Présentation
EnglishRÉSUMÉ
La cybersécurité des installations industrielles et des systèmes d'Internet des objets industriels est une problématique très importante. Les systèmes sont de plus en plus interconnectés et les attaques sont de plus en plus nombreuses. Les conséquences peuvent être dramatiques. Cet article explique les spécificités de ces systèmes et décrit leurs principales vulnérabilités. Puis il passe en revue les principales normes et guides avant de présenter les méthodes et solutions techniques qui permettent de mettre en œuvre une démarche de maîtrise des risques.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Jean-Marie FLAUS : Professeur - GSCOP, Université Grenoble Alpes, Grenoble
INTRODUCTION
Dans le monde actuel, beaucoup de systèmes physiques sont pilotés par des systèmes informatiques. La quasi-totalité des systèmes industriels, les systèmes de distribution d’eau et d’énergie, les systèmes de transport ou même les appareils du quotidien sont dans ce cas. Ces systèmes sont de plus en plus interconnectés via Internet et sont donc une cible importante d’attaques informatiques malveillantes. Les conséquences peuvent aller d’un arrêt de production ou une perte de service, dans le cas d’un site de fabrication ou d’une infrastructure de distribution d’énergie électrique, à la mise en jeu de la vie humaine dans le cas d’un site chimique à risque ou d’un véhicule.
Le projet Aurora, en 2007, a démontré qu’une modification logicielle pouvait entraîner la destruction physique d’une installation. Peu de temps après, en 2010, le célèbre virus Stuxnet a entraîné la destruction des installations iraniennes de séparation d’uranium.
Cette menace est donc réelle, et la maîtrise de ce cyber-risque par les opérateurs d’infrastructures critiques, les exploitants d’installations industrielles et les fabricants de produits devient incontournable. Elle l’est d’autant plus que les pouvoirs publics ont commencé à mettre en place une réglementation comme la directive NIS qui s’applique à partir de 2018.
Cependant, la cybersécurité des installations industrielles pose des problèmes spécifiques par rapport aux systèmes informatiques de traitement de l’information.
En effet, les contraintes de fonctionnement sont différentes, le cycle de vie est plus long, ce qui nécessite une prise en compte de l’existant, les équipements sont très hétérogènes et la culture des intervenants n’est pas la même que dans le monde informatique.
Pour aider les industriels dans leur démarche, différentes instances de normalisation et instituts en charge de la sécurité numérique ont proposé des normes et des guides. Une des plus importantes normes est la IEC 62443, élaborée par l’ISA.
Dans cet article, après avoir détaillé les spécificités des installations industrielles et leurs principales vulnérabilités, nous présentons les principales approches et les solutions méthodologiques et techniques pour gérer les risques liés à la cybersécurité.
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Cybersécurité : attaques et mesures de protection des SI > Cybersécurité des installations industrielles - SCADA et Industrial IoT > Architecture des systèmes de contrôle industriel (ICS)
Accueil > Ressources documentaires > Environnement - Sécurité > Technologies de l'eau > Eau : propriétés, qualité, valeurs d'usage > Cybersécurité des installations industrielles - SCADA et Industrial IoT > Architecture des systèmes de contrôle industriel (ICS)
Accueil > Ressources documentaires > Technologies de l'information > Réseaux Télécommunications > Internet des objets > Cybersécurité des installations industrielles - SCADA et Industrial IoT > Architecture des systèmes de contrôle industriel (ICS)
Accueil > Ressources documentaires > Automatique - Robotique > Automatique et ingénierie système > Systèmes d'information et de communication > Cybersécurité des installations industrielles - SCADA et Industrial IoT > Architecture des systèmes de contrôle industriel (ICS)
Accueil > Ressources documentaires > Génie industriel > Conception et Production > Qualité et sécurité des systèmes industriels > Cybersécurité des installations industrielles - SCADA et Industrial IoT > Architecture des systèmes de contrôle industriel (ICS)
Cet article fait partie de l’offre
Sécurité et gestion des risques
(477 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
3. Architecture des systèmes de contrôle industriel (ICS)
3.1 Composants d’un système de contrôle industriel
En termes d’architecture, nous pouvons différencier plusieurs classes de système. Tout d’abord les installations industrielles, qui peuvent peut-être relativement localisées (usine de production) ou s’étendre sur un territoire (distribution d’eau ou d’énergie par exemple). Une seconde catégorie est constituée par les systèmes embarqués (transport par exemple), qui peuvent être connectés entre eux ou à un centre de supervision. Ces deux types d’architecture sont en train de converger vers un « Internet des objets industriels ».
