Cybersécurité des systèmes industriels : menaces et préconisations - par Philippe RICHARD Directeur de SecuriteOff

Cybersécurité des systèmes
 industriels : menaces et
     préconisations.
      par Philippe RICHARD
       Directeur de SecuriteOff

        Membre d’EDEN Cyber
    (European Defense Economic Network)
    cluster de 130 PME défense, sécurité et
               sûreté nationales.

La cybersécurité en 5 points
1-Le contexte : toutes les entreprises sont vulnérables.

2-Trois mythes qui rassurent.

3-Les principales menaces.

4-La réglementation : victime et responsable !

5-Une politique de sécurité : préparatifs et prévention.

FOCUS : Sept règles majeures.
FOCUS : Windows n’est pas éternel !

1-Le contexte : vous êtes tous
                vulnérables, donc piratables !

       Les entreprises deviennent hyper connectées.

       Il devient impossible d’éviter le débat sur notre dépendance à la technologie
        (solutions utilisées en interne et dans le Cloud).

       Les données sont au cœur de votre activité économique. Et elles le seront encore
        plus demain avec la dématérialisation.

•       Serveurs, automates, ordinateurs, imprimantes, caméras, architectures virtuelles… :
        un périmètre à surveiller de plus en plus varié et vulnérable (failles SCADA).

1-Le contexte : toutes les
             entreprises sont vulnérables.

•   En détenant et en partageant des données sensibles et cruciales pour votre
    activité, vous êtes une cible potentielle.

•   Vous travaillez pour un grand compte : soyez très vigilant, car les pirates passent
    par les PME/PMI pour attaquer les grands comptes.

•   Pourquoi les pirates s’attaqueraient-ils à mon entreprise ? Parce que les escrocs du
    web pratiquent la « pêche au gros ».

2-Trois mythes qui rassurent

• « Mes réseaux industriels sont isolés, je suis protégé. »
Les SI des industriels sont souvent connectés aux réseaux de gestion et parfois
directement à Internet.

 « J’utilise des protocoles propriétaires, je suis protégé ».
Ils comportent des composants standards, pour des raisons d’interopérabilité et de moindre
coût.

•  « Une attaque du SI Industriel aura moins d’impact qu’un incident physique ou
   terroriste ».
Une attaque peut créer un dysfonctionnement global des installations plus difficile à
identifier et plus pernicieux qu’une attaque physique.

3-Les principales menaces.

Trois types de menaces : une interruption de l’activité, une perte financière et un
risque de vol d’informations stratégiques.

   L’interruption de l’activité
   Les rançongiciels (ransomware) ou comment un virus prend en otage votre
    entreprise

Avril 2016, une PME est touchée par un
ransomware : 4 mois de
travail perdus.

3-Les principales menaces.

   L’interruption de l’activité (suite)
   Un virus bloque une cimenterie : perte de clients.

   La perte financière
« L’arnaque au président » : virement frauduleux de 1,5 million d’euros et 41 personnes
licenciées.

   Le vol d’informations stratégiques
   Le sous-traitant d’une entreprise du CAC 40 a mal sécurisé ses serveurs : des
    documents confidentiels se retrouvent sur le dark web.

4-La réglementation :
                    victime et responsable !
    L’ANSSI constate par exemple que des fuites de donnée appartenant à un OIV
     viennent d’un sous-traitant industriel : risque d’immobilisation du SI de cette
     entreprise.

•    La protection des données personnelles : casse-tête technique et juridique

   Obligation de notification en cas d’attaque

Le Règlement général de la protection des données (RGPD) sur la protection des
données sera applicable à compter de mai 2018.

4-La réglementation :
                  victime et responsable !

•   Des responsabilités à tous les niveaux

Chaque responsable du traitement dans une entreprise et chaque sous-traitant
(prestataires de service en mode SaaS ou aux hébergeurs) doit mettre en œuvre "les
mesures techniques et organisationnelles appropriées afin de garantir un niveau de
sécurité adapté au risque".

Toute entreprise est désormais potentiellement « responsable de traitement de
données personnelles», ne serait-ce que dans le cadre de l’élaboration des salaires...

4-La réglementation :
                   victime et responsable !
•   Sanctions financières et réputation de l’entreprise

Défaut de notification : 5 ans d’emprisonnement. 300.000 € d’amende (Article 226-
17-1 du Code pénal).

L’image de marque de votre entreprise peut être ternie par des avertissements publics
directs ou indirects :

-   La CNIL a sanctionné Optical Center : 50.000 €.

-   Avertissement public de la CNIL à l’encontre de la société DHL.

5-Une politique de sécurité :
               préparatifs et prévention.

•   La sécurité n’est pas un coût.

    C’est un investissement.

La DSI et les cabinets d’experts en sécurité doivent expliquer les coûts d’investissement
par rapport aux pertes potentielles.

• La sécurité n’est pas une affaire de produits :
 c’est un process !

5-Une politique de sécurité :
                préparatifs et prévention.

•   Sans une politique de sécurité globale, il n’y a pas de développement
    économique !

• La sécurité informatique n’est pas innée :
 elle s’apprend !

    35 % des incidents de sécurité seraient causés en interne.
    Source : cabinet PwC

5-Une politique de sécurité :
                 préparatifs et prévention.

Les 4 piliers de la sécurité informatique
Comme l’indique le Référentiel général de sécurité (RGS), elle repose sur quatre
piliers indispensables au bon fonctionnement des systèmes industriels :
ˆ
• La disponibilité

• L’intégrité

• La confidentialité

• La traçabilité

5-Une politique de sécurité :
               préparatifs et prévention.

A-Les préparatifs

   Etablissez une cartographie de la situation actuelle. Observez l’existant avant de
    décider.

•   Entamez une réflexion sur votre dépendance à la technologie.

•   Lancez un recensement des informations stratégiques et des systèmes numériques
    qui les traitent.

•   Jouez collectif : à cause des interconnexions, les informaticiens et les automaticiens
    doivent travailler ensemble.

5-Une politique de sécurité :
                préparatifs et prévention.
•   Mettez en place une politique de sauvegarde et de récupération (restauration) des
    données. Au moins une fois par semaine, le responsable du PRA/PCA doit vérifier
    l’intégrité des sauvegardes.

•   Protégez vos données sensibles : chiffrement des fichiers (Gostcrypt) et des emails;
    cloisonnement.

•   Mettez en place un PRA.

• Ne négligez plus la sécurité : des systèmes hétérogènes s’interconnectant
avec comme soucis majeurs la productivité, l’efficacité et la sûreté – mais rarement la
sécurité...

5-Une politique de sécurité :
                 préparatifs et prévention.

B-La prévention

•   Ne vous précipitez pas !

•   Surveillez en permanence votre SI pour détecter au plus vite un incident.

•   Contrôlez les accès au SI et mettez en place une politique stricte d’identification.

5-Une politique de sécurité :
                 préparatifs et prévention.

 FOCUS : La sécurisation de la télémaintenance

Ne faites pas comme Target !
Fin 2013, des pirates mettent la main sur environ 40 millions de données bancaires des
clients de cette troisième chaîne de distribution aux États-Unis.
Pour récupérer ces informations, ils ont profité d’une faille de sécurité dans le réseau de la
climatisation pour ensuite accéder aux caisses enregistreuses !

• Contrôlez tous les accès liés à la maintenance :
Réduisez les risques d’usurpation d’identité en supprimant tous les comptes génériques.

• Colmatez les failles de sécurité :
La standardisation des systèmes et les nouvelles fonctionnalités ont apporté aux systèmes
industriels les vulnérabilités du monde de l’informatique de gestion.

FOCUS : Sept règles majeures

1-Utilisez des mots de passe « forts » (ex. kLpù*875Fr!) et régulièrement modifiés.

2-Remplacez tous les mots de passe par défaut pour les comptes de services, les
bases de données, les applicatifs, les accès en mode console.

3-Mettez à jour tous vos logiciels, systèmes d’exploitation (PC, smartphones,
périphériques…) et firmwares (pour les automates, capteurs/actionneurs intelligents...) .

4-N’utilisez pas votre ordinateur avec un compte administrateur.

5-Effectuez des sauvegardes (ET des tests de restauration) régulières et délocalisées.

6-Interdissez les clés USB.

7-Protégez vos données et vos communications confidentielles (emails, flux...) en
utilisant des VPN certifiés et des logiciels de chiffrement. Ex. Gostcrypt.

FOCUS : Windows n’est pas éternel

Echéancier des supports de Microsoft :

 Windows 7 : fin du support standard (plus de mises à jour fonctionnelles) le 13 janvier
  2015.
 Windows 7 : fin du support étendu (publication de correctifs de sécurité) le 14 janvier
  2020.

 Windows 8.1 : fin du support standard le 9 janvier 2018.
 Windows 8.1 : fin du support étendu le 10 janvier 2023.

 Windows 10 : fin du support standard le 13 octobre 2020.
 Windows 10 : fin du support étendu le 14 octobre 2025.

•   Je vous remercie.

•   Découvrez les travaux de recherches de nos experts et nos conseils sur
    www.securiteoff.com

•   Contact :

Philippe RICHARD – Directeur
Tel : +33 (0)6 85-63-43-27
Email : direction@securiteoff.com

SecuriteOff : des experts au
             service des entreprises

        Audits-Formations-Conseils-Renseignements économiques

        Des ingénieurs en cybersécurité avec plus de 20 ans d’expérience dans tous les
         domaines.

•       Un Laboratoire de Sécurité Informatique Opérationnelle.

•       Une équipe indépendante de tout éditeur et prestataire.

•       Des prestations dirigées et validées par des anciens experts du Ministère de la Défense.