CYBERSÉCURITÉ : LE CHAÎNON À NE PAS MANQUER

LA MISE EN RÉSEAU DES SYSTÈMES, LES LIAISONS LOCALES MAL MAÎTRISÉES ET LES CONNEXIONS À DISTANCE NON SÉCURISÉES AUXQUELLES S’AJOUTENT DES TECHNOLOGIES TOUJOURS PLUS STANDARDISÉES CONTRIBUENT LARGEMENT À LA VULNÉRABILITÉ CROISSANTE DES SYSTÈMES DE CONTRÔLE INDUSTRIELS. IL EXISTE HEUREUSEMENT DES SOLUTIONS QUI AMÉLIORENT LA CONNAISSANCE DE L’INFRASTRUCTURE, LA SURVEILLENT ET CONTRÔLENT SES POINTS D’ACCÈS.
Voir l'article en PDF

La sécurisation du système d’information industriel est impossible si le réseau informatique général est ouvert aux quatre vents puisque les échanges entre ces deux infrastructures ne peuvent que s’intensifier à l’avenir. Si les recettes miracles n’existent guère, les bonnes pratiques et les moyens permettant de fiabiliser et de sécuriser un réseau Ethernet sont connus : mise en place de compte d’utilisateurs sur tous les postes de travail, utilisation généralisée d’antivirus, déploiement d’un annuaire centralisé de type LDAP permettant de gérer les droits d’accès via une authentification forte, échanges de données cryptées avec les logiciels et les applications sensibles, installation de pare-feu d’inspection approfondie à tous les points critiques, mise en place de mécanismes de contrôle strict des ports USB, traçabilité des connexions internes et externes, etc. Les actions à conduire dans le système d’information industriel recouvrent différentes démarches. La première à mettre en œuvre va consister à obtenir une vue d’ensemble exhaustive de tout ce qui entre dans sa constitution. A cette fin, il faut être en mesure de recenser les équipements actifs et d’identifier leurs correspondants sur le réseau, de classifier et qualifier les différents types d’échange, de vérifier la validité des protections d’accès de toutes les terminaisons ou encore, de recenser et qualifier tous les points d’entrées aboutissant dans le réseau industriel.

Et bien sûr, une fois que toutes ces informations auront été collectées, il conviendra de les référencer dans un serveur qui d’une part, témoignera de la constitution du système d’information industriel mais donnera aussi, une image de ce qu’est son fonctionnement normal en régime de croisière. Ce dernier point peut servir de pilier à la surveillance du réseau industriel en fournissant une référence à laquelle se rapporter afin de qualifier si un fonctionnement semble suspect. L’un des meilleurs exemples que l’on puisse donner d’une solution de recensement adapté aux systèmes industriels est la plateforme ICS Cybervision de la société Sentryo. Des sondes passives supportant l’immense majorité des protocoles industriels courants, identifier en quelques heures les composants fonctionnels jusqu’à fournir une véritable carte du réseau en place. A partir de sa base de données, le serveur Sentryo va alors permettre d’identifier les configuration inappropriées (mot de passe par défaut, point d’accès non protégé, etc.) et matérialiser l’état des échanges entre les terminaisons pour garantir l’intégrité du système industriel en identifier les actions potentiellement suspectes.

SURVEILLER LES POINTS D’ACCÈS

Destiné à servir de point d’entrée et de sortie d’un réseau, le pare-feu reste l’un des éléments majeurs d’une défense en profondeur efficace et le premier rempart pour stopper les attaques ou ralentir leur progression. La fonction principale d’un pare-feu est de bloquer les flux non autorisés. Tout autre service que le pare-feu est également capable de rendre comme la détection d’intrusion, le routage avancé ou la traduction d’adresses IP, n’est en réalité qu’une fonction secondaire. Une observation préalable s’impose : un pare-feu qui ne serait pas spécialement conçu pour tenir compte de la spécificité des flux échangés dans, et à destination d’un Ethernet de qualification industrielle, ne saurait ici convenir. Le second constat d’importance est qu’il est indispensable que chaque point d’entrée et de sortie du réseau soit équipé d’un dispositif de protection. Comme son équivalent dédié au réseau Ethernet bureautique, un pare-feu spécialement étudié pour les réseaux industriels va proposer l’administration de ses fonctions de filtrage et de gestion des paramètres de sécurité. Il se doit aussi d’être compatible avec les contraintes industrielles et surtout, il doit supporter une gamme de protocoles suffisamment étendues (Modbus, S7, DNP3, OPC UA, Ethernet/IP, IEC 104…) pour couvrir les besoins d’une majorité d’installations.

La fonction la plus attendue d’un pare-feu industriel de nouvelle génération, reste l’inspection de l’ensemble du trafic ou, Deep Packet Inspection (DPI). Cette dernière tient compte de l’émetteur et de la destination en s’appuyant non plus sur les seules adresses IP mais en tenant compte des applications utilisées et en les associant à l’utilisateur, où qu’il se trouve et quel que soit le type d’appareil utilisé. Lorsqu’elle s’appuie sur une base de signatures, l’inspection en profondeur recherche à l’intérieur même des paquets échangés, les contenus potentiellement dangereux afin de bloquer les exploitations de vulnérabilité, les vers et les virus, les logiciels espions, les réseaux de zombies et même, les logiciels malveillants inconnus.

FAVORISER LE CONTRÔLE POSITIF

Dans un pare-feu industriel, le contrôle de signatures ne vise pas à s’appuyer sur un référentiel de toutes les menaces existantes comme le font certains logiciels antivirus. Il s’agit en fait de mettre en place un modèle de contrôle positif qui va permettre d’activer des applications ou des fonctions spécifiques afin de bloquer tout autre type de trafic de manière implicite ou explicite. Un pare-feu de nouvelle génération procède en une passe, à une inspection intégrale de tout le trafic sur tous les ports, fournissant ainsi le contexte complet de l’application, les contenus associés et l’identité de l’utilisateur. À l’heure actuelle, des applications peuvent contourner un pare-feu n’assurant qu’un filtrage de ports ou d’adresses en utilisant diverses techniques. Un pare-feu industriel de nouvelle génération appliquera nativement au trafic plusieurs mécanismes de classification. Les applications non identifiées, qui ne représentent alors qu’un faible pourcentage du trafic mais représentent un risque élevé, font l’objet d’une gestion systématique. Une fois le trafic entièrement classifié, une prévention coordonnée des cyber-attaques peut alors être appliquée pour bloquer les contenus malveillants, prévenir les exploitations de vulnérabilité, les virus, les logiciels espions et les requêtes DNS suspectes. Certains pare-feux intègrent un mécanisme appelé sandbox (bac-à-sable) pour exécuter les requêtes inconnues afin d’observer directement leur effet dans un environnement de test virtuel. Lorsqu’une activité malveillante est identifiée, le pare-feu génère automatiquement une signature du fichier infecté et du trafic associé pour renforcer la protection.