sécurite operationnelle des systèmes d'information volet-1
TRANSCRIPT
SPÉCIALISTE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
Philippe PRESTIGIACOMO - Dirigeant de PRONETIS� Consultant SSI – Lead Auditor 27001 / Risk Manager 27005
� Membre du GREPSSI, OWASP
� Formation en enseignement supérieur (PolyTech’Marseille, CNAM, Luminy)
PRONETIS – www.pronetis.fr� Société indépendante spécialisée en SSI
� Audit – Conseil – Formation – Lutte contre la fraude informatique
1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VOLET 1
2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AGENDA VOLET I
� Module N°1 : Contexte général de lasécurité des systèmes d’information� Analyse du contexte et chiffres clés
� Cybercriminalité
� Déséquilibre attaquant – défenseur
� Compétences & sophistication des attaques
� Origine de la menace – typologies des attaques
� Module N°2 : Problématique spécifique liée à la sécurité des systèmes industriels� Présentation des Systèmes d’information industriel
� Illustration – domaines d’exploitation
� Problématiques
� Exemples de sabotage – Cas de Stuxnet
� Vulnérabilités des systèmes industriels
� Etat des lieux – impacts - constat
� Module N°3 : Principes fondamentaux de la sécurité du système d’information � Principes fondamentaux de la sécurité du système
d’information
� DICP – Disponibilité Intégrité Confidentialité Preuve
� Scenarios génériques de menaces - Statistiques
� Informations / applications à protéger
� Evolution de la sécurité des systèmes d’information
� Relativité de la sécurité – Difficultés de la sécurité
� Pour aller plus loin� Livre
� Magazine
� Articles - Web
3 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
TRAVAIL PERSONNEL
� Sécurité informatique et réseaux - 4eme édition Ghernaouti� Lecture des chapitres suivants
� Chapitre 2 Cybercriminalité : 2.1 à 2.6
� Chapitre 1 Principes de sécurité : 1.1, 1.2
4 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VIDÉO DE LANCEMENT DU COURS
5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ANALYSE DU CONTEXTE ET CHIFFRES CLÉS
CYBERCRIMINALITÉ
DÉSÉQUILIBRE ATTAQUANT – DÉFENSEUR
COMPÉTENCES & SOPHISTICATION DES ATTAQUES
ORIGINE DE LA MENACE – TYPOLOGIES DES ATTAQUES
MODULE N°1 : CONTEXTE GÉNÉRAL DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
66 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ANALYSE DU CONTEXTE ET CHIFFRES CLÉS
7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
QUELQUES CHIFFRES
�73% des entreprises françaises déclarent dépendre de leur outil
informatique (source CLUSIF)
�50% des sociétés qui ont connu un sinistre majeur informatique ont
cessé leur activité dans les deux ans qui ont suivi (source CLUSIF)
� Le risque informatique est un des cinq risques majeurs recensés par l’entreprise (source Protivit)
8 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
QUELQUES CHIFFRES
� Coût estimé de la cybercriminalité et du piratage informatique en
2014 pour les entreprises entre 375 et 575 milliards de dollars par an (source IDC) (1/3 dépensé pour tenter de réparer les dégâts occasionnés)
�91% des entreprises ont subi au moins une cyber attaque en 2014, les autres ignorent qu'elles le sont (Cassidian)
� La plupart des cyber attaques ont pour but le vol de données après vient le sabotage et l’atteinte à l’image
9 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CYBERCRIMINALITÉ
10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
� Qu’est-ce que la cybercriminalité ?� Activité criminelle portant atteinte aux données, au non-respect des droits d'auteur ainsi
que les activités telles que la fraude en ligne, l'accès non autorisé, la pédopornographie et le harcèlement dans le cyberespace.
� Cyber délinquance : individus attirés par l’appât du gain, motivation politique, religieuse, concurrents directs de l’organisation visée…
� Quel est son objectif, ses cibles ?� Gains financiers (accès à de l’information, puis monétisation et revente)� Utilisation de ressources (espace de stockage de films ou autres contenus, botnets) � Chantage, Espionnage
� Quelle est la tendance de la cybercriminalité ?� Les "cyber-attaquants" identifient et affinent leur s approches de façon plus
stratégique , ciblant ainsi leurs victimes de manière plus sélective afin d’améliorer le taux d’infection de leurs attaques (source : Trend Micro)
Kas
pers
ky
Nor
se
11 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CONTEXTE
CYBER-ATTAQUES INDUSTRIELLES
� Piratage du système d’adduction d’eau de Springfield
� Attaque sur différents gazoducs aux états unis en 2012 - Attaque provenant d’un malware en pièce jointe d’un mail
� En 2012, Cyber attaque de la centrale nucléaire Three Mile Island au niveau du système de contrôle commande des pompes de refroidissement
� En 2013, cyber attaque d’un réseau ferroviaire aux états unis occasionnant de nombreux retards.
12 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
http://securid.novaclic.com/cyber-securite-industrielle/cyberloup.html
DÉSÉQUILIBRE ATTAQUANT - DÉFENSEUR
• Principe n°1 : Le défenseur doit défendre tous les points; l’attaquant peut choisir le point le plus faible
• Principe n°2 : Le défenseur ne peut défendre que ce qu’il connaît; l’attaquant peut rechercher des points vulnérables
• Principe n°3 : Le défenseur se doit d’être vigilant en permanence; l’attaquant peut attaquer quand il le veut
• Principe n°4 : Le défenseur doit respecter les règles; l’attaquant peut faire ce qu’il veut
L’avantage de l’attaquant et le dilemme du défenseur :
1313 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
COMPÉTENCES & SOPHISTICATION DES ATTAQUES
1414 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MENACES ET VULNÉRABILITÉS
15 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ATTAQUE - Exploitation concrète d’une vulnérabilité d’un système qui conduit à des conséquences plusou moins grave sur la fonctionnalité ou les données du système.
Typologie des attaques� Attaques génériques
- 30 Millions de nouveaux malwares en 2012› CONFICKER, 2009
� Attaques ciblées- Informatique conventionnelle
› FLAME, 2010› ACAD, 2012› SHAMOON, 2012
- Systèmes industriels› STUXNET, 2010› DUQU, 2011
D’OÙ VIENT LA MENACE ?
1616 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Mauvaise utilisationMalveillance
Ingénierie sociale (Arnaque, Manipulation)
Catastrophes Naturelles
Intrusions, vers
Codes malicieux : Keylogger, botnets, sniffer, …
Données
Rebond, propagation …
Web : Contenu illicites
MENACES ET ATTAQUES : LES TYPOLOGIES
1717 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Idée reçue : Construire une forteresse technique …
• Ce qu’il faut savoir :
– 80% des problèmes de sécurité informatique proviennent de l’intérieur des organisations
– Le maillon faible est humain
– La politique de sécurité informatique n’est jamais définitive
– La sécurité est un ensemble : Il suffit d’un seul élément non sécurisé pour que l’édifice soit vulnérable
Nécessaire mais pas suffisant !
MENACES ET ATTAQUES : LES TYPOLOGIES
Il existe une multitude de critères pour classer les attaques :
� Attaques non techniques� Ingénierie sociale, scam, phishing, loterie …
� Attaques techniques de type � Attaque directe, par rebond, par réflexion ou « man in the middle »
� Attaques en fonction du système utilisé� Infrastructure réseau, système d’exploitation, application
1818 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MENACES ET ATTAQUES : LES TYPOLOGIES
Vue logiques des attaques
Attaques Protocoles
Cross scripting, SQL InjectionMots de passe Force brute/DicoBuffer Overflow, Trojan, Virus, DNS poisoning
Hijacking de session, IP spoofingRejeu, Syn Flood, SmurfScan de ports
ARP cache poisoningEtc..
Déni de service
1919 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MENACES ET ATTAQUES : LES TYPOLOGIES
Vue périmètrique des attaques
2020 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MENACES ET ATTAQUES : LES TYPOLOGIES
21 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Objectif : Attaquer un internaute pour prendre le contrôle de son poste de travail à distance à des fins illicites
Hypothèse : L’attaquant a déjà compromis un serveur Web avec du contenu malveillant qui lui permettra de réaliser son attaque sur une cible finale.
MENACES ET ATTAQUES : LES TYPOLOGIES
2222 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MENACES ET ATTAQUES : LES TYPOLOGIES
2323 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Motivations : argent, puissance• Vol de Données sur l’ordinateur infecté
– Documents, mots de passe, Accès compte bancaires, …– n° de série logiciels, …
• Deni de Service– Quelques centaines de machines peuvent rendre indisponible un site de commerce (consommation de
bande passante, saturation de ressources, panne de système ou application)
Exemples :– Au Kentucky, des sites web inaccessibles pendant une semaine car refus de payer 10.000 $– Angleterre, des casinos en ligne se sont vus proposer une « protection » contre 50.000 $/an– En 2008 : 190 000 attaques par DoS pour un gain de 20 millions de dollars.
