CEI 62443 : Comment mettre en œuvre des niveaux de sécurité CEI 62443 dans les applications de contrôle industriel ?

Les systèmes de contrôle industriel (ou « ICS », pour Industrial Control Systems) ont connu une augmentation exponentielle des cyberattaques au cours de ces dix dernières années.
L’industrie a réagi aux menaces de cybersécurité en créant des normes pour aider les utilisateurs finaux et les fournisseurs d’équipements à sécuriser les systèmes de contrôle industriel.

Il existe actuellement un certain nombre de normes clés sur le marché.
La norme CEI 62443 a été développée par les comités ISA99 et CEI pour améliorer la sécurité, la disponibilité, l’intégrité et la confidentialité des composants ou systèmes utilisés dans les automatismes et le contrôle industriels.

Elle peut être utilisée dans l’ensemble des segments du contrôle industriel et a été approuvée par de nombreux pays. La norme CEI 62443 ne cesse d’évoluer, et est en passe de devenir une norme clé dans l’industrie.

Schneider Electric développe sa stratégie de cybersécurité autour de cette norme.

Cet article a été réalisé par M Daniel Desruisseaux Directeur, Programme de cybersécurité industrielle Schneider Electric dans la série des “livres blancs” (publiés par Schneider Electric).

Ce document est conçu pour présenter des concepts à une personne ayant une exposition limitée à la cybersécurité dans les systèmes de contrôle industriel. Il vise à fournir des conseils de mise en œuvre à l’aide d’exemples pratiques.
Notez qu’il s’agit d’un document générique destiné à présenter des concepts. Les recommandations qu’il contient ne doivent pas être utilisées pour sécuriser des systèmes de contrôle et de commande industriels sans examiner en détail des réseaux spécifiques.

EcoStruxure

EcoStruxure™ est la plateforme et l’architecture système ouverte et interopérable compatible IoT de Schneider Electric.
EcoStruxure exploite les avancées de l’Internet des objets (IoT), de la mobilité, de la détection, du cloud, de l’analyse et de la cybersécurité pour offrir de l’innovation à tous les niveaux.

Cela inclut les produits connectés, les systèmes de contrôle, les applications, l’analyse et les services.
L’architecture EcoStruxure a été déployée dans plus de 450 000 installations, avec la prise en charge de 9 000 intégrateurs systèmes connectant plus d’un milliard d’appareils.

L’une des exigences clés des architectures EcoStruxure est la cybersécurité présente à toutes les étapes. Dans ce livre blanc, nous examinerons comment Schneider Electric utilise des techniques standardisées pour sécuriser ses solutions EcoStruxure.

Concepts de cybersécurité

Cette section présentera un certain nombre de concepts nécessaires à la compréhension des recommandations présentées plus loin dans ce livre blanc.

Niveaux d’assurance de sécurité
La norme CEI 62443 inclut le concept de niveaux de sécurité. La spécification définit une série d’exigences destinées à amener la sécurité du système à l’un des quatre niveaux définis.

Le tableau ci-dessous récapitule les différents niveaux, avec pour chacun d’eux une caractérisation du type d’attaquant visé par le niveau de sécurité.

Les utilisateurs finaux qui souhaitent fournir une solution pour répondre aux attaques de pirates informatiques génériques ou de cybercriminels, par exemple, doivent mettre en œuvre un système doté des fonctionnalités spécifiées pour le niveau de sécurité 2.
Notez que les caractéristiques indiquées dans le tableau sont des classements génériques destinés à fournir des conseils de haut niveau aux clients.
La mise en œuvre du niveau de sécurité 2 ne garantit pas qu’un système pourra arrêter toute attaque, quel que soit le pirate ou le cybercriminel.

Défense en profondeur
La défense en profondeur est l’utilisation coordonnée de contre-mesures de sécurité visant à protéger l’intégrité des informations d’un réseau.
La mise en œuvre correcte d’une stratégie de défense en profondeur implique de suivre six étapes. Un bref résumé de chaque étape est fourni ci-dessous.

> Créer un plan de sécurité
– L’étape la plus importante de l’ensemble du processus de défense en profondeur consiste à créer un plan de sécurité.
Dans le plan de sécurité, le personnel réalise un audit détaillé de tous les équipements connectés au réseau de contrôle industriel, établit une carte permettant de visualiser comment l’équipement est connecté, examine la configuration de sécurité de l’équipement et évalue les vulnérabilités potentielles du système.
Le plan de sécurité inclut l’impact des produits, des architectures, des personnes et des processus d’entreprise.
Un plan de sécurité complet est nécessaire pour que des mesures supplémentaires puissent être prises afin d’améliorer la sécurité du système.
Dans le cas contraire, le personnel peut penser qu’un système est sécurisé alors même qu’il ne connaît pas les vecteurs d’attaques potentiels.

