Close
  • Français
  • English

05/01/2015[Contribution] Plateforme cybersécurité de test et de qualification des infrastructures industrielles [par Patrick Baldit, CEA]

Face à la diversité et à la multiplication des attaques informatiques, la plupart des pays développés se sont mis en ordre de bataille. La France s’est organisée récemment pour prendre en compte les cyber-menaces, en donnant toute priorité à la protection des activités dites « d’importance vitale  ».
Dans ce contexte, les travaux qui ont conduit à l’élaboration du Livre Blanc sur la Défense et la Sécurité nationale (2013) réaffirment la priorité donnée au plan national à la capacité de résistance aux cyberattaques (p48) et proposent entre autres:
– Une amplification des capacités de cyberdéfense des forces dans les années à venir (en relation étroite avec le domaine du renseignement),
La définition de standards de de sécurité à respecter par les OIV (le CEA est un OIV), ce qui impliquera la mise en place d’une démarche de qualification par l’ANSSI d’équipements « de confiance »,
– La mise en place d’un dispositif législatif et réglementaire approprié pour obliger les opérateurs d’infrastructures sensibles à détecter et traiter tout incident informatique,
– Un positionnement de la capacité informatique offensive comme outil de Cybersécurité

La loi de programmation nucléaire (LPM 2014-2019) confirme cette posture  en rappelant que parmi les priorités 2014-2019, figure la montée en puissance de la cyberdéfense. Dans un contexte géostratégique où le terrorisme constitue une menace à prendre en compte pouvant disposer de moyens d’actions cyber de sabotage ou d’attaques d’infrastructure industrielles à distance, un renforcement des dispositifs de protection de ces infrastructures sensibles est indispensable. A l’heure de la gestion décentralisée des installations industrielles bien souvent pour des raisons d’économie de moyens, les SCADA constituent des cibles privilégiées pour lesquelles des processus de protections spécifiques doivent être mis en place par des équipes pluridisciplinaires habituellement peu habituées à travailler ensemble.

La Direction de l’Energie Nucléaire (DEN) du Commissariat à l’Energie Atomique et aux Energies Alternatives (CEA), possède une grande diversité de systèmes SCADA dans ses installations nucléaires. Elle a donc été très tôt demandeuse de bénéficier de systèmes de cyber protection répondant aux mêmes objectifs de réactivité forte, adaptée à contrer des attaques au goût du jour. Elle possède par ailleurs une expérience forte dans le domaine général du contrôle-commande, de ses standards et technologies, et de la mise en œuvre sûre de systèmes actifs en milieu nucléaire.
Elle a aussi, de ce fait une expérience concrète de la sureté des automatismes, domaine dont la fusion ou le rapprochement avec celui de la Cybersécurité, est un objectif opérationnel à moyen terme.
La DEN à travers le Service des Technologies de l’Information et de la Communication (STIC) du centre de Recherche de Cadarache, a mis en œuvre une démarche de standardisation sur les cinq dernières années afin de répondre au besoin de disponibilité de ses installations, ainsi qu’à l’arrivée de nouvelles générations de SCADA. Cette standardisation s’est appuyée sur un inventaire de l’existant et sur les retours d’expériences des trois centres (Saclay, Marcoule et Cadarache). Dans sa démarche, le STIC a impliqué les constructeurs d’automates (Schneider, Siemens) et les éditeurs de logiciels de supervision (Panorama et Wonderware) en vue d’accroître la pérennité et la sécurité de ses systèmes. Dans un premier temps, d’un point de vue Cybersécurité, la standardisation a permis de maîtriser les échanges entre les différents composants des SCADA, de diminuer les surfaces d’attaques et de favoriser l’implantation de systèmes de supervision et de détections d’intrusions.
La DEN a pris contact avec les équipes R&D des constructeurs et éditeurs de SCADA afin d’anticiper l’intégration des nouvelles solutions sécurisées.

