Audit de systèmes industriels

Les architectures des systèmes industriels ont subi d'importantes transformations ces dernières décennies. Ils sont en effet aujourd'hui fortement informatisés et interconnectés avec les systèmes d'information classiques (industrie 3.0), voire avec l'Internet (industrie 4.0). Alors que la sécurité fonctionnelle (ou sûreté) est une problématique bien maîtrisée, les systèmes industriels sont désormais exposés aux mêmes cybermenaces que les systèmes d'information classiques.

Les conséquences peuvent néanmoins être potentiellement dramatiques : rupture de pipelines, pollution des eaux, déraillement de tramway, sabotage d’un réacteur nucléaire, etc.

L’accompagnement des acteurs du monde industriel est devenu une nécessité, afin de sensibiliser une population potentiellement non-avertie aux risques liés à la cybersécurité. Dans ce sens, l’audit SSI est un moyen efficace pour évaluer le niveau de sécurité d’un système industriel et des dispositifs de contrôle associés. Les systèmes industriels se reposent sur des technologies IT (systèmes de contrôle-commande) mais également sur des composants non-standards (automates) dont le risque d’atteinte à la disponibilité est élevé.

Dans la réalisation d’audit de systèmes industriels, Synetis, avec une approche globale, structurée et pragmatique, prend en compte les contraintes organisationnelles et techniques de votre environnement de production (sensibilité des équipements, diversité des points d’entrée, cloisonnement des réseaux industriels, spécificité des technologies, gestion de l’obsolescence) et s’attache notamment à vérifier aussi bien les mesures de sécurité organisationnelles que techniques mais aussi l’exposition de réseaux industriels face aux risques d’intrusion cyber.

Face aux risques industriels potentiels, Synetis utilise les guides ANSSI relatifs à la cybersécurité des systèmes industriels. Dans son approche, Synetis s’attache à vérifier les points suivants (liste non-exhaustive) :

  • Mesures de sécurité organisationnelles :
  • Déclarations portant sur le contexte d’emploi (chaîne de responsabilité notamment)
  • Vérification de la cartographie physique, logique et des applications
  • Plan de sauvegarde
  • Gestion documentaire
  • Analyse des phases de conception et de spécification
  • Mesures de sécurité techniques :
  • Gestion des comptes et de l’authentification
  • Cloisonnement des systèmes industriels
  • Sécurité des protocoles
  • Durcissement des configurations
  • Processus de veille active sur les vulnérabilités et maintien d’un référentiel de configuration sur les composants du système industriel
  • Gestion des équipements mobiles
  • Sécurité des consoles, des stations et des postes
  • Surveillance du système industriel

Pour compléter les travaux précédents, des tests d’intrusion sur les systèmes industriels permettent (à des équipes dont ça n’est pas le métier) d’intégrer la problématique cyber au sein de l’environnement industriel. Après une phase de reconnaissance du système industriel ainsi que la découverte des équipements actifs (sonde tcpdump, scans ARP passifs et actifs, etc.) et des services (scans TCP et UDP, etc.), l’auditeur Synetis cherche à identifier les composants clés du système industriel tels que les automates programmables industriels (API) de type RTU ou PLC, les systèmes de contrôle (SCADA), les systèmes de supervision et de conduite, etc. Enfin, avant la phase de tests manuels de l’auditeur, ce dernier vérifie à travers une solution de scan de vulnérabilités et l’utilisation de plugins catégorisés SCADA la présence de vulnérabilités. D’autres aspects peuvent aussi être traités tels que la recherche d’utilisation de mots de passe par défaut, l’identification de comptes d’accès depuis le service HTTP de certains automates, etc.

Les vulnérabilités généralement identifiées sur des SI industriels sont :

  • L’absence de gestion des correctifs de sécurité, de l’obsolescence matérielle, de veille sur les vulnérabilités et menaces
  • Des politiques de mots de passe insuffisantes ou incomplètes, l’absence de gestion de comptes et de l’authentification
  • L’absence de politique de gestion des interfaces de connexion (port USB par exemple), des accès distants
  • L’utilisation de terminaux nomades non maîtrisés
  • Une cartographie non maîtrisée voire même l’absence de maîtrise de la configuration ou l’absence de configurations sécurisées
  • L’utilisation d’équipements et/ou de protocoles vulnérables
  • Un défaut de contrôle d’accès physique, de cloisonnement, de télémaintenance
  • Une supervision insuffisante des évènements de cybersécurité (journalisation des événements de sécurité souvent limitée et peu exploitée)
  • Etc.
Construisez votre
Cybersécurité
avec Synetis !