Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

. Mesures détaillées . La cybersécurité des systèmes industriels . Table des ma

. Mesures détaillées . La cybersécurité des systèmes industriels . Table des matières . 1 Introduction 7 1.1 Contexte 7 1.2 Champ d’application 7 1.3 Structure du corpus documentaire 8 1.4 Avis aux lecteurs 8 2 Considérations relatives à la cybersécurité des installations industrielles 9 2.1 Liste des contraintes 9 2.2 Vulnérabilités 16 2.2.1 Maîtrise des installations 16 2.2.2 Défaut de contrôle d’accès logique 18 2.2.3 Défaut de contrôle des interfaces de connexion 19 2.2.4 Cartographie non maitrisée 19 2.2.5 Défaut de maîtrise de la configuration 20 2.2.6 Utilisation d’équipements vulnérables 21 2.2.7 Utilisation de protocoles vulnérables 22 2.2.8 Défaut de contrôle d’accès physique 23 2.2.9 Défaut de cloisonnement 23 2.2.10 Télémaintenance 24 2.2.11 Terminaux nomades non maîtrisés 24 2.2.12 Utilisation de technologies standards 25 2.2.13 Intervenants 25 2.2.14 Supervision insuffisante des événements de cybersécurité 26 2.2.15 Absence de plan de continuité d’activité 26 2.2.16 Non prise en compte de la cybersécurité dans les projets 27 La cybersécurité des systèmes industriels – Mesures détaillées . 3 2.2.17 Absence de tests de cybersécurité 27 2.2.18 Absence de maîtrise des fournisseurs et prestataires 27 2.2.19 Environnement de développement non sécurisé 28 2.2.20 Outils de développement présents 28 2.2.21 Non cloisonnement de l’administration 28 2.2.22 Définition des responsabilités 29 3 Mesures de sécurité organisationnelles 31 3.1 Connaissance du système industriel 32 3.1.1 Rôles et responsabilités 32 3.1.2 Cartographie 33 3.1.3 Analyse de risque 34 3.1.4 Gestion des sauvegardes 35 3.1.5 Gestion de la documentation 35 3.2 Maîtrise des intervenants 36 3.2.1 Gestion des intervenants 36 3.2.2 Sensibilisation et formation 37 3.2.3 Gestion des interventions 38 3.3 Intégration de la cybersécurité dans le cycle de vie du système industriel 39 3.3.1 Exigences dans les contrats et cahiers des charges 40 3.3.2 Intégration de la cybersécurité dans les phases de spécification 42 3.3.3 Intégration de la cybersécurité dans les phases de conception 43 3.3.4 Audits et tests de cybersécurité 44 3.3.5 Transfert en exploitation 45 3.3.6 Gestion des modifications et évolutions 46 3.3.7 Processus de veille 47 4 . La cybersécurité des systèmes industriels – Mesures détaillées 3.3.8 Gestion de l’obsolescence 47 3.4 Sécurité physique et contrôle d’accès aux locaux 48 3.4.1 Accès aux locaux 48 3.4.2 Accès aux équipements et aux câblages 49 3.5 Réaction en cas d’incident 50 3.5.1 Plan de reprise ou de continuité d’activité 50 3.5.2 Modes dégradés 51 3.5.3 Gestion de crise 52 4 Mesures de sécurité techniques 53 4.1 Authentification des intervenants : contrôle d’accès logique 54 4.1.1 Gestion des comptes 54 4.1.2 Gestion de l’authentification 57 4.2 Sécurisation de l’architecture du système industriel 59 4.2.1 Cloisonnement des systèmes industriels 59 4.2.2 Interconnexion avec le système d’information de gestion 62 4.2.3 Accès Internet et interconnexions entre sites distants 63 4.2.4 Accès distants 64 4.2.5 Systèmes industriels distribués 66 4.2.6 Communications sans fil 66 4.2.7 Sécurité des protocoles 68 4.3 Sécurisation des équipements 69 4.3.1 Durcissement des configurations 69 4.3.2 Gestion des vulnérabilités 72 4.3.3 Interfaces de connexion 74 4.3.4 Équipements mobiles 75 La cybersécurité des systèmes industriels – Mesures détaillées . 5 4.3.5 Sécurité des consoles de programmation, des stations d’ingé- nierie et des postes d’administration 76 4.3.6 Développement sécurisé 78 4.4 Surveillance du système industriel 79 4.4.1 Journaux d’événements 79 A Cartographie 83 A.1 Cartographie physique du système industriel 83 A.1.1 Inventaire 83 A.1.2 Schéma 84 A.2 Cartographie logique des réseaux industriels 84 A.2.1 Inventaires 84 A.2.2 Schéma 85 A.3 Cartographie des applications 86 A.3.1 Inventaires 86 A.3.2 Schéma 86 A.4 Cartographie de l’administration et de la surveillance du système d’in- formation 86 B Journaux dʼévénements 89 Bibliographie 91 6 . La cybersécurité des systèmes industriels – Mesures détaillées Chapitre 1 . Introduction 1.1 Contexte Le présent document est issu des réflexions du groupe de travail sur la cybersécu- rité des systèmes industriels piloté par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) 1. L’objectif des travaux de ce groupe, constitué d’acteurs du domaine des systèmes automatisés de contrôle des procédés industriels et de spécia- listes de la sécurité des systèmes d’information (SSI), est de proposer un ensemble de mesures pour améliorer le niveau de cybersécurité des systèmes industriels. Ce document s’adresse à tous les acteurs (entités responsables, chefs de projets, acheteurs, équipementiers, intégrateurs, maîtres d’œuvre, etc.) participant à la con- ception, la réalisation, l’exploitation et la maintenance des systèmes industriels. 1.2 Champ dʼapplication Le groupe de travail ne s’est pas intéressé à un secteur d’activité en particulier et les éléments contenus dans ce document ont donc vocation à être applicables à tous les secteurs. Certains d’entre eux ont des spécificités qui n’ont peut-être pas été détaillées ou prises en compte dans le présent document. En conséquence, une déclinaison sectorielle de ce document pourra être nécessaire dans certains cas aﬁn de préciser les modalités dʼapplication et prendre en compte les contraintes spé- ciﬁques. L’ensemble des mesures présentées ont été pensées pour des nouveaux systèmes industriels. Il est tout à fait possible que les mesures ne puissent pas s’appliquer directement à des systèmes industriels existants et il conviendra donc d’évaluer de manière exhaustive les impacts avant toute mise en œuvre. 1. Les membres du groupe de travail sont les sociétés et organismes suivants : Actemium, Airbus Defence and Space, Arkoon-Netasq, A.R.C Informatique, Atos Worldgrid, Hirschmann, Cassidian Cybersecurity, CEA, CLUSIF, DCNS, DGA Maîtrise de l’information, Euro systems, EXERA, GDF SUEZ, Gimélec, INERIS, Itris Automation Square, Lexsi, Schneider Electric, Siemens, Sogeti, RATP, Solucom, Thales, Total. La cybersécurité des systèmes industriels – Mesures détaillées . 7 Il est également possible que dans certaines situations des mesures ne puissent s’ap- pliquer sans adaptation (pour des raisons de compatibilité avec des systèmes indus- triels existants ou des contraintes métier spécifiques, par exemple). Ces cas particuliers devront être étudiés spécifiquement et les mesures qui en découleront seront soumises pour approbation à l’autorité de cyberdéfense. 1.3 Structure du corpus documentaire Les travaux du groupe de travail sont organisés en deux documents. Ce document contient les mesures techniques et organisationnelles détaillées à mettre en place sur les systèmes industriels en fonction des classes définies dans le guide de classifica- tion [13]. Il est donc important de commencer par lire attentivement le document cité précé- demment qui constitue le socle de la démarche et contient la définition des termes utilisés dans la suite de ce document. 1.4 Avis aux lecteurs Les mesures présentées dans le document sont des mesures de cybersécurité conven- tionnelles mais adaptées pour les systèmes industriels. L’objectif de ce document n’est en aucun cas de former les lecteurs à la cybersécurité pour les systèmes industriels. Il a donc été supposé que les lecteurs disposaient de connaissances élémentaires en matière de technologies de l’information et de la communication mais aussi de cybersécurité ou qu’ils pouvaient s’appuyer sur des personnes disposant de ces com- pétences. La bonne application de certaines mesures nécessitera certainement un travail d’équipe entre des « informaticiens » et des « automaticiens ». . Les publications de l’ANSSI sont diffusées sur son site Internet : http://www.ssi.gouv.fr/publications/. Toute remarque sur ce guide peut être adressée à systemes_industriels@ssi.gouv.fr. . Note 8 . La cybersécurité des systèmes industriels – Mesures détaillées Chapitre 2 . Considérations relatives à la cybersécurité des installations industrielles L’objectif de ce chapitre est de dresser un état des lieux succinct de la cybersécurité des systèmes industriels. Pour ce faire, une liste des contraintes qui sont présentes dans ces systèmes est établie dans la section 2.1. Ces contraintes sont un des éléments qui distingue les systèmes industriels des systèmes d’information de gestion. Il est important de les identifier afin de proposer des mesures adaptées. Dans la section 2.2, les principales vulnérabilités rencontrées dans ces systèmes sont listées. Elles peuvent découler des contraintes listées dans la section précédente mais pas seulement. En particulier, on pourra retrouver dans cette section, des vulnérabi- lités couramment rencontrées dans les systèmes d’information de gestion. 2.1 Liste des contraintes Les contraintes sont un ensemble de faits sur lesquels il ne va pas être possible d’agir et qui peuvent avoir un impact lourd sur la sécurité du système industriel concerné. Il sera très important de prendre en compte ces contraintes lors du choix des mesures de sécurité à mettre en œuvre. La cybersécurité des systèmes industriels – Mesures détaillées . 9 Références Thèmes Contraintes C1-MI Maîtrise des installations — Multitude d’intervenants sur une installa- tion ce qui ne facilite pas la maîtrise des actions effectuées sur celle-ci. — Multitude de sites isolés, notamment dans les secteurs du transport, de la dis- tribution d’eau ou de l’énergie, bénéfi- ciant d’une protection physique limitée. — La documentation technique de l’instal- lation peut être limitée. Ce qui entraîne une perte du savoir lors des départs de personnels et ne facilite pas le traitement des incidents. — Certains fournisseurs font de la télé- maintenance depuis l’étranger. — Sur certaines installations cohabitent deux opérateurs différents, ce qui peut parfois poser des problèmes juridiques en cas de modification de l’installation. Par ailleurs, les systèmes qu’ils gèrent peuvent aussi constituer une menace entre eux. — Les installations sont souvent hétéro- gènes car venant de différents fournis- seurs uploads/Management/ securite-industrielle-gt-details-principales-mesures.pdf