La cybersécurité des systèmes industriels

La cybersécurité consiste à protéger les investissements, la capacité de production, les personnes, et l’environnement, des attaques informatiques. Dans l’industrie, il est souvent beaucoup plus important d’empêcher la destruction des « actifs de support » (les serveurs, les systèmes industriels comme les automates et les processus contrôlés), que d’empêcher le vol, la perte ou la corruption des « actifs primaires » (l’information). Les priorités sont radicalement différentes.

Dans cette article, le terme système automatisé de contrôle des procédés industriels (ou, plus brièvement, système industriel) désigne un ensemble de moyens humains et matériels ayant pour finalité de contrôler ou commander des installations techniques (composées d’un ensemble de capteurs et d’actionneurs). Cela englobe les systèmes de contrôle-commande (énergie, transport, traitement de l’eau, industrie, etc.) mais aussi la gestion technique de bâtiment (GTB) ou ICS (Industrial Control System).

Le terme cybersécurité est utilisé afin d’éviter tout risque de confusion avec le terme «sécurité» qui, dans le monde industriel, peut avoir d’autres significations que celles liées à la sécurité des systèmes d’information comme la sécurité des biens et des personnes par exemple.

Classes de cybersécurité et mesures associées

Trois classes existent en fonction de leurs besoins de sécurité. Cette classification peut être appliquée à un site dans son ensemble, à une partie plus spécifique, ou à un système industriel réparti sur plusieurs sites.

Chaque classe intègre les mesures de la classe inférieure :

Classe 1 :
Il s’agit des systèmes industriels pour lesquels le risque ou l’impact d’une attaque est faible. L’ensemble des mesures préconisées pour cette classe doivent pouvoir être appliquées en complète autonomie.

Une chaîne de responsabilité de la cybersécurité devrait être mise en place et couvrir l’ensemble des systèmes industriels.
Les systèmes industriels devraient faire l’objet d’une analyse de risque pour la cybersécurité, même succincte.

Une cartographie physique, logique et des applications du système industriel devrait être rédigée.

L’ensemble des intervenants devrait être habilité.
Des audits réguliers devraient être mis en place. Ces audits pourraient être internes.
Une veille sur les vulnérabilités des produits utilisés, pour pouvoir les mettre à jour en cas de faille critique, devrait être mise en place.

Continuité d’activité : Un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA), même succinct, devrait être mis en place.

Les modes d’urgence devraient être mis en place et bien encadrés pour qu’ils ne constituent pas une vulnérabilité exploitable. Ils devraient être intégrés à l’analyse de risque et les procédures associées devraient être explicitées dans la PSSI (politique de sécurité des systèmes d’information). En particulier, la traçabilité des opérations devrait être préservée.

Un processus d’alerte même minimal devrait être mis en place.

Interconnexions réseau
Systèmes industriels : Les systèmes industriels de classe 1 devraient être cloisonnés entre eux à l’aide de pare-feu. Un équipement labellisé devrait être utilisé pour réaliser l’interconnexion.
Système d’information de gestion : Le système industriel doit être cloisonné du système d’information de gestion à l’aide d’un pare-feu. Un équipement labellisé devrait être utilisé pour réaliser l’interconnexion.
Réseau public : Les systèmes industriels qui ne le justifient pas impérativement ne devraient pas être exposés sur Internet. Le cas échéant, des mesures devraient être prises afin de s’assurer qu’ils ne sont accessibles qu’aux personnes autorisées. Les risques engendrés par une telle solution devraient être identifiés clairement.

Des procédures claires devraient être définies et des moyens de protection devraient être mis en place pour encadrer les opérations de télé-diagnostic, télémaintenance et télégestion. Pour les opérations de télé-diagnostic comme pour les opérations de télémaintenance, il est recommandé d’utiliser des produits labellisés.

Un système de gestion des journaux d’événements des différents équipements présents dans le réseau devrait être mis en place. Une politique de gestion des événements devrait également être définie.

