06 févr., 2020

Mise en place d'un programme de cybersécurité des systèmes de contrôle industriel : les premières étapes

  • Article
  • ICS
  • cybersecurity
  • ICS/OT
  • système de contrôle industriel
  • SCI/TO
  • SCI

L’actualité nous rappelle régulièrement que les infrastructures critiques, les systèmes de contrôle industriel et les autres systèmes cyberphysiques sont continuellement la proie d’attaques et constituent des cibles de choix pour les États-nations et les pirates qui souhaitent causer des dommages et susciter le chaos dans le monde réel. Avec l’explosion du nombre de plateformes de connectivité réseau et de marchandises omniprésentes dans ces environnements qui étaient auparavant séparés et isolés, ces systèmes, même s’ils ne sont pas spécifiquement ciblés, peuvent être victimes de n’importe laquelle des nombreuses campagnes malveillantes générales se propageant sur Internet, comme les logiciels rançonneurs, les mineurs de cryptomonnaie et les réseaux de zombies. Au nombre des exemples : les récentes compromissions dont ont été victimes Maersk, Norsk Hydro et Merck.

  1. À cause de ces risques, il est essentiel que les propriétaires et les exploitants d’environnements de systèmes de contrôle industriels (SCI) et de technologie opérationnelle (TO) aient en place des programmes de cybersécurité.

    La mise en place d’un programme de cybersécurité pour vos environnements de SCI et de TO peut vous sembler accablante, une tâche quasi surhumaine en raison du vaste éventail d’outils et de technologies de cybersécurité qui s’offre à vous. Cependant, avoir les plus récents outils de sécurité de pointe n’améliorera pas votre sécurité si vous ne réglez pas aussi les questions de base. Un programme de sécurité simple, fonctionnel et durable est préférable à un programme avancé s’appuyant sur un éventail de technologies qui ne sont ni durables ni adéquatement maintenues.

    Le présent article explore les mesures de base à prendre au début pour jeter les bases de la croissance et de la maturité de votre programme de cybersécurité des SCI, quels que soient le cadre de sécurité ou les outils et technologies de sécurité que vous pourriez décider d’adopter ou de mettre en œuvre. Même la seule mise en place de ces mesures de base réduira de façon importante votre risque de vulnérabilité.

    Gestion des actifs

    La première étape consiste à déterminer lesquels de vos actifs électroniques[1] vous voulez protéger et sécuriser. Assurez-vous de prendre en considération tous les appareils et composants de votre système SCI/TO, y compris les serveurs, les pupitres de commande, les commutateurs de réseau, les terminaux serveurs, les dispositifs électroniques intelligents, les automates programmables, les relais et les appareils de l’Internet des objets industriel.

    En parcourant vos installations à pied, vous vous assurerez que le dénombrement des stocks inclut l’ensemble du matériel utilisé dans l’environnement et vous pourrez faire des découvertes inattendues, comme un serveur qui a prétendument été mis hors service, mais qui est toujours en ligne et connecté à la production. C’est aussi le moment tout désigné pour faire la mise à jour et la validation du réseau, des relevés et d’autres diagrammes. Les diagrammes actuels, ainsi que les contrats d’achat ou d’entretien de systèmes ou d’actifs et toute autre documentation connexe sont autant de sources utiles de renseignements sur les stocks lorsqu’une inspection physique n’est pas possible.

    Attributs clés à consigner :

    • Fabricant
    • Modèle
    • Numéro de série
    • Ports physiques
    • Composants et modules installés sur des appareils modulaires, comme les interfaces de communication ou les processeurs

    Vous pouvez aussi dresser l’inventaire logiciel en accédant physiquement à chaque appareil et en comptant manuellement les micrologiciels, les systèmes d’exploitation et les logiciels installés. Une autre option consiste à exécuter un script ou un utilitaire, soit localement ou à distance sur le réseau, pour automatiser le dénombrement.

    Autres attributs clés à indiquer

    • Nom de l’appareil sur lequel le logiciel est installé et exécuté
    • Micrologiciel ou système d’exploitation et système d’entrée-sortie de base (BIOS), pour les systèmes physiques et virtuels
    • Logiciels de tiers :

      - commerciaux

      - code source ouvert

      - pilotes de périphériques personnalisés
    • Numéros de versions
    • Versions ou correctifs installés

    Une fois que vous avez fini de dresser l’inventaire, il est important de classer les actifs électroniques en fonction de leur importance pour les processus ou activités, particulièrement si vous devez sécuriser un sous-ensemble d’actifs électroniques seulement en raison de limitations au niveau des ressources humaines, financières ou autres.

    Vous devez absolument tenir à jour cet inventaire et ses divers attributs (appelés bases de référence de configuration). Cela peut vous sembler une tâche colossale, mais la prochaine étape devrait vous faciliter les choses.

    Gestion du changement ET de la configuration

    La gestion du changement et de la configuration est à la base de tout programme de cybersécurité. Il n’est pas nécessaire non plus que le processus de gestion du changement soit lourd. Vous pouvez le faire au moyen d’outils rudimentaires, comme une simple feuille de calcul, bien que vous puissiez également opter pour un des nombreux logiciels offerts à prix abordable.

    Quelle que soit la méthode utilisée pour suivre et documenter les changements, respectez ces lignes directrices :

    • Déterminez et nommez les personnes qui approuveront les changements.

      - Il s’agit des seules personnes ayant l’autorité nécessaire pour approuver les changements à la production; elles ne peuvent approuver leurs propres changements.
    • Tenez régulièrement des rencontres pour discuter des changements à venir et les approuver. Cela :

      - permet aux demandeurs de changements de communiquer et d’expliquer le changement prévu et ses répercussions possibles sur la production, ainsi que toute mesure connexe d’atténuation des risques;

      - réduit le risque de changements conflictuels, car aucun changement n’est fait isolément;

      - améliore la connaissance de la situation dans son ensemble.
    • Aucun changement non approuvé n’est apporté dans un environnement de production.

      - Sauf en cas d’urgence. Il faut ensuite mettre à jour les documents de gestion du changement et les stocks le plus rapidement possible après la résolution.
    • Mettez à jour rapidement les bases de référence de configuration des stocks à la suite de tout changement touchant les attributs suivis.

    Maintenant que nous avons dressé l’inventaire des actifs électroniques et que nous disposons d’un processus de gestion des changements de cet inventaire, nous pouvons passer à la prochaine étape de base, qui s’appuie sur les deux dernières étapes.

    Gestion des correctifs et des vulnérabilités

    On découvre sans cesse de nouvelles vulnérabilités et erreurs de codage dans les logiciels existants, y compris les micrologiciels et les systèmes d’exploitation. Il est fort possible que ce qui est sécurisé aujourd’hui ne le soit plus demain.

    Étant donné que vous connaissez vos actifs électroniques et que vous savez quels logiciels, y compris les versions et les correctifs, sont installés ou exécutés sur chacun de ces actifs, consultez régulièrement vos sources pour des versions et des mises à jour de correctifs.

    Voici quelques-unes des sources d’information sur les correctifs :

    • Sites Web, courriels ou autres publications de fournisseurs;
    • Chercheurs du domaine de la sécurité;
    • Services tiers privés de surveillance des vulnérabilités;
    • Organismes gouvernementaux.

    Il faut évaluer rapidement chaque nouveau correctif pour déterminer s’il s’applique à l’un de vos actifs électroniques. Décidez ensuite si vous allez ignorer ou mettre en œuvre le correctif, ou atténuer la vulnérabilité d’une autre manière.

    Une fois que vous avez déterminé qu’une mise à jour ou un correctif sera installé, fondez-vous sur le caractère critique et l’exposition au risque pour prévoir l’installation à un moment où les répercussions seraient minimales, au cas où la mise à jour ne fonctionnerait pas comme prévu. Il est judicieux de faire la mise à jour ou d’installer le correctif d’abord dans un environnement d’essai ou non critique afin d’évaluer l’impact et le risque potentiels.

    Appliquez votre processus de gestion du changement et de la configuration au déploiement de correctifs et de mises à jour, avec les mises à jour des bases de référence de configuration connexes.

    Conclusion

    Nous avons examiné brièvement trois mesures de base à prendre lors de vos premiers pas sur la voie de la cybersécurité de SCI/TO. Éléments clés de la gestion du cycle de vie des actifs électroniques, ces trois mesures doivent être prises lors de la création d’un bon programme de cybersécurité.

    Ce ne sont aucunement les seules mesures de base : nous n’avons pas traité, entre autres, du contrôle des accès, de la sauvegarde et de la récupération ni de l’intervention en cas d’incident. Nous aborderons ces mesures dans d’autres articles.

    [1] Les actifs électroniques sont des appareils électroniques programmables et comprennent le matériel, les logiciels ainsi que les données que contiennent ces appareils.

Ce contenu est fourni uniquement à des fins d’information générale. Tous droits réservés ©BBA

Publications récentes
Voir tout
Poussons
la réflexion
ensemble
Contactez-nous