Mesures. Avant d'aborder le thème de la sécurisation des environnements Scada plus en profondeur,pouvez-vous rappeler le rôle de ces réseaux industriels ainsi que les différences avec un réseau informatique classique?

Eric Lemarchand. Les environnements Scada sont des systèmes de gestion et de contrôle industriel, généralement déployés à grande échelle, qui surveillent, gèrent et administrent des infrastructures critiques dans des domaines divers et variés: transport, nucléaire, électricité, gaz, eau, etc.A la différence d'un réseau informatique d'entreprise classique, l'environnement Scada permet d'interconnecter des systèmes propriétaires «métier»: automates, vannes, capteurs thermiques ou chimiques, systèmes de contrôle-commande, IHM (Interface Homme Machine)… plutôt que des ordinateurs de bureau. Ces infrastructures sont principalement déployées en entreprise, mais sont désormais aussi présentes chez les particuliers. Les environnements Scada utilisent un ensemble de protocoles de communication dédiés, tels que Modbus, DNP3 et IEC 60870-5-101,pour établir la communication entre les différents systèmes. Ces protocoles permettent de contrôler les API (Automates Programmables Industriels) par exemple, entraînant des actions physiques telles que l'augmentation de la vitesse des moteurs, la réduction de la température… Pour cette raison, l'intégrité des messages de contrôle Scada est primordiale et les protocoles de communication devraient être entièrement validés.

“ Ce n'est pas tant les futurs Scada qui posent problème que le parc existant. Nous avons un arriéré de 30 années de systèmes Scada toujours en fonctionnement mais non sécurisés, et c'est bien là le véritable défi. ” Eric Lemarchand

Mesures. De nombreuses failles ont été mises au jour ces dernières années avec une recrudescence d'attaques de cybercriminels sur des réseaux Scada. Pourquoi la sécurité n'a-t-elle pas été prise en compte dans ces environnements alors que, comme vous l'avez justement précisé, les systèmes Scada gèrent souvent des infrastructures dans des domaines critiques,tels que le nucléaire par exemple?

Eric Lemarchand. L'attaque par le virus Stuxnet contre l'Iran en 2010 a fait prendre conscience de la vulnérabilité des systèmes industriels Scada. Conçus pour fonctionner des dizaines d'années, à une époque où la cybercriminalité ciblant spécifiquement le secteur industriel n'était pas répandue, ces systèmes n'ont pas été pensés en tenant compte de la sécurité réseau. Très souvent, les principes de sécurité élémentaires n'ont pas été intégrés pour deux raisons principales: d'une part, l'architectureScada n'était pas intégrée au système informatique clas-sique de l'entreprise, et d'autre part, le besoin d'interconnexion avec le réseau IP n'existait pas.Le besoin de sécurité était donc alors jugé non nécessaire. Depuis, l'architecture Scada a évolué et les automates, systèmes de mesure, outils de contrôle-com-mande,télémaintenance…,sont dorénavant interconnectés via un réseau IP classique. Ils sont également administrés par des environnements potentiellement vulnérables, comme par exemple, une plate-forme interface homme-machine équipée d'un système d'exploitation Windows non patché. Jugés hautement sensibles, ces environnements n'appliquent généralement pas les patchs des systèmes d'exploitation de peur de nuire à la production. Cette crainte l'emporte d'ailleurs souvent sur celle des attaques informatiques potentielles.

Mesures.Sauf que ce calcul est aujourd'hui de plus en plus risqué, comme on a pu le constater ces dernières années.