Il est recommandé de traiter les risques relevés lors de l’analyse de risque jusqu’à ce que l’entité responsable estime les risques résiduels acceptables.

Classe 2 :
Il s’agit des systèmes industriels pour lesquels le risque ou l’impact d’une attaque est significatif. Il n’y a pas de contrôle étatique pour cette classe de système industriel mais l’entité responsable doit pouvoir apporter la preuve de la mise en place des mesures adéquates en cas de contrôle ou d’incident.

Une chaîne de responsabilité de la cybersécurité doit être mise en place et couvrir l’ensemble des systèmes industriels.
Les systèmes industriels doivent faire l’objet d’une analyse de risques suivant une méthode choisie par l’entité responsable.

Une cartographie physique, logique et des applications du système industriel doit être rédigée.
La cartographie doit être revue régulièrement (la fréquence sera définie par l’entité responsable) et à minima à chaque modification apportée au système industriel.

L’ensemble des intervenants doit être habilité.
Des audits réguliers doivent être mis en place. Ces audits devraient être réalisés par des prestataires externes.
Un processus de veille devrait être mis en place afin de :
— Se tenir informé des vulnérabilités identifiées sur les produits et technologies mis en œuvre dans les systèmes industriels.
— Se tenir informé de l’évolution des mécanismes de protection.

Continuité d’activité : Un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA) devrait être mis en place. Son efficacité devrait être testée de manière régulière.

Mode d’urgence : Il n’y a pas de mesure supplémentaire pour cette classe.

Un processus de gestion de crise devrait être mis en place. Il devrait être testé régulièrement pour vérifier son efficacité.

Interconnexions réseau
Systèmes industriels : Les systèmes industriels de classe 2 devraient être cloisonnés entre eux à l’aide de pare-feu. Un équipement labellisé devrait être utilisé pour réaliser l’interconnexion. L’interconnexion d’un système industriel de classe 2 et d’un système industriel de classe 1 devrait être unidirectionnelle vers le système de classe 1. Un équipement labellisé devrait être utilisé pour réaliser l’interconnexion.
Système d’information de gestion : L’interconnexion devrait être à sens unique depuis le système industriel vers le système d’information de gestion.
Dans le cas contraire, l’ensemble des flux vers le système industriel de classe 2 devraient être clairement définis et limités. Les risques associés devraient être identifiés et évalués.
L’interconnexion doit être réalisée avec un équipement de sécurité comme un pare-feu. Celui-ci devrait être labellisé.
Réseau public : Les systèmes industriels qui ne le justifient pas impérativement par un besoin opérationnel ne doivent pas être connectés à un réseau public. Le cas échéant, ils ne devraient pas être exposés sans protection et les risques engendrés par une telle solution devraient être identifiés clairement. L’interconnexion devrait être unidirectionnelle vers le réseau public.
Un équipement labellisé devrait être utilisé pour réaliser l’interconnexion.

Les opérations de télémaintenance ou de télégestion sont fortement dé- conseillées. Le cas échéant, l’équipement utilisé devrait garantir l’authenticité et l’intégrité de la communication. Cet équipement devrait être labellisé.

Des moyens de détection d’intrusion devraient être déployés en périphérie des systèmes industriels et sur les points identifiés comme critiques qui comprennent notamment :
— Les interconnexions avec Internet (y compris la télémaintenance).
— Les interconnexions avec le système d’information de gestion.
— Les points de connexion spécifiques vers l’extérieur (WiFi industriel par exemple).
— Sur les réseaux d’automates jugés sensibles.
Les moyens de détection utilisés devraient être labellisés.

Les systèmes industriels doivent être homologués par l’entité responsable. L’homologation, dans ce cas, relève d’un principe déclaratif.

Classe 3 :
Il s’agit des systèmes industriels pour lesquels le risque ou l’impact d’une attaque est critique. Dans cette classe, les obligations sont plus fortes et la conformité de ces systèmes industriels est vérifiée par l’autorité étatique ou un organisme accrédité.
Une chaîne de responsabilité de la cybersécurité doit être mise en place et couvrir l’ensemble des systèmes industriels. L’identité et les coordonnées du responsable de cette chaîne doivent être communiquées à l’autorité de cyberdéfense.

Les systèmes industriels doivent faire l’objet d’une analyse de risques dé- taillée suivant une méthode choisie par l’entité responsable. L’analyse de risque devra être revue régulièrement, au moins une fois par an. Elle devrait être réalisée en collaboration avec un prestataire labellisé.

Une cartographie physique, logique et des applications du système industriel doit être rédigée.
La cartographie doit être revue régulièrement et au moins une fois par an.

L’ensemble des intervenants doit être habilité et contrôlé.
La formation à la cybersécurité comprise dans l’habilitation devrait être assurée par des prestataires labellisés.
Des audits réguliers doivent être mis en place et être effectués au moins une fois par an. Ces audits devraient être réalisés par des prestataires indépendants labellisés.
Un processus de veille doit être mis en place afin de :
— Se tenir informé de l’évolution de la menace.
— Se tenir informé des vulnérabilités identifiées sur les produits et technologies mis en œuvre sur les systèmes industriels.
— Se tenir informé de l’évolution des techniques d’attaque.
— Se tenir informé de l’évolution des mécanismes de protection.

Continuité d’activité : Un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA) doit être mis en place.
Ce plan doit répondre à l’en- semble des scénarios d’incident menant à un arrêt du service rendu ayant un impact lourd.
Son efficacité doit être testée de manière régulière et au moins une fois par an. Un plan de continuité, ayant une portée plus large que la cybersécurité, pourra être demandé par les ministères coordinateurs.

Les modes d’urgence doivent être mis en place et bien encadrés pour qu’ils ne constituent pas une vulnérabilité supplémentaire pour le système. Ils doivent être pris en compte dans l’analyse de risque et les procédures associées doivent être explicitées dans la PSSI (politique de sécurité des systèmes d’information). En particulier, la traçabilité des opérations doit être préservée.

Un processus d’alerte et de gestion de crise doit être défini. Il doit être testé régulièrement, et au minimum une fois par an, pour vérifier son efficacité.
La chaîne de traitement opérationnelle doit être communiquée à l’autorité de cyberdéfense.

Interconnexions réseau
Systèmes industriels : Les systèmes industriels de classe 3 doivent être cloisonnés entre eux à l’aide de pare-feu. Il est fortement recommandé d’utiliser un équipement labellisé pour réaliser l’interconnexion.
L’interconnexion d’un système industriel de classe 3 et d’un système industriel de classe inférieure doit être unidirectionnelle vers le système de classe inférieure. L’unidirectionnalité doit être garantie physiquement (avec une diode, par exemple). Un équipement labellisé devrait être utilisé pour réaliser l’interconnexion.
Système d’information de gestion : L’interconnexion doit être unidirectionnelle vers le système d’information de gestion. L’unidirectionnalité doit être garantie physiquement (avec une diode, par exemple). Un équipement labellisé devrait être utilisé pour réaliser l’interconnexion.
Réseau public : Un système industriel de classe 3 ne doit pas être connecté à un réseau public.

Les opérations de télémaintenance ou de télégestion ne doivent pas être autorisées.
Les opérations de télé-diagnostic sont possibles à l’aide d’équipements garantissant physiquement l’impossibilité d’interagir avec le réseau de classe 3. Des produits labellisés devraient être utilisés.

Des moyens de détection d’intrusion doivent être mis en place en périphérie des systèmes industriels et sur les points identifiés comme critiques qui comprennent notamment :
— Les interconnexions des équipements de télégestion.
— Les interconnexions entre les systèmes d’information de gestion et systèmes industriels.
— Les points de connexion spécifiques vers l’extérieur (WiFi industriel par exemple).
— Les stations sas ou les stations blanches.
— Le réseau fédérateur des postes de supervision industriel (SCADA : Supervisory Control And Data Acquisition -> Système de contrôle et d’acquisition de données).
— Les réseaux d’automates jugés sensibles.
Les moyens de détection utilisés devraient être labellisés.

Les systèmes industriels doivent être homologués et requièrent une autorisation préalable de mise en service. L’homologation doit être faite par un organisme extérieur accrédité.

Méthode de classification

Les classes de cybersécurité sont déterminées en fonction d’un impact et d’une vraisemblance.
Les impacts peuvent s’estimer simplement à partir de grilles. En revanche, l’estimation de la vraisemblance demande plusieurs étapes intermédiaires.

Périmètre
Le périmètre doit être choisi afin de contenir l’ensemble des installations critiques d’un site ou d’une infrastructure (réseaux, transport, électricité, etc.). Inversement, il est possible de découper un site en plusieurs systèmes industriels qui auront potentiellement des niveaux de criticité différents.
S’il est décidé de découper une infrastructure en plusieurs systèmes industriels, une analyse de risque de l’ensemble complet devra être menée pour vérifier que toutes les menaces ont bien été prises en compte, y compris celles qui pourraient résulter de l’infrastructure prise dans son ensemble.
Les analyses de sûreté de fonctionnement, bien souvent déjà effectuées par les entités responsables, peuvent servir de base de travail. En effet, le découpage des systèmes et les processus qu’ils supportent sont déjà définis.

Exemple : Un site de type SEVESO seuil haut sera globalement de classe 3. En affinant le découpage des systèmes industriels, il apparaîtra sans doute que seuls les systèmes de protection des biens et des personnes doivent être de classe 3.
Les systèmes de production seront, eux, sans doute de classe 1 ou 2.

Critères de sécurité
Pour les critères de sécurité, ne sont retenus que les deux principaux qui sont les plus souvent rencontrés dans les systèmes industriels, de par leur lien fort avec la sûreté de fonctionnement : la disponibilité et l’intégrité.
En fonction des secteurs, il sera possible d’ajouter d’autres critères de sécurité comme la confidentialité, la traçabilité ou l’imputabilité…

Échelles
Plusieurs échelles sont nécessaires pour mesurer l’impact et la vraisemblance d’une attaque.

Gravité
Pour la gravité, une échelle de 1 à 5 a été retenue avec les niveaux suivants : Insignifiant, mineur, modéré, majeur, catastrophique. La gravité est mesurée en fonction des différents impacts qui sont considérés : humains, environnementaux, économiques.
Des déclinaisons sont données à titre d’exemple dans les trois tableaux suivants.

Vraisemblance
Du fait de la difficulté d’estimer la fréquence d’occurrence d’une attaque, cette échelle n’est pas quantitative.

Niveau de lʼattaquant
Cette grille est nécessaire pour l’évaluation de la vraisemblance. La classification suivante est proposée pour le niveau de l’attaquant.

Étant donné que les systèmes industriels ont une durée de vie très longue, il paraît peu probable qu’aucune personne déterminée avec des moyens limités ne veuille porter atteinte au système industriel dans l’intervalle. Il est donc proposé de fixer le niveau de l’attaquant au minimum à 3. Le niveau de l’attaquant devra également être décliné par secteur d’activité. Il pourra éventuellement être personnalisé pour un organisme donné, mais uniquement pour être aggravé par rapport à la référence du secteur.

Biens essentiels
Selon la définition utilisée dans la méthode EBIOS(*), les biens essentiels sont les informations et les processus jugés importants pour l’organisme. Dans le cas présent, les biens essentiels sont les processus portés par le système industriel étudié dont l’affectation pourrait impliquer des dommages pour les personnes, l’environnement ou le fonctionnement du pays. Ce travail d’analyse des processus (parfois appelé fonctionnalités ou services) a souvent déjà était fait dans les analyses de risque de sûreté de fonctionnement, analyses de risque financier, etc.

(*) La méthode EBIOS est une méthode d’évaluation des risques en informatique, développée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Biens supports
Les biens supports sont les composants, les sous-systèmes du système étudié.
Exemple : Dans le cas d’un tunnel routier, les biens supports comprennent notamment les postes utilisateurs, automates, serveurs, capteurs, détecteurs (opacimètres, anénomètres, analyseurs CO), caméras.

Architectures types
La surface d’attaque d’un système industriel dépend en grande partie de son architecture. Afin d’évaluer simplement les risques liés à cette dernière, il est proposé d’évaluer un système industriel en fonction de deux échelles : son niveau de fonctionnalité et sa connectivité avec l’extérieur.

En ce qui concerne le niveau de fonctionnalité, la classification obtenue coïncide essentiellement avec les différentes couches habituellement utilisées dans le modèle de «production intégrée par ordinateur» (CIM : Computer Integrated Manufacturing) et qui sont rappelés ici pour mémoire :
– CIM 0 capteurs et actionneurs non communicants.
– CIM 1 automates (PLC : Programmable Logic Controller) et analyseurs.
– CIM 2 supervision (SCADA : Supervisory Control And Data Acquisition).
– CIM 3 système d’exécution des fabrications (MES : Manufacturing Execution System ).
– CIM 4 planification, gestion des ressources (ERP : Interprise Resource Planning ).

Il faut noter qu’un système industriel ne contenant que des éléments au niveau CIM 0 a peu de chances d’exister. C’est pourquoi ce niveau n’est pas conservé dans la classification. Le niveau CIM 4 n’apporte pas de vulnérabilités additionnelles par rapport au niveau CIM 3. Ces deux niveaux sont donc considérés conjointement.

Les niveaux de fonctionnalité suivants sont retenus

Fonctionnalité 1 : Systèmes minimaux. Cette catégorie contient les systèmes industriels avec uniquement des éléments de niveau CIM 0 et 1 (contrôle-commande) à l’exclusion des consoles de programmation, à savoir :
— Capteurs/actionneurs.
— Entrées/sorties déportées.
— Automates.
— Pupitres.
— Systèmes embarqués.
— Analyseurs.

Fonctionnalité 2 : Systèmes complexes. Cette catégorie contient les systèmes industriels ne contenant que des éléments de niveau CIM 0 à 2 (contrôle-commande et SCADA). Ainsi, s’ajoutent aux éléments de la catégorie précédente :
— Stations de supervision.
— Serveurs d’historique local (Historian).
— Bases de données locales.

Fonctionnalité 3 : Systèmes très complexes. Cette catégorie contient tous les systèmes industriels ne rentrant pas dans les deux premières catégories. En particulier, y sont contenus tous les systèmes industriels avec des consoles de programmation ou des stations d’ingénierie connectées en permanence ou bien les systèmes qui sont connectés à un système d’exécution des fabrications ou encore des systèmes industriels comportant des bases de données d’historiques centralisées.

Connectivité d’un système industriel

Connectivité 1  : Système industriel isolé. Cette catégorie correspond à tous les réseaux de production complètement fermés.

Connectivité 2  : Système industriel connecté à un système d’information de gestion. Cette catégorie correspond à tous les réseaux de production qui sont reliés au système d’information de gestion de l’entreprise mais sans que des opérations depuis l’extérieur du système d’information de gestion ne soient autorisées.

Connectivité 3  : Système industriel utilisant de la technologie sans fil. Cette catégorie contient tous les systèmes industriels faisant usage de technologie sans fil.

Connectivité 4 : Système industriel distribué avec infrastructure privée ou permettant des opérations depuis l’extérieur. Cette catégorie correspond à un système distribué où les différents sites communiquent entre eux par le biais d’une infrastructure privée. Celle-ci pourra être complètement privée ou être louée auprès d’un opérateur de télécommunications.
Rentrent également dans cette catégorie tous les systèmes industriels permettant de faire des opérations depuis l’extérieur du site ou depuis un réseau de gestion (par exemple télé-diagnostic et télémaintenance).

