2.1 - Systèmes étudiés
2.2 - Sécurité de l’information

3 - ARCHITECTURE DES SYSTÈMES DE CONTRÔLE INDUSTRIEL (ICS)

3.1 - Composants d’un système de contrôle industriel
3.2 - Modèle de Purdue ou PERA

4.1 - Différentes catégories d’attaques
4.2 - Exemples d’attaque des ICS

Tableau 1 - Quelques attaques sur les ICS

5 - VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS

5.1 - Spécificités des ICS

Tableau 2 - Différences IT/OT
5.2 - Les vulnérabilités des ICS

6 - LES PRINCIPAUX GUIDES ET NORMES

6.1 - La famille 27000
6.2 - La norme IEC 62443

Figure 9 - Zones et conduit
6.3 - La démarche proposée par l’ANSSI

7 - LES ASPECTS RÉGLEMENTAIRES

8 - CYBERSÉCURITÉ ET SÛRETÉ DE FONCTIONNEMENT

9 - MÉTHODES ET OUTILS D’ANALYSE

9.1 - Principe de défense en profondeur
9.2 - Méthodes d’analyse des risques des systèmes d’information

Figure 15 - Matrice de risques
9.3 - Analyse des risques des systèmes cyberphysiques

Figure 18 - Diagramme nœud papillon Figure 19 - Cyber noeud papillon Tableau 3 - Table d’analyse préliminaire des risques Tableau 4 - Exemple de niveaux d’impact (d’après IEC 62443)

10 - DÉMARCHE GÉNÉRALE POUR SÉCURISER UN ICS

10.1 - Introduction

Figure 20 - Structure du NIST Framework
10.2 - Identifier les biens
10.3 - Évaluation du risque
10.4 - Sécurisation des aspects organisationnels et humains
10.5 - Sécurisation physique
10.6 - Sécurisation du réseau
10.7 - Sécurisation des machines
10.8 - Sécurisation des accès logiques
10.9 - Détection d’incident, réponse et récupération

11 - SOLUTIONS TECHNIQUES

11.1 - Outils d’inventaire
11.2 - Pare-feu industriel
11.3 - Data diode

Figure 21 - Data diode optique
11.4 - IDS

12 - CONCLUSION

13 - GLOSSAIRE

Bibliographie & annexes

Article de référence | Réf : S8257 v1

Solutions techniques
Cybersécurité des installations industrielles - SCADA et Industrial IoT

Auteur(s) : Jean-Marie FLAUS

Date de publication : 10 nov. 2018

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Présentation

En anglais

RÉSUMÉ

La cybersécurité des installations industrielles et des systèmes d'Internet des objets industriels est une problématique très importante. Les systèmes sont de plus en plus interconnectés et les attaques sont de plus en plus nombreuses. Les conséquences peuvent être dramatiques. Cet article explique les spécificités de ces systèmes et décrit leurs principales vulnérabilités. Puis il passe en revue les principales normes et guides avant de présenter les méthodes et solutions techniques qui permettent de mettre en œuvre une démarche de maîtrise des risques.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Cybersecurity of Industrial Control Systems. SCADA and Industrial IoT

Cybersecurity of industrial facilities and Internet of Things systems is a very important issue. Systems are increasingly interconnected and attacks are becoming more numerous. The consequences can be dramatic. This article explains the specifics of these systems and describes their main vulnerabilities. Then, it reviews the main standards and guides before presenting the methods and technical solutions that make it possible to implement a risk management approach.

Auteur(s)

Jean-Marie FLAUS : Professeur - GSCOP, Université Grenoble Alpes, Grenoble

INTRODUCTION

Dans le monde actuel, beaucoup de systèmes physiques sont pilotés par des systèmes informatiques. La quasi-totalité des systèmes industriels, les systèmes de distribution d’eau et d’énergie, les systèmes de transport ou même les appareils du quotidien sont dans ce cas. Ces systèmes sont de plus en plus interconnectés via Internet et sont donc une cible importante d’attaques informatiques malveillantes. Les conséquences peuvent aller d’un arrêt de production ou une perte de service, dans le cas d’un site de fabrication ou d’une infrastructure de distribution d’énergie électrique, à la mise en jeu de la vie humaine dans le cas d’un site chimique à risque ou d’un véhicule.

