Partager :
Cybersécurité des systèmes industriels
Les architectures des systèmes industriels ont subi d’importantes transformations ces dernières décennies. Ils sont en effet aujourd’hui fortement informatisés et interconnectés avec les systèmes d’information classiques (industrie 3.0), voire avec Internet (industrie 4.0). Alors que la sécurité fonctionnelle (ou sûreté) est une problématique bien maîtrisée, les systèmes industriels sont désormais exposés aux mêmes cybermenaces que les systèmes d’information classiques.
Les conséquences peuvent néanmoins être potentiellement dramatiques : rupture de pipelines, pollution des eaux, déraillement de tramway, sabotage d’un réacteur nucléaire, etc.
L’accompagnement des acteurs du monde industriel est devenu une nécessité, afin de sensibiliser une population potentiellement non-avertie aux risques liés à la cybersécurité. Dans ce sens, l’audit SSI est un moyen efficace pour évaluer le niveau de sécurité d’un système industriel et des dispositifs de contrôle associés. Les systèmes industriels se reposent sur des technologies IT (systèmes de contrôle-commande) mais également sur des composants non-standards (automates) dont le risque d’atteinte à la disponibilité est élevé.
Dans la réalisation d’audit de systèmes industriels, Synetis, avec une approche globale, structurée et pragmatique, prend en compte les contraintes organisationnelles et techniques de votre environnement de production (sensibilité des équipements, diversité des points d’entrée, cloisonnement des réseaux industriels, spécificité des technologies, gestion de l’obsolescence) et s’attache notamment à vérifier aussi bien les mesures de sécurité organisationnelles que techniques mais aussi l’exposition de réseaux industriels face aux risques d’intrusion cyber.
Face aux risques industriels potentiels, Synetis utilise les guides ANSSI relatifs à la cybersécurité des systèmes industriels. Dans son approche, Synetis s’attache à vérifier les points suivants (liste non-exhaustive) :
- Déclarations portant sur le contexte d’emploi (chaîne de responsabilité notamment) ;
- Vérification de la cartographie physique, logique et des applications ;
- Plan de sauvegarde ;
- Gestion documentaire ;
- Analyse des phases de conception et de spécification.
- Gestion des comptes et de l’authentification ;
- Cloisonnement des systèmes industriels ;
- Sécurité des protocoles ;
- Durcissement des configurations
- Processus de veille active sur les vulnérabilités et maintien d’un référentiel de configuration sur les composants du système industriel ;
- Gestion des équipements mobiles ;
- Sécurité des consoles, des stations et des postes.
- Surveillance du système industriel.
- L’absence de gestion des correctifs de sécurité, de l’obsolescence matérielle, de veille sur les vulnérabilités et menaces ;
- Des politiques de mots de passe insuffisantes ou incomplètes, l’absence de gestion de comptes et de l’authentification ;
- L’absence de politique de gestion des interfaces de connexion (port USB par exemple), des accès distants ;
- L’utilisation de terminaux nomades non maîtrisés ;
- Une cartographie non maîtrisée voire même l’absence de maîtrise de la configuration ou l’absence de configurations sécurisées ;
- L’utilisation d’équipements et/ou de protocoles vulnérables ;
- Un défaut de contrôle d’accès physique, de cloisonnement, de télémaintenance ;
- Une supervision insuffisante des évènements de cybersécurité (journalisation des événements de sécurité souvent limitée et peu exploitée).