À la lumière des récentes attaques contre les systèmes de contrôle industriels, nous avons voulu développer certaines mesures qui devraient être mises en œuvre afin de rendre les systèmes SCADA et les systèmes de contrôle industriels (ICS) contrôlant les infrastructures critiques intrinsèquement plus sûrs. Nous pensons que la majorité de nos clients ont peut-être déjà envisagé d'utiliser la plupart ou la totalité de ces méthodes dans leurs configurations de sécurité, mais nous en discuterons et les développerons si nécessaire, en nous appuyant sur les recommandations actuelles des guides industriels.
Nous savons par expérience qu'il n'est pas possible de se contenter d’avoir uniquement des systèmes physiquement déconnectés des réseaux informatiques, qu’ils soient utilisés ou non au sein d’une infrastructure critique. Les bonnes recommandations et pratiques actuelles pour les SCI/SCADA en termes de sécurité reconnaissent d’ailleurs que l’isolation physique des équipements n'est pas nécessairement une méthode de sécurité fiable, sauf si l'installation est, par exemple, une sous-station sans automatisation reliée à l'extérieur du périmètre physique de l'installation.
Les équipements des sous-stations peuvent avoir entre 30 et 50 ans et reposent sur une remise à zéro automatique par des interrupteurs et des transformateurs en fonction de scénarios très spécifiques des réseaux haute et moyenne tension auxquels ils sont connectés. Cependant, tout ce qui ne fait pas partie des scénarios programmés crée un besoin de réinitialisation manuelle de l'équipement - le personnel doit se rendre physiquement dans la centrale ou la sous-station afin de réinitialiser ou de redémarrer l'équipement.
Les anciennes installations de traitement des eaux et les parcs de stockage peuvent également entrer dans cette catégorie, sauf si les contrôles ont été récemment mis à jour, auquel cas les systèmes SCADA pourraient être disponibles sans fil, ou par le biais de connexions internet Introduites par inadvertance dans l'installation.
Les véritables systèmes "air-gapped" souffrent d'autres domaines d'intrusion tels que les clés USB ou même les CD ou DVD infectés ; si l'équipement de contrôle est basé sur un PC, et si les machines n'ont pas été suffisamment sécurisées et verrouillées. Ce vecteur d'attaque singulier suffit à susciter des inquiétudes quant aux robots de reprogrammation SCADA et PLC/RTU qui peuvent être introduits et exister dans un système non protégé. C'est le vecteur d'infiltration utilisé par l'attaque Stuxnet, qui a été couronnée de succès, et une fois infiltrés, les attaques MiM ont été utilisées pour détourner les IHM/stations d'opérateurs de l'état réel des PLC et des équipements.
Les configurations par défaut des logiciels et des systèmes d'exploitation ne couvrent pas les bases de la sécurité. Les meilleures pratiques actuelles comprennent la création de sous-réseaux pour le système de contrôle industriel et l'utilisation d'une "DMZ" pour séparer l'historian des données du réseau d'entreprise, où les données sont transmises à la visualisation, aux analyses et au système ERP. Dans une solution de système SCADA unique telle que AVEVA Edge, le système SCADA devrait être conçu pour être le "gardien" des données, c'est-à-dire qu'il devrait être le seul moyen d'entrer (par exemple, l'entrée de l'opérateur) ou de sortir (la visualisation et les analyses du processus) des données en utilisant des pare-feu et des protections appropriés si nécessaire.
Les clés USB et les appareils portables, tels que les ordinateurs portables branchés pour contrôler les systèmes, continuent d'être l'un des plus grands vecteurs de menaces pour les logiciels malveillants et les attaques. Les ports USB doivent être contrôlés et isolés, et toujours être scannés par des logiciels ou des appareils anti-malware avant d'être autorisés à sortir d'une zone démilitarisée.
La sécurité de votre système de contrôle doit être stratifiée. Les APT (Advanced Persistent Thread) ou MPA (Menace persistante avancée) ne peuvent être introduits que dans des systèmes qui peuvent les héberger, et ils peuvent attendre longtemps avant de devenir actifs. En effectuant une analyse des lacunes de la configuration de votre système de contrôle industriel, les APT cachés peuvent être mis en évidence, soit par des méthodes de détection, soit en les rendant visibles en s'exposant par leur comportement prévu. Il existe de nombreuses méthodes pour révéler les APT, et lorsque vous commencez à planifier la recherche et la protection contre ces APT, il est préférable de faire cette planification avec des experts qui connaissent bien le système SCADA que vous utilisez et qui savent comment les supprimer ou se protéger contre eux sans perturber le fonctionnement de votre système de contrôle.
Des analyses des lacunes et des évaluations des risques de votre système sont certainement nécessaires à intervalles réguliers, surtout si la configuration de votre SCADA change au fil du temps. L'utilisation de l'outil CSET de l'US-CERT peut être d'une grande aide pour arriver à comprendre les besoins de sécurité de votre système SCADA. L'utilisation de cet outil peut vous aider à poser des questions spécifiques à votre secteur ou à votre région sur votre système en vous basant sur un certain nombre de normes telles que NIST, ISA/IEC, ANSI et ISO, et même sur la vôtre.
En ce qui concerne les tests de pénétration, si le besoin s'en fait sentir, il faut faire preuve de prudence et les personnes engagées doivent savoir exactement ce qu'elles font. Lors des conférences du NIST auxquelles j'ai assisté l'année dernière, les plus grandes objections aux tests de pénétration étaient la perturbation des systèmes de contrôle industriel et la perte de production au moment où les tests avaient lieu. En outre, certaines entreprises qui ont subi des tests d’intrusion dans leurs installations ont cité des dommages d'équipement qui ont parfois entraîné des pertes de données, des serveurs endommagés et une perte de contrôle des processus. Par conséquent, les tests d'intrusion doivent être effectués après qu'une exigence ait été démontrée à cet égard, et par des sociétés de sécurité bien informées ayant fait leurs preuves et connaissant parfaitement votre système SCADA.
AVEVA prend la cybersécurité au sérieux et propose des mises à jour régulières pour toutes les vulnérabilités connues. En étant conscientes des risques de sécurité, les entreprises peuvent mieux se protéger et protéger leur activité.
A ce sujet, vous pouvez également lire :