> Réseaux séparés
– Une fois qu’une carte détaillée du réseau a été créée dans le plan de sécurité, les réseaux peuvent être séparés par une fonction majeure.
Par exemple, un réseau peut être divisé en zones d’entreprise, d’usine, de processus et de terrain. Tous les conduits entre les zones doivent être identifiés.

> Protection du périmètre
– Au cours de cette étape, les conduits entre les zones sont correctement protégés. Une partie importante de cette étape consiste à sécuriser l’accès à distance.

> Segmentation du réseau
– Au cours de cette étape, les zones créées à l’étape 2 peuvent être subdivisées en zones plus petites en fonction de leur emplacement ou de leur fonction. Les périmètres de ces zones ainsi segmentées sont protégés.
Il est important de noter que le niveau de sécurité affecté à chaque zone peut varier.
Par exemple, le niveau de sécurité lié à un équipement associé à un rôle de surveillance peut être paramétré au Niveau 1, tandis que le niveau de sécurité attribué à un système de sécurité peut être paramétré au Niveau 3.
Le niveau de chaque zone segmentée ne doit pas nécessairement être identique à celui de ses voisins.

> Renforcement des équipements
– Ajout de fonctionnalités aux équipements de contrôle industriel pour améliorer leur capacité à résister à une cyberattaque.
Cela réduit la probabilité que des éléments réseau soient compromis si un pirate accède à un réseau.

> Surveillance et mise à jour
– Surveillance active de l’activité du réseau pour détecter les menaces potentielles et appliquer des correctifs aux produits lorsque de nouveaux logiciels/firmwares sont mis à disposition pour résoudre des vulnérabilités ou ajouter des fonctions de sécurité.

De nombreux clients industriels manquent d’expertise dans le domaine de la cybersécurité.
Schneider Electric a mis en place des services de cybersécurité pour aider ces clients.

Les experts en sécurité de Schneider peuvent aider les clients à concevoir et mettre en œuvre des stratégies de défense en profondeur.

Schneider Electric propose également un service permettant à un fournisseur de surveiller activement les réseaux de ses clients.

Contrôles de compensation
Les contrôles de compensation sont un autre concept important.
Si un produit ne dispose pas des fonctionnalités de sécurité requises, le système peut toujours satisfaire aux exigences si ces fonctionnalités sont fournies par un autre composant du système.
Par exemple, supposons qu’un système utilise un automate ancien. L’automate ne dispose pas de certaines des fonctionnalités de sécurité requises, mais le fait de placer un pare-feu en amont permet de protéger l’automate. L’ajout du pare-feu permettra au système de satisfaire aux exigences de certification.

Présentation du format
Des exemple de réseaux seront utilisés pour illustrer les modifications nécessaires en vue d’atteindre les niveaux de sécurité ciblés. Ces exemple de réseaux sont présentés ci-dessous.

Les composants de contrôle industriel sont déployés sur l’ensemble du réseau, y compris les contrôleurs, les systèmes de sécurité, les variateurs et les IHM.
Le réseau type est un système de contrôle industriel générique qui peut être utilisé dans divers segments industriels.

Ce livre blanc examine les exigences de cybersécurité pour les réseaux Ethernet. Il ne prend pas en compte les éléments connectés à l’aide d’interfaces série.

Dans le reste de ce livre blanc, le réseau type présenté ci-dessus sera modifié pour illustrer les changements qui lui permettront de répondre aux exigences spécifiées pour chacun des niveaux de sécurité de la norme CEI 62443.

Ce livre blanc se concentre sur les trois premiers niveaux de sécurité, car ils englobent la majorité des applications industrielles.
Nous nous concentrerons sur la configuration système requise, telle que spécifiée dans la norme système CEI 62443-3-3.
Chacun des niveaux de sécurité sera présenté et accompagné d’une description des modifications.
Afin de simplifier la présentation, ce livre blanc part de l’hypothèse que lorsque le niveau de sécurité est augmenté, il est augmenté pour l’ensemble du réseau (il n’y a pas de segments de réseau avec des niveaux de sécurité différents).

Les modifications proposées sont le minimum requis pour permettre au système d’atteindre le niveau visé. Par exemple, un pare-feu simple peut être utilisé pour segmenter des réseaux pour le niveau de sécurité 1.
Un pare-feu plus perfectionné, avec inspection approfondie des paquets, ou une passerelle unidirectionnelle, offrirait une sécurité supérieure à celle d’un simple pare-feu, mais des fonctionnalités de sécurité supplémentaires ne sont pas spécifiées à ce niveau.
De telles fonctionnalités peuvent en revanche être spécifiées pour les niveaux avancés. Les clients peuvent toujours utiliser les techniques spécifiées pour les niveaux avancés pour améliorer la sécurité de leurs systèmes.

Niveau de sécurité 1

Ce document se concentrera également sur les produits et les architectures. En revanche, il n’abordera pas d’autres aspects pouvant être définis dans un plan de sécurité (formation du personnel, stratégies de sécurité de l’entreprise, etc.).
Le niveau de sécurité 1 vise à se protéger contre les violations occasionnelles ou accidentelles.
Les spécifications CEI 62443-3-3 définissent une longue liste d’exigences à respecter pour obtenir la conformité à ce niveau de sécurité.
Le tableau ci-dessous récapitule les principales exigences spécifiées pour le niveau de sécurité 1.
Notez que la norme CEI 62443-3-3 spécifie 37 exigences distinctes.
Le tableau ci-dessous tente de fournir un aperçu général des 14 principales exigences. Pour des informations plus détaillées, consultez les normes CEI.

La mise en œuvre des exigences relatives au niveau de sécurité 1 a un impact sur l’architecture réseau. Le niveau de sécurité 1 nécessite la mise en œuvre de procédures de défense en profondeur. Il requiert notamment de segmenter les réseaux et de protéger les limites des zones. Les modifications apportées à l’architecture sont présentées ci-dessous.

Dans cet exemple, la zone de contrôle du réseau a été subdivisée en sept zones plus petites, mises en évidence en gris. Les nouveaux éléments sont mis en évidence en vert.
Ces zones sont les suivantes :

> Zone démilitarisée (DMZ) : sous-réseau qui contient et expose les services externes de la zone de contrôle au réseau d’entreprise.
Les serveurs situés dans la zone de l’entreprise ne doivent jamais être connectés directement aux éléments de la zone de contrôle.
Cependant, les systèmes de l’entreprise ont besoin d’accéder aux données de la zone de contrôle, et les éléments de la zone de contrôle doivent avoir accès aux fichiers provenant de réseaux non approuvés (mises à jour de firmwares, par exemple). La DMZ contient des systèmes qui doivent accéder à la fois aux équipements de contrôle et aux équipements de l’entreprise.

> Zone de production/de process : zone qui contient les produits et applications permettant de gérer la production et les process.

> Zone des appareils de sécurité : zone centralisée qui contient divers appareils de sécurité.

> Zone sans fil : l’infrastructure sans fil est séparée dans une zone distincte.

> Zones des contrôleurs : dans cet exemple, la zone des équipements de terrain a été subdivisée en trois zones. Deux sont des zones de contrôle standard, et la troisième est une zone de contrôleur de sécurité. La segmentation en zones est un élément du plan de sécurité; elle varie en fonction de l’application. Il s’agit simplement d’un exemple.

Niveau de sécurité 2

Des pare-feu de niveau industriel (mis en évidence en vert) ont été ajoutés pour segmenter le réseau.
En outre, un serveur EPO et un serveur de gestion d’appareils mobiles ont été ajoutés, avec un logiciel d’autorisation d’applications pour les serveurs hébergeant le logiciel de contrôle industriel.

La spécification d’assurance sécurité de niveau 2 inclut les exigences du niveau 1, auxquelles viennent s’ajouter les exigences suivantes. Notez que la norme CEI 62443-3-3 spécifie 23 exigences distinctes. Nous avons simplifié la liste en 11 exigences principales. Pour des informations plus détaillées, consultez les normes CEI.

Il est important de noter que certaines des exigences sont des améliorations apportées aux exigences spécifiées pour le niveau de sécurité 1, tandis que d’autres sont nouvelles.
Par exemple, pour le niveau de sécurité 1, le système doit authentifier et autoriser les utilisateurs humains.
Pour le niveau de sécurité 2, le système doit également authentifier et autoriser les processus logiciels et les équipements.
Pour le niveau de sécurité 1, le système doit détecter, signaler et prévenir les logiciels malveillants.
Pour le niveau de sécurité 2, le système doit détecter, signaler et empêcher les logiciels malveillants à tous les points d’entrée et de sortie de la zone.
Dans certains cas, de nouvelles exigences sont ajoutées, comme la possibilité de prendre en charge les certificats pour l’authentification.

Certaines spécifications nécessitent l’ajout de produits au réseau. Un dispositif de gestion de compte unifié, une autorité de certification, un serveur de sauvegarde, un serveur d’événements et un système de détection d’intrusions sur le réseau ont été ajoutés au réseau.
Ils sont mis en évidence en vert ci-dessous. En outre, le réseau de contrôle a été segmenté en deux réseaux distincts. Notez que les équipements de contrôle industriel potentiellement remplacés pour prendre en charge les fonctionnalités pour le niveau de sécurité 2 (mise à niveau vers un nouvel automate prenant en charge les protocoles sécurisés, par exemple) ne sont pas représentés sur ce schéma.

Niveau de sécurité 3

La spécification de sécurité de niveau 3 inclut les exigences du niveau 2, auxquelles viennent s’ajouter les exigences suivantes. Notez que la norme CEI 62443-3-3 spécifie 30 exigences distinctes.
Nous avons simplifié la liste en 12 exigences principales. Pour des informations plus détaillées, consultez les normes CEI.

Un certain nombre d’exigences du niveau de sécurité 3 sont mises en œuvre dans les composants de contrôle industriel : par exemple, les protocoles sécurisés obligatoires et l’utilisation d’éléments sécurisés pour protéger les clés.
Pour le niveau de sécurité 2, les fonctionnalités requises peuvent être mises en œuvre par le biais d’un nouveau logiciel.
Pour le niveau 3, il faudra probablement remplacer/repenser des équipements.

Certaines spécifications nécessitent l’ajout de produits au réseau.
Par exemple, le serveur d’événements ajouté pour le niveau de sécurité 2 devra être mis à jour vers un serveur SIEM pour répondre aux exigences du niveau 3.
En outre, il faudra ajouter une source de temps GPS et un équipement de protection contre les menaces sans fil.

Certification produit et système

La norme CEI 62443 définit les exigences relatives aux niveaux de sécurité des produits et des systèmes. Ces exigences apportent de la valeur aux utilisateurs finaux et aux fournisseurs d’équipements.

> Utilisateurs finaux :
– les utilisateurs finaux évaluent généralement les produits des fournisseurs en fonction de critères tels que les fonctionnalités incluses, le prix et les conditions de livraison.
La spécification de fonctionnalités peut être un processus complexe. La norme CEI 62443 simplifie le processus de définition des exigences de cybersécurité en permettant aux utilisateurs finaux de spécifier un niveau de sécurité cible par rapport à la définition d’une longue liste de fonctionnalités particulières. Les utilisateurs finaux connaissent les fonctionnalités exactes disponibles dans un équipement en fonction de sa conformité aux normes CEI 62443.

> Fournisseurs d’équipements :
– les fournisseurs d’équipements peuvent s’appuyer sur la norme CEI 62443 pour différencier leurs solutions de celles de leurs concurrents.
Traditionnellement, il était difficile de montrer clairement qu’une solution était plus sécurisée qu’une solution concurrente, car chacune pouvait offrir des fonctionnalités de cybersécurité différentes.

Les fournisseurs qui conçoivent et certifient des solutions pour les niveaux de sécurité définis dans la norme CEI 62443 peuvent clairement différencier les fonctionnalités de cybersécurité en mettant en avant le fait que tel produit est conforme aux normes de niveau 2, tandis que tel autre produit, concurrent est uniquement conforme au niveau 1.

Les fournisseurs peuvent faire certifier les équipements (conformément à la norme CEI 62443-4-2) mais aussi les systèmes (conformément à la norme CEI 62443-3-3). Dans les deux cas, la conformité aux normes doit être validée par un tiers indépendant.
Les utilisateurs finaux doivent adopter les certifications de cybersécurité pour répondre à leurs besoins d’achat d’équipements.

Conclusion

La spécification CEI 62443 fournit des conseils essentiels aux utilisateurs finaux qui cherchent à sécuriser des solutions industrielles.
Le cadre défini par le niveau d’assurance sécurité permet de regrouper les exigences de cybersécurité pour faciliter la mise en œuvre.
L’augmentation de la sécurité du système peut nécessiter la mise à niveau d’équipements de contrôle industriel anciens et l’achat de nouveaux appareils de cybersécurité.
Les dépenses nécessaires et la complexité de la mise en œuvre pourront augmenter en fonction du niveau de sécurité visé.

Un plan de sécurité détaillé est essentiel avant de commencer tout travail de sécurisation pour une solution industrielle. Les produits et architectures sécurisés ne sont qu’une partie de la solution : la formation du personnel, associée à des politiques de sécurité d’entreprise adaptées, est essentielle pour sécuriser les systèmes de contrôle industriel.