Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 CONCEPTION ET MISE EN SERVICE D’UNE ARCHITECTURE SECURISEE DE RESEAU DE POSTE

1 CONCEPTION ET MISE EN SERVICE D’UNE ARCHITECTURE SECURISEE DE RESEAU DE POSTES Andreas Klien1, Yann Gosteli2, Stefan Mattmann3 1OMICRON electronics GmbH, Klaus, Autriche (andreas.klien@omicronenergy.com) 2Centralschweizer Kraftwerke (CKW) AG, Lucerne, Suisse (yann.gosteli@ckw.ch) 3Centralschweizer Kraftwerke (CKW) AG, Lucerne, Suisse (stefan.mattmann@ckw.ch) Mots clés : CYBERSÉCURITÉ, CEI 61850, DÉTECTION D’INTRUSION, AUTOMATISATION DE POSTE Résumé Les auditeurs des gestionnaires de réseau électrique et de la cybersécurité considèrent de plus en plus le centre de téléconduite comme un vecteur d’attaque critique et les postes comme des points d’entrée potentiels pour les cyber-attaques. Les processus, la manière dont la mise en service des systèmes de protection et de contrôle est réalisée et la manière dont l’accès à la maintenance à distance est mis en œuvre sont des facteurs de risque importants. Par conséquent, l’architecture du système de protection et de contrôle doit être revue du point de vue de la sécurité. Pour ce faire, l’entreprise suisse de production et de distribution d’électricité Centralschweizer Kraftwerke AG (CKW) a lancé en 2016/2017 un projet visant à développer une nouvelle architecture de référence pour ses systèmes secondaires. Leur conception se concentre à ces vecteurs d’attaque par des contre-mesures, tout en offrant un équilibre raisonnable entre maintenance et sécurité. Cette conception comprend plusieurs niveaux de sécurité contenant plusieurs couches de pare-feu. En outre, un système de détection d’intrusion (IDS) est appliqué. Le choix d’un IDS approprié pour les postes s’est avéré difficile, car de nombreux systèmes ne prennent pas en charge les exigences des réseaux de postes. Cet article commence par une énumération des principaux vecteurs d’attaque des postes, suivie d’une description de l’architecture de sécurité mise en œuvre pour la première fois dans un nouveau projet de poste 110 kV par CKW. Il conclut avec les expériences de choix d’un IDS adapté aux postes et les leçons tirées des tests de réception en usine de ce projet. 1. Introduction 1.1. Vecteurs d’attaque de postes Dans le reste de cet article, nous allons supposer qu’une cyber-attaque sur un poste est un événement lors duquel un pirate modifie, dégrade ou désactive un service sur au moins un appareil de protection, d’automatisme ou de contrôle-commande au sein du poste. Pour y parvenir, un pirate peut utiliser l’un des chemins d’attaque représentés à la Figure 1 [1]. Figure 1 Vecteurs d’attaque sur des postes [1] Un pirate peut pénétrer par la connexion du centre de téléconduite (A), comme ça a été le cas lors de la première cyber-attaque sur le réseau électrique en Ukraine, où le firmware de passerelles a été modifié (entraînant leur destruction) [2], ou par une connexion d’accès à distance (B), comme lors de la deuxième cyber-attaque en Ukraine en 2016 [3] et lors de la cyber-attaque « TRITON » sur des PLC d’infrastructures critiques [4]. Un autre point d’entrée concerne les PC d’ingénierie (C), branchés directement à l’équipement du poste ou au réseau du poste. Lorsqu’un technicien de protection connecte son PC à un relais afin de modifier les paramètres (de protection), un logiciel malveillant sur le PC peut à son tour installer un logiciel malveillant sur le relais, comme avec les PLC lors de la célèbre cyber-attaque de « Stuxnet » en 2010 [5]. Les ordinateurs portables utilisés pour tester le système CEI 61850 (D) sont souvent directement connectés au réseau de communication du poste, ce qui représente également une autre façon d’infecter 2 les équipements électroniques intelligents (IED). C’est pourquoi de nouveaux outils de test CEI 61850 sont disponibles, offrant une séparation cybersécurisée entre le PC de test et le réseau du poste. Il reste enfin l’appareil de test lui-même (E) comme point d’entrée possible. Pour cette raison, il est important que les fournisseurs d’équipements de test investissent dans le renforcement de leurs appareils afin de s’assurer que ce point d’entrée ne soit pas intéressant à exploiter. L’emplacement de stockage des paramètres (F) et les documents de test (G) sont également une source potentielle de contamination. Leur serveur ou emplacement de stockage appartient donc également au périmètre critique et ne doit pas être situé dans la zone informatique du bureau. Par conséquent, il peut s’avérer judicieux d’introduire une solution de gestion des données séparée, isolée et protégée. 2. Proposition de nouvelle architecture de poste 2.1. Cybersécurité des OT à la pointe de la technologie L’association suisse de l’industrie électrique VSE a créé un groupe de travail sur la sécurité des technologies opérationnelles (OT), qui a ensuite publié un document de recommandations de l’industrie : « Handbook on Basic Protection of Operational Technology in Power Systems » (Manuel de protection de base pour les technologies opérationnelles dans les systèmes électriques). Ce manuel fait référence au « Cyber Security Framework for Critical Infrastructure » (Cadre de cybersécurité pour les infrastructures critiques) du National Institute of Standards (NIST) [7], qui est sans cesse adapté et amélioré, la dernière version ayant été mise à jour en 2018. Le cadre du NIST est basé sur l’hypothèse qu’il n’existe jamais de protection totale contre les cyber-attaques. Avec suffisamment de connaissances et d’efforts, toutes les mesures de sécurité peuvent être violées. Sur cette base, le cadre du NIST recommande un processus composé de ces cinq étapes : « Identifier », « Protéger », « Détecter », « Réagir », « Récupérer ». La première étape est donc l’identification des vecteurs d’attaque (Identifier), comme présenté dans la section précédente de cet article. Ensuite, des contre- mesures peuvent être mises en œuvre à l’étape suivante (Protéger). Si un pirate peut encore franchir ces barrières, l’attaque doit être détectée (Détecter) et, au mieux, faire l’objet d’une action immédiate (Réagir) afin de rétablir un état normal le plus rapidement possible (Récupérer). Grâce aux enseignements tirés lors des étapes « Détecter » et « Réagir », de nouveaux vecteurs d’attaque peuvent être identifiés, de nouvelles contre-mesures peuvent être mises en œuvre et donc le processus se répète. Les recommandations de l’industrie suisse mettent l’accent sur l’interaction des personnes, de la technologie et des processus au sein de l’organisation. Par exemple, la surveillance continue ou la détection d’intrusion (Détecter) n’a de sens que si l’on répond de manière appropriée aux messages d’alarme. Ainsi, les messages d’alarme doivent être compréhensibles pour toutes les personnes impliquées dans le processus de réponse : techniciens OT et spécialistes de la sécurité informatique. Dans le cas contraire, le processus de réponse devient inefficace. De plus, si l’IDS délivre trop de fausses alarmes, toutes les alarmes seront finalement ignorées. 2.2. Initiatives de cybersécurité des OT chez CKW [6] Ces dernières années, la sécurité des OT, en particulier des systèmes de contrôle et de protection, a pris de plus en plus d’importance chez CKW. Cela est dû aux recommandations de l’industrie en Suisse mentionnées précédemment, mais surtout aux évaluations de la sécurité des OT réalisées par CKW ces dernières années. Ces évaluations ont révélé des points faibles tant au niveau des réseaux que de la technologie de contrôle des postes utilisée dans les postes. Par exemple, des transitions de zones dangereuses et certaines méthodes critiques d’accès à distance sur les ordinateurs de contrôle des postes ont été détectées. En outre, il n’a pas été possible d’évaluer si une attaque avait actuellement lieu dans le réseau du poste ou s’il existait des activités suspectes sur le réseau qui pourraient indiquer une attaque imminente. D’après ces conclusions, CKW s’est fixé pour objectif d’éliminer les points faibles essentiels et de renforcer les exigences relatives à l’architecture de ses futurs postes. Ces conclusions ont donc été intégrées dans la nouvelle norme de conception de postes de CKW. 3 En plus de travailler sur cette norme de conception, CKW a pu s’impliquer dans le groupe de travail suisse pour le manuel de sécurité des OT mentionné. Sur la base de cet échange d’informations, CKW a systématiquement intégré les conclusions du groupe de travail dans ses propres normes de conception. En 2016/2017, une équipe de projet de CKW a commencé à planifier le nouveau poste « US Rothenburg », qui sera mis en service en 2020. Dans ce projet, la nouvelle norme d’architecture sécurisée de CKW a été appliquée et les dernières recommandations du manuel de sécurité des OT suisse ont été suivies. Pour pouvoir mettre en œuvre ces mesures de sécurité élaborées, l’entreprise CKW a décidé de mettre en œuvre l’architecture du réseau et la configuration des switchs elle-même. 2.3. Conception du réseau Dans la conception du réseau du poste US Rothenburg, des obstacles ont été construits dans chaque zone pour rendre une attaque aussi difficile que possible. La Figure 2 illustre le réseau du poste US Rothenburg. Figure 2 Architecture du réseau du poste US Rothenburg [6] Dans cette architecture, tous les vecteurs d’attaque décrits à la section 1.1 de cet article sont traités en utilisant toute une série de mesures de sécurité. Les connexions à distance du site ont été traitées avec la plus haute priorité. Ces connexions à distance sont sécurisées par des pares-feux et des tunnels, mais également désactivées par défaut. Les connexions pour l’accès à distance ne sont activées que lorsque cela est nécessaire. Cela signifie que uploads/Ingenierie_Lourd/ potm-2020-04-design-and-commissioning-of-secure-substation-architecture-fra 1 .pdf