Le projet Aurora, en 2007, a démontré qu’une modification logicielle pouvait entraîner la destruction physique d’une installation. Peu de temps après, en 2010, le célèbre virus Stuxnet a entraîné la destruction des installations iraniennes de séparation d’uranium.

Cette menace est donc réelle, et la maîtrise de ce cyber-risque par les opérateurs d’infrastructures critiques, les exploitants d’installations industrielles et les fabricants de produits devient incontournable. Elle l’est d’autant plus que les pouvoirs publics ont commencé à mettre en place une réglementation comme la directive NIS qui s’applique à partir de 2018.

Cependant, la cybersécurité des installations industrielles pose des problèmes spécifiques par rapport aux systèmes informatiques de traitement de l’information.

En effet, les contraintes de fonctionnement sont différentes, le cycle de vie est plus long, ce qui nécessite une prise en compte de l’existant, les équipements sont très hétérogènes et la culture des intervenants n’est pas la même que dans le monde informatique.

Pour aider les industriels dans leur démarche, différentes instances de normalisation et instituts en charge de la sécurité numérique ont proposé des normes et des guides. Une des plus importantes normes est la IEC 62443, élaborée par l’ISA.

Dans cet article, après avoir détaillé les spécificités des installations industrielles et leurs principales vulnérabilités, nous présentons les principales approches et les solutions méthodologiques et techniques pour gérer les risques liés à la cybersécurité.

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.

+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.

De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

MOTS-CLÉS

Infrastructures critiques cybersécurité industrielle scada internet des objets industriel

KEYWORDS

Critical Infrastructures | industrial cybersecurity | scada | industrial internet of things

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-s8257

CET ARTICLE SE TROUVE ÉGALEMENT DANS :

Accueil > Ressources documentaires > Technologies de l'information > Réseaux Télécommunications > Internet des objets > Cybersécurité des installations industrielles - SCADA et Industrial IoT > Solutions techniques

Accueil > Ressources documentaires > Environnement - Sécurité > Technologies de l'eau > Eau : propriétés, qualité, valeurs d'usage > Cybersécurité des installations industrielles - SCADA et Industrial IoT > Solutions techniques

Accueil > Ressources documentaires > Automatique - Robotique > Automatique et ingénierie système > Systèmes d'information et de communication > Cybersécurité des installations industrielles - SCADA et Industrial IoT > Solutions techniques

Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Cybersécurité : attaques et mesures de protection des SI > Cybersécurité des installations industrielles - SCADA et Industrial IoT > Solutions techniques

Accueil > Ressources documentaires > Environnement - Sécurité > Sécurité et gestion des risques > Menaces et vulnérabilités : protection des sites industriels > Cybersécurité des installations industrielles - SCADA et Industrial IoT > Solutions techniques

Cet article fait partie de l’offre

Conception et Production

(139 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

Page
suivante

Conclusion

En anglais

11. Solutions techniques

Aux solutions classiques, logicielles et matérielles, existant pour la sécurisation des systèmes informatiques, il existe des outils spécifiques aux ICS présentés dans cette section.

11.1 Outils d’inventaire

Réaliser l’inventaire des différents postes, serveurs et équipements est une tâche qui peut être fastidieuse et sujette à erreur. Dans le monde IT, il existe des outils capables de recenser les postes et les applications installées. Dans le monde OT, cela n’est pas toujours possible car les systèmes d’exploitation des équipements, qui peuvent être anciens ou limités en fonctionnalités, ne le permettent pas.

Un certain nombre d’outils réseau peuvent toutefois être utilisés, comme arp-scan. Par ailleurs, il faut savoir que des outils commerciaux, dotés d’une interface graphique commencent à voir le jour.