Les systèmes de contrôle industriel (ICS) se composent :
-
d’une part, d’un système de traitement de l’information, proche d’un système classique, composé de postes de travail, de serveurs et d’équipements réseau, d’imprimantes, de systèmes de stockage et de sauvegarde ;
-
et d’autre part, d’un ensemble d’équipements spécifiques qui permettent de recevoir des grandeurs mesurées, d’agir sur le système physique, et d’interagir avec les opérateurs ; on trouve par exemple dans cette catégorie les automates programmables (PLC), les capteurs et les actionneurs.
Très souvent, ces éléments sont exploités par des logiciels spécifiques, comme les logiciels SCADA (Supervisory control and data acquisition), les logiciels d’historisation qui stockent les évolutions des variables ou les ateliers de programmation des automates.
Par rapport aux systèmes informatiques classiques, les systèmes de contrôle industriels doivent répondre à un certain nombre de contraintes spécifiques, comme l’aspect temps réel imposé par le système physique ou la durée de vie.
Pour désigner les ICS, on rencontre les termes DCS (systèmes de contrôle distribué) ou SCADA (Supervisory Control and Data Acquisition), le premier terme étant plutôt réservé aux systèmes provenant d’un fournisseur unique, le second aux systèmes constitués d’appareils et de logiciels de différents fabricants et mis en place par un intégrateur. Le terme « IACS » a été proposé par l’ISA dans les années 2000 et a été repris sous une forme simplifiée, « ICS », dans le guide NIST 800-82 en 2008. Cette nouvelle dénomination rend progressivement...
Cet article fait partie de l’offre
Sécurité et gestion des risques
(477 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Architecture des systèmes de contrôle industriel (ICS)
BIBLIOGRAPHIE
-
(1) - WILLIAMS (T.J.) - A Reference Model for Computer Integrated Manufacturing from the Viewpoint of Industrial Automation. - IFAC Proceedings Volumes. 23 (1990). http://281-291. 10.1016/S1474-6670(17)51748-6
-
(2) - The State of Industrial Cybersecurity 2017 – - Kaspersky Lab, Global Report, Accessed March 2018. https://go.kaspersky.com/rs/802-IJN-240/images/ICS%20WHITE%20PAPER.pdf
-
(3) - Fortinet Q4 2017 Threat Landscape Report, Threat Landscape Report Q2 2017’. - Fortinet. Accessed March 2018. https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/threat-report-q4-2017.pdf
-
(4) - DIFFIE (W.), HELLMAN (M.) - New directions in cryptography. - Information Theory, IEEE Transactions on. 22 (6) : 644 (1976). http://doi :10.1109/TIT.1976.1055638
-
(5) - FLAUS (J.-M.) - Risk Analysis : Socio-technical and Industrial Systems, - John Wiley & Sons (2013).
-
...
DANS NOS BASES DOCUMENTAIRES
NORMES
-
Series of standards on Industrial Automation and Control Systems Security. - ISA/IEC 62443 -
-
Functional safety of electrical/electronic/programmable electronic safety-related systems - EC 61508-1 - 2010
-
Industrial communication networks – Network and system security – Part 1-1 : terminology, concepts and models - CEI/TS 62443-1-1 - 2009
-
Industrial communication networks – Network and system security – Part 2-1 : establishing an industrial automation and control system security program - CEI 62443-2-1 - 2010
-
Industrial communication networks – Network and system security – Part 3-1 : security technologies for industrial automation and control systems - CEI/TR 62443-3-1 - 2009
-
Security for industrial automation and control systems – Part 4-1 : secure product development lifecycle requirements - CEI 62443-4-1 - 2018
-
Automates programmables – Partie 3 : langages de programmation - NF EN 61131-3 -
-
...
ANNEXES
Seveso III, Directive 2012/18/EU of the European Parliament and of the Council of 4 July 2012 on the control of major-accident hazards involving dangerous substances, amending and subsequently repealing Council Directive 96/82/EC,
NIS, Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union
NIS, loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité
LPM, Loi de programmation militaire 2014-2019, chapitre IV : « Dispositions relatives à la protection des infrastructures vitales contre la cybermenace »
Annexe JORF n° 0145 du 23 juin 2016 https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000032749532&categorieLien=id
GDPR, Regulation (EU) 2016/679 of the European Parliament and of the Council 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
HAUT DE PAGEOrganismes – Fédérations – Associations (liste non exhaustive)
ANSSI (Agence nationale de la sécurité des systèmes d’information) https://www.ssi.gouv.fr...
Cet article fait partie de l’offre
Sécurité et gestion des risques
(477 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive