Industrial control systems are the core of the management of industries which dysfunction can have a human impact (injuries, deaths), cause environmental disasters or interfere with the proper functioning of state services. These systems have historically been designed to operate while ensuring high reliability levels in totally isolated environments (not interconnected with other networks). However, technologies and threats affecting the industrial world are evolving, bringing out new risks on infrastructures designed with little or no integration of the issues related to cybersecurity. The purpose of this presentation is to provide a general look on cybersecurity issues in industrial environments and make a return on the main vulnerabilities that may be encountered and ways to correct it.

1. Cybersécurité industrielle 101
Sthack 2015
Adrien REVOL / Wilfrid BLANC

2. • 500+ customers
• 200+ cyber-security experts
• 20% growth each year
• 15 years of frontline experience
• 3 continents: Europe, North-America, Asia
• 1st CERT in EU
• 1 obsession: defend enterprises against cybercrime

3. 3/55
Anticipate | Retaliate
A proven defense strategy
Threat Defense
Center
Audit
Consulting
Training
USB Malware
Cleaner
Multiproxies
Investigation
Consulting
Incident
response

4. 4/55
Agenda
1. Introduction
2. Panorama cybersécurité industrielle
3. Retours d’expérience
4. Conclusion

5. 5/55
Agenda
1. Introduction
2. Panorama cybersécurité industrielle
3. Retours d’expérience
4. Conclusion

6. 6/55
Introduction
Réseaux industriels ?
Oil & Gaz Énergie
Gestion de l’eau Industries Manufacturières
Smart Grid
Transports
Et bien d’autres : Chimie, Métallurgie, Zones portuaires, Gestion de
bâtiments, … etc.

7. 7/55
Introduction
Deux définitions
Industrial Control System (ICS)
Système ayant pour finalité de gérer des capteurs et actionneurs
interagissant avec le monde « physique »
Supervisory Control and Data
Acquisition (SCADA)
Ensemble de serveurs, postes de travail et applications de l’ICS
permettant de contrôler et superviser le procédé industriel

8. 8/55
Introduction
Schéma d’architecture

9. 9/55
Introduction
Quelques composants d’une architecture industrielle (1/3)
API Modicon m340 API Simatic S7 300
API Simatic S7 1500Switch Scalance
Pupitre SIEMENS

10. 10/55
Introduction
Quelques composants d’une architecture industrielle (2/3)
Poste d’ingénierie : Développement de la logique d’un automate

11. 11/55
Introduction
Quelques composants d’une architecture industrielle (3/3)
Contrôle et Supervision du procédé industriel via l’IHM

12. 12/55
Introduction
Différence IT/ICS
L’informatique de gestion manipule des
données
On veut protéger la confidentialité et l’intégrité des données
L’informatique industrielle manipule le
monde « physique »
On veut protéger la santé des personnes, l’environnement et l’outil
de production

13. Informatique de gestion
 Protocoles standards
 Interconnexions/Internet
 Cycle de vie de 3-5 ans
 Composants évoluent tous les
jours
 Une panne peut engendrer des
pertes financières
 Culture confidentialité/intégrité
 Problématiques généralement
connues
Introduction
Deux approches différentes de l’informatique
Informatique industrielle
 Prédominance de protocoles
propriétaires
 Mythe du « air-gap »
 Cycle de vie de 15-20 ans
 Composants hard/soft figés
dans le temps
 Une panne peut engendrer des
pertes humaines
 Culture sûreté/fiabilité
 Problématiques cybersécurité
généralement inconnues

14. 14/55
Agenda
1. Introduction
2. Panorama cybersécurité industrielle
3. Retours d’expérience
4. Conclusion

15. 15/55
Panorama cybersécurité industrielle
Avant 2014-2015
0
50
100
150
200
250
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
Stuxnet
Projet Aurora
(INL)
Vulnérabilités ICS dévoilées/an (source scadahacker.com)

16. 16/55
Panorama cybersécurité industrielle
Avant 2014-2015
0
50
100
150
200
250
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
Stuxnet
Projet Aurora
(INL)
Vulnérabilités ICS dévoilées/an (source scadahacker.com)

17. 17/55
Panorama cybersécurité industrielle
Avant 2014-2015
Et pourtant le « modbus hack » est connu depuis plus de 10
ans…
 L’un des protocoles industriels les plus anciens et plus
déployés
 Conçu en 1979 par Modicon (racheté par SCHNEIDER Electric)
 Basé sur des query/response en mode client/serveur
 Variante : Modbus/TCP
 Pas de chiffrement ni authentification
Modbus

18. 18/55
Panorama cybersécurité industrielle
Démo
ALIM CPU ETH CARTE I/O
CAPTEURS/ACTIONNEURS
Modbus/TCP
+12V/-12V
PLC = API

19. 19/55
Panorama cybersécurité industrielle
Évènements significatifs 2014-2015
Courant 2014
Cyberattaque sur
une aciérie
Allemande
Tout au long de 2014
ANSSI
Groupes de travail
sectoriels
Janvier 2014
Publications
référentiels ANSSI
Octobre 2014
Sandworm/Blackenergy
Ciblage IHM GE Cimplicity
Juin 2014
DragonFly/Havex
Scanner OPC
Avril 2014
Heartbleed
?
01/2014 03/2015
Mars 2015
Nouveau patch
pour la CVE-2010-
2568 exploitée par
Stuxnet en 2010
Septembre 2014
Shellshock

20. 20/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque

21. 21/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
Menace croissante
Il y a 5 ans, seuls des états disposaient des compétences pour
attaquer des réseaux industriels
Aujourd’hui, ceci est à la portée de n’importe quel SKIDDIE
(Shodan-hq, modules metasploit, scripts divers, etc.)
Menace

22. 22/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
Menace croissante
Il y a 5 ans, seuls des états disposaient des compétences pour
attaquer des réseaux industriels
Aujourd’hui, ceci est à la portée de n’importe quel SKIDDIE
(Shodan-hq, modules metasploit, scripts divers, etc.)
Menace

23. 23/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
Menace croissante
Il y a 5 ans, seuls des états disposaient des compétences pour
attaquer des réseaux industriels
Aujourd’hui, ceci est à la portée de n’importe quel SKIDDIE
(Shodan-hq, modules metasploit, scripts divers, etc.)
Menace

24. 24/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
Progression du nombre de vulnérabilités
publiquement dévoilées
+ de 850 vulnérabilités ICS dévoilées depuis 2010Vulnérabilité

25. 25/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
Impact constant
L’impact consécutif à la réalisation du risque
industriel est constantImpact

26. 26/55
Panorama cybersécurité industrielle
Évolution des cyber-risques industriels ces dernières années
Menace Vulnérabilité Impact Risque
Par où commencer pour diminuer/maîtriser le
risque ?
De manière pragmatique, on ne peut travailler que
sur les vulnérabilités
Démarche LEXSI : Analyse de risques + Audit
Risque

27. 27/55
Panorama cybersécurité industrielle
LEXSI : l’approche par les risques
L’analyse de risques identifie
les risques et impacts
associés
L’audit identifie les vulnérabilités,
scenarios d’attaque et
vraisemblance des risques
 Classification réaliste des risques (matrice)
 Intégration dans les analyses de sûreté
existantes (AMDEC, HAZOP, etc.)
 Plan d’action de correction des vulnérabilités

28. 28/55
Agenda
1. Introduction
2. Panorama cybersécurité industrielle
3. Retours d’expérience
4. Conclusion

29. 29/55
Retours d’expérience
Pentest en environnement industriel
La couche SCADA (composée de serveurs et postes
généralement Windows) supporte les tests intrusifs
Néanmoins certains équipements industriels ne les
tolèrent pas et peuvent crasher
Les différentes tests intrusifs sur des équipements
terrain sont systématiquement réalisés sur maquette

30. 30/55
Retours d’expérience
Opérateur autoroutier
INTERNET#Absence de capacités de détection
Aucune solution de SIEM, IPS ou IDS ne permet de
détecter/bloquer l’attaquant dans ses phases de
découverte (scans)

31. 31/55
Retours d’expérience
Opérateur autoroutier
INTERNET#Sécurité des systèmes d’exploitation
Identification d’une machine vulnérable sur le SI de gestion
et compromission de cette dernière, récupération de
différents mots de passe.

32. 32/55
Retours d’expérience
Opérateur autoroutier
INTERNET
#Interconnexion SII/SIG non sécurisée
La machine est un poste d’ingénierie disposant de 2 cartes
réseau…

33. 33/55
Retours d’expérience
Opérateur autoroutier
INTERNET

34. 34/55
Retours d’expérience
Opérateur autoroutier
INTERNET
#Absence d’antivirus
Installation d’un trojan permettant d’utiliser la station
comme point de pivot vers le SI industriel

35. 35/55
Retours d’expérience
Opérateur autoroutier
INTERNET
#Mauvaise gestion des comptes
Le mot de passe récupéré peut être utilisé sur le serveur
d’acquisition SCADA

36. 36/55
Retours d’expérience
Opérateur autoroutier
INTERNET
# Utilisation de protocoles non sécurisés
Utilisation de VNC sur l’ensemble des serveurs et postes de
supervision
# Mauvaise gestion des comptes
Mot de passe VNC identique sur tous les postes

37. 37/55
Retours d’expérience
Opérateur autoroutier
INTERNET# IHM connectée en permanence
La session Windows n’est pas verrouillée et l’opérateur est
authentifié sur le logiciel de supervision. Nous pouvons agir sur
la signalisation.

