Industrial control systems are the core of the management of industries which dysfunction can have a human impact (injuries, deaths), cause environmental disasters or interfere with the proper functioning of state services. These systems have historically been designed to operate while ensuring high reliability levels in totally isolated environments (not interconnected with other networks). However, technologies and threats affecting the industrial world are evolving, bringing out new risks on infrastructures designed with little or no integration of the issues related to cybersecurity.
The purpose of this presentation is to provide a general look on cybersecurity issues in industrial environments and make a return on the main vulnerabilities that may be encountered and ways to correct it.
2. • 500+ customers
• 200+ cyber-security experts
• 20% growth each year
• 15 years of frontline experience
• 3 continents: Europe, North-America, Asia
• 1st CERT in EU
• 1 obsession: defend enterprises against cybercrime
3. 3/55
Anticipate | Retaliate
A proven defense strategy
Threat Defense
Center
Audit
Consulting
Training
USB Malware
Cleaner
Multiproxies
Investigation
Consulting
Incident
response
6. 6/55
Introduction
Réseaux industriels ?
Oil & Gaz Énergie
Gestion de l’eau Industries Manufacturières
Smart Grid
Transports
Et bien d’autres : Chimie, Métallurgie, Zones portuaires, Gestion de
bâtiments, … etc.
7. 7/55
Introduction
Deux définitions
Industrial Control System (ICS)
Système ayant pour finalité de gérer des capteurs et actionneurs
interagissant avec le monde « physique »
Supervisory Control and Data
Acquisition (SCADA)
Ensemble de serveurs, postes de travail et applications de l’ICS
permettant de contrôler et superviser le procédé industriel
12. 12/55
Introduction
Différence IT/ICS
L’informatique de gestion manipule des
données
On veut protéger la confidentialité et l’intégrité des données
L’informatique industrielle manipule le
monde « physique »
On veut protéger la santé des personnes, l’environnement et l’outil
de production
13. Informatique de gestion
Protocoles standards
Interconnexions/Internet
Cycle de vie de 3-5 ans
Composants évoluent tous les
jours
Une panne peut engendrer des
pertes financières
Culture confidentialité/intégrité
Problématiques généralement
connues
Introduction
Deux approches différentes de l’informatique
Informatique industrielle
Prédominance de protocoles
propriétaires
Mythe du « air-gap »
Cycle de vie de 15-20 ans
Composants hard/soft figés
dans le temps
Une panne peut engendrer des
pertes humaines
Culture sûreté/fiabilité
Problématiques cybersécurité
généralement inconnues
17. 17/55
Panorama cybersécurité industrielle
Avant 2014-2015
Et pourtant le « modbus hack » est connu depuis plus de 10
ans…
L’un des protocoles industriels les plus anciens et plus
déployés
Conçu en 1979 par Modicon (racheté par SCHNEIDER Electric)
Basé sur des query/response en mode client/serveur
Variante : Modbus/TCP
Pas de chiffrement ni authentification
Modbus
19. 19/55
Panorama cybersécurité industrielle
Évènements significatifs 2014-2015
Courant 2014
Cyberattaque sur
une aciérie
Allemande
Tout au long de 2014
ANSSI
Groupes de travail
sectoriels
Janvier 2014
Publications
référentiels ANSSI
Octobre 2014
Sandworm/Blackenergy
Ciblage IHM GE Cimplicity
Juin 2014
DragonFly/Havex
Scanner OPC
Avril 2014
Heartbleed
?
01/2014 03/2015
Mars 2015
Nouveau patch
pour la CVE-2010-
2568 exploitée par
Stuxnet en 2010
Septembre 2014
Shellshock
21. 21/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
Menace croissante
Il y a 5 ans, seuls des états disposaient des compétences pour
attaquer des réseaux industriels
Aujourd’hui, ceci est à la portée de n’importe quel SKIDDIE
(Shodan-hq, modules metasploit, scripts divers, etc.)
Menace
22. 22/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
Menace croissante
Il y a 5 ans, seuls des états disposaient des compétences pour
attaquer des réseaux industriels
Aujourd’hui, ceci est à la portée de n’importe quel SKIDDIE
(Shodan-hq, modules metasploit, scripts divers, etc.)
Menace
23. 23/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
Menace croissante
Il y a 5 ans, seuls des états disposaient des compétences pour
attaquer des réseaux industriels
Aujourd’hui, ceci est à la portée de n’importe quel SKIDDIE
(Shodan-hq, modules metasploit, scripts divers, etc.)
Menace
24. 24/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
Progression du nombre de vulnérabilités
publiquement dévoilées
+ de 850 vulnérabilités ICS dévoilées depuis 2010Vulnérabilité
25. 25/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
Impact constant
L’impact consécutif à la réalisation du risque
industriel est constantImpact
26. 26/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
Par où commencer pour diminuer/maîtriser le
risque ?
De manière pragmatique, on ne peut travailler que
sur les vulnérabilités
Démarche LEXSI : Analyse de risques + Audit
Risque
27. 27/55
Panorama cybersécurité industrielle
LEXSI : l’approche par les risques
L’analyse de risques identifie
les risques et impacts
associés
L’audit identifie les vulnérabilités,
scenarios d’attaque et
vraisemblance des risques
Classification réaliste des risques (matrice)
Intégration dans les analyses de sûreté
existantes (AMDEC, HAZOP, etc.)
Plan d’action de correction des vulnérabilités
29. 29/55
Retours d’expérience
Pentest en environnement industriel
La couche SCADA (composée de serveurs et postes
généralement Windows) supporte les tests intrusifs
Néanmoins certains équipements industriels ne les
tolèrent pas et peuvent crasher
Les différentes tests intrusifs sur des équipements
terrain sont systématiquement réalisés sur maquette
36. 36/55
Retours d’expérience
Opérateur autoroutier
INTERNET
# Utilisation de protocoles non sécurisés
Utilisation de VNC sur l’ensemble des serveurs et postes de
supervision
# Mauvaise gestion des comptes
Mot de passe VNC identique sur tous les postes
42. 42/55
Retours d’expérience
Industrie manufacturière
Utilisation de protocoles non
sécurisés
L’équipe de maintenance,
depuis leurs postes de travail
via VNC :
• Maintient les postes SCADA
• Programme les PLC depuis
les postes SCADA
MITM pour récupérer un
C/R VNC
Attaque off-line sur le C/R
44. 44/55
Retours d’expérience
Industrie manufacturière
Sécurité des OS et firmwares
Le compte logué est admin
local, sa session ne se
verrouille pas
IHM connectée en permanence
Accès immédiat à l’IHM SCADA
Accès aux fichiers de conf
de l’IHM
Possibilité de configurer les
PLC
45. 45/55
Retours d’expérience
Conclusion
Du point de vue de l’attaquant, la cybersécurité
du système industriel repose sur la sécurité de
sa/ses interconnexions avec l’extérieur
Si arrive à s’introduire dans le SI
industriel, il a de très bonnes chances de pouvoir
influer illégitimement sur le process industriel
46. 46/55
Retours d’expérience
Vulnérabilités fréquentes dans les ICS*
1. Sécurité des OS et firmwares 93%
2. Utilisation de protocoles non sécurisés 93%
3. Absence de capacités de détection d’intrusion 93%
4. IHM connectée en permanence 92%
5. Absence de veille en sécurité 90%
6. Absence d’antivirus 90%
7. Interconnexions ICS/* non sécurisées 89%
8. Gestion des comptes non sécurisée 87%
9. Pas de tests sécurité 86%
10. Pas de consignes de développement sécurisé 86%
*Étude interne LEXSI basée sur les résultats des missions réalisées depuis 2011
48. 48/55
Conclusion
Axes de correction des 10 vulnérabilités fréquentes
1. Patcher, upgrader, configurer
2. Utiliser des protocoles sécurisés
3. IPS/IDS
4. Déconnecter les IHM en cas d’inactivité
5. Initier une veille en sécurité, sensibiliser, évangéliser
6. Installer des antivirus
7. Cloisonner, filtrer, rebondir
8. Utiliser des mdp complexes, appliquer le principe de
moindre privilèges
9. Évaluer le niveau de sécurité (autoéval, audit externe)
10. Inclure des clauses de cybersécurité dans les contrats
50. 50/55
Conclusion
Initialiser une démarche de cybersécurité industrielle
• Fortes contraintes opérationnelles :
Impossibilité de stopper la production
Forte dépendance aux intégrateurs/éditeurs
L’obligation (réglementaire) d’homologation
L’absence de plateforme de pré-production
Etc.
• La culture industrielle de sûreté et fiabilité
« If it works, don’t fix it »
51. 51/55
Conclusion
Initialiser une démarche de cybersécurité industrielle
Organiser Évaluer Améliorer
Communiquer, sensibiliser, « évangéliser »
Impliquer la Direction Générale
Créer un groupe de travail multi-compétence (IT/ICS)
Travailler avec les volontaires/ateliers moteurs
Organiser
52. 52/55
Conclusion
Initialiser une démarche de cybersécurité industrielle
Organiser Évaluer Améliorer
Auto évaluation en se basant sur un référentiel (CSET de
l’ICS-CERT, questionnaire maison, etc.)
Évaluation via un partenaire externe (Analyse de
risques/Audit)
Identification de non conformités/vulnérabilités
Plan d’amélioration/plan d’action de correctionÉvaluer
53. 53/55
Conclusion
Initialiser une démarche de cybersécurité industrielle
Organiser Évaluer
Améliorer
A très court terme :
Traiter les vulnérabilités/risques les plus critiques
Travailler sur les Quick-Wins
A court terme : Detection
A moyen terme : Defense En Profondeur
cf. Référentiels ANSSI, ISA99/IEC62443, ou autre
Améliorer
54. 54/55
Conclusion
• Systèmes d’informations industriels encore très vulnérables
• MAIS :
• Prise de conscience du législateur
• Prise de conscience des éditeurs industriels (au moins
les leaders)
Beaucoup de travail reste à mener de la part des industriel
et intégrateurs
La route sera longue mais la dynamique générale va dans le
bon sens