Décomposition des normes de cybersécurité industrielle
ISA99/ISA/CEI62443 et NERC-CIP
Par Dan French
Les systèmes de contrôle existent depuis longtemps. Depuis la Révolution industrielle, les systèmes de contrôle constituent l'épine dorsale invisible de la société. Depuis les dernières décennies, les systèmes de contrôle industriels (SCI) ont fait face à une autre révolution, se transformant en mastodontes agiles qui produisent ce dont nous avons besoin pour la vie quotidienne : des téléphones intelligents et voitures à l'eau potable et à l'électricité.
Les SCI sont plus branchés que jamais, permettant aux opérateurs d'être bien plus connectés à leurs activités. D'un point de vue négatif, ces systèmes sont devenues plus vulnérables aux problèmes de réseaux/problèmes cybernétiques dû aux pirates informatiques mal intentionnés, aux employés voulant bien faire et aux entrepreneurs malavisés. De nombreuses irritations découlent de ce nouveau degré d'exposition, allant de dérangements mineurs à des temps d'arrêt importants. La dernière liste à jour des incidents cybernétiques signalés peut être trouvée sur le site ICS-CERT.
Ces incidents cybernétiques ont dévoilé certaines des vulnérabilités que possèdent les plus importants systèmes de contrôle industriels existants, ce qui a par la suite mené au développement de normes de sécurité SCI. Ce document a pour but de vous donner un bref aperçu de ce que comprennent les normes de sécurité ISA99/ ISA/IEC 62443 et NERC-CIP.
Defence en profondeur : ISA99/ ISA/IEC 62443
ISA99 a développé les normes ISA/IEC 62443, qui devraient s'appliquer à n'importe quel système de contrôle industriel. Par soucie de brièveté, ce groupe de normes sera désigné sous le nom de ISA99 dans ce document. Les principaux concepts de l'ISA99 sont la defence en profondeur et les zones et conduits.
Le concept de la defence en profondeur est extrêmement facile à implémenter en morceaux. Il y a de nombreuses petites choses qu'un administrateur de réseau SCI peut faire afin de créer un systèmes robuste lorsque ces morceaux individuels sont assemblés. Ceci comprend des activités telles que :
- Mettre à jour les mots de passe à distance pour tous les éléments du système (commutateurs réseau, API, PC, etc...)
- Mettre en œuvre les meilleures pratiques de sécurité de 2 couches standard
- Éteindre les ports de commutation, installer des réseaux VLAN afin de segmenter le réseau (éteindre le VLAN 1!), attribuer une adresse MAC aux ports de commutation des points terminaux
- Mettre sous clé le matériel physique des systèmes SCI
- Limiter l'accès lors du routage, avoir un pare-feu en place
- Mettre en place un processus d'authentification MAC aux points d'accès (802,1x)
- Remplacer les chaînes de communauté SNMP par défaut par d'autres
- Implémenter des listes de contrôle d'accès
- Mettre à jour les mots de passe sur les ports de configuration physiques (Telent)
Le principe des Zones et conduits est facile à conceptualiser en théorie mais est plus compliqué à mettre en pratique. Les actifs physique d'un SCI sont répartis en plusieurs zones en fonction de leur niveau de sécurité requis et de leur fonctionnement.
Toute communication entre ces zones doit passer par un « conduit ». En protégeant le trafic passant par ces conduits, vous pouvez protéger de manière efficace les actifs de chaque zone et isoler les problèmes. Ceci peut être effectuer par le biais de pare-feux, d'aiguillage du trafic et de routage. Le matériel le plus indispensable devrait avoir des conduits possédant des protections supplémentaires telles que des pare-feux ou du matériel de cybersécurité physique. Il existe même du matériel de cybersécurité de couche 2 « Bump in the Wire » qui peut effectuer des inspections approfondies des paquets des conduits les plus cruciaux.
Pour plus d'informations sur SA99 (ISA/IEC 62443), allez consulter les liens de reference situés à la fin de ce document.
Protection des infrastructures essentielles : NERC-CIP
Le North American Electric Reliability Corporation a développé un ensemble de normes de protection des infrastructures essentielles, aussi connu sous le nom de NERC-CIP. Ces normes sont conçues spécifiquement pour les réseaux de transport d'électricité. Au moment de rédiger ces lignes, NERC-CIP comprenait 80 normes, dont 11 sont requises. Pour vérifier si votre système est requis de respecter les normes NERC-CIP, cliquez ici.
Les normes requises actuellement travaillent de concert pour créer un système cybernétique fort. NERC-CIP a beaucoup de concepts en commun avec SA99, mais il comprend également des directives portant sur les plans antisinistres, la formation du personnel et la gestion des visiteurs. Chaque norme est brièvement décrite dans le tableau ci-dessous, la liste complète des normes NERC-CIP peut être consultée ici.
| Norme CIP | Titre | Description |
CIP-002-5,1a |
Cybersécurité - Catégorisation des systèmes électroniques BES |
Identifier et catégoriser tous vos « systèmes ou actif BES » qui pourraient causer des problèmes s'ils étaient compromis. Séparer les actifs BES en plusieurs sous-systèmes de manière logique. L'opérateur peut choisir la taille/manière que vous considérez judicieuse pour la répartition. Classés du plus sévère au plus bénin Définitions - « BES - système électronique connexe Actif électronique BES - un actif électronique qui, s'il était rendu indisponible, endommagé ou mal utilisé, aurait, dans les 15 minutes qui suivent sa mise en marche, son mauvais ou sont non fonctionnement, un impact négatif sur une ou plus des installations, systèmes ou équipements qui ,s'ils sont détruit endommagés ou autrement mis en arrêt de marche, nuiront à l'exploitation fiable du système électronique BES. La fenêtre de 15 minutes ne doit pas tenir compte de systèmes redondants, car la redondance n'élimine pas nécessairement la vulnérabilité cybernétique. » - CIP-002-5,1a |
CIP-003-6 |
Cybersécurité - mécanismes de gestion de la sécurité |
Cette section définit la façon dont le respect des normes NERC CIP est mesuré et appliqué dans des circonstances spécifiques. |
CIP-004-6 |
Cybersécurité - Personnel et formation |
Parle de la formation du personnel sur des sujets tels que :
Parle également de la gestion du personnel, la vérification d'identité, la vérification des antécédents, etc... |
CIP-005-5 |
Cybersécurité - Périmètre(s) de sécurité électronique |
Définit la création d'un périmètre autour de systèmes cybernétiques, ainsi que les règles et directives à suivre pour protéger tout protocole routable. |
CIP-006-6 |
Cybersécurité - Sécurité physique des systèmes électroniques BES |
Cette norme définit les exigences en matière de restrictions à l'accès physique du site et des actifs essentiels. De plus elle comprend des sections telles que :
Interdir l'accès aux zones où l'on peut avoir accès au réseau ou aux données. |
CIP-007-6 |
Cybersécurité - Gestion de la sécurité des systèmes |
Des mesures de sécurité des systèmes, telles que la désactivation de ports inutilisés, la réduction de supports d'information amovibles, des correctifs de sécurité, la gestion des mots de passe, etc. comprend également la détection de brèches de sécurité, de programmes malveillants, etc. sur le système et des plans d'atténuation. |
CIP-008-5 |
Cybersécurité - Déclaration des incidents et planification des mesures d'intervention |
Planification et pratique des mesures d'intervention, de rapport et de déclaration en cas d'incident cybernétique. |
CIP-009-6 |
Cybersécurité - Plans de rétablissement des systèmes électronique BES |
Pratiques des responsabilités, rôle et sauvegardes informatiques des intervenants en situations de rétablissement. |
CIP-010-2 |
Cybersécurité - Gestion des changements de configuration et analyses de vulnérabilité |
Gestion des changements - développement et documentation d'une « configuration de base » du système
Autoriser et documenter les changements apportés à la configuration de base. Il existe des suites logicielles qui aident à rendre cette gestion des systèmes bien plus facile, robuste et sécuritaire. |
CIP-011-2 |
Cybersécurité - Protection de l'information |
Gestion et stockage d'informations sensibles |
CIP-014-2 |
Sécurité physique |
Implémentation de barrières physiques, présence de forces de l'ordre et autres sur le site. |
