Système SCADA

Le 21 septembre 2016| Rédigé par Erwan Brouder| Posté dans Blog

Depuis quelque temps, les systèmes SCADA se font plus discrets dans les médias. Pour autant, ces systèmes permettant de contrôler l’acheminement de l’eau, de l’électricité, de gérer les transports en commun, la bourse ou encore la régulation du trafic aérien sont toujours aussi sensibles et exposés aux cyberattaques.

Nous garderons évidemment tous à l’esprit les attaques de 2010 lorsque le virus STUXNET s’était attaqué aux centrales nucléaires et avait permis une prise de conscience quant aux impacts d’une cyberattaque sur les systèmes dits SCADA.

A l’intérieur des systèmes SCADA
Un système SCADA (Système de Contrôle et d’Acquisition de Données) est un système complexe de contrôle d’automates. Il permet de centraliser et gérer les commandes d’infrastructures industrielles entières. Dans le milieu, on parle plus souvent d’ICS (Industrial Control Systems). Ces systèmes disposent de leurs propres protocoles de communication à l’instar de Modbus, OPC ou Profibus.

La sécurité industrielle
En matière de sécurité, les correctifs et mises à jour sont trop rarement intégrés dans le cycle de vie des produits. De plus, lorsqu’une vulnérabilité est dévoilée sur l’un des composants, il est difficile d’interrompre la chaîne de production le temps d’appliquer les correctifs. Au fil des mois voire des années, les vulnérabilités s’accumulent sur de nombreux équipements sensibles. Les systèmes industriels ont ensuite des cycles de vie et d’investissement beaucoup plus longs que celui des systèmes informatiques. On retrouve ainsi des systèmes dans des installations critiques qui ne sont plus supportés par les éditeurs, et donc vulnérables à des cyberattaques. De par ces contraintes fortes, la gestion de la sécurité doit souvent être pensée de manière plus globale à travers une bonne maîtrise des risques (défense en profondeur, fonctionnement dégradé, isolement de système, gestion de crise…).

Un autre facteur est l’exposition de ces systèmes sur Internet. D’ailleurs des moteurs de recherche  comme « SHODAN » indexe notamment les résultats de scan de ports massifs sur ce type d’équipements. A défaut de connaître directement les protocoles vulnérables, la mise à disposition de telles informations amoindrit la complexité d’une attaque ciblée. A titre d’exemple, des vulnérabilités datant de plusieurs années avaient permis de mettre une partie des Etats-Unis dans le noir (http://www.scientificamerican.com/article/2003-blackout-five-years-later/).

Les manquements les plus couramment remontés par les experts en sécurité :
·       Des lacunes dans les processus de développement (prise en compte de la sécurité)
·       L’absence de tests de sécurité (audit technique, intrusion, simulation d’incidents, etc.)
·       Les protocoles de communication utilisés sont rarement chiffrés
·       Les systèmes d’exploitation et firmware souvent obsolètes (souvent antérieur ou égal à Windows XP)
·       Le manque de sensibilisation des utilisateurs (sessions Windows non verrouillées)
·       Aucun antivirus installé
·       L’utilisation de mots de passe constructeur / par défaut

A mon sens, l’application systématique de mesures de sécurité « basiques » : politiques de mot de passe, durcissement des OS, gestion des droits et habilitations, couplé à la sensibilisation des opérateurs permettrait d’assurer un niveau de sécurité acceptable. C’est d’ailleurs l’objet des recommandations de l’ANSSI (LPM : Loi de Programmation Militaire et réglementations concernant les OIVs). La gestion des correctifs et mise à jour restent des problématiques complexes qu’il conviendra de traiter de manière plus globale :
– Via la mise en place de mesures de défense en profondeur (plusieurs barrières de protection contre les attaques)
– En intégrant ces exigences en amont des projets auprès des fournisseurs (appréciation des risques, Plan d’assurance sécurité…)
– En sensibilisant l’ensemble des parties prenantes à ces problématiques.

Jean-Philippe PAGADOY, consultant en sécurité des systèmes d’information et Pentesteur.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *