Академический Документы
Профессиональный Документы
Культура Документы
de procd
Cyber-security of automation and process control systems
MOTS-CLES
Systmes de contrle, automatismes, scurit, Ethernet, Internet, intrusion, PLC, DCS,
SNCC, protection, vulnrabilit, analyse de risques
LESSENTIEL
Depuis plus une dcennie, le monde du contrle de procd a intgr les
technologies de l'informatique. Stations oprateur et stations de configuration et de
maintenance sont supportes par des matriels et logiciels du commerce. Ethernet et Internet
sont devenus incontournables. Aujourdhui, les radiocommunications : Wi-Fi, ZigBee,
Bluetooth etc. prennent position dans les systmes de contrle. Le cot des systmes
diminue, leurs fonctionnalits senrichissent et leur intgration avec le monde de la gestion de
production se fait plus troite. Mais cette volution rapproche les systmes de contrle du
monde extrieur et les rend plus vulnrables des intrusions et des attaques de toutes
natures.
Les risques qui en rsultent, pour la production, pour la scurit des biens et des personnes,
sont fortement ressentis aux USA depuis les vnements du 11 septembre. En Europe, la
prise de conscience est moindre mais les faits sont l.
SYNOPSIS
Over more than a decade, industrial controls have widely capitalized on the world of
information systems. HMI stations and engineering tools are widely using off the shelf
hardware and software while Ethernet and Internet have become a must. Moreover, control
systems are starting to integrate radio-communications (Wi-Fi, ZigBee, Bluetooth, etc.).
Systems cost has substantially decreased, wider functionality is available and integration with
production is tighter. But their protection against the external world has simultaneously
decreased making them more vulnerable vis vis intrusions and other attacks.
1/17
Corresponding risks for production, installations as well as human safety are strongly
perceived in the US since September 11. In Europe, the awareness in not as strong but the
facts remain.
The present article aims at giving an overview of the context and at proposing approaches and
solutions. It mainly relies on the outputs of the ISA SP99 standardization committee aiming at
providing guidelines for the design and implementation of an optimal security policy against
cyber-attacks.
1. INTRODUCTION
Or depuis une dizaine dannes, linformatique sest largement introduite dans les systmes
de contrle :
- au niveau des rseaux, avec Ethernet, TCP-IP, les connexions Internet,
- au niveau des quipements, avec lusage de matriels non spcifiques et lutilisation
de Windows.
Mais cela a multipli les points daccs potentiels aux systmes de contrle et il devient
aujourdhui difficile de savoir qui est autoris accder un systme dinformation, quand cet
accs est autoris et quelles donnes peuvent tre rendues accessibles.
Il existe certes des normes relatives la scurit informatique telles que lISO/IEC
International standard 17799, Information Technology Code of practice for security
management. Mais ces normes ne sont pas applicables en ltat aux systmes de contrle car
la culture des intervenants et le contexte dutilisation sont trs diffrents :
2/17
momentanes de service, des reboots de correction, la contrainte principale tant
de ne pas perdre de donnes. De telles interruptions sont intolrables sur un systme
dont larrt entrane larrt de la production.
- En informatique, on a tendance privilgier la protection des serveurs centraux ; en
automatisme, les lments sensibles protger sont les quipements terminaux qui
agissent directement sur le procd.
- Enfin les besoins de former des oprateurs de diffrents niveaux, de sous-traiter tout
ou partie de lexploitation, voire de dlocaliser certaines activits, conduisent une
multiplication dintervenants, rduisant le niveau de protection traditionnellement
rput rsulter de la complexit du systme et de son caractre relativement
propritaire.
La scurit dont il est ici question, concerne la prvention des risques associs des
interventions malintentionnes sur des systmes programms de contrle de procd
(SCADA, DCS, SNCC, PLC) sappuyant sur les techniques, matrielles ou logicielles, du
monde de linformatique et sur les rseaux de communication, y compris des rseaux sans fil,
associs ces systmes.
Les consquences peuvent tre, selon la nature des attaques, trs diffrentes :
- pertes de production,
Les consquences des cyber-attaques contre les systmes de contrle peuvent tre
extrmement dvastatratrices. Les risques attachs lInternet et aux virus informatiques ont
1
Une tude publie en 2000 par le FBI et le Computer Security Institute on Cyber-crime a montr que 71% des
atteintes la scurit taient dorigine interne Source : Words in collision Ethernet and the factory floor Eric
Byres et al.
2
Joe WEISS Control system cyber-security ISA Intech November 2004.
3 me
La 5 confrence Cyber-security of SCADA and Process Control Systems organise par le KEMA
Albuquerque en aot 2005 faisait tat de 60 attaques identifies dans le domaine des systmes de contrle
industriels.
