La cyber-sécurité dans les systèmes d'automatisme et de contrôle de procédé

10/10/2017
Publication REE REE 2005-10
OAI : oai:www.see.asso.fr:1301:2005-10:20215
DOI :

Résumé

La cyber-sécurité dans les systèmes d'automatisme et de  contrôle de procédé

Métriques

19
12
2.62 Mo
 application/pdf
bitcache://04db66d0e6ee6b0a437f3b9e3bb9abb59b849bd8

Licence

Creative Commons Aucune (Tous droits réservés)
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/1301:2005-10/20215</identifier><creators><creator><creatorName>Jean-Pierre Hauet</creatorName></creator><creator><creatorName>Jean-Pierre Dalzon</creatorName></creator></creators><titles>
            <title>La cyber-sécurité dans les systèmes d'automatisme et de  contrôle de procédé</title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2017</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Tue 10 Oct 2017</date>
	    <date dateType="Updated">Tue 10 Oct 2017</date>
            <date dateType="Submitted">Tue 15 May 2018</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">04db66d0e6ee6b0a437f3b9e3bb9abb59b849bd8</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>34361</version>
        <descriptions>
            <description descriptionType="Abstract"></description>
        </descriptions>
    </resource>
.

1Repères 2) CYBER-SÉCURITÉ La cyber-sécurité dans les systèmes d'automatisme et de contrôle de procédé ParJean-Pierre DALZON,Jean-Pierre HAUET ISA-France UTOTIVM Systèmes decontrôle, Automatismes, Sécurité, Ethernet, Internet, Intrusion, PLC, DCS, SNCC, Protection, Vulnérabilité, Analyse derisques 1. Introduction La nécessité de veiller de très près à la sécurité des systèmes d'automatisme et de contrôle de procédé est apparue évidente aux USA en 2001, à la suite des événe- ments du Il septembre : puisque des terroristes étaient arrivés à se former au pilotage d'avions sophistiqués, d'autres auraient pu s'initier au fonctionnement des systèmes contrôlant des infrastructures stratégiques : alimentation en eau, centrales et réseaux électriques, moyens de transport, installations réputées sensibles : chimie, pharmacie, agro-alimentaire. Or depuis une dizaine d'années, l'informatique s'est largement introduite dans les systèmes de contrôle : 'au niveau des réseaux, avec Ethernet, TCP-IP, les connexions à Internet, 'au niveau des équipements, avec l'usage de maté- Zn riels non spécifiques et l'utilisation de Windows. Cette évolution a été bénéfique sur le plan des coûts et des fonctionnalités : . accès aux données de production et aux historiques depuis l'informatique de gestion, . accès distants, pour la collecte d'information, la configuration et la maintenance, . ouverture au partenariat d'ingénierie à travers des outils communicants. Mais cela a multiplié les points d'accès potentiels aux systèmes de contrôle et il devient aujourd'hui difficile de savoir qui est autorisé à accéder à un système d'informa- tion, quand cet accès est autorisé et quelles données peu- vent être rendues accessibles. L'ESSENTIEL Depuis plus d'une décennie, le monde du contrôle de procédéa intégré les technologies de'informatique, Stations opérateuret stations de configuration et de maintenances'appuient sur des matériels et logiciels du commerce. Ethernet et Internet sont devenusincontournab ! es. Aujourd'hui, ! es radiocommunications: Wi-F !, ZigBee, B ! uetooth etc. prennent position dans les sys- tèmes de contrôle. Le coût des systèmes dim ! nue. eurs fonc- tionnalités s'enrichissent et leur intégration avec le monde de la gestion de production se fait plus étroite. Mais cette évolution rapprocheles systèmes de contrôle du monde extérieur et les rendplusvulnérablesà des intrusions et à des attaquesde toutes natures. Les risquesqui en résultent, pour la production, pour la sécurité des biens et des personnes,sont fortement ressentisaux Etats- Unis depuis les événements du 11 septembre 2001. En Europe, la prise de conscienceétait moindre, mais les attentats de mars 2004 à Madrid et de juillet 2005 à Londres rendent le sujet plus actuel. Le présent article a pour objectif de sensibiliser les lecteurs à la problématiquede la cyber-sécuritéet de présenter les organisa- tions à mettre en place pour se protéger. Il s'appuie sur les tra- vaux de normalisationdu comité ISA SP 99 visant à permettre la conception et l'implémentation d'une politique optimale de pro- tection des systèmes de contrôle contre les cyber-attaques. YNOPSIS Over more than a decade,industrial controls have widely capitali- zed on the world of informationsystems. HMI stations and engi- neeringtools are widely using off the shelf hardwareand softwa- re while Ethernet and Internet have become a must. Moreover, control systems are starting to integrate radio-communications (Wi-Fi. ZgBee. B ! uetooth, etc.}.Systems cost has substantially decreased, wider functionality is availableand ntegration with production is tighter. But their protection against the external world has simultaneously decreased making them more vulne- rablevis à vis intrusions and other attacks. Correspondingrisksfor production,installationsas well as human safety are strongly perceived in the US since September 11. In Europe, the awareness is getting stronger since the attack of Mars 2004 in Madrid and of July 2005 in London. The present article aims atgiving an overview of the context and at proposingapproachesandsolutions. It mainly relies on the out- puts of the ISA SP99standardizationcommittee aiming at provi- ding guidelines for the design and implementationof an optimal security policy againstcyber-attacks. REE W 10 Novembre 2005 . Repères CYBER-SÉCURITÉ La banalisation des équipements de traitement de l'in- formation, le développement de l'interconnexion avec les réseaux locaux et avec Internet et plus récemment avec l'introduction de nouveaux systèmes de radiocommuni- cations - du type Wi-Fi, ZigBee, Bluetooth, dans des bandes de fréquence ouvertes à tous - génèrent de nouveaux points d'entrée possible dans les systèmes de contrôle et donc potentiellement de nouvelles failles sécuritaires. Il existe certes des normes relatives à la sécurité infor- matique telles que l'ISO/IEC International standard 17799, hifori) ialioii Technology - Code of pi- (icti (@e,for securitv naanagement. Mais ces normes ne sont pas applicables en l'état aux systèmes de contrôle, car la culture des intervenants et le contexte d'utilisation sont très différents : · L'informatique générale est fortement sensibilisée aux problèmes de protection contre les intrusions. C'est moins vrai pour les automaticiens, plus axés sur la conduite des procédés et qui pensent être pro- tégés par la spécificité apparente de leurs outils. . Le contexte d'utilisation demeure différent : on hésitera à encrypter des messages si cela nuit au temps de réponse. On admet en informatique des interruptions momentanées de service, des « reboots » de correction, la contrainte principale étant de ne pas perdre de données. De telles inter- ruptions sont intolérables sur un système dont l'arrêt entraîne l'arrêt de la production. . En informatique, on a tendance à privilégier la protection des serveurs centraux ; en automatisme, les éléments sensibles à protéger sont les équipements terminaux qui agissent directement sur le procédé. . Enfin les besoins de former des opérateurs de différents niveaux, de sous-traiter tout ou partie de l'exploitation, voire de délocaliser certaines activités, conduisent à une multiplication d'intervenants, réduisant le niveau de protection traditionnellement réputé résulter de la complexité du système et de son caractère relativement propriétaire. La sécurité dont il est ici question concerne la pré- vention des risques associés à des interventions malin- tentionnées sur des systèmes programmés de contrôle de procédé (SCADA, DCS, SNCC, PLC...) s'appuyant sur les techniques, matérielles ou logicielles, du monde de l'informatique et sur les réseaux de communication, y compris des réseaux sans fil, associés à ces systèmes. Les auteurs de ces interventions peuvent être des « professionnels » de l'intrusion frauduleuse, y compris des criminels ayant des visées terroristes. Mais ils peuvent être plus simplement des « hackers » faisant du piratage leur distraction favorite, et utilisant des logiciels téléchargés sur Internet, des concurrents peu scrupuleux, ou bien des personnels de l'entreprise ou l'ayant récem- ment quittée et ayant, pour une raison ou pour une autre, une réelle intention de nuire.' Aucune statistique de « cyber-attaques » n'est dispo- nib le 2. Souvent d'ailleurs les tentatives passent inaper- çues et sont découvertes très tardivement. Cependant, beaucoup d'articles publiés aux Etats-Unis font état d'un nombre croissant de tentatives non autorisées d'accès à des systèmes d'information dédiés au contrôle.) Les conséquences peuvent être, selon la nature des attaques, très différentes : . mise en cause de la sécurité et de la santé du public et des employés, . perte de confiance dans l'entreprise, . violation de dispositions réglementaires, . perte et/ou détournement d'informations proprié- taires ou confidentielles, . pertes de production, . impact sur la sécurité locale, régionale voire nationale. Les conséquences des cyber-attaques contre les sys- tèmes de contrôle peuvent être extrêmement dévasta- trices. Les risques attachés à l'Internet et aux virus infor- matiques ont été très fortement médiatisés, mais il faut reconnaître que peu d'installations sont réellement sécu- risées. Les systèmes de contrôle sont des installations réputées professionnelles, où les défaillances étaient jus- qu'à présent l'exception. On découvre aujourd'hui que cette immunité appartient au passé et que les systèmes sont, comme les autres systèmes d'information, des cibles possibles pour le cyber-terrorisme, l'espionnage ou simplement la malveillance. La définition d'un « Cyber-Security Manageiiieiit Systet7i (CSMS) » doit s'inscrire dans le cadre d'une politique générale de sécurité dans les compagnies. Elle doit reposer sur une analyse aussi exhaustive et homogène que possible de tous les risques pesant sur une activité considérée. Elle implique une prise de conscience des responsables de l'entreprise au plus haut niveau, et une sensibilisation de tous les échelons accompagnée de la diffusion d'instructions aussi opérationnelles que possible. La cyber-securité, comme la qualité, se construit pas à pas, au prix d'analyses, d'expériences, de retours d'expériences et d'essais de quantification des mesures 1 Uneétudepubliéeen2000parle FBI et le ComputerSecurityInstituteonCyber-crimea montréque71 % desatteintesà la sécuritéétaientd'ori- gine interne- Source: Wordsin collision - Ethernetandthefactorytloor - Eric Bynes el al. Joe Weiss - Control systemcyber-security- ISA IntechNovember2004. 3 La 5...conférence « Cyber-securityof SCADA andProcess ControlSystems» organisée par le KEMA àAlbuquerque enaoût2005faisaitétatde 60 attaques identifiéesdansle domainedessystèmes decontrôleindustriels. 2 REE W 10 Novembre 2005 La cyber-sécurité dans les systèmes d'automatisme et de contrôle de procédé 'Ncfrr génefiqu& Proc-ss teachiec- Nclél ; de ] Nc.mes_,.zo· :è hannesec.oir_- ;lè tvaro_src.ar ;ei ; ;E"t5D18.EV5..5.5t5C12' E : : traits r.Dric, de Fiiicticii,J E :çraits'efis de. FuncUcnal sf,..· and IEC 6" 5.,' ". basic çuice lc :erber 2Cu 65 ; Figiire 1. Nornie IEC 61508 et iioi-iîies dérivées - Sotii-ce : Gitide d'iiiterl,i-étatioii et d'alypliccitioii de la iioriiie IEC 61508 et des r2onnes dérivées - ISA-France et Club Automation - wvw.isa franee.org. prises. Mais elle constitue l'un des défis des sociétés modernes. Une protection efficace contre les cyber- attaques doit constituer désormais, au même titre que le respect des normes environnementales, un élément signi- ficatif de la valorisation patrimoniale de toute entreprise industrielle ou commerciale. 2. La démarche de l'ISA et du groupe de travail ISA SP 99 Comme précédemment indiqué, il existe différentes normes relatives à la sécurité de fonctionnement, en par- ticulier la norme générique IEC 61508, Functional safe- ty cf ElectricallElectronicIPrograiiiiiiable Electronic (E/EIPE) safety-related systems, et les normes dérivées mentionnées en figure 1. La norme IEC 61508 développe une approche intéressante, en ce sens qu'elle propose quatre niveaux de sécurité : les Safety Integrity levels (SIL), s'étageant du SIL 1 au SIL 4. La norme ISA S 84.01, développée aux USA dans un esprit similaire aux normes IEC, s'identifie à présent à la norme IEC 61511. Mais au moment de la conception de ces normes, les systèmes de contrôle pouvaient encore être considérés comme isolés de l'environnement informatique général, et utilisaient des réseaux de communication, des stations de travail, des « operating systems » spécifiques, ce qui rendait le problème de la vulnérabilité aux intrusions moins critique qu'à présent. L'ISA'a donc décidé de mettre en oeuvre une approche spécifiquement dédiée au domaine des automa- tismes et du contrôle de