Nous suivre Industrie Techno

Avis d'expert

Cybersécurité des infrastructures critiques : une méthode française ?

Cybersécurité des infrastructures critiques : une méthode française ?

Le nouveau centre opérationnel de cybersécurité (CSOC) de Thales, inauguré en mars dernier. Tous droits réservés, Light eX Machina

© © Light eX Machina

Les premiers arrêtés concernant la protection informatique des organismes d'importance vitale (OIV) sont entrés en vigueur le 1er juillet dernier. Ils découlent d'une approche législative inédite adoptée par l'Etat français, qui a décidé dès 2008 de faire de la cybersécurité un domaine de souveraineté nationale. L'application de ces nouvelles règles de protection aux réseaux industriels reste toutefois un véritable challenge. Les explications de Carole Lymère de la start-up Sentryo. 

Sentryo protège l’Internet industriel des cyberattaques

La start-up lyonnaise Sentryo a développé la solution ICS CyberVision. Celle-ci s’articule autour de trois grands axes. Le premier repose sur des sondes qui permettent d'extraire des données pertinentes en analysant les protocoles industriels. Ensuite, un logiciel doté d'algorithmes d'apprentissage automatique permet de dresser un modèle de fonctionnement normal du réseau et de détecter des événements anormaux. La troisième brique de la solution est une interface graphique qui offre au responsable une vision instantanée de la situation.

 

Le risque d’attaque informatique fait désormais partie du quotidien des entreprises françaises, qui commencent à s’organiser pour atteindre un niveau de protection acceptable. Cette prise de conscience est cependant assez inégale, notamment de la part des grands acteurs industriels pour qui la menace est assez récente et qui peinent à s’y adapter. Pourtant, le risque est critique, rappelons les propos de Louis Gautier, secrétaire général de la Défense et de la Sécurité Nationale (SGDSN), le 27 juin dernier dans Le Monde : « Nous craignons qu’un jour le sabotage industriel ou la prise en mains à distance de systèmes soit possible. Daesh, qui a généré 2,5 milliards de dollars de chiffre d’affaires en 2015, a la capacité financière d’embaucher des ingénieurs informatiques. »

L’année 2016 va marquer un véritable tournant pour les acteurs industriels qui vont devoir passer de la prise de conscience à l’action. La prise en compte des risques et la mise en œuvre de nouvelles mesures et pratiques vont profondément changer le mode de fonctionnement des usines.

Un outil législatif pour la cybersécurité industrielle

La France est le premier pays à utiliser un outil législatif d’envergure pour créer un dispositif global de protection de ses infrastructures critiques. Cette démarche a débuté par la diffusion du livre blanc sur la Défense et la sécurité nationale publié par le Président de la République en 2008. Si l’impact du document est passé assez inaperçu à l’époque, c’est pourtant le signal que la sécurité informatique est devenue un domaine de souveraineté nationale dans lequel l’État doit être totalement impliqué. Dans la lignée de ce document et pour assurer la réalisation opérationnelle de la politique gouvernementale, l’État a créé en 2009 l’Agence nationale de sécurité des systèmes d'information (Anssi) dans le but d’assurer la protection des infrastructures critiques, et par extension de tous les citoyens.

Si l’Anssi assure la cybersécurité des organismes étatiques, elle intervient aussi dans la gestion des risques informatiques des entreprises et organisations françaises au travers de guides, bonnes pratiques, labels, référentiels, formations, sensibilisations, etc. C’est dans cet objectif qu’en 2015, l’Anssi identifie plus de deux cents entreprises sensibles catégorisées « Organisme d’Importance Vitale - OIV » faisant l'objet de règles et d’une vigilance particulière. La liste des OIV, gardée confidentielle, est composée d’administrations, de médias, d’entreprises de transports et d’industriels opérants dans différents secteurs, mais tous dans des fonctions vitales pour l’État et le pays.

OIV : ce qui va changer

Le 27 mars 2015, l’Agence poursuit sa démarche en publiant un décret relatif à la sécurité des systèmes d’information des Opérateurs d’Importance Vitale et un décret relatif à la qualification des produits de sécurité et des prestataires de services de confiance pour les besoins de la sécurité nationale. Par ces décrets, l’Anssi renforce les obligations des OIV et définit le concept de Système d’Information d’Importance Vitale (Siiv). Chaque OIV doit désormais identifier les parties de son système d’information qui relèvent d’une activité critique et dont la compromission aurait un impact systémique. L’Anssi réglemente également l’activité des prestataires de services de sécurité en imposant aux partenaires des OIV de se faire labelliser (label valable 3 ans).

Les OIV identifiés opèrent cependant dans des secteurs d’activité très différents les uns des autres et l’Anssi a entamé un travail de fond pour adapter le cadre réglementaire aux différents métiers des industries visées. C’est dans ce cadre que sont publiés les arrêtés sectoriels qui entrent en vigueur le 1er juillet 2016.

La première vague d'arrêtés concerne les produits de santé, la gestion de l’eau et l’alimentation, soit les « secteurs de la protection des citoyens ». Une deuxième vague est attendue à la rentrée.

Aujourd’hui, les OIV ont plusieurs grandes obligations définies par la Loi de programmation miliaire (loi n° 2013-1168 du 18 décembre 2013) qui fait suite aux préconisations du Livre blanc sur la Défense et la sécurité nationale de 2013 :

  • Déclarer leur SIIV
  • Déclarer les incidents de cyber sécurité
  • Définir et mettre en place des moyens organisationnels et techniques s’appliquant aux opérateurs eux-mêmes comme à leurs sous-traitants
  • Se faire contrôler par les services de l’ANSSI ou par des acteurs qualifiés par l’agence.

Chaque arrêté sectoriel précise les règles relatives à – entre autres – la politique de sécurité des systèmes d’information, la cartographie des systèmes d’information, la journalisation, la détection des intrusions et les processus de traitement des incidents de sécurité.

Cartographier son système d'information : un étape clé

Pour chaque élément, les arrêtés sectoriels fixent les modes opératoires à respecter en fonction des contraintes et enjeux de chaque métier ainsi qu’en fonction de leur niveau de maturité en termes de cybersécurité.

Parmi ces règles, figure en priorité la nécessité de cartographier son système d’information comme une étape essentielle de la mise en place de la politique de sécurité.

La cartographie doit intégrer, entre autres :

  • les noms et les fonctions des applications, supportant les activités de l'opérateur, installées sur le Siiv ;
  • la description fonctionnelle et les lieux d'installation du Siiv et de ses différents sous-réseaux ;
  • la description fonctionnelle des points d'interconnexion du Siiv et de ses différents sous-réseaux avec des réseaux tiers, notamment la description des équipements et des fonctions de filtrage et de protection mis en œuvre au niveau de ces interconnexions ;
  • l'inventaire et l'architecture des dispositifs d'administration du Siiv permettant de réaliser notamment les opérations d'installation à distance, de mise à jour, de supervision, de gestion des configurations, d'authentification ainsi que de gestion des comptes et des droits d'accès ;
  • la liste des comptes disposant de droits d'accès privilégiés (appelés « comptes privilégiés ») au Siiv ;
  • l'inventaire, l'architecture et le positionnement des services de résolution de noms d'hôte, de messagerie, de relais internet et d'accès distant mis en œuvre par le Siiv.

En complément de cette cartographie, qui permet la connaissance intime du système d’information, la réglementation impose à l'opérateur d'importance vitale de mettre en œuvre, en application de l'article R. 1332-41-3 du Code de la Défense, un système de détection de type « sonde d'analyse de fichiers et de protocoles ». Les arrêtés précisent que ces sondes doivent être capables d’analyser l’ensemble des flux échangés entre les Siiv et les systèmes d’informations tiers à ceux de l’opérateur. Ces sondes analysent les flux de communication transitant sur le réseau pour rechercher les événements susceptibles d’affecter la sécurité les Siiv.

Ces sondes doivent être qualifiées par l’Anssi et leur exploitation doit être faite par l’opérateur lui-même ou par des prestataires eux aussi qualifiés par l’Anssi. Cette qualification permet de s’assurer que les solutions et les prestataires répondent aux critères de confiance définis par l’Anssi et sont à la hauteur des enjeux.

Appliquer les règles aux réseaux industriels : un véritable challenge

Les réseaux industriels (ICS) pilotent le monde physique. Ils sont composés d’automates industriels, de systèmes de régulation numérique, de stations de contrôle (Scada), de serveurs qui interagissent avec un procédé au moyen d’actionneurs et de capteurs. Concrètement, ce sont ces réseaux qui pilotent les métros, les centrales électriques ou encore les systèmes de traitement de l’eau usée.

Les échanges d’informations entre les éléments de ce réseau se font par des protocoles de communication spécifiques liés aux besoins opérationnels (temps, réel, latence…). Les sondes utilisées pour la mise en œuvre du système de détection, et plus globalement pour répondre aux exigences de l’Anssi, doivent être capables de comprendre les différents protocoles utilisés. En effet, l’analyse des réseaux est basée sur la capacité des sondes à « décoder » les protocoles de communication utilisés sur le réseau pour en extraire les informations qui permettront d’identifier les événements de sécurité.

Dans le monde des systèmes d’information « bureautique & gestion » (IT), ces protocoles sont standardisés et ouverts, ce qui simplifie considérablement le travail de décodage. Ce type de sonde existe donc depuis longtemps dans ce domaine, la nouveauté réside simplement dans l’obligation de certification de ces sondes.

Dans le monde des réseaux industriels, qui est au moins aussi critique, ce type de sonde s’avère inadapté. D’une part parce qu’elles sont aveugles, ne sachant pas décoder les protocoles spécifiques au monde industriel, souvent propriétaires et fermés. D’autre part, compte tenu de la surface d’attaque offerte par ces réseaux mal protégés, les scénarios de compromission sont nombreux et, contrairement aux réseaux IT, il existe peu de « modèles » permettant de caractériser les attaques.

L'émergence de nouvelles approches adaptées à l'Internet industriel

Pour répondre à ces enjeux, de nouvelles approches émergent. Elles permettent, en outre, aux opérateurs d’infrastructures critiques de satisfaire aux exigences de l’Anssi.

Une de ces approches originales s’appuie sur la capacité de décoder les protocoles pour « comprendre le réseau industriel » et générer une cartographie détaillée des composants (automates, stations de contrôle, serveurs) et les communications « machine to machine ». Cette cartographie parfaitement à jour permet au responsable du réseau industriel de bien connaître son réseau et en particulier ses points de faiblesse pour pouvoir les corriger lorsque c’est possible, diminuant ainsi la surface d’attaque.

Cette approche permet aussi de s’affranchir de la difficulté à caractériser les attaques a priori. Elle permet en effet, sur la base d’un apprentissage continu du réseau (machine learning), de constituer un modèle comportemental qui servira de base à la détection d’événements anormaux. Ceux-ci déclencheront des alertes avec des niveaux de priorité dépendant de la criticité du sous-système concerné et du contexte. Ces alertes seront traitées dans cadre de procédures impliquant les opérateurs du réseau apportant la connaissance métier et les experts en cybersécurité. 

Par Carole Lymer,

Chef de projet marketing chez Sentryo

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Ce robot performe dans le jeu d’adresse Jenga

Ce robot performe dans le jeu d’adresse Jenga

Equipé d’une caméra et de capteurs de force, le nouveau robot du MIT apprend rapidement la meilleure façon[…]

Avec Pando, l'Isae-Supaero muscle sa puissance de calcul

Avec Pando, l'Isae-Supaero muscle sa puissance de calcul

Fake news : ces technologies qui les traquent

Fake news : ces technologies qui les traquent

Cybersécurité, laboratoire de robotique, éolienne… les meilleures innovations de la semaine

Cybersécurité, laboratoire de robotique, éolienne… les meilleures innovations de la semaine

Plus d'articles