Tribunes

Florange Telecom

L'approche radicaliste de l'architecture du Web : l'assembleur

Big Dataxe

Le Big Data individuel

La comptine du cloud

Toute les tribunes

La vidéo du moment
Actualité marchés verticaux

Sécurité des données entreprises : les salariés traitent (encore) la question par dessus la jambe

par durand
le 12/11/2014 à 09:16

E-commerce : comment conformer son tunnel de commande à la loi Hamon

par Damien
le 08/11/2014 à 11:21

Quelle santé pour demain ?

par Jean Mourain
le 07/11/2014 à 10:41

Fujitsu invente le stockage infini

par de La Guerrande
le 31/10/2014 à 09:59

Déni de service, vols d'information et écoutes illégales existent également en VolP,
Par Philippe Jauset, Cirpack

par Guibert
le 29/10/2014 à 08:38

Rechercher
Services
Logo_abonn Job Les derniers communiqués de presse Proposer un communiqué de presse
Fils RSS : Top 10 quotidien

La cybersécurité des systèmes de contrôle industriels : un nouveau domaine d’activité complexe et pluridisciplinaire -
Par Thierry Cornu, Responsable de l’offre Cybersécurité Industrielle d’Euriware

mardi 23 juillet 2013

La sécurité des infrastructures critiques utilisant des systèmes de contrôle industriels (industrie nucléaire, industrie pétrolière, chimique et pharmaceutique, réseaux de transport et de distribution d’énergie, traitement et distribution d’eau, centrales électriques, infrastructures de transport, etc.), et plus particulièrement pour les opérateurs d’importance vitale, s'impose désormais comme une priorité essentielle. Et ce, dans un contexte de montée généralisée des risques de sécurité informatique depuis 2010.

D'une part, l'évolution des technologies amène les systèmes de pilotage informatisé des installations à s'ouvrir aux réseaux extérieurs, ce qui génère une augmentation des risques. Conçus à l’origine pour fonctionner de manière isolée, ces systèmes sont intégrés de manière de plus en plus systématique avec le système d’information de l’entreprise - gestion des actifs, GMAO, gestion de la chaîne logistique...-, afin de répondre à des exigences de productivité.

D’autre part, les composants techniques utilisés dans les systèmes de contrôle industriel sont en général peu préparés aux défis de la sécurité informatique : ils utilisent des technologies hétérogènes (matériel et logiciel), souvent vieillissantes et mal protégées. Au-delà de cette vulnérabilité intrinsèque, ils sont aussi soumis à des contraintes de disponibilité et d'exploitation qui rendent les mises à jour difficiles.

Enfin, certains incidents, rendus publics ces dernières années, de logiciels malveillants ayant endommagé des installations industrielles - tels que StuxNet en 2010 ou Shamoon en 2012 - ont contribué à la prise de conscience de ces risques.

La sécurisation des installations industrielles diffère de celle des systèmes d’information d’entreprise :
- Tout d’abord, parce que la nature des risques est différente : les dysfonctionnements des systèmes de contrôle industriels ont des conséquences dans le monde physique ; alors que le risque d’espionnage représente la menace la plus élevée pour le SI, le sabotage est souvent la préoccupation principale dans les systèmes de contrôle industriels, celui-ci pouvant entraîner une interruption de la continuité de service (distribution d’eau, d’électricité), ou des dommages aux personnes ou sur l’environnement (nucléaire, SEVESO), ou à l’outil de production (StuxNet).
- Ensuite, parce que les systèmes de contrôle industriel contiennent des composants très vulnérables (automates et contrôleurs, terminaux de télégestion, logiciels métier développés en mode spécifique, etc), en partie anciens (cycles de vie très longs dans l’industrie – 10, 15 voire même 30 ans dans le nucléaire) et souvent sensibles aux perturbations. De plus, les protocoles et standards de communication utilisés sont peu sécurisés (Modbus/TCP, OPC, DNP3, ICCP).
- Egalement, ils font l’objet de contraintes d’exploitation spécifiques : bonnes pratiques issues des SI pas toujours transposables (par exemple, la mise en place de comptes nominatifs n’est pas toujours compatible avec l’organisation de l’exploitation) ; difficultés à systématiser le déploiement d’antivirus sur les PC (contraintes temps réel, matériels PC non standard ou anciens) ; ou encore difficulté à effectuer les mises à jour de sécurité de manière régulière car les fournisseurs de composants industriels n’ont généralement pas de politique de mises à jour de sécurité.
- Finalement, l’environnement réglementaire et normatif est complexe et demeure en pleine évolution. A côté des standards généralistes déjà connus comme l’ISO 27001 émergent des standards spécifiques aux réseaux industriels CEI 62443), voire même à des métiers spécifiques comme ceux de l’industrie nucléaire (CEI 62645).