procédé. Cette approche, développée au sein d'un groupe de travail, l'ISA SP 99, comporte plusieurs étapes : Uélaboration de deux rapports techniques finalisés mi-2004 et téléchargeables sur le site www.isa.org : - ISA-TR 99.00.01, Security Technologies for Mant ! facttiring and Control Ssteiiis, qui est un « tutorial » sur les technologies du monde informa- tique potentiellement utilisables dans les systèmes de contrôle, permettant d'évaluer leur intérêt au regard de la capacité de résistance aux cyber-attaques. - ISA-TR 99.00.02 Integrating Electroiiic Security into the Manufacturing and Control Systems Enviromnent, qui propose une approche pour auditer un système, déterminer ses failles éventuelles face aux différentes attaques dont il peut être l'objet, et faciliter la vérification de la bonne application des mesures de mise en conformité face aux recommandations formulées. Uélaboration d'une norme qui s'appuiera sur les rapports techniques précédemment publiés, définira une méthode d'évaluation, et pourra déboucher sur une classification en niveaux de maturité au regard du risque de cyber-attaque, permettant à chaque installation de définir et de mettre en oeuvre un plan d'améliorations. Les deux premiers fascicules de cette norme sont disponibles à l'état de projets sous les références : dISA-99.00.01 et dISA-99.00.02. Cette approche de l'ISA rencontre un vif succès et est reprise et précisée dans des documents sectoriels. Le lecteur pourra notamment consulter le document « Guidance for addressing cyber-security in the cheiiiical sector ». - 3. Le rapport technique ISA-TR 99.00.01 : Security technologies for manufacturing and control systems. Ce rapport propose une revue des différentes technologies sécuritaires présentement disponibles et applicables en environnement de production et de contrôle de procédé : 4 The Instrumentation, Systems and Automation Society, organisme à but non lucratif comptant plus de 30 000 membres, essentiellement basé aux USA, mais comportant des représentations dans le monde entier, dont la section française ISA-France : www.isa-france.org, liée à la SEE par un accord de coopération. 5 Voir www.cidx.orgb REE W 10 Novembre 2005 . Repères CYBER-SÉCURITÉ -çi avxamAn >aen f-*-j'*jj' !**) tj ttjt. s.'.tfc' ;'"<'c-'-;t.' M'f -HstËB Numa. ".Cu,n.u rm. K'AI ; : Ono'M'lra, ; \8"'ql : f7Vd ? r· :I:ruen CClm IIIH Cfll .. C (ln l\of. LF elldbus) t- Fal F n :u ·natva IYO r.ulc.. Pnvtr'nc.. 'tg __.'-'''' u imajinB i ip Hu4t.ni :f ïS 't B < -ft _<. ! ! Peertopeer nehNOrk 1 !'A1 :,p.p bL4gl : 41tInc CO.,Ira'n' :C) 0rs : a xirqlv n>p ///Cotri Ib· CO.,1 nN COn : IN. r ,'. r.../ma T- Fodbu! R Logic » 1 l wo . @ " " " " h'o :i·n ".wr v _ hsoror, ' : az> aaaowwx'. I i »roo< ma xwa , FN.Idbns aaw i : 9 axwo i lonic Cwltrol--' (`°' Floldbuxl- Figure 2. Plan-tylge d'l (n systènie ideîïtifiaiit les connexions entre coiiiposaiits et les points d'oitvertbire externe. avantages, inconvénients, contraintes de mise en oeuvre et directions possibles pour le futur. Le concept de systèmes de contrôle est pris dans son sens le plus large et inclut tout type d'installations et tout type d'équipements et, de façon non limitative : . les DCS, PLC, SCADA, réseaux de capteurs, de surveillance et d'évaluation des systèmes, . les interfaces homme-machine associées destinées au contrôle, à la sécurité, à la maintenance et à la configuration, pour des applications batch, conti- nues ou discrètes. Parmi les technologies évaluées, on citera ; . l'authentification et l'autorisation, . le filtrage, le blocage, le contrôle d'accès, . le cryptage, . la validation des données, . l'audit, . la mesure, . les outils de surveillance et de détection, . les systèmes opératoires (operating systems), . la sécurité physique des systèmes. Le rapport technique contient un glossaire définissant le sens à donner aux principales expressions et aux prin- cipaux acronymes utilisés dans le domaine de la cyber- sécurité des systèmes de contrôle de procédé. 