This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
SPÉCIALISTE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
Philippe PRESTIGIACOMO - Dirigeant de PRONETIS� Consultant SSI – Lead Auditor 27001 / Risk Manager 27005
� Membre du GREPSSI, OWASP
� Formation en enseignement supérieur (PolyTech’Marseille, CNAM, Luminy)
PRONETIS – www.pronetis.fr� Société indépendante spécialisée en SSI
� Audit – Conseil – Formation – Lutte contre la fraude informatique
� Qu’est-ce que la cybercriminalité ?� Activité criminelle portant atteinte aux données, au non-respect des droits d'auteur ainsi
que les activités telles que la fraude en ligne, l'accès non autorisé, la pédopornographie et le harcèlement dans le cyberespace.
� Cyber délinquance : individus attirés par l’appât du gain, motivation politique, religieuse, concurrents directs de l’organisation visée…
� Quel est son objectif, ses cibles ?� Gains financiers (accès à de l’information, puis monétisation et revente)� Utilisation de ressources (espace de stockage de films ou autres contenus, botnets) � Chantage, Espionnage
� Quelle est la tendance de la cybercriminalité ?� Les "cyber-attaquants" identifient et affinent leur s approches de façon plus
stratégique , ciblant ainsi leurs victimes de manière plus sélective afin d’améliorer le taux d’infection de leurs attaques (source : Trend Micro)
ATTAQUE - Exploitation concrète d’une vulnérabilité d’un système qui conduit à des conséquences plusou moins grave sur la fonctionnalité ou les données du système.
Typologie des attaques� Attaques génériques
- 30 Millions de nouveaux malwares en 2012› CONFICKER, 2009
Motivations : argent, puissance• Vol de Données sur l’ordinateur infecté
– Documents, mots de passe, Accès compte bancaires, …– n° de série logiciels, …
• Deni de Service– Quelques centaines de machines peuvent rendre indisponible un site de commerce (consommation de
bande passante, saturation de ressources, panne de système ou application)
Exemples :– Au Kentucky, des sites web inaccessibles pendant une semaine car refus de payer 10.000 $– Angleterre, des casinos en ligne se sont vus proposer une « protection » contre 50.000 $/an– En 2008 : 190 000 attaques par DoS pour un gain de 20 millions de dollars.
• SPAM
– env. 70% des Spam sont envoyé à partir de machines zombies– en 2008 : $80 par millions de spam envoyé
– Des botnets sont « loués » pour l’envoi de Spam (Entre 2,5 & 6 cents par bot par semaine )(- forums de SpecialHam.com, Spamforum.biz)
PRÉSENTATION DES SYSTÈMES D’INFORMATION INDUSTRIEL
ILLUSTRATION – DOMAINES D’EXPLOITATION
PROBLÉMATIQUE
EXEMPLES DE SABOTAGE - CAS DE STUXNET
VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS
ETAT DES LIEUX
SYSTÈME D’INFORMATION INDUSTRIEL
� Les systèmes d’automatisme ou systèmes de contrôle industrielsont utilisés pour de multiples applications� Usine classique : chimie, agro, automobile, pharma, production d’énergie…
� Sites plus vastes : traitement de l’eau, des réseaux de transport…
� Gestion de bâtiment (aéroport, hôpitaux…)
� Propulsion de navire
� Santé : biomédicale, laboratoire d’analyse …
Les systèmes industriels contrôlent les infrastructurescritiques depuis les réseaux électriques au traitement del'eau, de l'industrie chimique aux transports. Ils sontprésents partout.
Combinaison du monde industrielavec le monde informatique
COMPOSANTS D’UN SYSTÈME INDUSTRIEL
� Automate Programmable Industriel (API ou PLC) : Dispositif électronique programmable destiné à la commande de processus in dustriels.
� Actionneur : Organe fournissant la force nécessaire à l'exécutio n d'un travail ordonné par une unité de commande distante (vérin, moteur, …)
� Contrôle-commande : Système numérique de contrôle commande (SNCC) Systè me d’automatisme et de composants d’interface qui perm et à l’exploitant de contrôler son installation.
� Capteurs : Dispositif transformant l'état d'une grandeur physi que observée en une grandeur utilisable.
� IHM (Interface Homme Machine) : Moyens et outils mis en œuvre, afin qu'un humain puisse contrôler et communiquer avec une machine.
� Pré-actionneur : Système permettant de distribuer l'énergie vers un actionneur.
� Bus terrain
� Logiciel de supervision et de contrôle : SCADA
� Logiciel de gestion de production assistée par ordi nateur ( GPAO, MES)
� Installation très étendue� Site industriel avec des superficies importantes : 15.000 à 20.000 m²
� Réseaux nationaux avec des filiales disposant d’une grande autonomielocale
� Multiples sites interconnectés
� Nécessité pour certains systèmes de disposer d’accès à distance viaInternet - Equipements connectés sur Internet afin de faciliter leurexploitation
INTERVENANTS – CULTURE SÉCURITÉ
� Interlocuteurs avec des cultures et sensibilités différentes� Électroniciens, automaticiens, qualiticiens
� Absence de formation ou de sensibilisation à la sécurité
� Turn-over important du personnel en production � Intérimaire - Sous-traitant
� Quid de la confidentialité des données sur les postes SCADA – recette de fabrication….
Difficulté de maitriser l’ensemble des intervenants. Ilfaut comprendre le métier et les problématiques, savoirdialoguer avec l’ensemble des interlocuteurs.(automaticiens et informaticiens).
� Difficultés pour se connecter à tous les équipements� Protocoles propriétaire
� Technologies différentes
� Traçabilités des informations� Absence de fonctionnalité de journalisation embarquée
� Compétences � Analyse des événements dans le périmètre
Difficultés d’analyser les évènements provenant d’unsystème industriel. Pour cela, il est nécessaire d’avoir descompétences en sécurité et en automatisme industriel.
� 2005 : Vers Zotob, arrêt de 13 usines d’assemblage de véhicules (E-U). 50000 ouvriers au chômage technique et plus de 10M$ de perte d’exploitation
� 2007 : Des salariés prennent le contrôle du système de signalisation des feux en Californie provoquant de graves perturbations
� 2007 : Bombe logique d’un employé sur un système de contrôle d’irrigation des eaux d’un barrage en Californie.
� 2007 : Erreur de commande et contamination accidentelle des eaux de ville du Michigan (hydroxyde de sodium pour le Ph), des dizaines de victimes.
� 2008 : Arrêt d’urgence du réacteur nucléaire de la centrale de Hatch � Cause : MAJ d’un PC bureautique utilisé aussi pour la supervision.� Bilan : 2 jours d’arrêt
� 2008 : Détournement par un adolescent du système de contrôle de trafic des trams de la ville de Lódz en Pologne, et déraillement de 4 wagons.� Bilan : plusieurs blessés.
� 2009 : New Jersey, USA : Erreur informatique su système de sécurité … inondations (aurait pu être causée par une attaque informatique)
� 2010 : Stuxnet : 1er ver découvert qui espionne et reprogramme des
systèmes industriels . Attaque les systèmes SCADA de procédés
industriels. 4 pays majoritairement touchés : Iran, Indonésie, Inde,
Pakistan- But : sabotage
� 2011 : Duqu : ver ciblant les usines d’armement, centrales nucléaires, usines chimiques
� 2011 : PoisonIvy : cheval de Troie ciblant le secteur automobile, militaire, chimie� Les prisons sont gérées par des systèmes de contrôle industriels, les mêmes
que ceux utilisés dans les centrales électrique et installations de traitement de l’eau .
Le Siemens Organization Block 35 (processwatchdog) est modifié par Stuxnet – Il gèredes opérations critiques qui requièrent destemps de réponse inférieurs à 100 ms
La cible pourrait être la centralede Bushehr, en construction maisaussi des centrifugeuses sur lesite de Natanz
Famille de PLC SIEMENS concernée :6ES7-417 et 6ES7-315-2 -> cibles complexes !* multiples ProfiBus * Puissance CPU
Scénario 1 : Si les équipements sont sur le même réseau, on peut les attaquer simultanément par exemple en mettant en panne l’API (automate programmable industriel) de sureté (mesure certains paramètres et agit en cas de problème) et on causera un accident via l’API de pilotage. Scénario 2 : L’attaque consiste à corrompre les données envoyées de A à B pour mettre en panne l’automate de sûreté.
ETAT DES LIEUX : ORGANISATION DE LA SECURITE
� Responsable sécurité rattaché � Production (le plus souvent)
� Département technique
� Hygiène Qualité Sécurité et Environnement (HQSE)
� Maintenance
� Services généraux
Responsabilités variables et diffuses des systèmes informatiques et de leur sécurité
� Difficultés d’appliquer les standards de sécurité dessystèmes d’information de gestion
� Une approche différente à construire pour les systèmesd’information industriels « tout en adaptant les recettesexistantes de sécurité »
La gestion du risque, la maîtrise des techniques desécurisation deviennent des compétencesindispensables pour les entreprises dans les secteursindustriels.
Les aspects fondamentaux de la sécurité du système d’information :
� Confidentialité : Propriété d’une information qui n’est ni disponible, ni divulguée aux personnes,entités ou processus non autorisés ISO 7498-2 (1989). AFNOR
� Disponibilité : Propriété d’être accessible et utilisable sur demande par une entité autorisée. Ladisponibilité est une des quatre propriétés essentielles qui constituent la sécurité. ISO 7498-2(1999). AFNOR
� Intégrité : Propriété des données dont l’exactitude et la cohérence sont préservées à travers toutemodification illicite. Prévention de toute modification non autorisée de l’information ISO/IEC IS2382-8 (1998) . AFNOR.
� Auditabilité Capacité pour une autorité compétente, à fournir la preuve que la conception et lefonctionnement du système et de ses contrôles internes sont conformes aux exigences de sécuritéGarantir une maîtrise complète et permanente sur le système et en particulier pouvoir retracer tousles évènements au cours d’une certaine période. AFNOR
Évaluation des risques–Intégrité & Confidentialité des données,–Disponibilité du SI–Détournement d’activité, Image de Marque,–Sanctions pénales
Mettre en place les protections et préventions
Formaliser les procédures et méthodologies
Mettre en place les contrôles et surveillances
Formaliser un plan de reprise
Effectuer une veille technologique lié à la sécuris ation
APPROCHE NORMATIVE ET ANALYSE DE RISQUES
Analyser les risques de votre système d’information (méthode EBIOS, norme ISO 27005)
Suivre les recommandations et les bonnes pratiques de sécurité issues des normes de sécurité – Normes ISO 27xxx ( Exemple : norme ISO-27001 et 27002), Normes IEC 62443-XX ( Exemple : normes ISO-62443-2 ISO-62443-3, ISO-62443-4)
• Détecter les vulnérabilités• Appliquer les Correctifs
• Sondes IDS• Analyse des traces
•Supervision, Veille,•Surveillance
• Firewall• Compartimenter le réseau et les systèmes
• Sécuriser et certifier les échanges (VPN / Mails chiffrés)
• Former et sensibiliser les utilisateurs• Consignes en cas d’attaque ou de doutes
• Mise en œuvre de procédures de sécurité• Plan de continuité
•Sauvegarde et protection des supports•Redondance des systèmes
• Classifier les données• Analyse de risques• Protéger des données• Accès restrictifs
Gestion de la sécurité (non exhaustif)
Données
•Protéger et isolerles réseaux sans fil
RELATIVITÉ DE LA SÉCURITÉ
« The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards - and even then I have my doubts. »
— Eugene H. Spafford ,http://www.cerias.purdue.edu/homes/spaf/quotes.html
• La sécurité ne se met pas en œuvre en une seule fois• Elle fait partie intégrante du cycle de vie du système• Il s’agit d’un processus itératif qui n’est jamais fini et doit
« La sécurité absolue est inatteignable, c’est un voyage, pas une destination »
LES DIFFICULTÉS DE LA SÉCURITÉ
� Les usagers ont des besoins spécifiques en sécurité informatique, mais en général ils ont aucune expertise dans le domaine� L’utilisateur ne sait pas ce qu’il veut, c’est à l’expert en sécurité de
comprendre ses besoins et de mettre en œuvre les moyens adéquates
� Performance et confort d’utilisation Versus Sécurité� Les mécanismes de sécurité consomment des ressources
additionnelles� La sécurité interfère avec les habitudes de travail des usagers
� Ouverture vers le monde extérieur en constante progression� Les frontières de l’entreprise sont virtuelles ex : télémaintenance
� Centre de coût versus centre de profit� La justification des dépenses en matière de sécurité n’est pas évidente� Le retour sur investissement en sécurité est un exercice parfois difficile
� La sécurité n’est pas une fin en soi mais résulte d’un compromis entre :- un besoin de protection ;- le besoin opérationnel qui prime sur la sécurité (coopérations,
interconnexions…)- les fonctionnalités toujours plus tentantes offertes par les technologies
(sans fil, VoIP…)- un besoin de mobilité (technologies mobiles…)- des ressources financières et des limitations techniques