38. 38/55
Retours d’expérience
Opérateur autoroutier

39. 39/55
Retours d’expérience
Opérateur autoroutier

40. 40/55
Retours d’expérience
Opérateur autoroutier

41. 41/55
Retours d’expérience
Industrie manufacturière
Interconnexions ICS/* non
sécurisées
Machines SCADA à double
attachement

42. 42/55
Retours d’expérience
Industrie manufacturière
Utilisation de protocoles non
sécurisés
L’équipe de maintenance,
depuis leurs postes de travail
via VNC :
• Maintient les postes SCADA
• Programme les PLC depuis
les postes SCADA
MITM pour récupérer un
C/R VNC
Attaque off-line sur le C/R

43. 43/55
Retours d’expérience
Industrie manufacturière
Gestion des comptes non
sécurisée
Le mdp VNC :
• est trivial
• est le même sur tous les
serveurs SCADA

44. 44/55
Retours d’expérience
Industrie manufacturière
Sécurité des OS et firmwares
Le compte logué est admin
local, sa session ne se
verrouille pas
IHM connectée en permanence
Accès immédiat à l’IHM SCADA
Accès aux fichiers de conf
de l’IHM
Possibilité de configurer les
PLC

45. 45/55
Retours d’expérience
Conclusion
Du point de vue de l’attaquant, la cybersécurité
du système industriel repose sur la sécurité de
sa/ses interconnexions avec l’extérieur
 Si arrive à s’introduire dans le SI
industriel, il a de très bonnes chances de pouvoir
influer illégitimement sur le process industriel

46. 46/55
Retours d’expérience
Vulnérabilités fréquentes dans les ICS*
1. Sécurité des OS et firmwares 93%
2. Utilisation de protocoles non sécurisés 93%
3. Absence de capacités de détection d’intrusion 93%
4. IHM connectée en permanence 92%
5. Absence de veille en sécurité 90%
6. Absence d’antivirus 90%
7. Interconnexions ICS/* non sécurisées 89%
8. Gestion des comptes non sécurisée 87%
9. Pas de tests sécurité 86%
10. Pas de consignes de développement sécurisé 86%
*Étude interne LEXSI basée sur les résultats des missions réalisées depuis 2011

47. 47/55
Agenda
1. Introduction
2. Panorama cybersécurité industrielle
3. Retours d’expérience
4. Conclusion

48. 48/55
Conclusion
Axes de correction des 10 vulnérabilités fréquentes
1. Patcher, upgrader, configurer
2. Utiliser des protocoles sécurisés
3. IPS/IDS
4. Déconnecter les IHM en cas d’inactivité
5. Initier une veille en sécurité, sensibiliser, évangéliser
6. Installer des antivirus
7. Cloisonner, filtrer, rebondir
8. Utiliser des mdp complexes, appliquer le principe de
moindre privilèges
9. Évaluer le niveau de sécurité (autoéval, audit externe)
10. Inclure des clauses de cybersécurité dans les contrats

49. 49/55
Conclusion
Top 10 des axes d’amélioration ICS

50. 50/55
Conclusion
Initialiser une démarche de cybersécurité industrielle
• Fortes contraintes opérationnelles :
 Impossibilité de stopper la production
 Forte dépendance aux intégrateurs/éditeurs
 L’obligation (réglementaire) d’homologation
 L’absence de plateforme de pré-production
 Etc.
• La culture industrielle de sûreté et fiabilité
 « If it works, don’t fix it »

51. 51/55
Conclusion
Initialiser une démarche de cybersécurité industrielle
Organiser Évaluer Améliorer
 Communiquer, sensibiliser, « évangéliser »
 Impliquer la Direction Générale
 Créer un groupe de travail multi-compétence (IT/ICS)
 Travailler avec les volontaires/ateliers moteurs
Organiser

52. 52/55
Conclusion
Initialiser une démarche de cybersécurité industrielle
Organiser Évaluer Améliorer
 Auto évaluation en se basant sur un référentiel (CSET de
l’ICS-CERT, questionnaire maison, etc.)
 Évaluation via un partenaire externe (Analyse de
risques/Audit)
 Identification de non conformités/vulnérabilités
 Plan d’amélioration/plan d’action de correctionÉvaluer

53. 53/55
Conclusion
Initialiser une démarche de cybersécurité industrielle
Organiser Évaluer
Améliorer
 A très court terme :
 Traiter les vulnérabilités/risques les plus critiques
 Travailler sur les Quick-Wins
 A court terme : Detection
 A moyen terme : Defense En Profondeur
 cf. Référentiels ANSSI, ISA99/IEC62443, ou autre
Améliorer

54. 54/55
Conclusion
• Systèmes d’informations industriels encore très vulnérables
• MAIS :
• Prise de conscience du législateur
• Prise de conscience des éditeurs industriels (au moins
les leaders)
 Beaucoup de travail reste à mener de la part des industriel
et intégrateurs
 La route sera longue mais la dynamique générale va dans le
bon sens

55. 55/55
Merci
Questions ?