Connectivité 5 : Système industriel distribué avec infrastructure publique. Cette catégorie correspond à la catégorie précédente, sauf que l’infrastructure utilisée est publique, comme celle d’un opérateur de télécommunications. Ce cas correspond typiquement à une infrastructure de distribution d’eau, par exemple.

Sur la figure ci-dessous, nous pouvons voir un système industriel de connectivité 1. Le système industriel est complètement déconnecté et se trouve sur un seul site fermé.
Dans cette catégorie, la surface d’attaque est limitée mais non nulle. En effet, les vecteurs d’entrée existent malgré tout, du fait des supports amovibles, des machines des opérateurs de maintenance ou de la malveillance interne.

Le système industriel ci-dessous est de connectivité 2 ; il est toujours sur un seul site fermé mais est désormais relié à un réseau de gestion. Il n’y a pas d’hypothèse particulière sur le réseau de gestion qui peut être relié à un réseau public comme Internet ou même distribué sur plusieurs sites.
Dans cette catégorie, la surface d’attaque comprend tout ce qui a été envisagé dans la catégorie 1 avec, en plus, les attaques depuis le système d’information de gestion.

Le système industriel ci-dessous est de connectivité 3 ; il y est fait usage de technologie sans-fil.
Dans cette catégorie, la surface d’attaque comprend toutes les vulnérabilités inhérentes au sans-fil. En particulier, il existe des attaques en disponibilité contre lesquelles il n’est pas possible de se prémunir facilement.

Le système industriel ci-dessous est de connectivité 4 avec la même nomenclature que précédemment. Les deux points essentiels sont l’utilisation d’une infrastructure privée de communication et la présence de systèmes de télémaintenance.

On appelle infrastructure privée tout réseau qui serait entièrement sous le contrôle de l’entité responsable du système industriel mais également tout système d’un opérateur de télécommunications dont une part des ressources est dédiée au système industriel en question et qui ne permet pas simplement à des extérieurs d’interférer avec le système.

Des infrastructures telles que des APN (Access Point Name) privés ou un VPN (Virtual Private Network) de type MPLS (Multiprotocol Label Switching) entrent dans cette catégorie. Dans tous les cas, des mesures de protection doivent être prises pour assurer l’intégrité, voire la confidentialité, sur un tel réseau. Les vulnérabilités sont moindres que dans le cas d’une infrastructure publique.
Dans cette catégorie, la surface d’attaque contient tous les cas précédents avec de nouvelles vulnérabilités potentielles liées à la présence d’une infrastructure qu’il est très difficile, voire impossible de surveiller/contrôler dans son intégralité notamment du point de vue des accès physiques. Sont également présentes toutes les vulnérabilités liées aux opérations de télémaintenance.

Le système industriel ci-dessous est de connectivité 5. Dans ce cas, la connectivité entre les différents éléments du système industriel est assurée par une infrastructure publique telle que le réseau téléphonique ou Internet. En particulier, un attaquant pourra accéder sans entrave aux différents points d’entrée du système industriel et il sera donc nécessaire d’appliquer des mesures de protection supplémentaires. Par ailleurs, aucune ressource n’est dédiée au système industriel et ce dernier pourra être une victime collatérale d’une utilisation anormalement élevée du réseau.

Exposition du système industriel

L’exposition du système industriel résulte de ses niveaux de fonctionnalité et de connectivité: 5 niveaux d’exposition allant de 1 (le moins exposé) à 5 (le plus exposé).
Le niveau d’exposition est obtenu de la façon suivante :

On pourra noter que les niveaux de fonctionnalité et de connectivité n’évoluent pas de façon indépendante. Il y a donc certaines cases du tableau précédent qui peuvent ne correspondre à aucun système industriel réel.

Accessibilité du système industriel

Le personnel intervenant sur un système industriel est un vecteur important de vulnérabilités. Il a été décidé de classer les intervenants en deux catégories.
Les intervenants légitimes sont toutes les personnes ayant le droit d’interagir avec le système industriel de manière contrôlée.
Ces intervenants peuvent être les opérateurs qui veillent au bon fonctionnement du système au quotidien mais également le personnel responsable de sa maintenance ou de son évolution. Les intervenants illégitimes sont toutes les personnes qui peuvent être amenées à interagir avec le système industriel sans être contrôlées, que cette interaction soit volontaire ou non.

Intervenants 1 : autorisés, habilités et contrôlés L’ensemble des intervenants autorisés sont habilités et contrôlés. Une intervention non-autorisée n’est pas possible.

Intervenants 2 : autorisés et habilités L’ensemble des intervenants autorisés sont habilités mais au moins une partie des opérations possibles n’est pas tracée. Une intervention non-autorisée n’est pas possible.

Intervenants 3 : autorisés Il n’y a pas d’exigence particulière sur les intervenants autorisés mais une intervention non-autorisée n’est pas possible.

Intervenants 4 : non-autorisés Cette catégorie contient tous les systèmes industriels dans lesquels une intervention non-autorisée est possible.

Détermination de la classe

Estimation de l’impact
On rappelle que, pour chaque bien essentiel, les critères de sécurité pris en compte sont l’intégrité et la disponibilité.
A l’aide de la liste des biens essentiels qui a été établie, l’entité responsable peut énumérer les événements redoutés et estimer leur impact selon les échelles données précédemment.

Exemple :
La perte de disponibilité du système de ventilation d’un tunnel peut conduire à un impact humain de gravité 3, un impact sur l’environnement de 1 et un impact consécutif à l’arrêt du service rendu (le tunnel est fermé à la circulation) de 1. La perte de l’intégrité du même système ne conduit pas à des impacts plus importants. La gravité retenue sera de 3.

En revanche, la perte de disponibilité du système de traitement des produits toxiques d’une usine conduit à un impact humain de 1, un impact environnemental de 2 et un impact consécutif à l’arrêt du service rendu de 1 alors que la perte d’intégrité de ce même système conduit à un impact humain de 4, un impact environnemental de 3, et un impact consécutif à l’arrêt du service rendu de 1. La gravité retenue sera de 4.

Estimation de la vraisemblance
Pour le calcul de la vraisemblance, les échelles Intervenants et Attaquant sont utilisées comme des facteurs aggravants pour le calcul de la vraisemblance selon la formule suivante :

vrai_formule

où V est la vraisemblance, E l’exposition, I les intervenants et A le niveau de l’attaquant. L’opérateur mathématique ⌈.⌉ dénote la partie entière supérieure.

Classification
Les événements redoutés et les scénarios de menace conduisent à des risques. Ceux-ci sont positionnés dans le tableau suivant qui permet de déterminer la classe d’un système industriel. Comme expliqué précédemment, le plus grave parmi les impacts humain, environnemental et d’arrêt du service rendu est retenu.

Cas d’étude simplifiés

Installation dʼadduction dʼeau
L’installation considérée est un système industriel de télégestion pour l’adduction d’eau d’une agglomération de 500 000 habitants.
Le système industriel est géographiquement réparti sur plusieurs sites (réservoirs, surpresseurs, pompes). Les sites distants communiquent avec le site central via des lignes RTC (Réseau Téléphonique Commuté) ou des liaisons GPRS (General Packet Radio Service).
Le système industriel comporte de nombreux équipements de télégestion (RTU : Remote Terminal Unit) et des stations de supervision (SCADA : Supervisory Control And Data Acquisition).
Les techniciens peuvent, depuis chez eux, se connecter au système en cas de problème. Le niveau de fonctionnalité est donc de 2 et le niveau de connectivité de 5.
D’après la matrice proposée, le niveau d’exposition est 5.
Les intervenants sont peu nombreux. En théorie, seuls des intervenants autorisés peuvent accéder au système industriel.
De plus, chaque site dispose d’un système de contrôle d’accès et de vidéoprotection. La catégorie des intervenants est donc 3.
En ce qui concerne les attaquants, il semble peu probable que des puissances étrangères ou des entreprises concurrentes veuillent porter atteinte au système car l’entreprise a essentiellement un rayonnement national. Le niveau de l’attaquant est donc fixé à 3.
Les impacts se limitent à l’interruption de la distribution d’eau pour plusieurs heures.
D’après la matrice des arrêts de service cela correspond à un impact modéré. La gravité est donc 3.