Eric Lemarchand. Effectivement. Les environnements Scada, pourtant identifiés comme critiques, sont ainsi paradoxalement les moins sécurisés et devenus la cible potentielle des cybercriminels, comme nous avons pu le constater avec Stuxnet, premier ver découvert qui espionne et reprogramme des systèmes industriels. Ce virus a exploité des vulnérabilités Windows de type zero day (c'est-à-dire pour lesquelles il n'existait pas de patchs) pour compromettre des dizaines de milliers de systèmes informatiques, à la fois des ordinateurs et une centrale d'enrichissement d'uranium. Il aura fallu le cas d'attaque de l'ampleur de Stuxnet pour que la sécurité devienne l'une des préoccupations majeures des entreprises industrielles. Alors que les attaques informatiques traditionnelles engendrent généralement des dégâts immatériels, les industriels ont, dans le cas de Stuxnet, pris conscience de la capacité destructrice et bien réelle des vers et virus avancés, affectant non seulement les données d'une entreprise mais également les systèmes de gestion des eaux, des produits chimiques, de l'énergie…

Mesures. Comment s'est traduite, concrètement, cette prise de conscience quelque peu tardive des industriels?

Eric Lemarchand. Dorénavant, les industriels cherchent à intégrer la sécurisation de leurs équipements, et ce, de façon native. Même si les moyens commencent à être mis en œuvre pour sécuriser les industries, il est aussi nécessaire que les hauts dirigeants de ces entreprises soutiennent ce besoin de sécurisation, sans quoi, bon nombre de responsables informatiques ne trouveront pas d'échos positifs à leurs initiatives, et auront des budgets et ressources limités. De plus, à défaut d'un standard, il existe des guides de bonne conduite permettant d'appréhender les problématiques que pose ou impose Scada, édités par exemple par NERC ( North American Electric Reliability Corporation ) ou l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) en France.

Mesures. L'ANSSI justement veut même aller bien plus loin. Lors de la dernière édition des Assises de la sécurité qui s'est tenue début octobre à Monaco, Patrick Pailloux, directeur général de cet organisme, a tiré la sonnette d'alarme au sujet de la sécurisation des environnements Scada et a indiqué travailler à la définition de règles et de standards qui imposeraient certaines obligations aux installateurs de systèmes Scada. Qu'en pensez-vous?

Eric Lemarchand. Jusqu'ici,l'ANSSI publiait un guide de bon usage des environnements Scada. Mais ils viennent effectivement de franchir un cap supplémentaire dans cette démarche avec cette idée de règles et de standards, démarche que nous saluons car elle peut influencer les décideurs et les instances gouvernementales dans le sens d'une meilleure sécurité de ces réseaux industriels. D'autant que chaque fournisseur de Scada a sa propre vision de la sécurisation de ces environnements. En fait, ce n'est pas tant les futurs Scada qui posent problème, car la sécurité est désormais prise en compte par la plupart des fournisseurs de ces solutions, que le parc existant. Nous avons un arriéré de 30 années de systèmes Scada installés toujours en fonctionnement mais non sécurisés et c'est bien là le véritable défi.Aujourd'hui, tout industriel qui installe un tel système procède à des calculs de risque qui constituent une première étape pour choisir le niveau de sécurité d'un Scada pour une application donnée. Mais ce niveau de sécurité doit rester en adéquation économique avec le projet et c'est souvent là que ça coince car le facteur financier prime souvent. D'autant que la gestion de la sécurité en temps réel est grande consommatrice de ressource temps-homme.

Mesures. En attendant ces futures normes contraignantes, quelles sont les solutions à mettre en œuvre pour limiter autant que faire se peut les risques d'intrusion hostile dans les environnements Scada?

Eric Lemarchand. Il existe cinq différentes étapes importantes à mon sens. La première consiste à effectuer des mises à jour régulières. Patcher régulièrement ses systèmes d'exploitation, applications et composants Scada est une étape essentielle pour éviter les failles déjà connues par les fournisseurs de sécurité. De plus, la mise en place d'un outil de détection et d'analyse des vulnérabilités permettant d'intercepter des menaces internet malveillantes avant qu'elles n'impactent le réseau ou le serveur cible permettra de prendre des mesures proactives pour prévenir des attaques, éviter des interruptions de services, et réagir rapidement et en temps réel face aux menaces émergentes.

