Accueil Cybersécurité Cyber sécurité des infrastructures critiques : une méthode française ?

Cyber sécurité des infrastructures critiques : une méthode française ?

Carole Lymer
Carole Lymer, Sentryo

Alors que la directive NIS vient d’être adoptée, la France est le premier État à utiliser un outil législatif d’envergure pour créer un dispositif global de protection de ses infrastructures critiques. Carole Lymer, chef de projet marketing dans l’équipe Sentryo, revient sur ces règles de protection et leur mise en place..

Le risque d’attaque informatique fait désormais partie du quotidien des entreprises françaises, qui commencent à s’organiser pour atteindre un niveau de protection acceptable. Cette prise de conscience est cependant assez inégale, notamment de la part des grands acteurs industriels pour qui la menace est assez récente et qui peinent à s’y adapter. Pourtant, le risque est critique. Rappelons les propos de Louis Gautier, secrétaire général de la Défense et de la sécurité nationale, le 27 juin dernier dans Le Monde : « Nous craignons qu’un jour le sabotage industriel ou la prise en main à distance de systèmes soit possible. Daesh, qui a généré 2,5 milliards de dollars de chiffre d’affaires en 2015, a la capacité financière d’embaucher des ingénieurs informatiques. »

L’année 2016 va marquer un véritable tournant pour les acteurs industriels, qui vont devoir passer de la prise de conscience à l’action. La prise en compte des risques et la mise en œuvre de nouvelles mesures et pratiques vont profondément changer le mode de fonctionnement des usines.

Cybersécurité industrielle: une méthode française ?

La France est le premier État à utiliser un outil législatif d’envergure pour créer un dispositif global de protection de ses infrastructures critiques. Cette démarche a débuté par la diffusion du Livre blanc sur la Défense et de la sécurité nationale, publié par le Président de la République en 2008. Si l’impact du document est passé assez inaperçu à l’époque, c’est pourtant le signal que la sécurité informatique est devenue un domaine de souveraineté nationale dans lequel l’État doit être totalement impliqué. Dans la lignée de ce document, et pour assurer la réalisation opérationnelle de la politique gouvernementale, l’État a créé en 2009 l’Agence nationale de sécurité des systèmes d’information (ANSSI) dans le but d’assurer la protection des infrastructures critiques, et par extension de tous les citoyens.

Si l’Agence assure la cybersécurité des organismes étatiques, elle intervient aussi dans la gestion des risques informatiques des entreprises et organisations françaises au travers de guides, bonnes pratiques, labels, référentiels, formations, sensibilisations, etc.

C’est dans cet objectif qu’en 2015, l’ANSSI identifie plus de deux cents entreprises sensibles catégorisées « Organisme d’Importance Vitale – OIV » faisant l’objet de règles et d’une vigilance particulière. La liste des OIV, gardée confidentielle, est composée d’administrations, de médias, d’entreprises de transports et d’industriels opérants dans différents secteurs, mais tous dans des fonctions vitales pour l’État et le pays.

OIV  : ce qui va changer 

Le 27 mars 2015, l’Agence poursuit sa démarche en publiant un décret relatif à la sécurité des systèmes d’information des Opérateurs d’Importance Vitale et un décret relatif à la qualification des produits de sécurité et des prestataires de services de confiance pour les besoins de la sécurité nationale. Par ces décrets, l’ANSSI renforce les obligations des OIV et définit le concept de Système d’Information d’Importance Vitale (SIIV). Chaque OIV doit désormais identifier les parties de son système d’information qui relèvent d’une activité critique et dont la compromission aurait un impact systémique. L’ANSSI réglemente également l’activité des prestataires de services de sécurité en imposant aux partenaires des OIV de se faire labelliser (label valable 3 ans).

Les OIV identifiés opèrent cependant dans des secteurs d’activité très différents les uns des autres, et l’ANSSI a entamé un travail de fond pour adapter le cadre réglementaire aux différents métiers des industries visées. C’est dans ce cadre que sont publiés les arrêtés sectoriels qui sont entrés en vigueur le 1er juillet 2016.

La première vague d’arrêtés concerne les produits de santé, la gestion de l’eau et l’alimentation, soit les « secteurs de la protection des citoyens ». Une deuxième vague est attendue à la rentrée.

Aujourd’hui, les OIV ont plusieurs grandes obligations définies par la Loi de programmation miliaire (loi n° 2013-1168 du 18 décembre 2013) qui fait suite aux préconisations du Livre blanc sur la Défense et la sécurité nationale de 2013 :

– Déclarer leur SIIV

– Déclarer les incidents de cybersécurité

– Définir et mettre en place des moyens organisationnels et techniques s’appliquant aux opérateurs eux-mêmes comme à leurs sous-traitants

– Se faire contrôler par les services de l’ANSSI ou par des acteurs qualifiés par l’agence.

Chaque arrêté sectoriel précise les règles relatives entre autres à la politique de sécurité des systèmes d’information, la cartographie des systèmes d’information, la journalisation, la détection des intrusions et les processus de traitement des incidents de sécurité.

Pour chaque élément, les arrêtés sectoriels fixent les modes opératoires à respecter en fonction des contraintes et enjeux de chaque métier ainsi qu’en fonction de leur niveau de maturité en termes de cyber sécurité.

Parmi ces règles, figure en priorité la nécessité de cartographier son système d’information comme une étape essentielle de la mise en place de la politique de sécurité.

La cartographie doit intégrer, entre autres :

– les noms et les fonctions des applications, supportant les activités de l’opérateur, installées sur le SIIV ;

– la description fonctionnelle et les lieux d’installation du SIIV et de ses différents sous-réseaux ;

– la description fonctionnelle des points d’interconnexion du SIIV et de ses différents sous-réseaux avec des réseaux tiers, notamment la description des équipements et des fonctions de filtrage et de protection mis en œuvre au niveau de ces interconnexions ;

– l’inventaire et l’architecture des dispositifs d’administration du SIIV permettant de réaliser notamment les opérations d’installation à distance, de mise à jour, de supervision, de gestion des configurations, d’authentification ainsi que de gestion des comptes et des droits d’accès ;

– la liste des comptes disposant de droits d’accès privilégiés (appelés « comptes privilégiés ») au SIIV ;

– l’inventaire, l’architecture et le positionnement des services de résolution de noms d’hôte, de messagerie, de relais internet et d’accès distant mis en œuvre par le SIIV.

En complément de cette cartographie, qui permet la connaissance intime du système d’information, la réglementation impose à l’opérateur d’importance vitale de mettre en œuvre, en application de l’article R. 1332-41-3 du Code de la Défense, un système de détection de type « sonde d’analyse de fichiers et de protocoles ». Les arrêtés précisent que ces sondes doivent être capables d’analyser l’ensemble des flux échangés entre les SIIV et les systèmes d’informations tiers à ceux de l’opérateur. Ces sondes analysent les flux de communication transitant sur le réseau pour rechercher les événements susceptibles d’affecter la sécurité les SIIV.

Ces sondes doivent être qualifiées par l’ANSSI et leur exploitation doit être faite par l’opérateur lui-même ou par des prestataires eux aussi qualifiés par l’ANSSI. Cette qualification permet de s’assurer que les solutions et les prestataires répondent aux critères de confiance définis par l’ANSSI et sont à la hauteur des enjeux.

L’application des règles de protection aux réseaux industriels : un véritable challenge

Les réseaux industriels (ICS) pilotent le monde physique. Ils sont composés d’automates industriels, de systèmes de régulation numérique, de stations de contrôle (SCADA), de serveurs qui interagissent avec un procédé au moyen d’actionneurs et de capteurs.

Concrètement, ce sont ces réseaux qui pilotent les métros, les centrales électriques ou encore les systèmes de traitement de l’eau usée.

Les échanges d’informations entre les éléments de ce réseau se font par des protocoles de communication spécifiques liés aux besoins opérationnels (temps, réel, latence…). Les sondes utilisées pour la mise en œuvre du système de détection, et plus globalement pour répondre aux exigences de l’ANSSI, doivent être capables de comprendre les différents protocoles utilisés. En effet, l’analyse des réseaux est basée sur la capacité des sondes à « décoder » les protocoles de communication utilisés sur le réseau pour en extraire les informations qui permettront d’identifier les événements de sécurité.

Dans le monde des systèmes d’information « bureautique & gestion » (IT), ces protocoles sont standardisés et ouverts, ce qui simplifie considérablement le travail de décodage. Ce type de sonde existe donc depuis longtemps dans ce domaine, la nouveauté réside simplement dans l’obligation de certification de ces sondes.

Dans le monde des réseaux industriels, qui est au moins aussi critique, ce type de sonde s’avère inadapté. D’une part parce qu’elles sont aveugles, ne sachant pas décoder les protocoles spécifiques au monde industriel, souvent propriétaires et fermés. D’autre part, compte tenu de la surface d’attaque offerte par ces réseaux mal protégés, les scénarios de compromission sont nombreux et, contrairement aux réseaux IT, il existe peu de « modèles » permettant de caractériser les attaques.

L’émergence de nouvelles approches adaptées à l’Internet industriel

Pour répondre à ces enjeux, de nouvelles approches émergent. Elles permettent en outre aux opérateurs d’infrastructures critiques de satisfaire aux exigences de l’ANSSI.

Une de ces approches originales s’appuie sur la capacité de décoder les protocoles pour « comprendre le réseau industriel » et générer une cartographie détaillée des composants (automates, stations de contrôle, serveurs) et les communications « machine to machine ». Cette cartographie parfaitement à jour permet au responsable du réseau industriel de bien connaître son réseau et en particulier ses points de faiblesse pour pouvoir les corriger lorsque c’est possible, diminuant ainsi la surface d’attaque.

Cette approche permet aussi de s’affranchir de la difficulté à caractériser les attaques a priori. Elle permet en effet, sur la base d’un apprentissage continu du réseau (machine learning), de constituer un modèle comportemental qui servira de base à la détection d’événements anormaux. Ceux-ci déclencheront des alertes avec des niveaux de priorité dépendant de la criticité du sous-système concerné et du contexte. Ces alertes seront traitées dans cadre de procédures impliquant les opérateurs du réseau apportant la connaissance métier et les experts en cybersécurité.

 

plusPlus d’actualité sur : Cybersécurité européenne : la directive NIS adoptée