Poste de manœuvre informatisé
Dans un réseau de transport ferré, un poste de manœuvre informatisé (MEI) permet de gérer les affectations de voies, de contrôler les aiguillages et les équipements de signalisation.
Le système est composé des éléments suivants :
— Un module informatisé d’enclenchement (i.e. un automate) lié à des aiguillages sur les voies de chemin de fer (i.e. un actionneur). Le module contient les graphes de circulation paramétrables, préalablement formellement validés.
— Des postes de configuration (PC) situés sur un réseau privé, dédié au système de transport. Les équipements de ce réseau sont situés dans des emprises physiques privées, donc protégées contre les accès intempestifs. Les PC servent à des fonctions de diagnostic et au paramétrage des graphes de circulation.
— Un poste de maintenance hors réseau qui est connecté physiquement au module pour mettre en place un nouveau schéma lorsque nécessaire. Cette connexion est ponctuelle.

On identifie immédiatement deux événements redoutés :
— Un accident si le MEI applique un schéma non valide et donne des ordres dangereux à un aiguillage.
— La perte de l’exploitation de la ligne (ou tout au moins d’une portion) si le MEI cesse de fonctionner ou s’il envoie des paramétrages de circulation restrictifs.
Donc l’impact est de 5 puisqu’un dysfonctionnement dangereux du système peut provoquer un accident avec plusieurs morts.
Compte tenu des équipements, la fonctionnalité est de 2. Le réseau de télécommunication utilisé par le MEI est distribué mais privé. La connectivité est donc de 4. L’exposition est donc de 4.
Les intervenants sur le MEI sont des mainteneurs habilités et leurs interventions contrôlées conformément aux exigences de sûreté de fonctionnement. Par conséquent, l’intervenant est évalué à 1.
On retient la source de menace maximale car le système peut provoquer des accidents mortels et est donc susceptible d’attirer l’attention de personnes malveillantes, de plus le scénario consistant à provoquer le déraillement d’un train est régulièrement cité dans des scénarios de cyberattaque. L’adversaire est donc évalué à 5.
En conclusion, la vraisemblance est supérieure à 4 et le système est de classe 3.

Intégration de la cybersécurité dans le cycle de vie du système industriel

L’intégration de la cybersécurité dans le cycle de vie des systèmes industriels est une étape clé pour parvenir aux exigences attendues. Une attention particulière devra être portée à la cybersécurité lors des phases de conception du système industriel.
Il est conseillé de ne pas traiter le cybersécurité de manière isolée. Elle devrait être intégrée dans le projet comme un métier, au même titre que l’électricité, la mécanique, etc.

Les équipements constituants des systèmes sur lesquels peuvent porter les mesures de cybersécurité sont par exemple :
— Les serveurs, stations et postes de travail.
— Les stations d’ingénierie et consoles de programmation.
— Les équipements mobiles : ordinateurs portables, tablettes, ordiphones, etc..
— Les logiciels et applications de supervision (SCADA).
— Les logiciels et applications de GPAO et de MES.
— Les interfaces homme-machine (écrans tactiles).
— Les automates et unités déportées (RTU).
— Les équipements réseau (commutateurs, routeurs, pare-feu, bornes d’accès sans fil).
— Les capteurs et actionneurs intelligents.
— …

Architecture type
Capture