Par ailleurs, le CEA sera soumis à des obligations découlant des nouvelles responsabilités de l’ANSSI en matière de SSI applicables aux OIV, inscrits dans la loi de programmation militaire dont Les exigences et les conditions de mise en œuvre de ces dispositions générales seront signifiées par décret en 2014 :
– Les OIV mettent en œuvre à leur frais, les mesures de sécurité prescrites par le Premier Ministre via l’ANSSI ; à ce titre, ils peuvent être obligés à mettre en place des systèmes de détection qualifiés exploités par l’ANSSI, un service de l’Etat ou un prestataire qualifié ;
– Ils  informent l’ANSSI sans délai des incidents ;
– Ils soumettent leurs SI à des contrôles effectués par les mêmes qu’au point 1 ;
– Ils mettent en œuvre des mesures imposées en cas de crise.

C’est la raison pour laquelle, sans plus attendre, la DEN a donc entamé des actions  à très court terme visant à répondre à ces besoins, de type d’une cyber attaque ciblée « à la Stuxnet » et, plus généralement de parer à des attaques de malwares destructeurs qui ne manqueront pas d’apparaître, comme le laissent penser les travaux et parutions qui apparaissent tant dans le monde ouvert que dans l’underground.
Dans le cadre de la Cybersécurité de ses propres installations, la DEN a souhaité poursuivre ses activités propres de standardisation des contrôle-commande industriels par l’élaboration de standards d’installation et de programmation des automatismes et supervision.  Ceci est passé par des prescriptions (spécifications) et la mise en œuvre d’un démonstrateur industriel, s’appuyant sur la mise en œuvre de systèmes standards fournis par, typiquement Schneider Electric, Siemens et Codra.
La DEN a mis en place sur le site de Cadarache en 2014 une plateforme de test et de qualification « cybersécurité des systèmes industriels » afin de valider les fonctionnalités intrinsèques attendues de ces systèmes au niveau sécurité et de qualifier des solutions de détection et d’analyse temps réel de flux d’information.
L’objectif a été d’appliquer et de tester sur cette plateforme industrielle réelle (les flux et les process sont connus), les outils déjà maitrisés en interne par les équipes CEA en matière de cyber sécurité du monde IT en intégrant les solutions spécifiques des constructeurs industriels.
Le service des technologies de l’information et de la communication (STIC) de Cadarache en charge de la mise en œuvre de cette plateforme s’appuie sur  une organisation basée sur 4 laboratoires distincts dont 3 du monde IT classique (Groupe Infrastructure Système, Groupe Logiciel, Groupe Réseau Telecom) et 1 du monde industriel (Téléalarme, protection physique, contrôle commande et supervision).
L’évolution du monde de l’automatisme vers les solutions numériques et informatique a fait l’objet depuis plusieurs années au sein du STIC d’un accompagnement et d’arbitrages qui ont permis aujourd’hui de disposer d’une culture commune entre les différents métiers concernés par la sécurité des infrastructures informatiques qu’ils soient du domaine IT ou du domaine Industriel dont le périmètre concerne à la fois l’industrie de procédé (installation nucléaire) que les laboratoires d’expérimentation.

Patrick_baldit_contributions1

La première étape de standardisation évoquée précédemment a eu pour objectifs et pour conséquences de :
– Réutiliser les développements
– Réduire des coûts
– Facilité le déploiement
– Facilité la maintenance
– Réduire la surface d’attaque
– Limiter de la variété technique des matériels utilisés
– Connaitre des flux légitimes
– Faciliter l’inspection en supervision industrielle

La deuxième étape (objet de la communication au FIC) a consisté à mettre en œuvre une plateforme de test et de qualification ses systèmes industriels pour répondre aux objectifs suivants :
– Qualifier les fonctions attendues
– API (SIEMENS, SCHNEIDER,..)
– Supervision (WINCC, PANORAMA, WONDERWAVE, LABVIEW,..)
– Réseaux (HIRSCHMANN, CISCO, ARKOON, ….)
– Tester les systèmes avant mise en œuvre
– Qualification des nouvelles architectures
– Adéquation des développements aux standards DEN
– Définition des flux réseaux légitimes
– Protection des Systèmes

La plateforme (cf planche ci-dessous) intègre les principaux dispositifs matériels et logiciels utilisés sur les infrastructures de la DEN. Par ailleurs les programmes des automates de la plateforme sont ceux utilisés « réellement » de manière opérationnelle sur le terrain nous permettant ainsi de disposer de flux « réels » et de qualifier ainsi la légitimité des transactions réseaux dont la supervision est assurée par des sondes présentées plus loin.

Patrick_baldit_contributions2

Les automates testés sont à la fois ceux existants sur les installations et ceux proposés par les industriels avec des composants cyber embarqués (ex S7-1500 de siemens)

Patrick_baldit_contributions3

L’un des objectifs principaux de la plateforme est de mettre au point un système de supervision cyber à la fois pour des besoins de tests et de qualification mais également de définition des contours techniques du système de supervision en condition opérationnelle (MCS : Maintien en Condition de Sécurité).

Les principaux points que nous avons investigué et les questions auxquelles nous nous devons de  répondre :
– Quels sont les indicateurs pertinents en matière de supervision ?
– Comment intégrer la prise en compte de réseaux actuellement isolés ?
– Quelle va être la volumétrie cible à atteindre en matière de systèmes industriels à prendre en compte (Suite à une analyse de risque car tout n’a pas nécessairement vocation à être cyber sécurisé)
– Quelles alertes automatiques doit-on mettre en place (cf Problématique de la conférence C&ESAR 2014)

Sans nécessairement rentrer dans les détails techniques mis en œuvre sur la plateforme, nous avons développé des sondes « maisons » sur des raspberry-PI équipés des IDS Snort et Suricata, car peu couteux, facilement modifiables qui nous ont permis d’une part de mieux appréhender les protocoles industriels et de faciliter le passage à l’échelle.
Sur le plan matériel des firewall industriels ont été installés et testés (ConneXium Tofino).
Les modifications légitimes de seuil par exemple sont ainsi tracés et identifiés à la fois au niveau des SCADA mais également au niveau de la supervision afin de déterminer les modalités de définition des alertes à mettre en place dans une optique de supervision en phase d’exploitation industrielle.

Patrick_baldit_contributions4

Les protocoles industriels sont nombreux et parfois propriétaires Ethernet/IP CIP, DNP3, PROFINET,…). Uniquement pour le protocole Modbus TCP, des scripts Python spécifiques ont été développés pour communiquer avec l’IDS et des développements en Perl mis au point pour assurer l’interface avec l’outil de SIEM Splunk qui constitue notre système de supervision Cybersécurité de la plateforme de test et de qualification. Nous avons fait le choix de déporter sur Splunk (SIEM) l’intelligence de l’analyse et des alertes.
La plateforme permet également de superviser les accès aux postes systèmes industriels et à leurs périphériques afin de définir des comportements identifiés comme dangereux susceptibles de déclencher des alertes de sécurité.

Patrick_baldit_contributions5

Les développements informatiques effectués sur la plateforme nous ont permis de disposer d’un système de supervision permettant d’enrichir l’information de la supervision par des informations externes facilitant ainsi l’analyse et l’audit des situations remontées à risque et de croiser les informations recueillies avec des informations déjà disponibles dans le domaine IT avec des outils maitrisés par les équipes (SCCM, inventaire de parc, topologie réseaux, alertes CERT…).

 

Patrick_baldit_contributions6

 

Patrick_baldit_contributions7

L’étape suivante va consister :
– à intégrer à la plateforme la journalisation dans le domaine industriels à la fois côté automate (les constructeurs d’automates y travaillent) et à la fois côté SCADA
– à gérer proprement la collecte d’information sur le réseau industriel des asset (scans actifs / passifs, importation d’information, de vulnérabilités, etc…)
– à avoir la capacité de détecter plus finement des évènements touchant les automates (modifications de firmware, modifications de matériels,..) pour lesquelles nous avons d’ores et déjà obtenus des résultats probants sur certaines configurations.

PS : une démonstration des fonctionnalités de la plateforme pourra être effectuée lors de la communication au FIC