SCI : Protection des systèmes d'infrastructures critiques

Tandis que le monde est de plus en plus interconnecté, la sécurité des Systèmes de contrôle industriels (SCI) est devenue primordiale, en particulier dans les secteurs d'infrastructures critiques tels que la fabrication, l'énergie et les services publics. Ces systèmes, autrefois isolés et exploités sur des réseaux propriétaires, s'intègrent désormais plus profondément aux technologies informatiques avancées, ce qui apporte des gains d'efficacité significatifs mais également de nouvelles vulnérabilités.

Simon Park

Un article de

Simon Park
Consultant en Cyber Sécurité et Management du Risque
Publié le
May 13, 2024
mis à jour le
temps
min
Cybersécurité SCI - C-Risk

Évolution du SCI et nouveaux défis

Cet article explore les défis et l'évolution de la sécurité des SCI, en mettant en lumière le passage de systèmes isolés à des réseaux interconnectés vulnérables aux cybermenaces sophistiquées. Il souligne la nécessité de mesures de cybersécurité robustes, discute de l'impact des cyberincidents majeurs et présente cadres et contrôles stratégiques visant à renforcer la résilience de ces systèmes essentiels.

 

La sécurisation et le soutien des Systèmes de contrôle industriels (SCI) représente un défi depuis longtemps et pour de nombreuses organisations. Au tout début de la technologie SCI, des composants tels que Contrôleurs logiques programmables (CLP), les capteurs et les appareils ignoraient parfaitement l'existence de l'infrastructure informatique et fonctionnaient sur des réseaux et des « bus » propriétaires tels que Profibus ou Modbus ou Genius Bus ou DeviceNet et ControlNet (FactoryTalk) de fournisseurs tels que Siemens, GE, Rockwell et autres. Une grande partie de la logique était contenue dans les CLP et les premiers systèmes de gestion d'usine de type terminal, tels que Dextralog, sont apparus dans les années 1970.

 

Dans les années 1980, l'explosion du marché des PC et des microserveurs a marqué un tournant. Cela a conduit à un changement majeur dans les SCI avec le passage à un système basé sur PC Interfaces homme-machine (IHM) et sur serveur de Contrôle de supervision et acquisition de données systèmes (CSAD), puis les Systèmes d'exécution de la fabrication (SEF) qui a fait partie du 4th révolution industrielle.

 

Bien entendu, le CLP a reçu plus de CPU et des passerelles Ethernet ont été ajoutées à la technologie de bus, mais l'humble API a tout de même suivi son jeu d'instructions de base sans authentification des transactions (à ne pas confondre avec la connexion CLP locale). Sans le savoir, nous nous sommes retrouvés dans une véritable tempête, un peu comme les épidémies que l'humanité a connues lorsque l'homme a colonisé le monde. Les frontières naturelles physiques et logiques ou les points de rupture entre l'informatique et la Technologie Opérationnelle (TO) au début ne nous protégeaient plus aujourd'hui. N'oubliez pas non plus que le cycle de vie de la TO durait plus de vingt ans, alors que l'informatique dure au maximum cinq à sept ans, le changement était donc inévitable.

 

Changements technologiques et implications en matière de sécurité

La technologie opérationnelle était contrôlée par la technologie informatique, et les systèmes ERP en amont contrôlaient la planification des usines et les informations sur les recettes, et les contrôleurs financiers, les marchés, les opérations et une myriade d'autres personnes souhaitaient visualiser et exploiter les données de ces systèmes TO. Les appareils portables sans fil tels que les terminaux de données radio et même les tablettes industrielles sont apparus, de sorte que l'environnement TO est également devenu mobile.

 

Pendant tout ce temps, les fabricants de ces systèmes d'automatisation ont mis beaucoup de temps à certifier leurs produits sur les nouvelles technologies, car les systèmes d'exploitation open source et commerciaux progressaient rapidement sur les cycles de publication complets et delta. Les utilisateurs ou consommateurs de la technologie se sont retrouvés confrontés à des objectifs contradictoires; leurs systèmes ont été validés par les régulateurs et autorisés, rendant ainsi toute modification presque impossible sans revalidation. Les fabricants n'ont tout simplement pas réussi à suivre le rythme et à certifier leurs produits sur Delta ou sur les nouvelles versions des familles de plateformes qu'ils prenaient en charge. Il n'est donc pas surprenant que le personnel de support informatique et TO ait dû faire face à ce dilemme, ce qui signifie que les vulnérabilités n'ont pas été corrigées et qu'elles se sont de plus en plus appuyées sur le contrôle fragile de "entrefers", c'est-à-dire la séparation physique entre l'Entreprise et la TO. C'était idéaliste mais, en vérité, une erreur. Les défis ne concernaient pas seulement l'intégrité des produits et les points de contrôle critiques, mais également les systèmes de sécurité. La première et la plus célèbre attaque parrainée par l'État, Stuxnet, a détruit de nombreuses centrifugeuses de l'usine iranienne d'enrichissement d'uranium de Natanz en les faisant brûler en dépassant les seuils de régime maximum des centrifugeuses.

 

Alors que les tourniquets et les cartes magnétiques constituaient initialement des barrières physiques efficaces pour sécuriser les zones sensibles, l'évolution rapide de la technologie a compliqué leur efficacité. La sophistication des systèmes intégrés, notamment avec l'essor de l'Internet des objets (IdO), génère désormais de grandes quantités de données en temps réel. Cette complexité, associée aux difficultés logistiques et financières liées à l'assistance sur site, lorsqu'il n'est plus possible d'attendre qu'un ingénieur se déplace à l'étranger pour effectuer des diagnostics et des réparations, a poussé de nombreuses organisations à adopter des solutions cloud plus agiles. De plus, en tant que Planification des ressources d'entreprise les systèmes (PRE) ont migré vers le cloud et les appareils mobiles ont commencé à fournir des données personnalisées en temps réel, les mesures de sécurité physique traditionnelles étant devenues inadéquates. Ces développements ont entraîné un changement naturel mais critique dans la façon dont les organisations abordent la sécurité de leurs technologies opérationnelles.

À mesure que les systèmes industriels se numérisaient de plus en plus, la séparation physique traditionnelle entre les réseaux des technologies de l'information (TI) et des technologies opérationnelles (TO), connue sous le nom d'espace aérien, s'est transformée en un concept virtuel. Des technologies réseau avancées telles que les réseaux locaux virtuels (VLAN), le routage et le transfert virtuels (VRF) et les pare-feux ont été mises en œuvre pour créer un accès réseau segmenté et contrôlé. En outre, des outils de gestion des accès privilégiés utilisant la technologie des boîtes de dialogue, ainsi que des API, des intergiciels et des courtiers de messages tels que MQ, ont été intégrés pour améliorer les protocoles de sécurité. Cependant, ces mesures ont également coïncidé avec des risques accrus liés aux initiés équipés d'appareils portables tels que des smartphones, des tablettes et des appareils portables dotés d'options de connectivité telles que le Wi-Fi, le Bluetooth et la NFC, nécessitant tous des connexions USB pour le chargement. Ce mélange de commodité et de connectivité présentait de nouvelles vulnérabilités, compliquant considérablement le paysage de la sécurité.

Les évaluations de contrôle ne sont pas simplement un exercice de conformité

La quantification des cyberrisques peut vous aider à prendre des décisions éclairées quant à la hiérarchisation des contrôles.

Menaces et réponses modernes

L'impact des cybermenaces sur les systèmes industriels a été à la fois dramatique et dévastateur. Les attaques de logiciels malveillants et de rançongiciels très médiatisées telles que Stuxnet, Eternal Blue, Petya, NotPetya et WannaCry illustrent cette nouvelle réalité.

Bien que toutes ces cybermenaces ne parviennent pas à combler le fossé entre les environnements informatiques des entreprises et les systèmes de technologie opérationnelle (TO), les conséquences sont uniformément graves, allant du déni de service à l'arrêt complet des opérations, entraînant des pertes financières importantes. Ces incidents sont bien documentés, les grandes entreprises étant confrontées à des répercussions financières considérables : le géant pharmaceutique Merck a subi une perte de 870 millions de dollars; FedEx a enregistré un revers de 400 millions de dollars ; l'entreprise de construction française Saint-Gobain a subi une perte de 384 millions de dollars ; la compagnie maritime danoise Maersk a été touché 300 millions de dollars ; la société de snacks Mondelēz a subi une perte de 188 millions de dollars ; et le fabricant britannique Reckitt Benckiser a enregistré une perte de 129 millions de dollars.

Ces chiffres ne sont pas simplement des chiffres abstraits, mais ils nous rappellent de manière frappante l'impact tangible des cybermenaces. Au-delà des pertes commerciales, les secteurs des infrastructures critiques, tels que la santé, la production d'électricité et la distribution de gaz, ont également été considérablement perturbés à l'échelle mondiale, ce qui souligne le risque omniprésent que ces menaces font peser à la fois sur la stabilité économique et la sécurité publique.

Les défis posés par les cybermenaces aux systèmes de contrôle industriels sont non seulement bien documentés, mais ils évoluent en permanence, affectant à la fois les marques mondialement reconnues et les infrastructures critiques. En réponse, les principales autorités en matière de cybersécurité ont développé et affiné divers cadres de contrôle pour aider les organisations à renforcer leurs défenses. Parmi celles-ci, citons la norme NIST SP 800-82 pour la sécurité des systèmes de contrôle industriels, les directives de l'ENISA sur la protection des systèmes de contrôle industriels et la famille de normes ISO 15745 axée sur l'intégration de dispositifs industriels en réseau.

 

Récemment, l'Institut SANS a contribué à cet ensemble de connaissances avec la publication de "Les cinq contrôles critiques de cybersécurité SCI", un ensemble de mesures de sécurité fondamentales spécialement adaptées aux besoins des environnements de SCI. Ces contrôles sont conçus pour hiérarchiser les actions qui réduisent considérablement les risques et améliorent les capacités de réponse :

 

Contrôle n° 1 : Plan de réponse aux incidents spécifique au SCI

Une stratégie de réponse aux incidents sur mesure qui répond aux défis opérationnels et de sécurité uniques posés par les environnements SCI.

Contrôle n° 2 : Architecture défendable

La création d'une architecture réseau qui limite intrinsèquement la propagation des violations et permet de contenir efficacement les menaces.

Contrôle n° 3 : Visibilité et surveillance du réseau SCI

Mettre en œuvre des outils et des pratiques qui fournissent des informations en temps réel sur l'activité du réseau afin de détecter les menaces potentielles et d'y répondre rapidement.

Contrôle n° 4 : Accès à distance sécurisé

Mettre en place des solutions d'accès à distance sécurisées et contrôlées pour garantir la sécurité et l'intégrité du fonctionnement du système en cas d'accès depuis l'extérieur du réseau.

Contrôle n° 5 : Programme de gestion des vulnérabilités basé sur les risques

Une approche proactive de la gestion des vulnérabilités qui hiérarchise les risques en fonction de leur impact potentiel sur l'environnement SCI.

Ces contrôles constituent un cadre stratégique destiné à aider les organisations à renforcer leur posture de cybersécurité face à un paysage de menaces persistantes et évolutives.

Quantification cyber et gestion des risques

Outre les contrôles critiques, la quantification des risques cyber propose une méthodologie permettant d'établir un coût financier pour les scénarios de risque et fournit une justification plus convaincante par rapport aux méthodes qualitatives pour les décideurs lorsqu'ils investissent dans des contrôles.

Une approche quantitative permet aux organisations de prendre des décisions éclairées et fondées sur des données concernant les contrôles de cybersécurité à mettre en œuvre en fournissant une analyse financière claire des scénarios de risque.

Les experts en cybersécurité et en gestion des risques de C-Risk utilisent la norme Open FAIRTM d'analyse des risques et la norme de taxonomie des risques. À l'aide du cadre FAIR, il est possible de mapper des scénarios de risque quantifiés aux cadres de contrôle afin d'établir des seuils financiers significatifs pour les décisions fondées sur les risques dans les domaines de contrôle SANS SCI ainsi que d'autres cadres de contrôle.

Si vous souhaitez en savoir plus, planifier un appel avec un expert de C-Risk.

Dans cet article
Utilisez la CRQ pour une meilleure prise de décision

Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.

Articles associés

En savoir plus sur les cyber-risques, les attaques par ransomware, la conformité réglementaire et la cybersécurité.