Les audits sécurité de Systèmes d’Information Industriels en production décèlent des vulnérabilités sévères dues à des erreurs de conception. Certaines de ces erreurs auraient été évitables à faible coût avant la mise en production du système mais peuvent s’avérer difficiles voire impossibles à corriger ensuite.
Nous verrons ici comment les recettes cybersécurité (et particulièrement les Site Acceptance Tests) peuvent permettre d’éviter cet écueil en renforçant la cybersécurité durablement et à faible coût.
Du design à la mise en opération, quelle place pour la cybersécurité ?
Lorsqu’un opérateur industriel souhaite contrôler un nouveau procédé (ou remplacer un système de contrôle existant), il fournit ses spécifications à un fournisseur. Ce dernier adapte généralement un système de son catalogue et le livre à l’opérateur qui le met en opération. Souvent, le fournisseur devient ensuite le mainteneur du système.
La cybersécurité est historiquement peu prise en compte dans la commande/livraison d’un tel système. Bien que les enjeux de disponibilité et de sûreté soient historiquement très présents, les cahiers des charges ne contiennent que peu ou pas d’exigences de cybersécurité.
En conséquence : les fournisseurs de systèmes industriels sont habitués à livrer des systèmes « sur étagère » adaptés a minima aux besoins des opérateurs et ne sont pas tous disposés à écouter de telles exigences.
Parmi les grands types de vulnérabilités rencontrées sur des SI Industriels en production (et dues à des erreurs avant leur mise en production) on trouve :
- Des interfaces opérateurs dont il est possible de s’échapper et permettant d’accéder au système d’exploitation
- Une absence d’antivirus ou des antivirus inopérants
- Des versions Windows bientôt (ou déjà) obsolète au moment de la livraison
- Des flux ouverts directement entre le WAN et le système industriel avec des plages de ports très larges
- Des ports USB accessibles physiquement sur les stations de conduite
- Des températures de fonctionnement très hautes et pas de climatisation entrainant des pannes matérielles à répétition
- Une configuration NTP hétérogène entre les équipements rendant les journaux d’historisation inexploitables
- Un manque de résistance/durcissement au flooding. En cas de charge réseau trop élevée, la totalité du système peut dysfonctionner.
- Un modem (ou un routeur ADSL) de maintenance connecté directement sur le SI Industriel au lieu de l’utilisation des moyens standards sécurisés de connexions distantes du client
Ce dernier type de vulnérabilité peut exposer un système industriel directement sur Internet : https://icsmap.shodan.io/
Recette cybersécurité
Le processus de recette cybersécurité est calqué sur les processus de tests d’acceptance déjà bien connus des opérateurs :
- Documentation : Rédaction d’un ensemble d’exigences de cybersécurité (et des tests associés) et fourniture en annexe du cahier des charges au fournisseur. Ce document doit aussi décrire les conditions de déroulement des deux étapes suivantes : les FAT et SAT.
- Factory Acceptance Tests (FAT) : Le fournisseur réalise l’ensemble des tests décrits dans ses locaux sous la supervision éventuelle de l’opérateur. Un compte-rendu des tests est formalisé et rendu à l’opérateur.
- Site Acceptance Tests (SAT) : L’opérateur réalise lui-même les mêmes tests sur le système une fois livré sur site et avant sa mise en production. Il s’agit notamment de vérifier que les tests échoués lors de la FAT ont été corrigés. Les sites industriels n’ayant pas toujours la capacité technique de réaliser ces tests, l’opérateur peut envoyer une délégation représentant le RSSI accompagné éventuellement d’une prestation d’audit.
- Mise en production : Une fois la SAT effectuée, le fournisseur corrige les derniers écarts éventuellement constatés avant la mise en production du système.
Quelles exigences de cybersécurité et quels tests réaliser ?
Les exigences et les tests associés sont à adapter fortement selon l’opérateur, les exigences réglementaires et le système industriel concerné (taille, enjeux métier …). Les principaux sujets à traiter sont les suivants :
- Revue de la documentation : Un ensemble de documents relatifs à la cybersécurité doit être livré avec le système. L’existence et le contenu de ces documents sont à valider avec le fournisseur. Durant la SAT, ces documents serviront aussi de base afin de vérifier la conformité de l’existant aux spécifications.
Les principaux documents attendus sont les suivants : analyse de risques du système dans son environnement, plan de gestion d’incident informatique (en bonne intégration avec les plans de réponse du site), schémas et inventaire réseau, procédures de maintenance, spécification fonctionnelle et spécifications de design détaillées. - Tests de tous les équipements (ou d’un échantillon représentatif) incluant : serveurs, commutateurs réseau, pare-feux, contrôleurs, automates et stations de travail. Il s’agit ici de contrôler la conformité de la configuration de ces équipements aux spécifications du fournisseur en matière de configuration des systèmes d’exploitation, des comptes utilisateurs, du BIOS, du matériel (ports USB, lecteurs physiques …) et des protocoles réseau. L’existence et le bon fonctionnement de la redondance des connexions réseaux et des alimentations électriques peut aussi être vérifiée à cette occasion.
- Tests spécifiques de cybersécurité : Toujours dans l’optique de vérifier la conformité de l’existant aux spécifications du fournisseur, l’opérateur peut conduire des tests techniques de cybersécurité. Il s’agit d’une occasion parfois unique d’effectuer des tests difficiles à envisager sur un environnement en production. Attention toutefois à ne pas endommager les équipements les plus fragiles (automates et contrôleurs).
Des Scans IP (de type Nmap) ainsi que des scans de vulnérabilités (de type Nessus) peuvent être effectués pour vérifier : la conformité de l’architecture aux spécifications/inventaire, l’absence d’équipement et de services inutiles ou dangereux et l’absence de vulnérabilités.
Le durcissement des équipements peut aussi être testé : tests de résistance au flooding (de type hping3 –flood), de fonctionnement des antivirus (de type EICAR), de l’impossibilité d’échapper à des des interfaces opérateurs.
Enfin, il est envisageable de vérifier le changement de tous les mots de passe par défaut (contrôleurs de domaine, comptes locaux, équipements télécoms…) en utilisant des outils d’extraction des empreintes et de cassage des mots de passe (de type samdump2 et WaveCrack).
Conclusion
La mise en place systématique de tests d’acceptance de cybersécurité peut permettre à un opérateur industriel une amélioration sensible et durable de son niveau de cybersécurité sur le périmètre industriel. La correction d’erreurs faites avant la mise en opération est un gain évident en termes de coût et de sécurité.
Cependant, les plus grands bénéfices de la mise en place de ces tests résultent généralement de la formalisation d’exigences de cybersécurité avec un cadre de contrôle par le client à destination du fournisseur. Introduire la cybersécurité durant l’appel d’offre et la tester au moment de la recette peut permettre de hisser la cybersécurité au côté des enjeux bien connus de disponibilité et de sûreté afin d’y répondre de manière collaborative et adéquate.
Nicolas NOEL