• SPAM
– env. 70% des Spam sont envoyé à partir de machines zombies– en 2008 : $80 par millions de spam envoyé
– Des botnets sont « loués » pour l’envoi de Spam (Entre 2,5 & 6 cents par bot par semaine )(- forums de SpecialHam.com, Spamforum.biz)
Constats : Guerre des gangs sur Internet
PAUSE-RÉFLEXION
Avez-vous des questions ?
24 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
25 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Déséquilibre attaquant –défenseur
Analyse du contexte et chiffres clés
CybercriminalitéDéséquilibre attaquant –défenseur
Origine de la menace –
typologies des attaques
MODULE N°2 : PROBLÉMATIQUE SPÉCIFIQUE LIÉE À LA SÉCURITÉ DES
SYSTÈMES INDUSTRIELS
26 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRÉSENTATION DES SYSTÈMES D’INFORMATION INDUSTRIEL
ILLUSTRATION – DOMAINES D’EXPLOITATION
PROBLÉMATIQUE
EXEMPLES DE SABOTAGE - CAS DE STUXNET
VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS
ETAT DES LIEUX
SYSTÈME D’INFORMATION INDUSTRIEL
� Les systèmes d’automatisme ou systèmes de contrôle industrielsont utilisés pour de multiples applications� Usine classique : chimie, agro, automobile, pharma, production d’énergie…
� Sites plus vastes : traitement de l’eau, des réseaux de transport…
� Gestion de bâtiment (aéroport, hôpitaux…)
� Propulsion de navire
� Santé : biomédicale, laboratoire d’analyse …
Les systèmes industriels contrôlent les infrastructurescritiques depuis les réseaux électriques au traitement del'eau, de l'industrie chimique aux transports. Ils sontprésents partout.
27 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ÉVOLUTION
� Historiquement� Systèmes d’information industriels basées sur des technologies propriétaires et
isolées du monde extérieur
� Protection des accès physiques jugée suffisante, la sécurité logique n’étantpas une préoccupation majeure
� Aujourd’hui� Systèmes basés sur des technologies répandues, ouvertes et standardisées
� Communication directe établie entre les systèmes d’information industriels etles systèmes d’information de gestion de l’entreprise
Cette évolution des techniques expose ces systèmes auxmenaces actuelles qui ciblent les systèmes d’informationde gestion
28 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CARACTÉRISTIQUES DES SYSTÈMES INDUSTRIELS
� Disponibilité
� Durée de vie des équipements
� Multiples technologies et fournisseurs
� Couvertures géographiques
� Effets indésirables de la mise en œuvre de la sécurité
� Interconnexion au système d’information de gestion del’entreprise
� Télémaintenance
La sécurisation des systèmes industriels passent par lacompréhension de leurs spécificités et de leurscontraintes
29 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ARCHITECTURE TYPIQUE
30 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Combinaison du monde industrielavec le monde informatique
COMPOSANTS D’UN SYSTÈME INDUSTRIEL
� Automate Programmable Industriel (API ou PLC) : Dispositif électronique programmable destiné à la commande de processus in dustriels.
� Actionneur : Organe fournissant la force nécessaire à l'exécutio n d'un travail ordonné par une unité de commande distante (vérin, moteur, …)
� Contrôle-commande : Système numérique de contrôle commande (SNCC) Systè me d’automatisme et de composants d’interface qui perm et à l’exploitant de contrôler son installation.
� Capteurs : Dispositif transformant l'état d'une grandeur physi que observée en une grandeur utilisable.
� IHM (Interface Homme Machine) : Moyens et outils mis en œuvre, afin qu'un humain puisse contrôler et communiquer avec une machine.
� Pré-actionneur : Système permettant de distribuer l'énergie vers un actionneur.
� Bus terrain
� Logiciel de supervision et de contrôle : SCADA
� Logiciel de gestion de production assistée par ordi nateur ( GPAO, MES)
� Logiciel d’ingénierie et maintenance
� Système embarqués
31 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ILLUSTRATION - AUTOMATE
32 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SYSTEME INDUSTRIEL
Régulation et automatismeMots(millisecondes)API, DCS, HMI, poste de conduite
SupervisionElaboration des ordres - calculateur de process -
Pilotage historisation -gestion des processus industriels (MES)
Fonctions centralesfinance, compta, info centre
33 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Niveau 0Capteur et ActionneurBits (microsecondes)Systèmes embarqués
SYSTEME INDUSTRIEL
34 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ILLUSTRATION D’ARCHITECTURE INDUSTRIELLE ÉTENDUE
35 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ILLUSTRATION D’ARCHITECTURE INDUSTRIELLE LOCALISÉE
36 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ILLUSTRATION : TRAITEMENT DE L’EAU
37 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DOMAINES D’EXPLOITATION
Industrie Transports Energie Défense
38 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DISPONIBILITE
� Au sein de ces installations, les automatismes assurent� Le bon fonctionnement / les délais de production
� La sécurité des biens et personnes
� La conformité avec les exigences réglementaires sur l’environnement
� La conformité avec les exigences réglementaires en terme qualité (traçabilité notamment)
L’arrêt même momentané peut avoir desconséquences graves sur la sécurité des personnes.
39 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DUREE DE VIE
� Entre 10 et 15 ans selon la machine
� Fonctionne 24h/24 et 7j/7
� Peu ou pas d’arrêt de maintenance
Difficultés pour le support et des pièces de rechangeDifficultés de mettre régulièrement à jour les équipements
40 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MULTIPLES TECHNOLOGIES - FOURNISSEURS
� Installation hétérogène : cohabitation de technologies et de générations différentes
� Modification ou extension des installations
� Fenêtre technologique entre 15 à 20 ans
Difficultés pour déployer une même solution de sécurité sur l’ensemble des équipements
41 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ENVIRONNEMENTS
� Des conditions environnementales extrêmes :� Atmosphère humide, poussiéreuse, explosive, corrosive
� Température
� Pression
� Chocs et vibrations
� Radiations
Difficultés de trouver des produits informatiques de sécurité répondant aux critères environnementaux.
42 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
GÉOGRAPHIE
Difficulté de sécuriser chaque siteBesoin croissant en télémaintenance
43 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
� Installation très étendue� Site industriel avec des superficies importantes : 15.000 à 20.000 m²
� Réseaux nationaux avec des filiales disposant d’une grande autonomielocale
� Multiples sites interconnectés
� Nécessité pour certains systèmes de disposer d’accès à distance viaInternet - Equipements connectés sur Internet afin de faciliter leurexploitation
INTERVENANTS – CULTURE SÉCURITÉ
� Interlocuteurs avec des cultures et sensibilités différentes� Électroniciens, automaticiens, qualiticiens
� Absence de formation ou de sensibilisation à la sécurité
� Turn-over important du personnel en production � Intérimaire - Sous-traitant
� Quid de la confidentialité des données sur les postes SCADA – recette de fabrication….
Difficulté de maitriser l’ensemble des intervenants. Ilfaut comprendre le métier et les problématiques, savoirdialoguer avec l’ensemble des interlocuteurs.(automaticiens et informaticiens).
44 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PROTOCOLES
� Protocoles ouvert ou propriétaires� Protocoles historiques non IP / non Ethernet (industrial ethernet,
modbus-tcp, profinet, DNP3)
� Sans authentification, ni chiffrement des données transportées
� Absence de gestion des transactions en mode connecté
Nécessité d’avoir des équipements de filtrage compatiblesDifficultés de trouver des produits de sécurité répondant aux critères
45 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SÉCURITÉ EMBARQUÉE ET SÉCURITÉ RÉSEAU
� Ressources limitées Versus fonctions de sécurité embarquées dans les systèmes� Filtrage des flux : Pare-feu
� Temps de réponse courts Versus équipements de filtrage réseau
� Sondes de détection d’intrusion (HIDS / HIPS)
� Filtrage des flux : Pare-feu
� Compatibilité protocolaire� Inspection des paquets en profondeur
Difficultés d’embarquer des fonctions de sécuritéévoluées L’équipement de filtrage doit être compatibleavec les protocoles en présence.
46 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SÉCURITÉ RÉSEAU VERSUS MAILLAGE DU RÉSEAU
� Communication pair à pair et non client-serveur� Tous les équipements communiquent entre eux
� Le dysfonctionnement d’un équipement peut entrainer un dysfonctionnement du système entier - Tous sont critiques
Il est alors nécessaire de protéger chaque équipement.Ce qui peut être long et coûteux
47 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CORRECTIFS DE SÉCURITÉ – PATCH MANAGEMENT
� Durée de déploiement incompatible avec les contraintes de productivité� Nombreux équipements à des distances variables
� Durée de déploiement importante
� Risque d’indisponibilité� Effets inattendus entrainant un disfonctionnement partiel ou total
� Peu de possibilité de déploiement� Peu d’arrêts planifiés
Le contexte industriel laisse peu de créneaux temporelspour déployer les patchs de sécurité.
48 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CONTRÔLE D’ACCÈS LOGIQUE
� Temps de réaction� En situation de crise la contrainte du contrôle d’accès peut faire perdre
du temps
� Ambiance peu propice à la biométrie� Graisse, port de gant, masques, …
� Compatibilité sur l’ensemble de l’installation� Technologies et générations de machines différentes
Le contrôle d’accès pourrait être source de stress et deperte de temps.
49 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ANTIVIRUS
� Risque d’indisponibilité des processus , chaines de fabrication � Faux positif entrainant la suppression / Mise en quarantaine d’un fichier
essentiel
� Conséquences multiples : perte de visualisation / contrôle du système decontrôle-commande, arrêt de fonctionnement automatisé du système
� Difficulté pour mettre à jour la base virale� A cause du cloisonnement des réseaux de gestion et industriels, la mise à
jour peut être complexe
L’architecture antivirale à déployer doit prendre encompte les ressources disponibles sur les automates etles postes de pilotage.
50 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SURVEILLANCE
� Difficultés pour se connecter à tous les équipements� Protocoles propriétaire
� Technologies différentes
� Traçabilités des informations� Absence de fonctionnalité de journalisation embarquée
� Compétences � Analyse des événements dans le périmètre
Difficultés d’analyser les évènements provenant d’unsystème industriel. Pour cela, il est nécessaire d’avoir descompétences en sécurité et en automatisme industriel.
51 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
INCIDENTS MARQUANTS AVANT STUXNET
52 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EXEMPLES DE SABOTAGE
� 2005 : Vers Zotob, arrêt de 13 usines d’assemblage de véhicules (E-U). 50000 ouvriers au chômage technique et plus de 10M$ de perte d’exploitation
� 2007 : Des salariés prennent le contrôle du système de signalisation des feux en Californie provoquant de graves perturbations
� 2007 : Bombe logique d’un employé sur un système de contrôle d’irrigation des eaux d’un barrage en Californie.
� 2007 : Erreur de commande et contamination accidentelle des eaux de ville du Michigan (hydroxyde de sodium pour le Ph), des dizaines de victimes.
� 2008 : Arrêt d’urgence du réacteur nucléaire de la centrale de Hatch � Cause : MAJ d’un PC bureautique utilisé aussi pour la supervision.� Bilan : 2 jours d’arrêt
� 2008 : Détournement par un adolescent du système de contrôle de trafic des trams de la ville de Lódz en Pologne, et déraillement de 4 wagons.� Bilan : plusieurs blessés.
53 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EXEMPLES DE SABOTAGE
� 2009 : New Jersey, USA : Erreur informatique su système de sécurité … inondations (aurait pu être causée par une attaque informatique)
� 2010 : Stuxnet : 1er ver découvert qui espionne et reprogramme des
systèmes industriels . Attaque les systèmes SCADA de procédés
industriels. 4 pays majoritairement touchés : Iran, Indonésie, Inde,
Pakistan- But : sabotage
� 2011 : Duqu : ver ciblant les usines d’armement, centrales nucléaires, usines chimiques
� 2011 : PoisonIvy : cheval de Troie ciblant le secteur automobile, militaire, chimie� Les prisons sont gérées par des systèmes de contrôle industriels, les mêmes
que ceux utilisés dans les centrales électrique et installations de traitement de l’eau .
54 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CAS DE STUXNET : QUELLE ÉTAIT LA CIBLE ?
55 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Le Siemens Organization Block 35 (processwatchdog) est modifié par Stuxnet – Il gèredes opérations critiques qui requièrent destemps de réponse inférieurs à 100 ms
La cible pourrait être la centralede Bushehr, en construction maisaussi des centrifugeuses sur lesite de Natanz
Famille de PLC SIEMENS concernée :6ES7-417 et 6ES7-315-2 -> cibles complexes !* multiples ProfiBus * Puissance CPU
FOURNISSEURS DE MATÉRIELS
56 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
� Siemens – Gamme Simatic Step7
� Leader sur les plate-formes pétrolières offshore
� Leader sur les PLC en environnement industriel
� General Electric – Gamme Fanuc
� Leader sur les réseaux électriques
� Allen-Bradley/Rockwell Automation
� Areva – Gamme e-terracontrol
� Acteur majeur sur les réseaux électriques
� Autres
Schneider ElectricsOmronMitsubishi
0 5 10 15 20 25 30 35
Toshiba
Fuji
Hitachi
Moeller
GE Fanuc
Omron
Schneider
Mitsubishi
Alleb-Bradley
Siemens
General Electric Fanuc Rockwell
%
SYSTÈMES À BASE D’OS TEMPS RÉEL
57 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
58 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS
Source : http://www.cvedetails.com/
General Electric
Vulnérabilités par typeVulnérabilités par année
Siemens :
VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS
Vulnérabilités intrinsèques aux systèmes industriel s
� Peu de prise en compte de la sécurité lors des phases de conception,d’installation, d’exploitation et de maintenance
� Automates et composants industriels en production avec desconfiguration par défauts et mots de passe par défaut
� Informations accessibles – les manuels techniques sont disponiblesassez facilement- avec les mots de passe par défaut.
� Une culture et une expérience des opérationnels différentes du mondeinformatique : Connexion à l’Internet et ignorance de la menaceextérieure
� Des opérateurs non formés à la sécurité informatique
59 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CE QUE L’ON OBSERVE SUR LE TERRAIN
60 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Personnel non sensibilitéAux enjeux / risques
Virus – erreur dedonnéesMauvaise configuration
Pare-feu & intrusion
Console de programmation Infectée – modificationapplication API
Virus – envoi aléatoire de requêtes Modbus
Mot de passeAdmin par défaut
OS APINon à jour
Opérateurs de maintenancenon formés
Pas de cartographiedes flux API
Clé USB infecté
ATTAQUE D’UN RÉSEAU INDUSTRIEL
61 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Scénario 1 : Si les équipements sont sur le même réseau, on peut les attaquer simultanément par exemple en mettant en panne l’API (automate programmable industriel) de sureté (mesure certains paramètres et agit en cas de problème) et on causera un accident via l’API de pilotage. Scénario 2 : L’attaque consiste à corrompre les données envoyées de A à B pour mettre en panne l’automate de sûreté.
ETAT DES LIEUX : ORGANISATION DE LA SECURITE
� Responsable sécurité rattaché � Production (le plus souvent)
� Département technique
� Hygiène Qualité Sécurité et Environnement (HQSE)
� Maintenance
� Services généraux
Responsabilités variables et diffuses des systèmes informatiques et de leur sécurité
62 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ETAT DES LIEUX : ETUDE AREVA – EURIWARE 2010
Un retour d’expérience sur une cinquantaine d’industriels français montre le manque de maturité en sécurité des systèmes d’information industriels.
63 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
IMPACTS
� Dommages matériels et/ou corporels� Responsabilité civil ou pénale
� Pollution � Impact environnemental
� Pollution du site de production et de l’environnement
� Perte de chiffre d’affaire� Interruption de la production
� Modification des paramètres de fabrication
� Vol de données� Perte de secret de fabrication,
� Avantage pour la concurrence
64 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
APPROCHE SÉCURITÉ
� Difficultés d’appliquer les standards de sécurité dessystèmes d’information de gestion
� Une approche différente à construire pour les systèmesd’information industriels « tout en adaptant les recettesexistantes de sécurité »
La gestion du risque, la maîtrise des techniques desécurisation deviennent des compétencesindispensables pour les entreprises dans les secteursindustriels.
65 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PAUSE-RÉFLEXION
Avez-vous des questions ?
66 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
67 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Présentation des Systèmes d’information
industriel
Illustration –domaines
d’exploitation
Exemples de sabotage – Cas
de Stuxnet
Vulnérabilités des systèmes industriels -
AttaquesProblématiques
Etat des lieux –impacts - constat
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ DU SYSTÈME D’INFORMATION
DICP – DISPONIBILITÉ – INTÉGRITÉ CONFIDENTIALITÉ - PREUVE
SCENARIOS GÉNÉRIQUES DE MENACES - STATISTIQUES CLUSIF 2014
INFORMATIONS / APPLICATION À PROTÉGER
EVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
MODULE N°3 : PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ DU SYSTÈME D’INFORMATION
68 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
� Sécurité générale : protection des biens et des personnes
« Une protection adéquate dépend de la valeur des biens à protéger. »
� 4 niveaux de mesures de sécurité :� Prévention: Empêcher vos biens d’être endommagés.
� Ex: Serrures sur toutes les portes
� Détection: Se rendre compte que vos biens ont été endommagés, comment et par qui
� Ex: Système d’alarme sur une maison, vidéo surveillance
� Réaction: Recouvrir vos biens ou réparer le dommage causé par leur perte.
� Ex: Appeler la police, Assurance, Véhicule de prêt
� Reprise : reprendre le fonctionnement normal
� Ex : Voiture retrouvée ou réparée
69 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
Les aspects fondamentaux de la sécurité du système d’information :
� Confidentialité : Propriété d’une information qui n’est ni disponible, ni divulguée aux personnes,entités ou processus non autorisés ISO 7498-2 (1989). AFNOR
� Disponibilité : Propriété d’être accessible et utilisable sur demande par une entité autorisée. Ladisponibilité est une des quatre propriétés essentielles qui constituent la sécurité. ISO 7498-2(1999). AFNOR
� Intégrité : Propriété des données dont l’exactitude et la cohérence sont préservées à travers toutemodification illicite. Prévention de toute modification non autorisée de l’information ISO/IEC IS2382-8 (1998) . AFNOR.
� Auditabilité Capacité pour une autorité compétente, à fournir la preuve que la conception et lefonctionnement du système et de ses contrôles internes sont conformes aux exigences de sécuritéGarantir une maîtrise complète et permanente sur le système et en particulier pouvoir retracer tousles évènements au cours d’une certaine période. AFNOR
Continuité Fiabilité
DISPONIBILITE
Exactitude Inaltérabilité
INTEGRITE
Contrôle d'accès Non divulgation
CONFIDENTIALITE
Preuves Contrôles
AUDITABILITE
Les Risques: les atteintes et impacts
70 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
71 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
Vue de quelques acteurs du système d’informationEntreprise
LAN / station de travail
Environnement
Informatique et télécom
Equipements
de sécurité
Fournisseur
d’accès
Fournisseurs de services
- Opérateurs Télécom
- Hébergeurs,
- Paiement sécurisé,
- Sites de sauvegarde et secours
Environnement
Général : EDF
Intervenants
en amont
dans la conception
et la réalisation
des environnements
Personnel
Serveurs
Prestataires
de services
infogérance
72 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
QUE VOULONS-NOUS PROTÉGER ?
Quels sont les enjeux ? Que doit-on protéger ?� L'information stockée
� La disponibilité de l’information
� La diffusion de l’information (le transport)
� L’intégrité de l'information
� L'accès aux services externes : serveur Web…
� L'accès aux services internes : serveur Intranet de la Communication
� La « vie privée » de l'entreprise
� L’image de marque de l’entreprise
……
7373 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Attention à ne pas se disperser…
MÉTHODOLOGIE
74 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Liste des biens sensibles
Liste des menaces et modes opératoires
Listes des impacts et probabilités
Liste des contre-mesures
1 : Quoi protéger et pourquoi ?
2 : De quoi se protéger ?
3 : Quels sont les risques ?
4 Comment protéger l’entreprise ?
ORDONNANCEMENT DES ACTIONS
75 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Recenser les actifs numériques
Évaluation des risques–Intégrité & Confidentialité des données,–Disponibilité du SI–Détournement d’activité, Image de Marque,–Sanctions pénales
Mettre en place les protections et préventions
Formaliser les procédures et méthodologies
Mettre en place les contrôles et surveillances
Formaliser un plan de reprise
Effectuer une veille technologique lié à la sécuris ation
APPROCHE NORMATIVE ET ANALYSE DE RISQUES
Analyser les risques de votre système d’information (méthode EBIOS, norme ISO 27005)
Suivre les recommandations et les bonnes pratiques de sécurité issues des normes de sécurité – Normes ISO 27xxx ( Exemple : norme ISO-27001 et 27002), Normes IEC 62443-XX ( Exemple : normes ISO-62443-2 ISO-62443-3, ISO-62443-4)
7676 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
…d’où la nécessité d’avoir une approche méthodologique ettransversale pour cadrer la démarche de sécurisation devotre système d’information
QUE VOULONS-NOUS PROTÉGER ?
RISQUE = POTENTIALITE x IMPACT
Description d’un Evènement et sa conséquence : MenaceDescription de sa cause et de son origine : Mode Opératoire
Probabilité d'occurrence Gravité des conséquences
directes et indirectesfonction
du contexte et des mesures de sécurité en place.
