NIST SP 800-82 : un référentiel à essayer et adopter
L’institut nord-américain « NIST » produit des référentiels (préfixés « SP » pour ‘Special Publication’) concernant toutes les technologies, dont une série concernant la sécurité des technologies de l’information.
Dans cette série, préfixée par 800, deux référentiels concernent la sécurité dans son ensemble : 800-53 (SI de gestion) et 800-82 (SI industriels – qui fait l’objet de cet article). Les autres documents traitent de points particuliers, par exemple 800-41 concerne les pare-feux, et 800-94 la détection d’intrusion. Tous les documents sont gratuits, mais uniquement en anglais. Le positionnement global de NIST 800-82 a déjà été évoqué dans un précédent article sur ce blog, je n’y reviens donc pas. Je vais à présent expliciter le contenu et mon avis sur l’intérêt du document.
Pertinence et qualité du document NIST SP 800-82
Le premier intérêt est qu’il est « tout frais », puisque la version publique date de juin 2011. Tous les documents de la série 800 sont disponibles gratuitement ici : http://csrc.nist.gov/publications/PubsSPs.html.
Ensuite, pour ceux que j’ai consultés et utilisés (notamment les quatre cités dans le 2e paragraphe), ils sont d’une qualité informationnelle et rédactionnelle excellentes : en clair la forme et le fond sont impeccables. C’est d’ailleurs, pour le professionnel de la sécurité, une excellente source d’information pour se maintenir à jour !
Le rapport M3958 de l’Exera parle en ces termes de NIST 800-53 et 800-82 :
Le NIST (National Institute of Standards and Technology) est un organisme non réglementaire de l’US Department of Commerce, qui participe à l’élaboration de normes et d’essais effectués par le secteur privé et les organismes du gouvernement américain pour promouvoir l’innovation et la compétitivité industrielle. Le NIST a élaboré deux normes pour l’industrie de l’électricité : SP 800-53 et SP 800-82.NIST SP 800-53 contient la gestion, l’opérationnel et les techniques de sauvegardes et des contre-mesures prescrites pour un système d’information pour protéger la confidentialité, l’intégrité et la disponibilité du système et de ses informations. Ecrit à l’origine pour les systèmes technologiques d’information, il a été prolongé dans la révision 2 à l’adresse du contrôle industriel de systèmes tels que ceux utilisés dans les compagnies d’électricité. Le NIST a commandé une cartographie de la SP 800-53 à la NERC CIP. NIST prévoit de développer une cartographie similaire entre ISA 99 Partie 2 et NIST SP 800-53. (NDLR : pas encore vu…)
NIST 800-82 a été développée pour fournir des recommandations et des orientations pour assurer la sécurité des systèmes de contrôle industriels « ICS » (Industrial Control Systems).
Elle donne un aperçu des activités actuellement en cours aux États-Unis entre les organisations gouvernementales, les organismes de normalisation, les groupes industriels, les fournisseurs de systèmes d’automatisation et met à disposition les « meilleures pratiques » dans le domaine de la sécurité ICS.
Voici les autres raisons pour lesquelles la « publication spéciale » SP 800-82 est particulièrement pertinente :
- Elle n’ignore rien des spécificités du contrôle commande, en particulier la présence de machines sous Windows difficiles à « patcher », les protocoles OPC, modbus et consorts, et la nécessité de veille quant aux failles des systèmes SCADA.
- Elle couvre l’essentiel du champ des besoins réels d’un SMSI industriel : introduction aux spécificités du contrôle commande avec schémas à l’appui, établissement d’un SMSI en pratique, menaces, risques, exemples d’événements, à l’exception des aspects de continuation et reprise d’activité (PCA/PRA). Cette exception est justifiée car ces aspects sont en principe déjà pris en charge dans le cadre de la sûreté de fonctionnement de l’installation (indépendamment de la cyber-sécurité).
- Elle s’appuie sur les autres SP de la série 800, en y faisant référence quand nécessaire, tout en indiquant les aspects spécifiques au contrôle commande : elle est donc pratique à utiliser, du fait d’une possibilité de lecture rapide, et d’approfondissement (si besoin), en allant chercher les autres SP.
- Enfin la structure du document et l’expression écrite sont d’une grande clarté, ce qui pourrait aller de soit pour un document de référence… si je n’avais pu constater que c’est loin d’être le cas général (voir ISA 99, ou les documents FIPS et DOE !)
Le seul bémol est justement lié au caractère très récent de sa publication : il n’y a pas encore de comparaison de sa liste de « mesures » avec d’autres normes. Cependant je suis confiant sur son caractère relativement « complet ». Par ailleurs, la norme n’est pas encore intégrée dans le logiciel CSET « Cyber Security Evaluation Tool » du DHS qui vient justement d’être mis à jour an Août 2011 en version 4 – je reviendrai dans un prochain article sur cet outil que j’ai eu l’occasion d’évaluer dans la version 3 (avec quelques bugs), je suis curieux de voir ce que donne la version 4.
La structure du document et quelques exemples
Comme déjà dit ci-dessus, 800-82 vise à « faire le tour du sujet » de la cybersécurité industrielle, et y parvient en environ 150 pages – sachant que le lecteur est souvent renvoyé à d’autres documents de la série 800 pour plus de précisions.
Le document peut être lu par une personne ne connaissant pas bien le domaine du contrôle-commande, puisque le chapitre 2 est consacré à une introduction au sujet, sur une douzaine de pages : présentation générale et détaillés du domaine ICS, des DCS et PLCs (en français : contrôle commande, systèmes distribués, APIs). Notions de serveurs I/O, historique, topologies réseaux en étoile, en boucle (ring)…
Le chapitre 3 fait, sur une vingtaine de pages, la « classique » comparaison entre les systèmes de gestion et industriels. C’est toujours une bonne manière d’entrer dans le sujet, avec un bonus pour ce document qui réussit à synthétiser les points clés sur un tableau d’une page et demie.
La partie 3.2 est particulièrement utile quand on travaille sur des scénarios d’incidents, car il propose une approche « incarnée » des menaces (ex : Terrorists, Industrial Spies etc…), ce qui permet de les visualiser. J’utilise cette table pour animer les sessions de travail sur les risques.
On trouve ensuite de (trop) nombreuses pages concernant l’ensemble des vulnérabilités (une centaine, Cf chapitre 3.3). C’est complet, mais on pourra préférer travailler avec une liste plus courte, correspondant aux vulnérabilités les plus courantes, telle celle régulièrement mise à jour par le DHS (une trentaine dans Common Cybersecurity Vulnerabilities in Industrial Control Systems, la dernière version datant de Mai 2011)
La suite du chapitre 3 parle des scénarios de risques (utile à lire pour se préparer à une session de travail), et surtout propose quelques exemples d’incidents récents, dont stuxnet.
Le chapitre 4 traite de « comment développer un système de management de la sécurité » (SMSI) et fait référence au chapitre équivalent de l’ISA 99 pour sa mise en œuvre détaillée. Cependant le document est tout de même assez complet sur le sujet, et pour commencer, s’occupe de la manière de démontrer intérêt d’un SMSI. On trouve en particulier une liste pertinente des bénéfices (traduite en français par mes soins) :
- amélioration de la fiabilité et disponibilité du système de contrôle-commande
- amélioration du moral des employés et de leur loyauté
- diminution des craintes de la population à proximité de l’installation
- augmentation de la confiance des investisseurs et des banquiers
- réduction du risque légal
- amélioration de l’image et de la réputation de l’entreprise
- aide à la négociation des polices d’assurance
Le reste du paragraphe passe en revue les étapes principales : analyse de risques, priorités, mise en place de mesures, formation et sensibilisation.
Le chapitre 5 (20 pages) présente les architectures réseaux et les principaux concepts (firewall – pare-feux, DMZ, dual-homed servers etc…). Un bon résumé, avec passage en revue de tous les protocoles (HTTP etc…) et recommandations pratiques, prenant en compte les impératifs du contrôle-commande.
Enfin, le chapitre 6 (30 pages) passe en revue la liste des mesures (« controls » en anglais) pouvant être mis en œuvre : on retrouve une vingtaine de sous-chapitres, correspondant classiquement aux chapitres d’ISO 27002 et autres référentiels.
Ici le grand intérêt du document apparaît, car pour chaque mesure on trouve une structure limpide :
- intitulé de la mesure (ex : « Patch management »)
- quelques aspects généraux : définition, principes
- référence aux autres documents de la série 800 pour plus d’information (ici 800-40 pour les patches)
- et enfin, recommandations spécifiques pour le contrôle commande, avec justifications (OS anciens et plus forcément supportés type Windows 2000 ou anciens XPs, comment valider les patches avant de les appliquer…)
Le document se termine par quelques annexes pouvant être vues comme des possibilités d’approfondissement (référence aux travaux NERC, FIPS, évolution en cours etc…), et sont réellement des Annexes, i.e. non essentielles.
Conclusion concernant SP 800-82
Il s’agit d’un document visiblement conçu en fonction de sa cible : professionnels du système d’information et de la sécurité ayant besoin d’un outil pour travailler dans un environnement de contrôle-commande, et responsables opérationnels concernés. Je peux confirmer de la pertinence du document pour des personnes ayant une culture générale en réseaux et architectures informatiques, et souhaitant disposer d’un guide efficace pour travailler sur des problématiques de cybersécurité industrielle.
Note : la version 2 est en cours de finalisation, après une période de relecture pour commentaire cet été. La version mise à disposition pour relecture est disponible ici : http://csrc.nist.gov/publications/drafts/800-82r2/sp800_82_r2_draft.pdf
Une note sera rajoutée à cet article après publication de la version finale.