Audit de systèmes industriels

Évaluer le niveau de sécurité !

Cybersécurité des systèmes industriels

Les architectures des systèmes industriels ont subi d’importantes transformations ces dernières décennies. Ils sont en effet aujourd’hui fortement informatisés et interconnectés avec les systèmes d’information classiques (industrie 3.0), voire avec Internet (industrie 4.0). Alors que la sécurité fonctionnelle (ou sûreté) est une problématique bien maîtrisée, les systèmes industriels sont désormais exposés aux mêmes cybermenaces que les systèmes d’information classiques.

Les conséquences peuvent néanmoins être potentiellement dramatiques : rupture de pipelines, pollution des eaux, déraillement de tramway, sabotage d’un réacteur nucléaire, etc.

L’accompagnement des acteurs du monde industriel est devenu une nécessité, afin de sensibiliser une population potentiellement non-avertie aux risques liés à la cybersécurité. Dans ce sens, l’audit SSI est un moyen efficace pour évaluer le niveau de sécurité d’un système industriel et des dispositifs de contrôle associés. Les systèmes industriels se reposent sur des technologies IT (systèmes de contrôle-commande) mais également sur des composants non-standards (automates) dont le risque d’atteinte à la disponibilité est élevé.

Dans la réalisation d’audit de systèmes industriels, Synetis, avec une approche globale, structurée et pragmatique, prend en compte les contraintes organisationnelles et techniques de votre environnement de production (sensibilité des équipements, diversité des points d’entrée, cloisonnement des réseaux industriels, spécificité des technologies, gestion de l’obsolescence) et s’attache notamment à vérifier aussi bien les mesures de sécurité organisationnelles que techniques mais aussi l’exposition de réseaux industriels face aux risques d’intrusion cyber.

Face aux risques industriels potentiels, Synetis utilise les guides ANSSI relatifs à la cybersécurité des systèmes industriels. Dans son approche, Synetis s’attache à vérifier les points suivants (liste non-exhaustive) :

  • Déclarations portant sur le contexte d’emploi (chaîne de responsabilité notamment) ;
  • Vérification de la cartographie physique, logique et des applications ;
  • Plan de sauvegarde ;
  • Gestion documentaire ;
  • Analyse des phases de conception et de spécification.

En savoir plus

  • Gestion des comptes et de l’authentification ;
  • Cloisonnement des systèmes industriels ;
  • Sécurité des protocoles ;
  • Durcissement des configurations
  • Processus de veille active sur les vulnérabilités et maintien d’un référentiel de configuration sur les composants du système industriel ;
  • Gestion des équipements mobiles ;
  • Sécurité des consoles, des stations et des postes.
  • Surveillance du système industriel.

En savoir plus

Pour compléter les travaux précédents, des tests d’intrusion sur les systèmes industriels permettent (à des équipes dont ça n’est pas le métier) d’intégrer la problématique cyber au sein de l’environnement industriel. Après une phase de reconnaissance du système industriel ainsi que la découverte des équipements actifs (sonde tcpdump, scans ARP passifs et actifs, etc.) et des services (scans TCP et UDP, etc.), l’auditeur Synetis cherche à identifier les composants clés du système industriel tels que les automates programmables industriels (API) de type RTU ou PLC, les systèmes de contrôle (SCADA), les systèmes de supervision et de conduite, etc. Enfin, avant la phase de tests manuels de l’auditeur, ce dernier vérifie à travers une solution de scan de vulnérabilités et l’utilisation de plugins catégorisés SCADA la présence de vulnérabilités. D’autres aspects peuvent aussi être traités tels que la recherche d’utilisation de mots de passe par défaut, l’identification de comptes d’accès depuis le service HTTP de certains automates, etc.
Les vulnérabilités généralement identifiées sur des SI industriels sont :

Protection et surveillance des si

Nos experts Audit
répondent à vos questions