Période, Localisation Activité, Enjeux commerciaux, Equipements, organisation humaine, ennemis potentiels,…
Préventions et DissuasionsProtections, Palliatifs et transfert
7777 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
78 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Source : Denis Virole Telindus et Jean-Louis Brunel
DÉCLINAISON DES BONNES PRATIQUES
79 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Source : Jean-Louis Brunel
Détection d’intrusionCentralisation des logsAudit / Tests intrusifs
Cours 3A Cours 4A
VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ
80 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Anti-virus• Anti-Spyware,• Anti-rootkids• …
• Détecter les vulnérabilités• Appliquer les Correctifs
• Sondes IDS• Analyse des traces
•Supervision, Veille,•Surveillance
• Firewall• Compartimenter le réseau et les systèmes
• Sécuriser et certifier les échanges (VPN / Mails chiffrés)
• Former et sensibiliser les utilisateurs• Consignes en cas d’attaque ou de doutes
• Mise en œuvre de procédures de sécurité• Plan de continuité
•Sauvegarde et protection des supports•Redondance des systèmes
• Classifier les données• Analyse de risques• Protéger des données• Accès restrictifs
Gestion de la sécurité (non exhaustif)
Données
•Protéger et isolerles réseaux sans fil
RELATIVITÉ DE LA SÉCURITÉ
« The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards - and even then I have my doubts. »
— Eugene H. Spafford ,http://www.cerias.purdue.edu/homes/spaf/quotes.html
De la relativité de la sécurité :
81 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES 3 FACETTES DE L’OBTENTION DE LA SÉCURITÉ
82 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LA SÉCURITÉ EST UN PROCESSUS CONTINU
• La sécurité ne se met pas en œuvre en une seule fois• Elle fait partie intégrante du cycle de vie du système• Il s’agit d’un processus itératif qui n’est jamais fini et doit
être corrigé et testé régulièrement
La sécurité n’est pas une activité ponctuelle :
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés83
« La sécurité absolue est inatteignable, c’est un voyage, pas une destination »
LES DIFFICULTÉS DE LA SÉCURITÉ
� Les usagers ont des besoins spécifiques en sécurité informatique, mais en général ils ont aucune expertise dans le domaine� L’utilisateur ne sait pas ce qu’il veut, c’est à l’expert en sécurité de
comprendre ses besoins et de mettre en œuvre les moyens adéquates
� Performance et confort d’utilisation Versus Sécurité� Les mécanismes de sécurité consomment des ressources
additionnelles� La sécurité interfère avec les habitudes de travail des usagers
� Ouverture vers le monde extérieur en constante progression� Les frontières de l’entreprise sont virtuelles ex : télémaintenance
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés84
LES DIFFICULTÉS DE LA SÉCURITÉ
� Centre de coût versus centre de profit� La justification des dépenses en matière de sécurité n’est pas évidente� Le retour sur investissement en sécurité est un exercice parfois difficile
� La sécurité n’est pas une fin en soi mais résulte d’un compromis entre :- un besoin de protection ;- le besoin opérationnel qui prime sur la sécurité (coopérations,
interconnexions…)- les fonctionnalités toujours plus tentantes offertes par les technologies
(sans fil, VoIP…)- un besoin de mobilité (technologies mobiles…)- des ressources financières et des limitations techniques
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés85
PAUSE-RÉFLEXION
Avez-vous des questions ?
86 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
87 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Principes fondamentaux
de la sécurité du
système d’information
DICP –Disponibilité –
intégrité confidentialité
- preuve
Informations / applications à
protéger
Evolution de la sécurité
des systèmes d’information
Scenarios génériques de
menaces -statistiques
Relativité de la sécurité –
Difficultés de la sécurité
Vue d’ensemble des mesures de
sécurité et bonnes
pratiques
POUR ALLER PLUS LOIN
� Livre
� Sécurité informatique et réseaux - 4eme édition de Solange Ghernaouti (Auteur) édition DUNOD
� Magazine
� MISC N°74 - Sécurité des Systèmes d’information Industriels� http://boutique.ed-diamond.com/ (revue MISC)
� Web
� www.ssi.gouv.fr – Sécurité des systèmes industriels� Portail de la sécurité informatique - http://www.securite-informatique.gouv.fr
� Rapport du Sénateur Bockel sur la Cyberdéfense - http://www.senat.fr/rap/r11-681_mono.html
� www.clusif.fr
88 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIN DU VOLET
MERCI POUR VOTRE ATTENTION
89 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés