Pas de nouvelle, bonne nouvelle ?

C’est presque le calme plat depuis 2 mois et les révélations du symposium S4… du moins en apparence. En réalité, toutes les personnes avec des compétences à la fois en sécurité et en systèmes industriels sont très occupées à gérer la situation qu’elles ont engendrée : la prise de conscience, et donc l’inquiétude, sur le niveau de sécurité des installations industrielles.

Comme les autres « auteurs de blog », j’ai donc eu très peu de temps pour sortir le nez du guidon. Mais il y a déjà quelques retours d’expérience intéressants, avec des responsables de SI industriels qui ont essuyé les plâtres. Il est temps de partager constats et quelques conseils pour ceux qui n’ont pas encore été pris dans la tourmente !

Nouvelles publications

Avant de décrire ce qui est arrivé sur un certain nombre de sites, rappelons que si ça ne fait toujours pas les grands titres, les annonces continuent : assez logiquement, après les failles sur les SCADAs, puis sur les automates, on voit arriver les « exploits ». Ainsi le CERT ICS a fait des mises à jour des principales alertes émises après le symposium S4, pour annoncer la mise à disposition « d’exploits » permettant d’attaquer les différents automates. Les « exploits » sont généralement déjà intégrés à metasploit – je m’en veux mais n’ai pas encore trouvé le temps de les tester. Citons par exemple des modules pour faire start/stop d’un automate Schneider ou pour récupérer ou changer le code exécuté (sans authentification bien sûr), et mettre en panne des automates General Electric. Il y en a aussi pour les autres constructeurs évidemment. A ce propos Schneider, fortement secoué par les annonces en décembre et janvier, prend à présent le sujet au sérieux et a entamé plusieurs démarches sérieuses et des partenariats pour apporter des réponses à leurs clients, à suivre…

Bref, en plus des annonces de disponibilité d’exploits, il y a également de nouvelles alertes :

Il y a donc régulièrement des publications sur les failles, mais le CERT alerte sur le fait que cela ne se traduit guère en mise à jour dans les installations industrielles, malgré les « patchs » qui commencent à être mise à disposition de manière plus régulière par les éditeurs.

Retour d’expérience

Ceci dit, la réalité sur le terrain n’est pas tellement celle des patchs et des failles. En effet, pour les responsables de SI industriels, surtout ceux en charge d’installations sensibles, l’actualité est surtout celle des « audits » et autres « analyses de risques ». En effet, depuis que le sujet de la cybersécurité industrielle est devenu suffisamment visible pour attirer l’attention des patrons et des organisations gouvernementales, la difficulté principale est de répondre aux sollicitations et exigences de ces différents acteurs.

Deux cas de figure… tous deux difficiles à gérer…

Les installations pouvant être contrôlées par l’état (PIV ou autre…), sont susceptibles d’avoir la visite d’auditeurs (ANSSI en France, voir lien sur la droite). Plutôt que des audits, il s’agit en réalité de tests d’intrusion: les « pen-testeurs » après avoir obtenu un accès au réseau industriel, vont « visiter » votre installation, et découvrir qu’il y a des systèmes non à jour en terme de patchs de sécurité, que vous n’avez pas de pare-feu dignes de ce nom, ni de détection d’intrusion sur votre réseau industriel, sans parler de l’absence de consolidation centralisée des logs qui permettraient de trouver la trace des actions d’éventuels hackers.

En matière de « rapport d’audit », on a donc des recommandations sur des points divers et variés, avec obligation de corriger dans un délai court (quelques mois), ce qui sera souvent mission quasi impossible. Et encore, les auditeurs s’intéressent avant tout aux aspects bien connus : réseaux et systèmes Windows, et ne vont pas encore systématiquement auditer les versions de SCADAs et d’automates…

Mais si vous êtes en charge d’un SI industriel, il y a (peut-être) pire : l’audit peut être à l’initiative de votre patron, désireux de connaître le degré de vulnérabilité de son installation. Il va donc faire appel à des spécialistes… de la sécurité du système d’information bien sûr. Lesquels, souvent, vont découvrir pour la première fois le monde industriel grâce à la mission que votre société leur aura payée. Ils vont dérouler leurs outils habituels : audits compatibles 27005 (EBIOS, Mehari ou autres), et vont à la fois :

  • découvrir les vulnérabilités déjà bien connues des systèmes industriels, et s’étonner que vos systèmes ne soient pas 100% à jour en terme de définition d’anti-virus et de mises à jour logicielles,
  • ignorer complètement les systèmes qu’ils ne connaissent pas, à savoir tout le SI industriel en général – ce qui est peut-être mieux pour vous.

Le rapport, comme ceux de l’ANSSI, vont conclure que votre installation est absolument non sécurisée, et qu’il faut immédiatement lancer un chantier d’envergure pour segmenter les réseaux, remplacer tous les Windows XP (voire 2000, voire…) par des Windows 7, supprimer toutes les applications utilisant des bases de données obsolètes, et autres joyeusetés.

Que faire ?

Tout d’abord précisons qu’évidemment l’ANSSI et les sociétés de conseil en SSI n’ont pas tord : leur constat d’un niveau déplorable de sécurité des SI industriels est tout à fait correct, et il est inacceptable de ne rien faire. Et s’il faut en passer par des tests d’intrusion sur le réseau industriel afin de démontrer que le SI est une passoire, et forcer la prise de conscience, et bien c’est mieux que rien !

Le problème est évidemment que leurs recommandations se focalisent sur une partie du problème, ne sont pas toujours pertinentes du fait de l’ignorance de certaines réalités terrain, et vont mobiliser les faibles ressources disponibles alors qu’il faudrait sans doute faire autre chose…

Ce qu’il faudrait faire, c’est un vrai bilan de situation, avec des personnes ayant l’expérience des SI industriels et de la sécurité informatique. Lorsque votre patron ou l’ANSSI viendra vous voir, et cela va arriver, il est largement souhaitable que vous ayez pris les devants, et que vous soyez capables de démontrer que le sujet est adressé. Vous éviterez ainsi les actions « coup de point » visant à vous sensibiliser car vous le serez déjà. Et peut-être serez-vous même déjà en mesure de proposer un planning grosse maille et surtout… un budget : puisque votre patron s’intéresse au sujet, autant battre le fer tant qu’il est chaud !

Conclusion

Si vous êtes en charge d’un SI industriel et que vous attendez qu’on vienne vous auditer : ne vous plaignez pas de l’approche utilisée, vous n’aviez qu’à prendre les devants !

Il faut pour cela travailler avec des personnes expérimentées en sécurité des SI industriels : il y en a! Le problème évidemment c’est qu’elles ne cherchent pas de travail et donc qu’elles ne vous démarcheront pas, suffisamment occupées avec leurs clients habituels. Inversement, les cabinets de conseils qui n’étaient pas encore sur le créneau mais qui ont décelé ce besoin, ont développé un discours et des slides powerpoint. A ce jour je les classes en deux catégories :

  • celles qui n’ont pas encore d’offre concrètes et donc présentent des généralités (les infos sur ce blog sont meilleures ;-)
  • celles qui proposent des prestations précises, mais pour l’instant sont un peu à côté de la plaque. Récemment j’ai vu une proposition de tests de vulnérabilité sur les installations industrielles (ils ont dû acquérir une licence de nessus professional feeds qu’ils essaient de rentabiliser). Si les auteurs avaient pris le temps de lire l’excellent référentiel NIST 800-82 ils auraient vu que c’était à bannir complètement avec à l’appui deux exemples d’incidents industriels causés par ce type de test !

Donc à vous de travailler, rechercher vous-même votre société de conseil ou prestataire informatique, vérifier leur connaissance du domaine industriel, et leur demander un premier travail d’analyse de risques en quelques jours.

S’ils vous disent que c’est impossible, passez votre chemin : d’expérience, il est possible de faire un bon premier travail en quelques réunions et travail avec les équipes – évidemment il faut pour cela être déjà bien au courant des systèmes industriels et des failles existantes, et ne pas profiter d’une mission payée par le client pour découvrir le domaine…

Tags: , , , , , ,

1 commentaire sur “Pas de nouvelle, bonne nouvelle ?”

  1. Jules Schmidt dit :

    Bonne nouvelle, la situation à l’ANSSI devrait aller en s’améliorant, recrutement en cours, mais profil rare : ingénieur sécurité SI, à l’aise en politique SSI, capable d’analyser un logiciel malveillant, de gérer une crise majeure, maitrisant les réseaux industriels et les automates, et parlant anglais…

    http://www.ssi.gouv.fr/IMG/pdf/FdP_ANSSI_COSSI_DTO_FRI_SI-Industriel-2.pdf

    Merci Christophe pour l’info !

Ajouter un commentaire

Note: Vous êtes responsable de vos commentaires, veillez à rester courtois et factuel. En postant votre commentaire, vous accordez de fait un droit de diffusion à Secur'id.