Compte tenu de ces spécificités, les stratégies de mise en place de la sécurité diffèrent de celles utilisées pour les réseaux informatiques d'entreprise. L'accent est mis tout particulièrement sur la méthode de segmentation des réseaux industriels, avec un découpage en zones, de degrés de sécurité différents. C'est véritablement une nouvelle discipline de l'ingénierie qui est en train d'émerger, nécessitant de mettre en place des équipes pluridisciplinaires et multiculturelles : des spécialistes de la sécurisation des réseaux et des systèmes informatiques, des consultants en organisation et des hackers éthiques, qui ont déjà l'habitude de travailler ensemble, mais aussi des architectes de systèmes industriels et des spécialistes de la production industrielle, qui connaissent bien les spécificités de ces systèmes critiques.

Comme pour les autres domaines de la sécurité informatique, les premières réponses sont d’abord organisationnelles avant d'être technologiques. Il est important de définir en premier lieu l’organisation et les processus à mettre en œuvre : définition de la chaîne de responsabilité de la cybersécurité au sein de l’entreprise, définition des processus pour la gestion des risques, la remontée et le traitement des alertes de sécurité, définition des processus de vérification et d’audit, définition de la relation avec les autres processus de l’entreprise tels que la gestion ressources humaines (recrutement, formation et sensibilisation des personnels), ou encore la sécurisation physique des sites.

Ensuite, pour les réseaux industriels, il faudra élaborer une architecture de sécurité en définissant le nombre de degrés de sécurité que l'on veut mettre en place, la stratégie de découpage du système en zones de sécurité et les mesures de contrôle des flux qui circulent entre les zones. Des standards comme CEI 62443 fournissent des méthodes pour effectuer ces diverses opérations.

C’est sur cette architecture de sécurité que s’appuient ensuite les mesures techniques de protection : pare-feu, équipements de sécurité, durcissement de la configuration des systèmes et des ordinateurs. Puis viennent les mesures techniques de mitigation, dont le but est de limiter les impacts d'un incident de sécurité éventuel : dispositifs de sauvegardes et de reprises sur incident d’une part, mais aussi auditabilité du système et préservation de l'historique des évènements et des changements de configuration, permettant de déterminer la cause et la portée d'un incident.

Pour certains systèmes particulièrement critiques et qui le justifient, on met finalement en place une surveillance du système à partir d'un centre opérationnel de sécurité. Ce dispositif peut éventuellement être mutualisé avec la surveillance du réseau d’informatique d’entreprise, qui quant à lui est souvent déjà en place dans les grands groupes industriels.

La mise en place de l’ensemble de ces mesures représente à l’évidence un effort important. Bien souvent, elle devra donc être traitée par étape, dans le cadre de plans pluriannuels d’amélioration continue. Face à un effort qui promet de s’inscrire dans la durée, le maître mot pour le responsable en charge de la sécurité des systèmes industriels est donc l’anticipation :
- Anticiper la montée des obligations réglementaires, tout particulièrement pour les industriels ayant en France le statut d’Opérateur d’Importance Vitale
- Planifier et réussir à défendre les budgets nécessaires, dans un domaine qui relève avant tout de la gestion du risque et donc sans retour sur investissement direct
- S’entourer du bon mix de compétences – intégrant à la fois des compétences traditionnelles en sécurité informatique et des compétences en architectures et en exploitation industrielle.



Les commentaires

Quid de la sécurité apporté apporté par EURIWARE une fois que la SSII aura été vendu à un boucher de l'informatique comme CAP gemini qui fait de l'informatique low cost au Maroc.

AREVA ne doit pas vendre EURIWARE:

http://www.change.org/fr/p%C3%A9titions/le-groupe-areva-ne-doit-pas-vendre-sa-filiale-informatique-euriware

https://www.facebook.com/pages/Fessemen-Ils-montrent-leurs-fesses-pour-sauver-leur-boulot-Euriware/188217641346625

Par inf4Mation le 08/08/2013 à 05:57

Les 10 derniers articles mis en ligne