Les systèmes Scada de gestion et de contrôle industriel, généralement déployés à grande échelle, gèrent des infrastructures critiques dans les domaines du transport, du nucléaire, de l'électricité, du gaz, de l'eau, etc.

La deuxième étape concerne le cloisonnement de son réseau Scada. Il est indispensable d'isoler son réseau Scada de tout autre réseau de l'entreprise. Pour cela, la définition de DMZ [pour DeMilitarized Zone , sorte de zone tampon entre le réseau à protéger et le réseau hostile, NDLR] et de bastions [serveurs situés dans la DMZ, NDLR] permet de segmenter une architecture Scada. Ainsi, le réseau de l'IHM sera dissocié des automates et dispositifs de mesures, des systèmes de supervision, des unités de contrôle à distance et des infrastructures de communications, permettant à chaque environnement d'être confiné et d'éviter des attaques par rebond. En d'autres mots, les réseaux Scada doivent être protégés de la même manière que les réseaux d'entreprises des logiciels malveillants et intrusions, en utilisant des systèmes de prévention d'intrusions (IPS) et des solutions antimalware.

L'étape suivante est la validation protocolaire. Après avoir partitionné et séparé les différents éléments d'une architecture Scada, cette troisième étape, logique, vise à appliquer une validation et un contrôle protocolaire liés aux différents composants. En d'autres termes, il est nécessaire d'inspecter le protocole Modbus pour être certain qu'il n'est ni mal utilisé, ni vecteur d'une attaque. Il faut également s'assurer que les applications qui génèrent des demandes Modbus sont des applications légitimes et qu'elles sont générées depuis le bon poste de travail. Ainsi, la reconnaissance des applications prend son sens.

Quatrième étape et non des moindres : contrôler et identifier les actions administra-teurs-utilisateurs.Encomplément de la segmentation des réseaux, il devient nécessaire d'établir des règles d'accès par authentification pour que seules les personnes autorisées puissent accéder au réseau, données et applications et puissent interagir avec les systèmes Scada, afin que ces derniers ne soient pas endommagés par un tiers. Ainsi, un administrateur sera identifié de façon différente d'un utilisateur lambda, ce qui lui permettra d'effectuer certaines configurations au travers d'IHM alors que l'utilisateur pourra uniquement avoir une visibilité sur des équipements de mesure.

Enfin, la cinquième étape consiste à superviser l'ensemble des réseaux. Se doter d'un outil de corrélation et de gestion d'événements est indispensable. Cela permet d'obtenir une visibilité globale sur l'état sécuritaire de l'ensemble du réseau et permet par exemple à un administrateur de connaître à la fois l'état d'un automate, le niveau de patch d'un IHM et sa relation avec un utilisateur ou un composant de l'architecture. La remontée d'événements de sécurité est toute aussi importante. L'administrateur ainsi informé pourra mettre en place des actions ou contre-mesures adaptées en fonction du niveau de criticité de l'événement.

Mesures. N'est-ce pas trop complexe à mettre en œuvre et est-ce efficace?

Eric Lemarchand. La mise en application de ces étapes est certes parfois fastidieuse. Mais il n'y a pas de meilleure solution pour protéger ces systèmes critiques que d'adopter une stratégie de défense en profondeur avec une couche de sécurité à tous les niveaux, même au niveau des API, pour un contrôle précis des échanges et communications entre les composants de l'environnement Scada et l'infrastructure réseau. Avec des attaques de plus en plus sophistiquées de type APT ( Advanced Persistant Threads ), il devient urgent que les organisations industrielles prennent conscience que la sécurité des environnements Scada est essentielle. Il en va de leur pérennité. Un contrôle précis sur leurs réseaux, utilisateurs et applications leur permettra de se prémunir d'éventuels risques qu'il est facile d'éviter. Enfin, il est important de bénéficier d'une protection en temps réel pour identifier rapidement les menaces potentielles et mettre en place les outils de protection adéquats conçus par des équipes spécialisées.