RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET - Entreprise Numérique
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Institut national des hautes études de la sécurité et de la justice
INHESJ TRAVAUX DES AUDITEURS
RISQUES ET SÉCURITÉ
DE LA CONNEXION
Cycle « Sécurité des usages numériques »
DES SYSTÈMES
Travaux de la 4e promotion (2013-2014)
INDUSTRIELS SUR
INTERNET
en partenariat avec le
DÉCEMBRE 2014
L’Institut national des hautes études de la sécurité et de la justice publie chaque
année des rapports et études sur les champs de la sécurité et à la justice.
Dans le cadre du cycle de spécialisation « Sécurité des usages numériques »,
les auditeurs stagiaires réalisent un travail collectif tutoré par le département
sécurité économique de l’INHESJ. Ces travaux sont effectués en toute liberté
grâce à l’indépendance dont les auteurs bénéficient au sein de l’Institut.
L’étude ci-dessous publiée est un document à vocation scientifique. Il ne
saurait être interprété comme une position officielle ou officieuse de l’Institut ou
des services de l’État. Les opinions et recommandations qui y sont exprimées
sont celles de leurs auteurs. Le document est publié sous la responsabilité
éditoriale du directeur de l’Institut.
Les études ou recherches de l’INHESJ sont accessibles sur le site de l’INHESJ.
Directeur de la publication M. Cyrille SCHOTT, directeur de l’INHESJ
AVANT-PROPOS
L’
information est désormais au cœur des actifs immatériels des
organisations et constitue un élément clé de leur performance.
L’entrée dans le monde numérique a par ailleurs conféré
aux systèmes d’information une dimension incontournable du
développement de l’économie. La « sécurité des usages numériques »
représente donc un enjeu majeur pour la pérennité et la compétitivité
des entreprises et des administrations. C’est pourquoi, dès 2010,
l’Institut national de hautes études de la sécurité et de la justice
(INHESJ) et le CIGREF (Réseau de Grandes Entreprises) ont convenu
de mettre en place un cycle de formation sur les problématiques
et les enjeux liés à la sécurité numérique à destination des cadres
d’entreprises des secteurs privé et public.
Ce cycle de spécialisation en « Sécurité des usages numériques »
se fixe pour objectif de délivrer les savoir-faire visant l’identification,
l’évaluation et la maîtrise de l’ensemble des risques et des
malveillances à tous ceux qui veulent mieux comprendre les enjeux
de la sécurité numérique au sein des entreprises.
L’Institut est heureux de présenter dans sa collection Études et
Documents les travaux des auditeurs de ce cycle réalisés sous la
supervision du Département sécurité économique de l’INHESJ. ■
Cyrille SCHOTT Pascal BUFFARD
Directeur de l’Institut national Président du CIGREF
des hautes études de la sécurité et de la justice
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 3
Les AUTEURS
Les Auteurs de ce travail intitulé « Sécurité des objets connectés » sont :
• Carolina MORALES-COLASANTE
• Véronique WADEL
• Sylvain ARNOLD
• Xavier BLANCHARD
• Bertrand LOCHET
Sous la direction de Nicolas Arpagian, directeur scientifique du cycle « Sécurité des
usages numériques ».
RISQUES ET SÉCURITÉ DE LA CONNEXION
DES SYSTÈMES INDUSTRIELS SUR INTERNET
Travaux de la 4e promotion (2013-2014)
du Cycle « Sécurité des usages numériques »
Sommaire
PRÉAMBULE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
INTRODUCTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
CHAPITRE 1 – Les systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Historique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Composants des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Les principaux objectifs et atouts des Systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Domaines d’utilisation des systèmes industriels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
CHAPITRE 2 – Les risques et menaces des systèmes industriels . . . . . . . . . . . . 13
Profil des attaquants et les objectifs de l’attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Typologie des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Typologie des menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Moyen d’accès d’une attaque au système industriel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
CHAPITRE 3 - Problématiques juridiques de la cyber-sécurité
des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
« Le droit des robots » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
« Security by design » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Les Systèmes industriels et les objets connectés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
La cyber-assurance des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Le dispositif juridique français et européen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Le rôle de la Direction juridique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
CHAPITRE 4 – Les solutions de sécurisation de la connexion
à Internet des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Le retour au déterminisme des systèmes industriels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
L’audit du code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Authentification Forte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Le chiffrement et le principe ou la chaîne de confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Protocoles spécifiques SCADA par les fabriquant des solutions « endpoint ». . . . . . . . . . . . . . . . . . . . . 28
Approche sémantique « firewall sémantique » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Amélioration de la Cyber sécurité des réseaux des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . 29
Systèmes de détection d’intrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Les « Honeypot » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Recherche et analyse de la vulnérabilité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
La vérification des journaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
La sensibilisation à la cyber-sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
La mise en œuvre des directives et guides de gestion de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
La défense en profondeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
La gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Propositions d’architecture et de process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
CONCLUSION. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Références bibliographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 5
PRÉAMBULE
Miser sur la diversité des compétences pour répondre à des menaces
protéiformes.
La sécurité numérique doit se concevoir sur le modèle des multiples formes
d’agressions rendues possibles par les technologies de l’information et de
la communication qui irriguent désormais les organisations économiques,
administratives ou militaires. C’est la raison pour laquelle la réflexion et la
stratégie en matière de cybersécurité doivent se concevoir en mettant à
contribution une grande variété de compétences et d’expertises : dans
les domaines industriels, techniques, informatiques, juridiques, judiciaires,
militaires, policiers et même politiques.
De ce croisement de savoir-faire émergeront les stratégies utiles à mettre
en place pour concevoir une sécurité numérique plus performante. C’est
dans cet esprit que chaque année les auditeurs du cycle « Sécurité
numérique » de l’Institut national des hautes études de la sécurité et de
la justice (INHESJ) travaillent à analyser et éclairer une problématique
qui se trouve au cœur des intérêts stratégiques des entreprises, et donc
des États. Ils ont pour mission d’expliquer les enjeux de la thématique
qui leur a été confiée, d’en présenter les mécanismes et de formuler des
réponses réalistes et concrètes pour réduire ou faire cesser l’exposition
au risque qu’elle représente. Soit une démarche résolument tournée vers
une amélioration continue de la notion de sécurité, au bénéfice du plus
grand nombre.
Vous trouverez dans ce document le fruit de leurs réflexions après une
année d’étude passée au sein de l’INHESJ à échanger entre pairs et
à rencontrer les experts et les praticiens les plus expérimentés dans le
domaine de la sécurité numérique. Ils aboutissent à chaque fois à des
recommandations opérationnelles directement transposables dans la
réalité des entreprises et des administrations.
Ce sont donc des contributions utiles à une meilleure sécurité numérique.
Éric DELBECQUE Nicolas ARPAGIAN
Chef du Département Directeur scientifique du cycle
« Sécurité économique » « Sécurité des usages numériques »
© INHESJ – Septembre 2014 – Ingérence et politique de sécurité des systèmes d’information 7
INTRODUCTION
Les systèmes industriels sont essentiels au bon fonctionnement de la nation.
À l’instar de la démarche déjà entreprise par les États-Unis, il s’agit aujourd’hui
de faire de leur cyber-sécurité une priorité stratégique, tant au niveau européen
et français qu’au niveau international.
Les dernières cyber-attaques Stuxnet 1, Spamhaus et plus récemment les vols (1) C’est le premier ver découvert
de données clients chez Orange ont alerté aussi bien les pouvoirs publics que qui espionne et reprogramme
des systèmes industriels, ce qui
les entreprises exploitant des systèmes industriels. Ces événements confirment comporte un risque élevé. Il cible
la nécessité de prendre toutes les mesures appropriées pour faire face aux spécifiquement les systèmes
SCADA utilisés pour le contrôle
risques encourus, mais aussi pour se conformer au cadre réglementaire qui se commande de procédés
met progressivement en place. industriels. Stuxnet a la capacité
de reprogrammer des automates
programmables industriels (API).
La connexion des systèmes industriels à Internet n’étant pas une nouveauté
en soi, il est cependant nécessaire d’exposer le contexte spécifique à ces
derniers (Chapitre 1) pour mieux comprendre les risques de leur connexion à
Internet (Chapitre 2) avec les problématiques et enjeux juridiques (Chapitre 3).
Et, ainsi, pouvoir présenter les différentes mesures de sécurisation de ces
systèmes industriels (Chapitre 4).
8 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 1 LES SYSTÈMES INDUSTRIELS
Historique
Jusqu’en 1940, les premiers systèmes de pilotage connectés étaient des
systèmes de contrôle dans les systèmes industriels. Ils étaient destinés à opérer
des équipements localisés dans des sites distants. Toutefois, à cette époque,
il était nécessaire d’avoir du personnel sur chacun des sites ou bien d’envoyer
une équipe pour opérer l’équipement. Les premiers essais de ces systèmes
industriels ont débuté par l’utilisation d’une paire de lignes entre les sites distants.
Chaque ligne opérait une seule pièce de l’équipement. Cette solution s’est
avérée très onéreuse mais justifiée par le besoin d’être opérée très fréquemment
ou afin de rétablir le service rapidement.
Puis les Relay/Tone system ont vu le jour ; comme des systèmes relais qui
créaient des pulsations envoyées au travers d’un canal de communication
jusqu’au site distant.
Dans les années 1960, les premiers systèmes industriels voient le jour en tant
que système d’exploitation électronique d’entrée / sortie, avec des transmissions
entre une station maître et une station distante. La station « maître » avait pour
but de recevoir des données à travers un réseau de télémétrie et de stocker les
données sur les ordinateurs centraux.
En 1965 pour la première fois, un ordinateur a été utilisé comme station maître,
capable d’avoir des fonctions en temps réel. Tel était le cas des processeurs
PRODAC et GETAC construits par GE et Westinghouse.
Progressivement les ordinateurs ont commencé à être dotés de fonctions de
scanning de données, du monitoring de données et des statuts, de changements
des alertes puis de données des connexions périodiques.
La plupart des systèmes industriels américains fonctionnaient alors avec une
base de scanning permanent avec l’ordinateur maître ; ce dernier envoie alors
les requêtes, les sites distants, eux, uniquement des réponses. En Europe, on
retrouve les premiers systèmes dans lesquels le site distant continue à envoyer
des données sans que le site central envoie des requêtes ; ceci grâce à un
canal qui permettait d’envoyer et de recevoir en même temps.
Ce n’est que dans les années 1970 que les systèmes de contrôle distribués
(DCS) ont été développés pour contrôler différents sous-systèmes éloignés ;
dans les années 1980, avec le développement du micro-ordinateur, le contrôle
de processus a pu être réparti entre les sites distants.
Puis il y a eu un développement des activités DEC utilisant des contrôleurs
logiques programmables (PLC) ; ils avaient la capacité de contrôler les sites
sans prendre la direction d’un maître.
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 9
LES SYSTÈMES INDUSTRIELS Chapitre 1
Dans les années 1990, les systèmes industriels avaient des capacités de
DCS et étaient adaptés en fonction de certaines caractéristiques de contrôle
propriétaires construits par le concepteur. Internet étant utilisé davantage
comme un outil de communication, les systèmes de télémesure utilisaient alors
des logiciels automatisés avec certains portails de téléchargement des
informations ou de contrôle de processus.
L’Ingénierie des systèmes industriels concerne aujourd’hui des processus
de contrôle, mais aussi la mesure, la prévision, la facturation, l’analyse et la
planification.
Les systèmes industriels actuels doivent répondre à un tout nouveau niveau
d’automatisation de contrôle avec un interfaçage aux équipements obsolètes,
tout en restant suffisamment souple pour s’adapter à l’évolution des technologies
d’information.
Les exigences des systèmes industriels relèvent aujourd’hui des mises à niveau
et mises à jour des versions des systèmes ; il faut alors donner la priorité à la
connaissance des composants du système avant de décider quelle interface
mettre en place ou quel matériel est nécessaire pour une application particulière.
Depuis les années 2000, une transformation profonde a eu lieu : les systèmes
isolés et propriétaire sont passés à des systèmes construits sur des architectures et
structures aux technologies standard hautement interconnectés sur des réseaux
privés, voire sur internet.
Ces systèmes, conçus pour durer des dizaines d’années à une époque où
la cyber criminalité touchant les infrastructures industrielles critiques n’était pas
encore répandue, n’intégraient pas encore nativement la sécurité réseau.
Composants
des systèmes industriels
Un dispositif système industriel, utilisé comme outil de sécurité de consignation
d’appareil électrique, est généralement composé des sous-systèmes suivants :
– une interface homme-machine qui présente les données à un opérateur
humain : ce dernier peut alors superviser et commander les processus ;
– un système de supervision et de contrôle informatique faisant l’acquisition
des données des processus et envoyant des commandes (consignes) aux
processus ;
– une unité terminale distante (RTU) reliant les capteurs convertissant les
signaux en flux de données numériques et envoyant les données numériques
au système de supervision ;
– des automates programmables industriels utilisés sur le terrain pour leur
versatilité et flexibilité due à leur capacité d’être configurables ;
10 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 1 LES SYSTÈMES INDUSTRIELS
– une infrastructure de communication reliant le système de supervision et
contrôle aux éléments terminaux ;
– divers instruments d’analyse.
À titre d’exemple, le schéma ci-dessous expose les différents composants d’un
système industriel.
Les principaux objectifs
et atouts des Systèmes industriels
Les systèmes industriels ont pour principaux objectifs :
– de concentrer les données, déporter ou centraliser le pilotage du procédé ;
– d’apporter une vision temps réel des états permettant aux opérateurs de
réagir et de décider rapidement ;
– D’apporter les premiers outils d’analyses nécessaires aux contrôles des
équipements concernés (historiques, courbes, pareto, alarmes, login).
Pour parvenir à atteindre ces objectifs, les systèmes industriels sont dotés
d’un certain nombre d’atouts, notamment :
– des outils de graphisme afin de représenter les procédés concernés ;
– des « moteurs » d’animation permettant de définir les différents choix de
dynamismes des objets graphiques ;
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 11LES SYSTÈMES INDUSTRIELS Chapitre 1
– la gestion de la base de données en temps réel, parfois propriétaire ; en
leur attribuant des propriétés, il est possible de définir des variables typées
internes ou en liaison avec le système de contrôle commande ;
– des traitements internes initiés par des déclencheurs multiples (temporels,
changement d’état, équation combinatoire, ouverture d’une fenêtre…) ; ils
permettent d’appliquer des premiers niveaux de traitement informatique plus
ou moins évolués ;
– une gestion de la sécurité pour un contrôle des accès applicatifs est
généralement proposée ;
– certains superviseurs intègrent également les possibilités de s’interfacer avec
une base de données relationnelle.
Domaines d’utilisation
des systèmes industriels
Les systèmes industriels sont conçus pour soutenir les processus industriels
et surveiller et contrôler, en temps réel, un large éventail de processus et
d’opérations, tels que la distribution de gaz et électricité (classique et nucléaire),
le traitement de l’eau, le raffinage de pétrole ou le transport ferroviaire.2 (2) Définition ENISA.
Ces systèmes industriels sont utilisés également dans la distribution, la chimie
et dans certaines installations expérimentales tels que la fusion nucléaire, le
transport des produits chimiques, la recherche et les études scientifiques et
industrielles, les accès aux bâtiments, le contrôle du chauffage et la ventilation
des ascenseurs ou du refroidissement des data centers.
Parmi les exploitants des systèmes industriels, il y a les Opérateurs à Importance
Vitale (OIV). Ces derniers sont définis en France par le Code de la Défense
dans ses articles R1332-1 et R1332-2 comme étant « les opérateurs publics ou
privés, exploitant des établissements ou utilisant des installations et ouvrages,
dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel
de guerre ou économique, la sécurité ou la survie de la nation ou de mettre
gravement en cause la santé ou la vie de la population ». Ces OIV constituent
une liste de 200 opérateurs dont 100 sont des entreprises privées.
Les infrastructures vitales du pays sont concernées par de nouveaux risques :
les cyber-risques. Ces derniers menacent le fonctionnement dont dépendent les
infrastructures vitales du pays. En effet, la mise en œuvre systématique du principe
de sécurité « de base » des systèmes d’information, tels que la surveillance du
système, la notification des incidents ou la réalisation régulière d’audits ne
sont pas systématiquement mis en œuvre. De ce fait, et au regard de la cyber-
menace grandissante, les instances nationales et européennes ont décidé de
renforcer le régime qui leur est applicable.
12 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internetChapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS
Un autre élément qui n’est pas négligeable est qu’historiquement, les systèmes
industriels étaient dévoués à la protection de la sûreté de fonctionnement (SDF),
en utilisant une analyse statistique et des techniques de redondance, ce qui
permettait de faire le traitement du risque de défaillance des équipements.
Toutefois la SDF ne couvre pas les risques et menaces des cyber-attaques
qui évoluent très rapidement. Les standards de sûreté de fonctionnement des
systèmes industriels doivent alors s’adapter pour prendre en compte la cyber-
sécurité et éviter que l’intégrité des Systèmes Instrumentés de Sécurité (SIS)
assurant la sécurité des personnes puisse être remise en cause par une attaque
informatique.
La cybercriminalité désigne les infractions pénales commises par le biais
de réseaux informatiques et de l’information électronique. Elle concerne
aussi bien les atteintes aux biens (escroquerie, contrefaçon, vol des données,
etc.) que les atteintes aux personnes (terrorisme, incitation à la haine raciale,
(3) « Global State of Information pédopornographie, etc.) ; elle se situe à la quatrième place des fraudes les
Security Survey 2013, Tendances plus rencontrées par les entreprises. Le budget cyber-sécurité représente un
et enjeux de la sécurité de
l’information » Etude Price Water- budget annuel de 60 milliards de dollars. Ce montant devrait augmenter de
houseCooper, 30 janvier 2013. 10% dans les trois à cinq années à venir.3
Chapitre 2 LES RISQUES ET MENACES
DES SYSTÈMES INDUSTRIELS
Depuis que l’affaire Stuxnet a dévoilé au grand public les failles des
systèmes industriels, les risques et menaces pour ces derniers deviennent une
préoccupation majeure pour les exploitants, ainsi que pour les États et les
particuliers. Si l’appréhension d’une sécurité se fait essentiellement au travers
de bonnes pratiques, il convient aussi de recenser les vulnérabilités auxquelles
l’entreprise doit faire face.
Profil des attaquants
et les objectifs de l’attaque
Les auteurs ou les cyber-attaquants ont des profils divers, notamment le hacker
isolé, le salarié mécontent, les réseaux organisés, les cellules de renseignement. Ils
ont une multitude des motivations, tels que le défi informatique, le vol de données
à des fins lucratives, le hackeractivisme, l’espionnage à des fins économiques ou
industrielles, etc.) (cf. figures 1 et 2).
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 13LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Chapitre 2
Figure – Typologie des attaquants attaquant
%/-1! ,; %"% %0; !//5/0:)
!.0! !/ +**;!/ !0 +*+
/0
*0 (S!4%/0!* ! !
%*0!..1,0%+*/ !/!.2% ! !
.!/0
1.
0%+* ! +**;!/
!/ +*/;-1!* !/ #.
2!/
((
*0 !/ +))
#!/ %..;
!),/ !.;,+*/!J 0!),/ S!//!* !)Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS
Les cyber-attaques peuvent provenir de :
– l’intérieur de l’entreprise exploitant le système industriel (menaces internes
du fait de comportements inadaptés des personnels à l’usage des nouvelles
technologies ou d’une malveillance et du fait d’un défaut de gouvernance
augmenté, par exemple, par l’admission et gestion du BYOD et des
connexions WI-FI).
– l’extérieur de l’entreprise : hacktivisme, APT.
Typologie des risques
La typologie de ces risques est résumée dans le tableau ci-dessous.
&
&
"
%
0!
&
&
-
&
(
&
"
%
&
0&
0#
.
0
'
"
%
0
&
-
1
&2-
0
'
0
'
&
&
.
&
&
&
0#0
/ # !
!
.
&
&
&
&
0!
&
"
%
.
0
&
0
.
&
&
'
&
&
"
%.
0&
&
&
&
.
&
&
&
0"
#
&
&
-
$
%
"
%
&
.
&
&
&
!
0
!
&
#
&
!
3
&
&
.
"
%
&
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 15LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Chapitre 2
Typologie des menaces
Les menaces sur les systèmes industriels proviennent aussi bien de phénomènes
naturels, d’actes malveillants et d’accidents, que de procédures irrégulières ou
de défaillances techniques.
Historiquement, ces menaces ne concernaient que les éléments internes
au système industriel en question, notamment les membres du personnel,
l’organisation des exploitants d’installations ou du personnel support technique.
D’autres exemples de menace sur les systèmes industriels sont :
– des vers autonomes qui cherchent au hasard des chemins de propagation ;
– (DDoS) virus (dont les chevaux de Troie) ;
– le terrorisme ;
– les perturbations des services publics ;
– le bruit sur les lignes électriques ;
– les interférences électromagnétiques (EMI) et de fréquences radio (RFT) ;
– la fermeture de l’usine pour l’entretien et démarrage après l’entretien (de
nombreux événements néfastes se produisent pendant l’arrêt et le démarrage) ;
– la mauvaise application de correctifs logiciels ;
– l’interdépendance avec les autres réseaux et les éléments de support
technique.
Moyen d’accès d’une attaque
au système industriel
Aujourd’hui tous les systèmes industriels sont connectés à Internet, aux différents
réseaux d’entreprise, aux réseaux publics commutés de téléphone, aux satellites
et aux systèmes de communication sans fil (Wifi, WiMax). Ainsi, les moyens
d’accès au réseau de contrôle du système industriel les plus communs sont :
– les connexions Internet,
– les réseaux métiers ou réseau d’entreprise,
– les connexions à d’autres réseaux qui contiennent des vulnérabilités,
– les réseaux privés virtuels compromis (VPN),
– les connexions par Backdoor à travers les modems d’accès à distance,
– les connexions sans fil non sécurisés découverts par les utilisateurs de
portables,
– les ports informatiques ouverts, tels que les ports UDP ou TCP qui ne sont pas
protégés ou ouverts inutilement,
– l’authentification faible dans les protocoles et les composants des systèmes
industriels,
– l’hameçonnage de maintenance (maintenance hooks) ou de portes
dérobées (trap doors), qui sont des moyens de contourner les contrôles de
sécurité au cours du développement du système industriel,
– les attaques par débordement de tampon sur les serveurs de contrôle du système
industriel, accessibles par les automates et les interfaces homme-machine.
16 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internetChapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS
Après avoir eu accès au système industriel, l’attaquant cherche à tout prix
à obtenir un certain niveau de contrôle de ses composants, en fonction des
protections associées à chaque composant, à la visibilité de l’attaquant et
aux capacités et intentions de ce dernier.
La réalisation d’une ou plusieurs cyber-menaces au sein d’un système industriel
peut donc avoir des conséquences telles que la divulgation des données
sensibles, des dommages matériels aux biens et aux personnes, des risques de
santé publique et l’atteinte à l’image et à la réputation. C’est pour cette raison
que les problématiques juridiques de la cyber-sécurité des systèmes industriels
doivent être prises très au sérieux.
Chapitre 3 PROBLÉMATIQUES JURIDIQUES
DE LA CYBER-SÉCURITÉ
DES SYSTÈMES INDUSTRIELS
Dans l’objectif de faire un état des problématiques juridiques liées aux systèmes
industriels et à leur cyber-sécurité, il est nécessaire d’envisager les dispositifs
juridiques qui n’ont pas pour l’instant fait l’objet d’une formalisation dans le droit
positif et les normes existantes (« le droit des robots » et « Security by design »). Puis,
les interactions des systèmes industriels avec les objets connectés et également
la problématique récente en droit français liée à la cyber-assurance de ces
systèmes industriels. Enfin, une présentation de l’état du droit positif aussi bien
français, qu’européen et américain est nécessaire afin de comprendre la multitude
des textes applicables et dont la mise en œuvre par les exploitants afin d’être
en conformité avec celles-ci peut s’avérer difficile, d’où l’importance du rôle des
directions juridiques au sein des entités exploitant ces systèmes industriels.
« Le droit des robots »
Un robot peut être défini comme « un appareil effectuant, grâce à un système
de commande automatique à base de micro-processeur, une tache précise pour
(4) Définition de l’ALTIF (Analyse laquelle il a été conçu dans le domaine industriel, scientifique ou domestique »4.
et traitement informatique de la
langue française).
À la différence de l’automate, le robot est doté de capteurs dont les actions sont
décidées par l’intermédiaire de son programme, en fonction de l’environnement.
Les dernières générations des systèmes industriels peuvent être considérées
comme des robots ; à ce titre, il est légitime de s’interroger sur le régime
juridique applicable.
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 17PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3
Les dispositions juridiques existantes applicables aux fabriquants et/ou
fournisseurs des systèmes industriels concernent d’une part le droit des contrats,
à savoir l’article 1603 du Code civil. Le fabriquant et/ou fournisseur du système
industriel est fait débiteur des obligations suivantes :
– mise à disposition du système ;
– délivrance conforme ;
– garantie de jouissance paisible ;
– absence de défaut de la chose vendue.
La prise en compte des différents dispositifs de cyber-sécurité des systèmes
industriels sont donc compris aussi bien dans l’obligation de « délivrance
conforme » du système (conformité par rapport aux diverses normes et
référentiels applicables et aux attentes exprimées dans son cahier des charges)
que dans les obligations de garantie de jouissance paisible (un système industriel
avec des failles de sécurité inhérentes à celui-ci ne permet pas à son exploitant
de disposer paisiblement de ce système) et dans l’obligation d’absence de
défauts de la chose vendue.
De même, le régime de la responsabilité lié aux produits défectueux
(article 1386-1 et suivants du Code civil) peut être invoqué afin d’engager la
responsabilité délictuelle du fabriquant et/ou fournisseur. Il peut également
s’appliquer à l’exploitant du système industriel en cas d’un défaut de sécurité
(informatique) du système qui serait à l’origine d’un dommage aux personnes.
Les dispositions de la Directive 2006/42/CE du 17 mai 2006 (entrée en
application le 29 décembre 2009) relative aux machines, imposent des
exigences de sécurité.
Des réflexions sont actuellement en cours au sein des communautés des
juristes 5 sur le fait d’accorder, ou non, une personnalité juridique (avec des droits (5) Tel est le cas de Maître Alain
Bensoussan cf. l’article « Vers un
et des obligations afférentes) à ces robots qui peuvent, dans leur fonctionnement droit des robots » du 21 avril 2014
(programmés et contrôlés par un humain), prendre des initiatives. Toutefois, et Maître Murielle Cahen.
cette piste de réflexion est confrontée au fait que la jurisprudence refuse de
reconnaître la responsabilité de la machine en raison du défaut de capacité
de discernement. Ainsi est tenu pour responsable l’exploitant qui a le contrôle
du système industriel, gardien de ce dernier, en tant que personne physique
ou morale. Charge à lui, dans un tel cas, d’apporter les preuves qui écartent
sa responsabilité.
« Security by design »
Il apparaît aujourd’hui impératif de prendre en charge la sécurité des
systèmes industriels dès le stade de leur conception, c’est-à-dire dès la rédaction
du cahier des charges et de l’expression des besoins par l’utilisateur final.
Ainsi l’exploitant commanditaire du système industriel en question se doit
d’imposer ses choix, d’exiger l’utilisation des produits certifiés et de prévoir des
clauses « d’audit de fournisseurs ».
18 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internetChapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS
Cette préoccupation doit être également au cœur des négociations
des accords de connexion à internet, des contrats de travail des salariés
des Industries et également lors de la rédaction des Chartes d’Accès à ce
Systèmes industriels connectés à Internet.
Les entreprises administrant des systèmes industriels ne doivent nullement
négliger les avancées des technologies de l’information et de la communication.
Elles doivent intégrer dans leurs analyses des risques les risques et menaces
« involontaires » issues de l’utilisation des dispositifs mobiles, souvent mis à
disposition de l’entreprise par le salarié lui-même. Ainsi la mise en place et/ou
la mise à jour d’une charte régissant l’usage des technologies de l’information
et de la communication par les salariés et par les prestataires externes est
impérative et en tout cas fortement conseillée.
Les rédactions et négociations des contrats portant sur l’acquisition de ces
systèmes industriels connectés à Internet, impliquent d’être vigilant quant au
contenu des articles de confidentialité, sécurité et évolutivité du système,
obligations du fournisseur de conformité réglementaire, audit, responsabilité
et mise en place d’un niveau d’engagements de service (SLA) conforme aux
besoins exprimés dans le cahier des charges.
De même, compte tenu de la vitesse à laquelle évoluent et changent les
cyber-menaces, il est judicieux de ne pas négocier un contrat statique et de
prévoir la possibilité pour l’exploitant du service, en accord avec le fournisseur,
de faire évoluer les dispositions contractuelles et d’adapter ou pallier aux
conséquences de ces évolutions.
Les Systèmes industriels
et les objets connectés
Avec la disponibilité commerciale du cloud computing, les systèmes industriels
ont de plus en plus adopté les technologies de l’Internet des objets. Cette
démarche réduit considérablement les coûts d’infrastructure et augmente la facilité
d’entretien et d’intégration. En conséquence, les systèmes industriels peuvent
désormais transmettre des données en temps quasi réel et utiliser les facteurs
d’échelle autorisés par le cloud computing. Ainsi, des algorithmes de contrôle
plus complexes que ce qui pouvait être fait avec les automates programmables
industriels peuvent être mis en œuvre. En outre, l’utilisation de protocoles de
réseaux ouverts, tels que TLS inhérents à l’Internet des objets, offre un périmètre
de sécurité plus compréhensible et gérable que le mélange hétérogène de
protocoles réseau propriétaires typiques de nombreuses implémentations des
Systèmes industriels décentralisées précédentes.
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 19PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3
La cyber-assurance
des systèmes industriels
Sur les 12 risques majeurs menaçant les entreprises, le cyber-risque occupe
la troisième position. La cyber menace évoluant, des solutions d’assurances
tendent à se développer. La France est cependant en retard sur ce point.
Il est nécessaire pour l’entreprise candidate à l’assurance, afin d’obtenir
un « scoring », d’associer un expert technique à l’assureur. Il réalisera un état
de la maturité organisationnelle de l’entreprise versus l’analyse et le contrôle
opérationnel des cyber-risques. L’assureur devra donc faire la transformation de
l’analyse en probabilité de l’apparition du cyber-risque et déterminer l’impact
sur le patrimoine du client : matériel, production, immatériel.
Aux États-Unis et au Royaume-Uni, plus de 30 % des entreprises ont déjà
souscrit à une police de cyber-risques. Après les récentes attaques chez Sony
ou Target, selon Ponemon, le coût moyen d’une donnée volée est de 145 UD.
L’atteinte à l’image est incluse dans cette évaluation.
Les offres actuelles dans le marché français proposent des garanties couvrant
tous les aspects des cyber-risques à savoir la responsabilité civile, les mesures
palliatives, la gestion de la crise, la communication, les dommages intérêts dus
aux clients et la perte d’exploitation entre autres. En revanche, le terrorisme est
systématiquement exclut.
Le dispositif juridique français
et européen
Le cadre juridique français de la cyber-sécurité
(6) Tableau issu de l’article des
La France dispose d’un arsenal législatif et réglementaire complet pour Mesdames Anne Souvira et
réprimer les cyber-attaques et bien évidement ces dispositions sont applicables Miriam Quéméner « Cyber-
aux attaques des systèmes industriels. Le tableau récapitulatif ci-dessous montre sécurité et entreprises : se protéger
juridiquement et se former ». Sécurité
un aperçu de ces dispositions, jusqu’en 2012. 6 & Stratégie n°11 Décembre 2012.
De même que pour les systèmes d’information « informatiques », il est impératif
de réaliser un recensement des données sensibles de ces infrastructures
contrôlées par un système de commande et contrôle, et tout particulièrement des
données personnelles. En effet, le projet de règlement européen sur les données
personnelles, actuellement en discussion, aura vocation à s’appliquer également
à ces systèmes industriels. L’industriel « exploitant » en tant que « Responsable
du Traitement » au sens de la Loi I&L est responsable en cas de respect des
dispositions applicables. Ainsi les exploitants devront revoir leur façon de traiter
leurs priorités de protection de la confidentialité et de l’intégrité des données,
tout en gardant au premier niveau de priorité la disponibilité du système.
20 © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internetChapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS
Les dispositions européennes et françaises
concernant la cyber-sécurité des OIV
La lutte contre la cybercriminalité étant une priorité européenne, la Commission
européenne a adopté le 07 février 2013 une proposition de directive « visant à
assurer un niveau élevé de sécurité des réseaux et de l’information de l’union ».
Cette proposition de directive a été modifiée et adoptée par le Parlement
européen le 13 mars 2014 et devrait être définitivement adoptée fin 2014.
Les principaux objectifs de la proposition de directive sont de (i) fixer les
obligations des États membres concernant la prévention et la gestion des
risques et incidents aux réseaux et systèmes informatiques, (ii) à faciliter la
coopération entre les États membres pour garantir l’harmonisation des règles
de cyber-sécurité au sein de l’Union européenne et (iii) établir des exigences
en matière de sécurité pour les acteurs du marché, notamment les « opérateurs
d’infrastructure essentielle ».
En effet, en raison de la disparité des niveaux de protection des États membres
en matière de cyber-sécurité, il s’avère impossible d’avoir une coopération et
une collaboration effective au sein de l’Union européenne et la construction
d’une cyber-protection européenne s’avère une chimère.
Parallèlement à l’initiative européenne, la France a voté la Loi de Program-
mation Militaire, le 18 décembre 2013. Elle fixe de nouvelles règles qui
complètent le dispositif présenté ci-dessus. Toutefois, les textes réglementaires
précisant la mise en œuvre de la LMP et le calendrier prévisionnel associé se
font toujours attendre. Ainsi les éléments suivants restent encore en attente :
– les décrets d’application ;
– la déclinaison par typologie d’industrie ;
– la procédure de certification/labellisation de logiciels et matériels de
sécurité compatibles pour les infrastructures critiques ;
– la procédure de certification/labellisation de prestataires habilités à
auditer les OIV ;
– définition d’un incident de sécurité afin de répondre à la section 2 de
l’article 22 qui impose la déclaration des incidents ;
– détails des calendriers d’audit et de ce qui sera exigible en 2014/2015/ et
au-delà, au regard de la loi.
Le comparatif entre les dispositions
américaines, européennes et françaises
applicables aux systèmes industriels
en matière de cyber-sécurité
Les opérateurs exploitant des systèmes industriels peuvent, dans certains
cas, être soumis aussi bien aux dispositions françaises et européennes qu’aux
dispositions américaines concernant la cyber-sécurité. De ce fait, les acteurs
soumis à ces régimes devront rester particulièrement attentifs car la conformité à
l’un de ces régimes ne signifie pas une conformité automatique à l’autre régime ;
de même, ces régimes, aux approches différentes, continueront à évoluer dans
les mois et années à venir.
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 21PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3
Le tableau ci-après présente un comparatif des principales mesures de ces régimes.
)'(+$)'(, $
#
%
&
%
&
()
)'(*!
'()&') &
%)
' 2 !(
! $
)'
&%)
&'(&)()&'' '
'
4!$&()&4
&'(&)()&
'(
)$' (& (
')'()&$&
*! (
$&(0
'' (
, () (
& !)$(
( ,'! (
! (!)
'(&)(
!
')$&
)&;:$&'! '( (&$&
'0) '!
( (&
(&* (
')&
(0
! (
&4
&''( $&
*!)) ' ($)
%)!)
$&!'$&
(
')$&
)&Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS
Les normes internationales applicables
aux systèmes industriels
À ce jour il n’existe pas de standard unique mondial, mais le NERC (North
American Electric Reliability Corporation) comme l’ANSSI ont édité des guides
de bonnes conduites.
En 2013, l’amélioration de la sécurité des réseaux et des systèmes d’information
des infrastructures critiques sont une priorité rendue nationale en France par
l’ANSSI et à l’échelle européenne par l’ENISA.
Aujourd’hui les normes européennes CEI 62443 (ISA99) prennent en compte
les systèmes de management de la sécurité des systèmes de contrôle et
d’automatismes, de normes ISO 27001 et ISO 27002.
Les versions CEI 62443-2-1(2013) définissent un modèle de système de
management de la sécurité ; il contient un catalogue de recommandations pour
la mise en place de politiques et procédures adaptées aux systèmes industriels,
avec une structure selon les 11 chapitres de l’iSO 27002.
Les autres volets de la norme prennent également en compte les exigences
« temps-réel » (priorité aux tâches de contrôle par rapport aux taches de la
sécurité) et de l’organisation du travail avec une logique qui donne la priorité aux
fonctions essentielles de ces systèmes principalement la sécurité fonctionnelle.
Aux États-Unis, le National Institute of Standards and Security (NIST) a publié
le 14 mai 2014, le référentiel américain qui est le pendant du CEI 62443-
2-1 (2013). Il s’agit du « Guide to Industrial Control Systems (ICS) Security »
référence NIST 800-82 qui remplace la précédente version de 2011.
Le rôle de la Direction Juridique
Au-delà des risques potentiels liés aux menaces, cyber, physiques et
opérationnelles, les exploitants de systèmes industriels sont tenus par une
obligation de conformité réglementaire.
Il s’agit d’un ensemble complexe car il concerne d’une part toute la
réglementation/législation applicable verticalement pour chaque type d’industrie
mais aussi les règles d’application horizontale, telles les standards internationaux,
les bonnes pratiques et les principes.
Ces textes sont cependant ambigus et convergent rarement vers un
consensus par rapport aux guides stratégiques ou tactiques d’implémentation.
Les exploitants des systèmes industriels ne sont pas certains de la façon dont
ils doivent agir afin que leur système industriel soit conforme et sécurisé ; ne
sachant pas d’avantage quels sont les principes ou règles qui leur sont réellement
applicables. Ils sont donc témoins d’une multiplication d’interprétations dues
au manque des règles définies.
Toutes ces difficultés ont une conséquence désastreuse lors de la réalisation
d’un audit qui peut s’avérer hors périmètre ou bien entraîner l’application des
© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet 23Vous pouvez aussi lire