3/17
t trs fortement mdiatiss mais il faut reconnatre que peu dinstallations sont rellement
scurises. Les systmes de contrle sont des installations rputes professionnelles o les
dfaillances taient jusqu prsent lexception. On dcouvre aujourdhui que cette immunit
appartient au pass et que les systmes sont, comme les autres systmes dinformation, des
cibles possibles pour le cyber-terrorisme, lespionnage ou la simplement la malveillance.
Figure 1 : Norme IEC 61508 et normes drives Source: Guide dinterprtation et dapplication de la norme IEC
61508 et des normes drives ISA-France et Club Automation - www.isa-france.org
La norme IEC 61508 dveloppe une approche intressante, en ce sens o elle propose
quatre niveaux de scurit : les Safety Integrity levels (SIL), stageant du SIL1 au SIL4.
La norme ISA S84.01, dveloppe aux USA dans un esprit similaire aux normes IEC,
sidentifie prsent la norme IEC 61511.
Mais au moment de la conception de ces normes, les systmes de contrle pouvaient encore
tre considrs comme isols de lenvironnement informatique gnral et utilisaient des
rseaux de communication, des stations de travail, des operating systems spcifiques, ce
qui rendait le problme de la vulnrabilit aux intrusions moins critique qu prsent.
4/17
LISA4 a donc dcid de mettre en uvre une approche spcifiquement ddie au domaine
des automatismes et du contrle de procd.
Cette approche, dveloppe au sein dun groupe de travail, lISA SP 99, comporte plusieurs
tapes :
- Llaboration dune norme qui sappuiera sur les rapports techniques prcdemment
publis, dfinira une mthode dvaluation et pourra dboucher sur une classification en
niveaux de maturit au regard du risque de cyber-attaque, permettant chaque
installation de dfinir et de mette en oeuvre un plan damliorations.
Cette approche de lISA rencontre un vif succs et est reprise et prcise dans des
documents sectoriels. Le lecteur pourra notamment consulter le document Guidance for
addresssing cyber-security in the chemical sector .5
4
The Instrumentation , Systems ans Automation Society, organisme non lucratif comptant plus de 30 000
membres, essentiellement bas aux USA, mais comportant des reprsentations dans le monde entier dont la
section franaise ISA-France : www.isa-france.org , lie la SEE par un accord de coopration.
5
Voir www.cidx.org
5/17
3. Le rapport technique ISA-TR99.00.01: Security technologies for
manufacturing and control systems.
- lauthentification et lautorisation
- le cryptage,
- laudit,
- la mesure,
Le but de ce rapport est de proposer une approche cohrente pour dfinir, mettre en oeuvre
et suivre lexcution de programmes daction relatifs la cyber-scurit dans les systmes
dautomatisme ou de contrle de procd.
6/17
Le rapport insiste sur trois recommandations :
Le document dveloppe une proposition de mthode danalyse base sur lexamen physique
de la structure du systme et sur lidentification des points douverture externe, ainsi que sur
une valuation quantitative de la probabilit du risque dagression et du niveau de criticit des
consquences pouvant en rsulter.
Il prconise par exemple dtablir un schma dtaill du systme mettant en vidence toutes
les liaisons internes et externes entre quipements constitutifs (Figure 2).
Figure 2 : Plan-type dun systme identifiant les connexions entre composants et les points douverture externe.
.Le document dveloppe une proposition de mthode danalyse base sur lexamen physique
de la structure du systme et lidentification des points douverture externe ainsi que sur une
valuation quantitative de la probabilit du risque dagression et du niveau de criticit des
consquences.
Il est recommand dtablir des tableaux danalyse (ou grilles de balayage ) pour chaque
ressource (rseaux de communication, station physique ou programme) identifiant la
probabilit dattaque, la criticit et mentionnant les protections juges adquates (Figure 3).
7/17
Probabilit Criticit
A = Trs forte 1 = Impact svre
B = moyenne 2 = Impact majeur
C = faible 3 = Impact mineur
D = trs faible 4 = pas d Impact
Catgorie
1 = Svre 2 = Majeur 3 = Mineur 4 = aucun
Segment de Probabilit dImpact
communication dattaque Atteinte
Perte de vie, Blessures
aux Hospitalisation Aucun
Internet, Wireless, amputation. lgres
personnes
connexion directe A
sur modem Perte
Millions $100,000 $1,000 Aucune
financire
Internet, connexion
modem B Rejet dans Dgts
scurise Dgts Dgts
lenvironne- permanents/rejets Aucun
Rseau de persistants temporaires
ment hors site
contrle intgr
C
avec rseau de Interruption
gestion.. de semaine jours Minutes Aucun
Rseau de Production
D
contrle isol
Image Dgradation Blme de Ternissement
Aucun
publique Permanente longue dure temporaire
Figure 3 : Evaluation quantitative du niveau de probabilit dattaque et de criticit (ex : rseau de communication)
Il sagit in fine dmontrer par des techniques de vrification appropries que la management
de la scurit est correctement mis en oeuvre et efficace dans son application. Ceci implique
la dfinition et lexcution dune batterie de tests homognes avec lanalyse initiale.
Face au succs aux USA de son initiative, aussi bien du ct des exploitants que du ct des
offreurs, lISA a dcid de publier en 2005 des documents caractre normatif.
8/17
Le standard en cours de finalisation vise couvrir ce qui est spcifique aux systmes de
contrle, cest dire en prenant pour rfrence le modle le plus rcent de dcoupage en
niveaux (ANSI/ISA-95). Les niveaux 1 3 sont directement concerns. Le niveau 4
gestion de production et logistique se trouve exclu du fait qu ce niveau sont utilises les
techniques de linformatique gnrale, toutes mesures devant cependant tre prises pour
prserver lintgrit des donnes en provenance des niveaux infrieurs (Figure 4).
Zones et conduits :
Une zone de scurit est un regroupement logique de ressources ayant les mmes
exigences en matire de scurit. Une zone se dfinit partir des modles physique et
fonctionnel de larchitecture de contrle.Une politique de scurit relative chaque zone peut
alors tre fixe.
9/17
Figure 5 : Dcoupage dun systme en zones de scurit
A titre dexemple on peut citer les serveurs dhistoriques. Pour fonctionner, ces serveurs
doivent accder aux donnes critiques de fonctionnement. Mais, du point de vue de la scurit,
ils relvent davantage de la gestion car de nombreux utilisateurs potentiels (superviseurs,
quipe doptimisation de procd, statisticiens, contrleurs qualit) sont intresss par les
donnes recueillies et doivent disposer dun accs aux informations. Dans ce cas, on peut
envisager de crer une zone spcifique pour ces serveurs, voire crer une zone daccs
libre : Demilitarized zone (DMZ) .
10/17
Le plus souvent un conduit est matrialis par un rseau de communication et les composants
qui le supportent : connectique, cblage, routeurs, commutateurs, stations de gestion ou de
maintenance du rseau. Les conduits peuvent regrouper des profils de communication
diffrents et aussi comporter plusieurs canaux de communication utilisant le mme support
physique. Par exemple, sur un rseau de terrain, peuvent cohabiter un trafic cyclique de
donnes de contrle de procd et un ou plusieurs trafics de messagerie dobservation,
configuration et rglage, chacun des canaux ayant des exigences et vulnrabilits diffrentes
vis vis de la scurit. Ces conduits servent de base lanalyse des vulnrabilits et des
risques potentiels pouvant exister au niveau de la communication lintrieur dune zone et au
niveau des changes entre zones de classes diffrentes.
Il nest videmment pas possible de rduire la mise en place dune politique de scurit
lapplication de rgles prfabriques. Le projet de standard ISA99 propose un guide de
conduite identifiant les lments prendre en compte dans la dfinition dune telle politique et
donne un canevas de mise en oeuvre pour les systmes de contrle.
Nous terminerons cet article en rsumant les lignes directrices permettant de comprendre le
processus de la mise en place dune politique de scurit selon ce projet de standard.
Btir un programme de cyber-scurit dans une socit est une tche dlicate. Par o
commencer ? Dites moi ce que je dois faire ? Telles sont les questions initiales les plus
frquemment poses. Malheureusement, il nexiste pas de recette unique en raison de la
varit des contextes (systme nouveau ou amlioration dun systme existant, niveaux de
maturit et de diversit des technologieset des intervenants). En fait la rponse ne peut tre
que relative et sintgrer dans la politique gnrale de lentreprise. La scurit parfaite est un
idal et une solution de compromis est rechercher en considrant le cot du dveloppement
face au cot des consquences des risques potentiels.
Plutt que de dfinir des recettes et des niveaux prdtermins de maturit, lide de base du
futur standard est de considrer, pour une installation donne, ltat de lart intgrant les
meilleures connaissances actuelles et de comparer la situation constate dans une installation
ces meilleures pratiques. Il est alors possible de se faire une ide prcise du niveau de
maturit de cyber-scurit atteint et dlaborer un programme damlioration de la cyber-
scurit qui sera, en rgle gnral, incrmental dans sa mise en uvre et qui permettra de se
rapprocher des meilleures pratiques..
Bon nombre de socit ont dores et dj mis en uvre des mesures de protection de leur
systme informatique mais bien moins nombreuses sont celles qui ont tendu ces mesures
11/17
leur systme de contrle de production. Comme aujourdhui les technologies ouvertes de
linformatique sont utilises grande chelle dans les systmes de contrle de production, un
niveau dexpertise supplmentaire est requis pour pouvoir utiliser de faon sre ces
technologies dans le contexte de conduite de procd. Informaticiens et automaticiens doivent
travailler en troite collaboration et mettre en commun leurs connaissances pour traiter
efficacement les problmes de cyber-scurit.
Dans les industries risques vis vis de la sret, de la sant publique ou de lenvironnement,
il est important de mettre en place un processus rationnel de gestion de la scurit et une
politique de contrle des accs. Le but atteindre est un programme de scurit mature ,
c'est--dire connu, matris et respect par lensemble des personnes concernes et intgrant
tous les aspects de la cyber-scurit y compris la bureautique et linformatique conventionnelle,
le systme de gestion et le systme de contrle du procd. La cyber-scurit doit couvrir
lensemble de la chane de production et tout le cycle de vie, depuis la conception jusquau
stade final de la vente et de laprs-vente, en prenant en compte les clients, les fournisseurs et
les sous traitants.
12/17
Etablissement du systme de gestion de la cyber-scurit
Le rsultat obtenir doit tre une situation cohrente couvrant toutes les activits de la socit,
incluant le systme de contrle, la gestion, toute la chane de cration de valeur y compris les
relations avec les divers partenaires (clients, fournisseurs, transporteurs, sous-traitants) mais on
comprend que leffort raliser variera fortement dune socit une autre.
Une attention particulire devra tre porte la convergence progressive des cultures des
informaticiens dune part et des gens de procd et de contrle de procd dautre part. Ou
du moins, lune et lautre des populations devront-elles comprendre et admettre les spcificits
de chacun des mtiers, avec le souci de parvenir une situation homogne dans lentreprise.
En particulier, le personnel de contrle de procd devra tre form aux enjeux et aux
technologies de cyber-scurit. Le personnel informatique devra lui tre initi la
comprhension des technologies et des contraintes des techniques de contrle de procd.
13/17
Figure 7 : Intgration des ressources de lentreprise dans llaboration du plan damlioration de la cyber-scurit.
14/17
.
Figure 8 : Etapes principales dtablissement du systme de gestion de la cyber-scurit
Action: organisation des actions correctives et prventives. Actions de maintien niveau. Ces
actions sont des actions permanentes pour maintenir le niveau de protection au niveau de
scurit voulu.
Le standard dtaille chaque lment des actions mener et guide dans leur ralisation, en
sappuyant sur des expriences concrtes dans divers domaines dactivit. La mise en place
des divers lments seffectue progressivement avec un certain recouvrement entre actions. La
formation est une activit transversale et continue.
La sensibilit aux agressions potentielles des systmes de contrle est, pour linstant, moins
vive en Europe quaux Etats-Unis, en partie du fait quil nexiste pas de rgles et
recommandations spcifiques quivalentes celles prpares par lISA.Cependant, il nous
semble extrmement judicieux pour les industriels europens de prendre, comme leurs
partenaires ou concurrents amricains, des mesures prventives appropries, fondes sur
15/17
lexprience et les connaissances rassembles dans les documents produits par lISA. Cette
dmarche peut leur viter beaucoup de ttonnements et de recherches coteuses.
Les documents aujourdhui disponibles incluent des outils facilitant la mise en uvre du
standard : grille dvaluation du niveau de maturit, mthode didentification, danalyse et
dvaluation des risques.
Pour les installations nouvelles, les documents de lISA aident intgrer ds le dbut la
proccupation de cyber-scurit dans la rflexion sur le cycle de vie global du systme, de
faon optimiser les cots de protection.
Pour les offreurs de systmes et intgrateurs, il sera sans doute de plus en plus ncessaire de
proposer aux utilisateurs finaux des solutions de scurit intgres loffre de faon native,
selon un standard universellement reconnu. Le projet de standard inclut cette fin une rubrique
de prescription spcifique ddie aux vendeurs de systme.
16/17
Rfrences :
Rapport ISA TR99.00.01: Security Technologies for manufacturing and control systems. www.isa.org
Rapport ISA TR99.00.02: Integrating Electronic Security into the manufacturing and control systems
environment. www.isa.org
Jean-Pierre Dalzon : Ne laissez pas votre systme de contrle ouvert au piratage Journe 2004
Club de la Mesure Provence Cte dazur.
Eric Byres, Jol Carter, Amr Elramly, Dr. Dan Hoffman Worlds in collision Ethernet and the factory
floor.
Eric Byres, Ron Derynck and Nicholas Sheble: SP99 counterattacks Intech 2004
17/17