4. Le rapport technique ISA-TR99.00.02 : Integrating electronic security into the manufacturing and control system environment Le but de ce rapport est de proposer une approche cohérente pour définir, mettre en oeuvre et suivre l'exé- cution de programmes d'action relatifs à la cyber-sécuri- té dans les systèmes d'automatisme ou de contrôle de procédé. Il s'adresse aux utilisateurs, fabricants, fournisseurs et responsables de la sécurité de tels systèmes. Le rapport insiste sur trois recommandations : - Identifier les risques et estimer les conséquences, Le document développe une proposition de méthode d'analyse basée sur l'examen physique de la structure du système et sur l'identification des points d'ouverture externe, ainsi que sur une évaluation quantitative de la probabilité du risque d'agression et du niveau de criticité des conséquences pouvant en résulter. Il préconise par exemple d'établir un schéma détaillé du système mettant en évidence toutes les liaisons internes et externes entre équipements constitutifs (figure 2). REE W 10 Novembre 2005 La cyber-sécurité dans les systèmes d'automatisme et de contrôle de procédé li-teriict, ccn) iexfcn d recte .sur modem. Inernet. conneXion n'jûceni seCLr see.. Réseau de e iiitéirc-- de cjest or.____ yt fJf.. dC-, iGlé c::.n!'Ôle isolé EB''mS rqu'T'rin . 1 il& 1 . 1 1 - -it 111 1 mi 1 b.rtqIo , 1 & or.11 ., A ...... o D m 1 Atteinte aux peraorres Perte f r-.rc Rejet dam ! en'-/rcnne- llipfr ! nrLptior '1 Productic.n imsce pubhq'je rrw-n " L Perte de v e, C-iiipLitition. E= M ! li-iis Dégts pc-rr-, iiietits, ; i-e., c- 1- i-irs s -c se'rra) ne Dégradation pem'icillerlte Hosp DI sjtion - -13 - C Géàts E ; ég,it-Z V- rs sti iit LI-iLirs B 5 aille lle cnaue CL.ree BF_S :_LIS Blessures .at P. - gîts E`Il IS _Eillll i e " n ! S.3ement terrp-oraife Aucun jcun. A,,Icuii Mjcun ; un Figure 3. Evaltiatioji qiiaiititative dit niveati de probabilité d'attaqtie et de criticité (ex : réseati de coiiiiitiiiicatioii). Le document développe une proposition de méthode d'analyse basée sur l'examen physique de la structure du système et l'identification des points d'ouverture externe ainsi que sur une évaluation quantitative de la probabilité du risque d'agression et du niveau de criticité des conséquences. Zn Il est recommandé d'établir des tableaux d'analyse (ou « grilles de balayage ») pour chaque ressource (réseaux de communication, station physique ou pro- gramme) identifiant la probabilité d'attaque, la criticité et mentionnant les protections jugées adéquates (figure 3). - mettre en place un « cycle de vie » de la sécurité, - mettre en place un processus de validation et de sur- veillance en exploitation. Il s'agit in fine de démontrer par des techniques de vérification appropriées que le management de la sécurité est correctement mis en oeuvre, et efficace dans son appli- cation. Cela implique la définition et l'exécution d'une batterie de tests homogènes avec l'analyse initiale. Ultérieurement, des audits réguliers doivent permettre de s'assurer que le programme d'amélioration se met en place selon l'échéancier prévu et conserve l'efficacité attendue. Des procédures de reporting doivent être prévues et respectées afin que chaque observation soit suivie d'effet. 5. La norme ISA en cours d'élaboration Face au succès de son initiative aux Etats-Unis, aussi bien du côté des exploitants que du côté des offreurs, l'ISA a déci- dé de publier en 2005 des documents à caractère normatif. Le standard en cours de finalisation vise à couvrir ce qui est spécifique aux systèmes de contrôle. En prenant pour référence le modèle le plus récent de découpage en « niveaux » (ANSI/ISA-95), les niveaux 1 à 3 se trouvent directement concernés. Le niveau 4 « gestion de produc- tion et logistique » se considère exclu, du fait qu'à ce niveau se trouvent utilisées les techniques de l'informa- tique générale, toutes mesures devant cependant être prises pour préserver l'intégrité des données en prove- nance des niveaux inférieurs (figure 4). 'La première partie du standard (Concepts, Models and Terminology - dISA-99.00.01) décrit le contenu du standard, définit la terminologie, pro- pose une double modélisation (modélisation phy- sique et modélisation fonctionnelle) des systèmes de contrôle vis-à-vis de la sécurité, et introduit un concept de découpage des systèmes de contrôle en « zones de sécurité », avec identification des « conduits » d'information à protéger entre ces différentes zones. REE No 10 Novembre 2005 M Repêres 2 CYBER-SÉCURITÉ Nîveau 4 4- Planifîcatîon et gestion : de Utilisabon des êquipernents, lïvraisons, Logistïque expédibons, gestion des stocks, etc. '1 _IljlII II O.·-I1I I 7yB lI 1 , "-""'] ",-',,1,., -. c e -...... 1 Echelle de tomps Mois, soma*fles, leurs, postes Niveau 3 3- VJorkflowrprettes, programmation, '1-Gestion des operatÏons---, de l-,i fibriçition enregistrements, optitnisation du procédé Î e a a flc-aIon : ".. '. [-"." !.-[,,,d,o'<,l' " "-1<', 1 i :III Echelle de temps : _ _...w. _.__..__rYr,nllance ïxtsupe,ï :.ion;eccsritrrâirY T Postes, heures, minutes, secondes S ii7u 2 N pro- Pr-0. du, lÀ proluction Bateh'Cédés cédés....... dis- nus CrQts rtdntr le Niveau 0 0- rocece de product!on Figure 4. Les iiiveatix seloii la izoi-i ? ïe ISA95. Zones et conduits : Une zone de sécurité est un regroupement logique de ressources ayant les mêmes exigences en matière de sécurité. Une zone se définit à partir des modèles physique et fonctionnel de l'architecture de contrôle.Une politique de sécurité relative à chaque zone peut alors être fixée. Le processus de définition des « zones » démarre à l'aide du modèle de représentation « physique » du système, sur lequel viendront se greffer les fonctionnali- tés et les activités (de l'exploitation à la maintenance, en passant par les réglages). Lorsqu'une ressource supporte plusieurs fonctions, ou activités, on l'affecte à une zone correspondant à l'exigence de la fonction la plus contrai- gnante, ou bien on crée une zone séparée dotée d'une politique spécifique de sûreté. A titre d'exemple on peut citer les serveurs d'histo- riques. Pour fonctionner, ces serveurs doivent accéder aux données critiques de fonctionnement. Mais, du point de vue de la sécurité, ils relèvent davantage de la gestion, car de nombreux utilisateurs potentiels (superviseurs, équipe d'optimisation de procédé, statisticiens, contrô- leurs qualité) sont intéressés par les données recueillies et doivent disposer d'un accès aux informations. Dans ce cas, on peut envisager de créer une zone spécifique pour ces serveurs, voire créer une zone d'accès libre : « Demilitarized zone (DMZ) ». Un « conduit » désigne les moyens de communication entre éléments de l'architecture. Un conduit regroupe plusieurs ressources permettant d'assurer un canal de communication, externe (entre zones différentes) ou interne (à l'intérieur d'une même zone). Ces conduits englobent et protègent les différents canaux de commu- CI Zn nication, équivalent à des « câbles » en fournissant les liens entre les ressources du système. Le plus souvent un conduit est matérialisé par un réseau de communication et les composants qui le supportent : connectique, câblage, routeurs, commutateurs, stations de gestion ou de maintenance du réseau. Les conduits peuvent regrouper des profils de communication différents et aussi comporter plusieurs « canaux de communication » utilisant le même support physique. Par exemple, sur un réseau de terrain, peuvent cohabiter un trafic cyclique de données de contrôle de procédé et un ou plusieurs trafics de messagerie d'observation, configuration et réglage, chacun des canaux ayant des exigences et vulnérabilités différentes vis-à-vis de la sécurité. Ces conduits servent de base à l'analyse des vulnérabilités et des risques potentiels pouvant exister au niveau de la communication à l'intérieur d'une zone et au niveau des échanges entre zones de classes différentes. 'La deuxième partie du projet de standard (Establishing a Manufacturing and control Sytem Security Program - dISA-99.00.02) inclut les références normatives, la description d'un systè- me de gestion de la sécurité pour les systèmes de contrôle, la proposition de niveaux de maturité pour la mise en place des protections au niveau d'une usine ou d'une entreprise, les prescriptions pour la mise en place d'un programme de sécurité (analyse de risque et vulnérabilité, cycle de vie de la sécurité, contre-mesures, traitement des incidents, REE NO 10 Novembre 2005 La cyber-sécurité dans les systèmes d'automatisme et de contrôle de procédé ZONE ENTREPRISE f.aFeok-m cmkn i'i :kyu9ai L :uY,or._'... _aa j i' i 1 f--------------------- ---t j--------------------i----) j--------------------- ---t Zone Secteur A Zone Secteur B Zone Secteur C ''.';'-'-_ " *.________ L !. ;.. .*'______ t..r< ' ! ".,_______ ____ W crttrtcun t» ;nro.. iu !,y,.,... Luhv "ry.uYw S< :- SE-r 3-. X S-.n'Sr.a-(/ .., .r/ ! s,:.snr.",,rytY ·4Li'fasuCC,nevn, r Lm.,'ts.·,s'_. :,y F,; !r h.yLd' : G1V Gyn 3Y.C'..O'.'wY.C.,G\Cf _<'vYf SC..!rd Zone de contrôle secteur A one de contrôle secteur B Zone decontrble secteur C iOr-PJ r''[Q[lOl'., pn ru -0' , il.',.,l " l' "' " -I 1-,.. Figure 5. Découpage d'un syslème en () nes de sécurilé. processus d'amélioration permanent). Elle reprend en annexe la méthodologie d'analyse de risques ZD développée à l'occasion de la publication du second rapport technique. Il n'est évidemment pas possible de réduire la mise en place d'une politique de sécurité à l'application de règles c préfabriquées. Le projet de standard ISA 99 propose un guide de conduite identifiant les éléments à prendre en compte dans la définition d'une telle politique et donne un canevas de mise en oeuvre pour les systèmes de contrôle. Nous terminerons cet article en résumant les lignes directrices permettant de comprendre le processus de la mise en place d'une politique de sécurité selon ce projet de standard. 6. Comment bâtir un programme de cyber- sécurité Bâtir un programme de « cyber-sécurité » dans une société est une tâche délicate. Par où commencer ? Dites- moi ce que je dois faire ? Telles sont les questions ini- tiales les plus fréquemment posées. Malheureusement, il n'existe pas de recette unique en raison de la variété des contextes (système nouveau ou amélioration d'un systè- me existant, niveaux de maturité et de diversité des tech- nologies... et des intervenants). En fait la réponse ne peut être que relative et s'intégrer dans la politique générale de l'entreprise. La sécurité parfaite est un idéal et une solu- tion de compromis est à rechercher en considérant le coût du développement face au coût des conséquences des risques potentiels. Niveau de maturité de cyber-sécurité Plutôt que de définir des recettes et des niveaux pré- déterminés de maturité, l'idée de base du futur standard est de considérer, pour une installation donnée, l'état de l'art intégrant les meilleures connaissances actuelles et de comparer la situation constatée dans une installation à ces meilleures pratiques. Il est alors possible de se faire une idée précise du niveau de maturité de cyber-sécurité atteint et d'élaborer un programme d'amélioration de la cyber-sécurité qui sera, en règle générale, incrémental dans sa mise en oeuvre, et qui permettra de se rapprocher des meilleures pratiques. Bon nombre de sociétés ont d'ores et déjà mis en oeuvre des mesures de protection de leur système infor- matique, mais bien moins nombreuses sont celles qui ont étendu ces mesures à leur système de contrôle de production. Comme aujourd'hui les technologies « ouvertes » de l'informatique sont utilisées à grande échelle dans les systèmes de contrôle de production, un niveau d'expertise supplémentaire est requis pour pouvoir utiliser de façon sûre ces technologies dans le contexte de conduite de procédé. Informaticiens et automaticiens doivent travailler en étroite collaboration et mettre en commun leurs connaissances pour traiter efficacement les problèmes de cyber-sécurité. Dans les industries à risques vis-à-vis de la sûreté, de la santé publique ou de l'environnement, il est important de mettre en place un processus rationnel de gestion de la sécurité et une politique de contrôle des accès. Le but à REE WIO Novembre 2005 m Repêres 2 CYBER-SÉCURITÉ atteindre est un programme de sécurité « mature », c'est- à-dire connu, maîtrisé et respecté par l'ensemble des personnes concernées, et intégrant tous les aspects de la cyber-sécurité, y compris la bureautique et l'informatique conventionnelles, le système de gestion et le système de contrôle du procédé. La cyber-sécurité doit couvrir l'ensemble de la chaîne de production et tout le cycle de vie, depuis la conception jusqu'au stade final de la vente et de l'après-vente, en prenant en compte les clients, les fournisseurs et les sous-traitants. Elle suppose, de la part de l'entreprise, un effort de « rattrapage » portant prioritairement sur la sécurité du contrôle de production, de telle sorte qu'in fine l'entre- prise présente un niveau de protection homogène vis-à-vis des cyber-attaques ; niveau difficile à quantifier dans l'absolu, mais que l'entreprise, en fonction de son activité, de son histoire, de son expertise, du contexte dans lequel elle opère, peut discrétiser en paliers successifs de progrès, dans le cadre d'un plan d'amélioration faisant partie de sa stratégie d'ensemble (figure 6). bD Bureautique et gestion Fom a Pont e I 1 I n .ë y , a.- ., 'r/1 Btireautiqi , ()/gestiol '< -a './ Cntitrôl ( E'procé ( ' : i COfI (fOf . D J z : ! - - 2 I I Contrôle de procédé TO il Temps Figscre6. Courbe cle maturité pocu- un système intégré de gesliofJ de la sécurité. Etablissement du système de gestion de la cyber- sécurité Le résultat à obtenir doit être une situation cohérente couvrant toutes les activités de la société, incluant le système de contrôle, la gestion, toute la chaîne de création de valeur, y compris les relations avec les divers partenaires (clients, fournisseurs, sous-traitants), mais on comprend que l'effort à réaliser variera fortement d'une société à une autre. La démarche nécessite un brassage de culture des intervenants, et doit être pragmatique et progressive. Le programme général de cyber-sécurité doit prendre en compte le niveau de risque, qui peut être différent d'un type d'activité à un autre, ainsi que les différents modes d'exploitation. Une attention particulière devra être portée à la convergence progressive des cultures des informaticiens d'une part, et des « gens de procédé et de contrôle de procédé » d'autre part. Ou du moins, l'une et l'autre des populations devront-elles comprendre et admettre les spécificités de chacun des métiers, avec le souci de parvenir à une situation homogène dans l'entreprise. En particulier, le personnel de contrôle de procédé devra être formé aux enjeux et aux technologies de cyber- sécurité. Le personnel informatique devra, lui, être initié à la compréhension des technologies et des contraintes des techniques de contrôle de procédé. Comme le montre schématiquement la figure 7, c'est de l'intégration des ressources d'origines diverses dans l'entreprise et de la mise en commun de leur expertise et de leur expérience que naîtra le progrès en matière de cyber-sécurité. Le système de cyber-sécurité constitue une structure d'accueil de l'ensemble de la politique et des actions collectives menées dans la société. Au fur et à mesure de la réalisation des actions, le niveau de maturité de cyber-sécurité s'accroît. Le projet de standard identifie et détaille les éléments jugés fonda- mentaux pour l'établissement et la mise en oeuvre d'un programme efficace. De façon classique, ces éléments sont répartis en quatre phases principales, identiques à celles rencontrées dans les processus d'amélioration de la qualité (figure 8). Planification Action r __ .'EtabHr !t !t
www.isa-fran- ce.org) sous le parrainage de GIMELEC afin de pré- senter plus en détail au monde industriel l'approche de l'ISA en matière de cyber-sécurité. REE NiO Novembre 2005 m -Repëes 2 CYBER-SECURITE Références Rapport ISA TR 99.00.01 " Security Technologies for Manufacturing and Control Systems ". www.isa.org Rapport ISA TR 99.0002 : " Integratng Electronic Security into the Manufacturing and Control Systems environment ". www.isa.org Travaux du groupe de travail ISA SP 99. www.isa.org Joe WEISS, " Control System Cyber-Security " - ISA Intech Nov 2004. Jean-Pierre DALZON, " Ne laissez pas votre système de contrô- le ouvert au piratage ", Journée 2004 Club de la Mesure Provence-Côte d'azur CIDX : Guidance for Addressing Cyber-Security in the Chemical Sector. www,cidx.org Bryan L SINGER : ISA SP99 Proposed architecture and plan. Eric BYRES, Joél CARTER, Amr ELRAMLY, Dr. Dan HOFFMAN - Worlds in Collision - Ethernet and the Factory Floor. Eric BYRES, Ron DERYNCK and Nicholas SHEBLE : SP 99 Counterattacks - Intech 2004 Les EEi m Jean-Pierre Dalzon, Ingénieur AINPG, a été longtemps responsable chez Cégélec puis Alstom du marketing et de la définition des systèmes de contrôle dédiés aux applications critiques notamment dans le secteur de l'énergie Il consacre actuellement une partie de son temps à l'étude des améliorations technologiques et normatives dans lecadre d'assoaa- tions scientifiques et professionnelles, et est notamment l'un des lea- ders techno ! ogiques d' ! SA-France. Jean-Pierre Hauet a dlrigé le centre de recherches d'Alcatel à Marcoussis avant d'être directeur Produits et Techniques de Cégélec. Il a été nommé Chief Technology Officer d'Alsiom, lors de l'acquisi- tion de Cégélec par cette dernière. Depuis 2003 Il est consultant, Associate Partner de BEA Consulting. Il préside l'ISA-France. section francaise de l'ISA. REE N°K) Novcmbre2005