Dans une publication de 2018, l’Observatoire de l’Industrie Electrique faisait état de 20 cyberattaques de grande ampleur ayant ciblé d’importants systèmes énergétiques depuis 1982, soulignant que la fréquence de ces attaques avait tendance à augmenter depuis 2010.
Début 2019, le Directeur Général de l’ANSSI, Guillaume Poupard, confirmait que son Agence était en état d’alerte permanente sur le sujet de la sécurité des infrastructures critiques, faisant surtout état de son inquiétude personnelle sur les dégâts potentiellement catastrophiques que pourraient engendrer des cyberattaques sur des réseaux énergétiques, électricité, gaz, etc. français. Certains groupes tels que Dragonfly - soupçonné d’être soutenu par le gouvernement russe - se sont déjà d’ailleurs spécialisés sur le ciblage de ce type d’infrastructures, pour le moment à des fins d’espionnage…
Face à ces nombreuses alertes, il est nécessaire de proposer régulièrement des piqûres de rappel sur les stratégies de cybersécurité pouvant être adoptées, et la façon de les adapter à ces nouvelles infrastructures critiques hyperconnectées.
La numérisation offre des avantages mais elle augmente aussi considérablement les cyber risques
Autrefois, la sécurité des infrastructures énergétiques, hydrauliques et de transport contre les attaques consistait principalement à ériger des remparts, de sécurité, autour du périmètre des installations, et à surveiller et contrôler tous les points d’accès et les allées et venues.
Aujourd’hui, les infrastructures sont reliées à une chaîne d’approvisionnement sans laquelle elles ne pourraient fonctionner de manière efficace. Les « barrières et des gardes » restent nécessaires, mais le périmètre qu’ils protègent n’est plus qu’une partie du problème. Aujourd’hui, les menaces ont pris une dimension digitale, mais les principes fondamentaux d’une bonne stratégie de sécurité restent les mêmes.
Pourtant ces principes fondamentaux semblent avoir été oubliés. Qu’il s’agisse de protéger le site d’une centrale électrique contre les intrusions ou de protéger ses systèmes de contrôle contre les hackers, tout commence par la délimitation de l’environnement donné, la détermination de ce qui constitue le comportement opérationnel normal et attendu, et la mise en œuvre des contrôles pour surveiller et faire appliquer les règles de sécurité.
Connaître son environnement
On ne peut protéger ce qu’on ne voit pas : cet adage s’applique autant à la protection des installations physiques qu’à celle des réseaux de supervision qui les gouvernent. S’il s’agissait d’élaborer un plan pour sécuriser le site physique d’une centrale électrique moderne, on commencerait par cartographier le site et par identifier l’emplacement des zones sensibles.
Avec une bonne compréhension de la configuration du site, on érigerait des clôtures et des barrières autour du périmètre, on placerait des portes et des gardes aux points d’accès autorisés et on identifierait les angles morts, les zones les plus importantes et les autres points d’intrusion potentiels pour les surveiller avec l’aide de caméras de vidéosurveillance ou de gardes.
Lorsqu’on traduit cela pour les systèmes de contrôle industriel (ICS), les mêmes idées de base s’appliquent. Il faut dresser un inventaire complet de leurs terminaisons et identifier les voies de communication entre elles. Une fois ces éléments identifiés, il reste à segmenter les sections les plus sensibles du réseau afin de les isoler des parties non essentielles à leur fonctionnement.
Cela semble évident, mais peut s’avérer complexe à réaliser dans les environnements OT (Operational Technologies), car les installations sont ancienne et les ajouts et remplacements ne sont pas toujours bien documentés, de sorte qu’il existe rarement des sources fiables pour cartographier le réseau des systèmes de contrôle et à partir desquelles élaborer un plan de sécurité.
Déterminer la situation normale
Dans le scénario de la centrale électrique, mettre en place des barrières physiques devrait dissuader un cybercriminel à la recherche d’une cible facile, mais cela ne prévient pas toutes les intrusions. Il faut donc surveiller tout événement suspect ou inhabituel sur le site. Quelles portes et barrières doivent toujours rester fermées ? Quelles sont les horaires habituels pour le personnel d’entretien et les livraisons ? Pour reconnaître et analyser les anomalies, il faut comprendre ce qui est normal.
Pour sécuriser un réseau ICS, le même principe s’applique : pour déterminer ce qui est normal, il faut surveiller tous les éléments du réseau, cartographier les communications habituelles, et comprendre le pourquoi de celles-ci. Les meilleurs systèmes de sécurité OT établissent une base de référence du comportement normal en surveillant l’activité pendant une période prolongée et en identifiant des modèles de comportement. Non seulement elles enregistrent les voies de communication, mais elles peuvent aussi interpréter la nature des communications pour chercher des indices de faille en se référant à des menaces connues et à des modèles de comportement suspects. Lorsqu’un comportement anormal est détecté, ces systèmes utilisent des processus logiques de pointe pour établir le niveau de risque et déterminer s’il convient de déclencher l’alarme.
Établir des contrôles
Définir son environnement et surveiller les activités permet de rester informé mais, faute de contrôles adéquats en place, cela ne contribue guère à réduire les risques. Pour la sécurité d’un site physique, il faudrait par exemple utiliser des badges pour identifier les employés et installer des lecteurs de cartes pour contrôler l’accès aux zones critiques.
Pour protéger un environnement OT, l’objectif est d’isoler les zones les plus critiques du réseau des ICS et de surveiller qui effectue des changements dans les processus de production. Les systèmes de sécurité OT permettent au personnel de sécurité de segmenter le réseau de sorte que ses terminaisons ne communiquent qu’avec les éléments nécessaires à l’exécution de leur fonction et que les processus essentiels ne puissent être affectés si une autre partie du réseau est compromise.
De plus, les réseaux OT s’étendent souvent sur plusieurs sites éloignés entre eux, de sorte que les mises à jour logicielles et autres opérations de maintenance sont souvent effectuées par des employés à distance ou par des tiers. Pour réduire le risque d’accès non autorisé, les meilleures solutions de sécurité limitent l’accès selon les identifiants, surveillent en temps réel les sessions de connexion à distance et peuvent mettre fin à celles-ci en cas d’activités suspectes.
Au final, même si la surface d’attaque de nos infrastructures critiques s’est considérablement agrandie avec le passage au digital, les principes de bases pour sécuriser ces réseaux essentiels ICS n’ont quant à eux pas tellement changé. Le tout est de ne pas les oublier !