Sécurisez les systèmes de contrôle industriel (ICS)
Il est primordial de contrôler l’accès aux systèmes industriels OT car ils peuvent avoir un impact majeur sur notre vie réelle. Lorsque nous parlons de sécurité des ICS, cela inclut les systèmes de contrôle de supervision et d’acquisition de données (SCADA) ou les systèmes de contrôle distribués (DCS), qui reposent sur des automates programmables (PLC).
Les systèmes industriels doivent s’adapter à de nouveaux usages qui augmentent considérablement la surface d’attaque :
> Une plus grande connectivité avec des besoins d’accès à distance (interventions à distance en astreinte, accès de prestataires tiers, activité à distance de fournisseurs, etc.), surtout si les comptes utilisés ont des privilèges spéciaux (droits d’administration, mise à jour des logiciels, etc.).
> Des équipes chargées de la maintenance réparties dans le monde entier.
> Des infrastructures dispersées.
> Des outils dispersés pour accéder à distance aux systèmes OT (par fournisseur, par filiale/site, etc.).
Ils s’appuient de plus en plus sur des composants informatiques pour améliorer les performances et les coûts, mais qui peuvent être vulnérables. La plupart des protocoles industriels sont désormais basés sur TCP/IP et même les contrôleurs logiques programmables (PLC), les terminaux distants, etc. se basent sur des systèmes d’exploitation du secteur informatique (Windows, Linux).
Parallèlement, la cybermenace n’a jamais été aussi présente avec l’augmentation et la professionnalisation de la cybercriminalité (ransomware, vers informatiques, etc.).
Les conséquences peuvent avoir un impact massif dans le monde réel…
A la différence des réseaux administratifs d’entreprise, qui gèrent l’information, les ICS gèrent les processus opérationnels physiques.
Un incident cyber pourrait avoir les impacts suivants :
> Impossibilité de planifier la production.
> Blocage ou arrêt de la chaîne de production.
> Impossibilité de livrer et de facturer.
> Déconnexion des systèmes industriels par mesure de précaution.
Et au-delà de l’impact opérationnel, l’impact financier peut entraîner une perte énorme.
Étude de cas : Modification des paramètres d’une station de traitement d’eau
Dans son Guide cybersécurité des systèmes industriels, l’association CLUSIF rapporte le cas suivant :
En 2021, un attaquant a réussi à obtenir l’accès au réseau industriel d’une station de traitement des eaux d’une ville de Floride par le biais de Teamviewer. L’attaquant a ensuite eu accès à une interface homme-machine (IHM) permettant de contrôler la concentration d’hydroxyde de sodium utilisée par la station. Il a alors augmenté cette concentration, passant de 100 particules par million à 11 100 particules par million. À cette concentration, l’eau aurait pu être dangereuse pour chaque personne en contact avec celle-ci.
Les mesures suivantes auraient permis d’éviter cette attaque :
> Éviter l’exposition d’un protocole d’accès sur Internet.
> Interdire les flux directs entre Internet et le réseau OT.
> Mettre en place un mécanisme d’accès à distance sécurisé lorsque la prise de contrôle à distance est nécessaire.
> Sensibiliser les opérateurs à la nécessité d’authentifier les personnes souhaitant accéder aux postes de travail.
> Surveiller ce qui se passe sur les ressources les plus critiques.
Étude de cas : Colonial Pipeline – Défaut de gestion des identifiants
L’affaire du Colonial Pipeline a fait la une des journaux. En mai 2021, le pétrolier américain Colonial Pipeline a subi une attaque de ransomware qui a provoqué une pénurie d’essence immobilisant voitures et avions. L’état d’urgence a été déclaré par Joe Biden et la compagnie a payé une rançon de quatre millions de dollars.
L’attaque a été possible car un employé utilisait les mêmes mots de passe pour ses activités personnelles et professionnelles.
Les mesures suivantes auraient permis d’éviter cette attaque :
> Interdire les flux directs entre Internet et le réseau OT.
> Éviter de divulguer les identifiants en les gérant dans un coffre-fort et en assurant une rotation de mots de passe avec des politiques gérées.
Dans une démarche vers le Zero-Trust, il est fondamental de contrôler l’identité de l’utilisateur mais il est tout aussi essentiel de surveiller les actions des administrateurs sur les réseaux IT/OT d’administration.
La responsabilisation au service de l’entreprise
Comment garantir la responsabilité de chacun pour les actions effectuées lors de la maintenance des systèmes OT ?
Les composants traditionnels des ICS ont été conçus pour la fiabilité plutôt que pour la sécurité :
> Pas d’authentification
> Pas d’intégration dans un annuaire integration
> Connexion directe
Comment attribuer la responsabilité des actions sur un équipement industriel qui ne requiert pas l’authentification de l’utilisateur ?
Seule une organisation sur deux est équipée d'une solution PAM
C’est là où la gestion des accès à privilèges apporte toute sa valeur !
En fonctionnant comme un proxy, la solution authentifie les administrateurs à l’aide d’un compte personnel et d’une authentification multifactorielle (MFA), selon les besoins, et ne leur donne accès qu’aux appareils et systèmes SCADA sur lesquels ils sont autorisés à travailler (accès à moindre privilège).
Une fois authentifiés, toutes les actions peuvent être auditées et enregistrées, et les logs exportés vers la solution en place dans un SOC/SIEM.
Les mots de passe sont stockés dans un coffre-fort sur lequel des politiques peuvent être appliquées.
Et si vous disposiez d’une solution unique pour les accès aux systèmes IT et OT, pour les accès internes (depuis le réseau d’entreprise) et externes (depuis Internet) ? PAM pour l’OT n’est pas si différent du PAM pour l’IT.
Ce que nous suggérons de faire pour sécuriser les systèmes de contrôle industriel
Vous ne pouvez pas protéger ce que vous ne pouvez pas contrôler.
Les mesures suivantes peuvent être prises pour protéger les installations :
> Supprimer ou désactiver les comptes des administrateurs qui ne travaillent plus sur le système industriel.
> Effectuer une analyse des droits d’accès des fournisseurs de services tiers aux systèmes OT.
> S’assurer que les actions à privilèges élevés requièrent une authentification renforcée (MFA).
> Hiérarchiser les comptes à privilèges pour les séparer en fonction des besoins (Niveau 1, 2, 3, par exemple, séparer les comptes d’administration des comptes de maintenance).
> Contrôler les accès externes aux systèmes industriels grâce à une authentification forte et à des flux de validation/approbation locaux.
> Surveiller les sessions pour détecter les comportements anormaux.
> La plupart des intrusions complexes étant précédées de phases de reconnaissance, le contrôle par l’opérateur des actions légitimes sur son réseau industriel doit permettre d’identifier les activités anormales.
Le PAM pour la sécurisation des systèmes de contrôle industriels : faciliter la mise en conformité grâce à la sécurité, la transparence et le reporting
Les principales agences de sécurité nationales (CISA, NCSC, ANSSI, BSI) et nous-mêmes recommandons d’entamer la démarche vers le Zero-Trust par la gestion des identités et la mise en œuvre d’une solution PAM dès que possible, que ce soit pour les réseaux et infrastructures IT ou OT.
Les projets PAM ne sont pas reconnus pour être « plug & play ». Mais les solutions de PAMaaS de nouvelle génération améliorent le time-to-value et permettent d’atteindre rapidement un ‘security-to-cost’.