessible et pouvait permettre un agresseur d'accder au systme
l'aide d'identifiants lgitimes. Des portes drobes dans le systme permettaient
de lister les processus, de voir leur emplacement en mmoire, et lire et crire dans
la mmoire. Des failles classiques de dpassement de tampon dans le systme
pouvaient galement provoquer sa mise hors service.
Sgrgation du rseau
Contrairement la croyance commune, les rseaux SCADA et ICS ne sont pas
physiquement spars des rseaux informatiques. Certaines entreprises ont
toutefois des rseaux locaux distincts, ou sparent leur rseau d'entreprise de
leur rseau de contrle. Dans d'autres cas, les entreprises utilisent le mme
rseau local et tendu, mais chiffrent le trafic SCADA et ICS dans l'infrastructure
partage. Plus frquemment toutefois, les rseaux ncessitent un certain niveau
d'interconnexions pour obtenir des commandes oprationnelles et exporter des
donnes vers des systmes externes tiers.
Blade SmartEvent
La blade SmartEvent transforme les informations de scurit en actions, avec
corrlation en temps rel des vnements de scurit et administration des
passerelles de scurit Check Point et des quipements tiers. Elle propose une
analyse unifie des vnements qui identifie les vnements critiques et corrle
les vnements sur l'ensemble des systmes de scurit. L'agrgation et la
corrlation automatiques des donnes minimisent non seulement les temps
d'analyse des journaux, mais isole galement les vritables menaces en leur
donnant la priorit.
Gestion multidomaine
La gestion de la scurit multidomaine de Check Point permet la gestion
centralise simultane de plusieurs politiques de scurit distinctes et la
consolidation du matriel de scurit. La blade Multi-Domain Management
aide les administrateurs consolider la gestion de la scurit tout en prservant
l'indpendance de chaque domaine. Chaque domaine de gestion est un
environnement de gestion de la scurit indpendant avec une base de donnes
et un serveur de journalisation spars, et son propre ensemble de rgles de
scurit.
Appliances industrielles
Les Appliances Check Point UTM-1 Edge N Industrial proposent une protection
de pointe une complexit et un cot rduits pour une utilisation dans les
environnements industriels et avec les quipements SCADA. Ces Appliances ne
contenant aucun lment mobile offrent une protection complte comprenant
notamment un pare-feu, la prvention des intrusions et un antimalwares, et sont
conformes aux spcifications industrielles en matire de poussire, de chaleur et
de vibrations. La performance robuste et l'administration centralise fournissent
une valeur sans gal dans une solution simple et complte.
RuggedCom
La technologie de scurit de Check Point s'intgre avec les routeurs et les
commutateurs RuggedBackbone Utility Grade Layer 2 et Layer 3 via RuggedAPE
(moteur de traitement applicatif), pour fournir la plate-forme multiservice de
RuggedCom les technologie de pointe de Check Point en matire de pare-feu, de
prvention d'intrusions, d'antivirus, d'antibots et de contrle des applications.
Appliance IAS U1
L'Appliance Check Point IAS U1 est conforme aux exigences matrielles de
la norme CEI 61850-3. Elle ne comporte aucune pice mobile ni ventilateur, et
intgre un disque SSD, des alimentations intgres isoles et 3 ports d'extension
pour des cartes d'E/S. L'Appliance IAS U1 est adapt des applications en
environnement particulirement difficile. Les connexions d'E/S l'arrire et les
voyants lumineux sur le panneau avant pour tous les ports et les modes simplifie
son exploitation et sa maintenance.
AVANTAGES CLS
Scurisation des actifs de fabrication
Plate-forme modulaire s'intgrant facilement aux environnements rseau
complexes
Haute disponibilit et composants redondants garantissant la continuit des
activits
Contrle centralis avec administration unifie de la scurit
ThreatCloud
ThreatCloud, une nouvelle technologie de collaboration propose par Check
Point, utilise un rseau mondial de dtecteurs de menaces pour inviter les
entreprises partager les donnes des menaces et collaborer ensemble dans la
lutte contre les logiciels malveillants modernes. Les entreprises peuvent choisir de
collaborer en alimentant ThreatCloud avec leurs propres donnes sur les menaces
et recevoir des mises jour de protection enrichies sur leurs passerelles de
scurit. Lorsque de nouveaux bots ou logiciels malveillants sont identifis sur le
rseau d'une entreprise, les donnes qui les caractrisent, telles que l'adresse IP,
l'URL ou le DNS, sont envoyes ThreatCloud, et la mise jour correspondante
est diffuse l'ensemble des clients dans le monde entier en quelques secondes.
ThreatCloud intgre galement d'autres sources de donnes, notamment en
provenance des passerelles de scurit de la socit, de ses propres recherches,
et des flux d'information du march de la scurit.
Rsum
La protection des rseaux SCADA et ICS est essentielle pour garantir les moyens
de production, la continuit des services et la scurit publique. C'est une tche
complexe qui peut tre cependant accomplie grce la planification, le bon sens,
la comprhension des besoins de l'entreprise et des utilisateurs, ainsi que l'emploi
de technologies adaptes.
Veuillez nous contacter pour obtenir plus de dtails sur les solutions, les
technologies, les services de conseil, de dploiement et de scurit de Check
Point.
Sige mondial
5 Ha'Solelim Street
Tel Aviv 67897, Isral
Tl.: +972 3 753 4555
Fax : +972 3 624 1100
Email: info@checkpoint.com
Sige franais
1 place Victor Hugo
Les Renardires
92400 Courbevoie
Tl. : +33 (0)1 55 49 12 00
Fax : +33 (0)1 55 49 12 01
Email : info_fr@checkpoint.com
URL : http://www.checkpoint.com
2013 Check Point Software Technologies Ltd. Tous droits rservs.
11 mars 2013