Systèmes de contrôle industriel (ICS)
QU’EST-CE QU’UN ICS ?
ICS, pour Système de Contrôle Industriel, désigne l’ensemble des moyens humains et matériels, logiciels inclus, mis en œuvre pour effectuer la surveillance et le contrôle du fonctionnement des machines-outils dans des environnements industriels.
Par exemple : les automates, capteurs, équipements réseau, machines de contrôle (SCADA), contrôle de processus industriels (distribution, manufacture…).
Cyberattaque d'envergure
Comparées aux cyberattaques sur les systèmes d’informations classiques, les grandes attaques menées sur les ICS, décrites ci-dessous, peuvent conduire à des situations graves pouvant avoir un impact sur l’environnement, les biens matériels et humains d’une organisation.
StuxNet (2010)
StuxNet est un ver informatique très élaboré visant les systèmes SCADA sous environnement Windows, et plus spécifiquement les automates en charge de la vitesse des centrifugeuses iraniennes d’enrichissement d’uranium.
60% des systèmes informatiques iraniens auraient été infectés.
À l’origine de l’infection, une clé USB à partir de laquelle le ver s’est propagé à travers les équipements du réseau à la recherche de machines en charge du contrôle des automates.
Une fois trouvées, le malware injectait le rootkit, modifiait le code existant et envoyait, à l’insu des machines de contrôle, des commandes aux automates. La cyberattaque provoqua des dommages matériels conséquents et le ralentissement du programme nucléaire iranien.
ShaMoon (2012)
ShaMoon ou W32.DisTrack, est un virus véhiculé via une pièce jointe (fichier Word) et ciblait les noyaux Windows 32 bits.
Plusieurs entreprises du secteur pétrolier de l’Arabie Saoudite furent touchées.
Le mode opératoire du virus consistait à envoyer des fichiers sensibles à l’attaquant avant de les supprimer chez les victimes tout en réécrivant le secteur d’amorçage des disques durs ou Master Boot Record (contient le bootloader destiné à charger le système d’exploitation). ShaMoon était associé à un cheval de Troie Filerase, lui-même chargé d’effacer et de réécrire les fichiers du système avant que ShaMoon ne se charge de réécrire le MBR de manière à rendre l’ensemble inutilisable et les données irrécupérables.
BlackEnergy (2015)
BlackEnergy est un cheval de Troie utilisé pour mener principalement des attaques destructives.
Le vecteur de propagation de BlackEnergy s’appuie sur un plugin SCADA infecté et installé sur des ICS cibles déployés à l’échelle mondiale.
Dès 2015, le groupe à l’origine de BlackEnergy utilise le phishing pour répandre des documents Excel malicieux dont les macros servaient à infecter le système. Cette attaque visait principalement le secteur de l’énergie et les médias en Ukraine, même si d’autres ICS à travers le monde se sont retrouvés infectés.
Ainsi, ces attaques spécifiques sur une cible définie, parfois dans un contexte militaro-politique tendu, provoquent des dommages collatéraux conséquents.
En effet, le programme d’attaque cherche souvent à identifier ses cibles sur des critères techniques qu’une tierce partie peut parfaitement posséder et être aussi touchée.
Les problèmes liés aux ICS
Les ICS fonctionnent avec des automates et des systèmes physiques souvent coûteux à l’achat et ayant une grande durée de vie. Plusieurs typologies d’ICS sont mis en œuvre :
- Le système Stand Alone, physiquement isolé du réseau, bénéficie donc d’une sécurité physique absolue de par son isolement. Par exemple : escalier mécanique, tapis roulant à bagages.
- Le système SCADA (Supervisory Control And Data Acquisition) assure la supervision des installations techniques. Il supervise la globalité des systèmes et aide à la prise de décision.
- Le système DCS (Distributed Control System) permet par exemple de donner de l’autonomie à chaque usine d’une industrie. Les systèmes de contrôle distribués sont composés de plusieurs contrôleurs répartis géographiquement (vs. Systèmes de contrôle centralisés).