HAUT DE PAGE

11.2 Pare-feu industriel

La fonction technique fondamentale de tout pare-feu de réseau est de filtrer les paquets de la communication TCP/IP. Il est configuré en définissant des règles, qui peuvent par exemple utiliser les adresses source, les adresses de destination ou les numéros de port. Le pare-feu inspecte chaque paquet qu’il reçoit afin de déterminer si celui-ci satisfait les règles. On pourra par exemple bloquer le trafic qui ne provient pas d’une source définie. Un pare-feu s’utilise à la frontière d’une zone. Les règles peuvent limiter le trafic avec un seul serveur, ou avec uniquement les postes de maintenance.

Dans le cas des systèmes industriels, il existe des pare-feux réalisant l’inspection du contenu du paquet et qui sont capables de reconnaître les protocoles industriels comme Modbus. On parle de « deep packet inspection ». Il est alors possible d’utiliser des règles pour filtrer les trames envoyées ou reçues de l’automate, comme limiter les valeurs d’une commande à un seuil. Un certain nombre de produits commerciaux implémentent ces fonctionnalités.

HAUT DE PAGE

11.3 Data diode

Une data diode (également appelée « passerelle unidirectionnelle »,...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.

+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.

De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Conception et Production

(139 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Solutions techniques

Page
précédenteDémarche générale pour sécuriser un ICS

Page
suivante

Conclusion

BIBLIOGRAPHIE

(1) - WILLIAMS (T.J.) - A Reference Model for Computer Integrated Manufacturing from the Viewpoint of Industrial Automation. - IFAC Proceedings Volumes. 23 (1990). http://281-291. 10.1016/S1474-6670(17)51748-6
(2) - The State of Industrial Cybersecurity 2017 – - Kaspersky Lab, Global Report, Accessed March 2018. https://go.kaspersky.com/rs/802-IJN-240/images/ICS%20WHITE%20PAPER.pdf
(3) - Fortinet Q4 2017 Threat Landscape Report, Threat Landscape Report Q2 2017’. - Fortinet. Accessed March 2018. https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/threat-report-q4-2017.pdf
(4) - DIFFIE (W.), HELLMAN (M.) - New directions in cryptography. - Information Theory, IEEE Transactions on. 22 (6) : 644 (1976). http://doi :10.1109/TIT.1976.1055638
(5) - FLAUS (J.-M.) - Risk Analysis : Socio-technical and Industrial Systems, - John Wiley & Sons (2013).
...

DANS NOS BASES DOCUMENTAIRES

Normes ISO 2700x : vers la gouvernance de la sécurité des systèmes d’information

NORMES

Series of standards on Industrial Automation and Control Systems Security. - ISA/IEC 62443 -
Functional safety of electrical/electronic/programmable electronic safety-related systems - EC 61508-1 - 2010
Industrial communication networks – Network and system security – Part 1-1 : terminology, concepts and models - CEI/TS 62443-1-1 - 2009
Industrial communication networks – Network and system security – Part 2-1 : establishing an industrial automation and control system security program - CEI 62443-2-1 - 2010
Industrial communication networks – Network and system security – Part 3-1 : security technologies for industrial automation and control systems - CEI/TR 62443-3-1 - 2009
Security for industrial automation and control systems – Part 4-1 : secure product development lifecycle requirements - CEI 62443-4-1 - 2018
Automates programmables – Partie 3 : langages de programmation - NF EN 61131-3 -
...

1 Réglementation

Seveso III, Directive 2012/18/EU of the European Parliament and of the Council of 4 July 2012 on the control of major-accident hazards involving dangerous substances, amending and subsequently repealing Council Directive 96/82/EC,

NIS, Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union

NIS, loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité

LPM, Loi de programmation militaire 2014-2019, chapitre IV : « Dispositions relatives à la protection des infrastructures vitales contre la cybermenace »

Annexe JORF n° 0145 du 23 juin 2016 https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000032749532&categorieLien=id

GDPR, Regulation (EU) 2016/679 of the European Parliament and of the Council 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)

HAUT DE PAGE

2 Annuaire

Organismes – Fédérations – Associations (liste non exhaustive)

ANSSI (Agence nationale de la sécurité des systèmes d’information) https://www.ssi.gouv.fr...

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.

+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.

De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Conception et Production

(139 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS