La sécurité des Systèmes d'Information Industriels (SII / OT)

La sécurité des Systèmes d’Information Industriels (SII) représente aujourd’hui un enjeu majeur. Les audits et les tests d’intrusion qui en découlent ont pour objectif d’identifier les risques et de démontrer les vulnérabilités exploitables par un attaquant ayant un accès direct ou indirect au SII (aussi qualifié de réseau Industrial Control System / ICS network / réseau OT).

En effet, l’exercice consiste à mettre en avant des problématiques de sécurité qui impactent un SII ou les réseaux interconnectés. L’objectif de cet article est de partager notre expérience et d’expliquer la démarche propre à ces contextes.

Avant toute chose, nous souhaitons apporter quelques précisions aux lecteurs :

Cet article se veut généraliste et n’a pas pour but de détailler la méthodologie technique XMCO (ni même de lister tous les outils ou encore de se concentrer sur un cas spécifique) ;
Nous n’apporterons ici aucun détail quant aux vulnérabilités identifiées durant nos missions d’audits (référence de matériels, de constructeurs, 0-day, etc.) ;
Nous éviterons de rentrer dans les spécificités de chaque terme ou de débattre autour de la sémantique . De surcroit, nous essaierons simplement d’éclairer le lecteur sur les audits / tests d’intrusion industriels et l’importance de la prise en compte de leur sécurité.

1. Quelques notions à connaître

Dans un souci de compréhension de l’article, nous tenons à rappeler quelques définitions et distinctions entre les termes couramment rencontrés.

1.1 Distinction entre l’IT et l’OT

IT (Information Technology / Technologie de l’Information)	OT (Operational Technology / Technologie Opérationnelle)
Se rapporte à l’ensemble des « actifs » d’une entreprise liés à la technologie de l’information (matériels, logiciels et personnes). De façon très schématisée, le terme peut s’apparenter au « réseau bureautique » de l’entreprise avec en son centre « les données », les machines et les collaborateurs qui les utilisent. Il s’agit là d’interconnecter des applications métiers et des données qui peuvent ensuite être exploitées par les personnes.	Se rapporte aux Systèmes d’Information Industriels (SII) / Industrial Control System (ICS) et regroupe l’ensemble des compétences, technologies, outils de production, matériels/machines, logiciels, personnes, etc. avec en son centre « les interfaces interconnectées avec le monde réel ». Le SI Industriel (SII) / « réseau industriel » va donc interconnecter des interfaces logiques avec le monde physique (ex. via du pilotage ou de la supervision avec des interfaces HMI, SCADA) ou plus directement avec des Automates Programmables Industriels (API également nommés Programmable Logic Controller, PLC) ou tout autre équipement des rouages de la chaîne de production.

IT (Information Technology / Technologie de l’Information)

OT (Operational Technology / Technologie Opérationnelle)

Se rapporte à l’ensemble des « actifs » d’une entreprise liés à la technologie de l’information (matériels, logiciels et personnes). De façon très schématisée, le terme peut s’apparenter au « réseau bureautique » de l’entreprise avec en son centre « les données », les machines et les collaborateurs qui les utilisent. Il s’agit là d’interconnecter des applications métiers et des données qui peuvent ensuite être exploitées par les personnes.

Se rapporte aux Systèmes d’Information Industriels (SII) / Industrial Control System (ICS) et regroupe l’ensemble des compétences, technologies, outils de production, matériels/machines, logiciels, personnes, etc. avec en son centre « les interfaces interconnectées avec le monde réel ». Le SI Industriel (SII) / « réseau industriel » va donc interconnecter des interfaces logiques avec le monde physique (ex. via du pilotage ou de la supervision avec des interfaces HMI, SCADA) ou plus directement avec des Automates Programmables Industriels (API également nommés Programmable Logic Controller, PLC) ou tout autre équipement des rouages de la chaîne de production.

Nous utiliserons dans la suite de cet article le terme de réseau IT/OT (ou ICS). D’autres pourraient être évoqués à l’instar des systèmes Supervisory Control and Data Acquisition (SCADA) et des Distributed Control Systems (DCS), mais différentes ressources s’attèlent de façon très complète à présenter les distinctions et similitudes.

1.2 Distinction entre sécurité et sureté

Nous définissons ici ces 2 notions dans un contexte de cybersécurité industrielle.

Sécurité (Security)	Sureté (Safety)
Capacité à avoir connaissance des risques (prévention) pouvant impacter un Système d’Information Industriel et permettant de définir puis de déployer des mesures techniques et organisationnelles pour assurer un niveau de service acceptable et viable des systèmes.	Capacité d’un système ou d’un ensemble de systèmes à disposer de mesures permettant d’éviter des incidents qui pourraient mettre en danger l’environnement, la santé des personnes, des biens, etc. On parle également de « sécurité fonctionnelle ».

2. Pourquoi réaliser des audits de sécurité ou des tests d’intrusion sur un SII

Toute technologie ou donnée est aujourd’hui susceptible d’être attaquée pour différents motifs. Ainsi, l’industrie n’y échappe pas d’autant que l’exposition des SII est de plus en plus importante :

Concurrence avec volonté de nuire, de ralentir, de détruire une activité (de façon directe ou indirecte) ;
Malveillance externe ou interne ;
Chantage / récupération d’une contrepartie (argent, données, technologie, etc.) ;
Challenge technique ;
Motifs étatiques ;
Recherche de visibilité / reconnaissance ;
Script kiddies.

La différence vient aujourd’hui essentiellement de la perception du grand public sur les menaces. En effet, la médiatisation autour de la sécurité informatique se concentre surtout sur les données personnelles. Les tests d’intrusion et les audits de réseaux ICS permettent donc de sensibiliser les différents acteurs œuvrant dans des contextes industriels face aux risques Cyber qui les concernent.

2.1 Des impacts sur le monde réel

Une attaque sur un SII peut engendrer différents impacts d’ordre :

Matériel (destruction) / humain (blessure voire mort) ;
Financier (perte de disponibilité ou ralentissement avec un impact sur la production) ;
Environnemental (incendie, pollution, etc.) ;
Politique ;
Métier (vol de secrets ou de savoir-faire, etc.) ;
Éthique / image / renommée.

2.2 La perception de l’auditeur

Les objectifs du côté de l’auditeur vont donc être avant tout :

D’identifier des vulnérabilités pour révéler des scénarios d’attaques réalistes et les risques inhérents à une exploitation réussie. Cela passe par la vérification :
- de l’efficacité des mécanismes de sécurité implémentés ;
- des mesures et solutions déployées pour la protection des systèmes sensibles ;
- des procédures et moyens organisationnels en place ;
- du niveau de sensibilisation des collaborateurs (profils techniques ou non).

D’échanger avec les sachants pour qualifier au mieux les risques ;
De démontrer l’exploitabilité et de mettre en avant les conséquences concrètes en adaptant ses retours aux différents interlocuteurs ;
De fournir des recommandations applicables dans le contexte de l’environnement. Il convient de prioriser au mieux les actions pour supprimer ou à minima mitiger le niveau de menace.

2.3 La perception de l’audité

A l’inverse, l’objectif pour l’audité va donc être :

De challenger sa sécurité (configurations, solutions, procédures), d’éventuels prestataires (ex. Security Operation Center / SOC externe) mais également ses équipes dans le cadre d’un exercice concret ;
D’avoir un état des lieux de son niveau de sécurité et des risques encourus ;
D’obtenir / de consolider un plan d’action à mettre en place dans le cadre du renforcement de son SII ;
De disposer d’un appui externe dans le cadre de migrations, de changements d’équipements / de solutions, ou de définition d’un budget ;

2.4 Les différentes méthodologies

À l’instar d’autres catégories de tests d’intrusion, l’approche peut distinguer 3 phases complémentaires :

Boîte noire : cette phase consiste à réaliser les tests sans aucun compte utilisateur ou information. Le point d’entrée se fait depuis Internet, un accès réseau filaire (salle de réunion, bureau libre, etc.), un accès sans-fil (Wi-Fi) ou via une connexion VPN (selon l’exposition des actifs et les contraintes techniques).
Boîte grise : un ou plusieurs compte(s) utilisateur(s) standard(s) sur le(s) domaine(s) (dans la mesure de l’existence d’un Active Directory / AD) sont demandés. L’objectif est de couvrir davantage de scénarios sur les réseaux interconnectés avec le SI Industriel. Cette demande peut être complétée par différents identifiants pertinents dans le contexte de l’audit.
Boîte blanche : les tests sont étendus avec l’assistance de responsables ou des opérateurs sur site facilitant l’identification de scénarios pragmatiques. À ce titre, la moindre documentation facilitant la compréhension de l’environnement est la bienvenue (inventaire, schémas, documentation de constructeurs, accès au code source, accès aux systèmes, etc.).

3. Quelles vulnérabilités sur un SII ?

Nous identifions généralement des vulnérabilités ou des non-conformités inhérentes à :

La segmentation réseau permissive (au sein même du réseau OT ou entre l’IT et l’OT) avec des règles incomplètes voire un réseau à plat ;
L’absence de patchs de sécurité, de mises à jour ou l’utilisation de composants qui ne sont plus maintenus. Ces derniers s’avèrent ainsi vulnérables à de multiples exploits. Rappelons que dans un SII la priorité est la disponibilité et non pas que tout soit à jour. En somme, il est primordial de comprendre le contexte de l’obsolescence identifiée et du pourquoi. Il peut s’agir d’une question de budget, licence, redémarrage complexe, oubli, absence de sachant, interconnexions limitées, etc. ;
L’utilisation d’identifiants par défaut ou triviaux qui engendre un risque important sur la sécurité (solutions, équipements, services, etc.). A cela s’ajoutent les problématiques de comptes génériques, de réutilisation d’identifiants, de sessions ouvertes « permanentes », etc. ;
Des applications vieillissantes qui n’ont pas été développées sous l’angle de la sécurité et qui sont toujours utilisées ;
Des problématiques de gouvernance (rôles, responsabilités, délégations, etc.) et de supervision ;
Des configurations par défaut ou triviales (Wi-Fi, postes de travail, filtrages réseau permissifs, partages non maitrisés, etc.) ;
L’absence de sensibilisation des collaborateurs face aux risques Cyber (phishing, gestion des mots de passe, sessions, etc.) ;
L’absence de surveillance / monitoring / suivi des évènements de sécurité ;
La gestion des tiers / prestataires externes (quid des attaques ciblant la chaîne logistique / supply chain) ;
Les problématiques de composants inconnus qui font parfois tout, trop ou rien. Il s’agit là des « boites magiques » installées par des tiers dont personne en interne n’a malheureusement la maitrise ;
L’absence malheureusement récurrente de documentation à jour voire l’absence totale (inventaire, schémas, guides, responsabilités, etc.). En conséquence, la connaissance du périmètre ou d’une technologie peut ainsi totalement se perdre.

Note : Quitte à faire doublon avec le second point de cette liste, rappelons que la priorité des équipements industriels a toujours été de fonctionner (focus sur la disponibilité) et non pas de fonctionner "avec de la sécurité". Aujourd'hui les éditeurs / constructeurs prennent davantage en considération cette problématique même si cela demeure un réel casse-tête pour les équipes.

4. La modernisation de l’industrie (Cloud et IoT)

Le terme industrie laisser souvent penser à de vieilles technologies qui n’évoluent pas ou peu. La longévité de certains matériels / systèmes à qui l’on demande avant tout d’être fiables joue dans cette perception. Pour autant, de plus en plus de solutions « modernes » viennent s’interfacer dans ces architectures pour faciliter le travail des équipes. Cela se fait au regard de multiples facteurs (position géographique, milieu à risque, besoin de pilotage à distance, nécessité d’analyse des données en temps réel, étude de la productivité, etc.).

L’objectif est donc avant tout d’optimiser et de faciliter :

La centralisation des informations (données / data au sens large) ;
Le partage de ressources ;
L’exploitabilité et le pilotage des outils / machines ;
La maintenance ;
Les possibilités d’assistance technique à distance avant de dépêcher des interventions sur site ;
L’interopérabilité entre les équipements de différents usages et d’années de conception parfois éloignées.

C’est ici qu’interviennent le Cloud et l’Internet des objets (IoT) également appelé Internet industriel des objets (IIoT) dans le contexte industriel. Cette convergence permet aujourd’hui de « faciliter » la gestion de ces problématiques, mais accroit également le périmètre à sécuriser / surveiller. Ajouter un équipement IoT accroit ainsi les risques à différents niveaux : hardware, firmware, protocolaire, système, applicatif, etc. Tout comme chaque nouveau matériel ou applicatif, il convient d’avoir un durcissement, un suivi, une sensibilisation, une documentation, etc.