Cette diversité des systèmes n’est pas souvent à l’avantage des ICS mais constitue de par l’hétérogénéité des environnements, un accroissement de la surface d’attaque sur ces derniers. La plupart des IHM sont aujourd’hui des interfaces web. Les différentes parties du réseau industriel sont toujours vulnérables face à des attaques par phishing, les attaques réseau, via l’interface USB, ou encore des attaques physiques sur le site industriel.
En outre, les évolutions rapides des technologies constituent également un des inconvénients pour les automates. La vétusté des matériels installés sur le terrain rend l’implémentation des mécanismes modernes de sécurité contraignante. Des versions obsolètes de logiciels sont embarquées sur des systèmes déjà déployés, la plupart du temps avec ou sans correctifs de sécurité appliqués (raison invoquée : de grandes difficultés à qualifier les dits correctifs) contribuant au défaut de sécurité sur les systèmes dans la mesure où les industries s’ouvrent aujourd’hui, de plus en plus, à la téléopération.
Longtemps négligée, une absence ou des manquements dans le cloisonnement du réseau impliquent souvent qu’une compromission côté IT de l’entreprise expose aux attaques la partie industrielle associée ou inversement.
Un autre facteur impactant la sécurité des ICS est la difficulté à modifier la configuration ou les accès à des centaines voire des milliers d’automates installés sur site par le manque de procédures industrialisées au sein des organisations. Aussi, est-il fréquent de rencontrer sur les systèmes des configurations par défaut sur les mécanismes d’authentification (quand ils sont présents) laissées intactes dès la conception du dit-système.
QUELLES SOLUTIONS POUR Y REMÉDIER ?
Afin de mettre en œuvre les actions les plus adaptées en cas d’incident de sécurité, il est nécessaire de rédiger de nouvelles procédures de sécurité afin de garantir le respect de l’intégrité physique des personnes à proximité ou aux machines.
A l’ère de l’interconnexion des systèmes et la cybercriminalité qui l’accompagne, il devient urgent de mettre l’accent sur la formation et la mise en place de campagnes de sensibilisation aux risques de sécurité auxquels sont potentiellement exposés les opérateurs et le personnel en interaction avec les ICS.
D’autre part, les constructeurs proposent désormais la mise à jour des logiciels ou des matériels sur leurs équipements, notamment lorsque des vulnérabilités sont découvertes. Les mises à jour de sécurité et la veille associée sur les matériels sont des mesures capitales associées au cloisonnement ou l’isolation du réseau industriel d’Internet (s’inscrit dans une démarche de défense en profondeur appliquée au système d’information). La notion de cloisonnement désigne la décomposition du réseau de l’entreprise en trois sous-systèmes correspondant à chacun des étages : le réseau d’entreprise, le réseau de contrôle et le réseau industriel séparés entre-eux par des dispositifs de sécurité tels qu’un pare-feu ou une DMZ.
Ajouté à ces mesures, l’organisation devra chercher à réduire l’exposition des infrastructures industrielles aux différentes menaces en mettant en place un dispositif de surveillance accrue des installations et de détection des incidents.
Enfin, pour tester la conformité de son système aux exigences de sécurité (formalisées dans un référentiel : cible de sécurité du système) et corriger les défauts, il est important de procéder à des audits externes menés par des prestataires accrédités par une agence gouvernementale.
“If you have built castles in the air, your work need not be lost;
that is where they should be. Now put the foundations under them.”
– Henry David Thoreau
En savoir plus
Retrouvez des liens utiles pour apprendre à nous connaitre ou nous contacter.
Qui sommes-nous ?
Nous sommes un cabinet de cybersécurité et de protection de la vie privée créé en 2010
Contactez-nous
Nos spécialistes pourront vous proposer la bonne solution sous 48h