Sécurité informatique et systèmes de contrôle industriel (SCI) Pratiques exemplaires recommandées

Numéro : TR12-002
Date : 10 Décembre 2012

Public cible

Ce rapport technique est destiné aux professionnels et gestionnaires des TI des gouvernements fédéral, provinciaux et territoriaux, des administrations municipales, des infrastructures critiques et des autres industries qui exploitent ou gèrent des systèmes de surveillance et d'acquisition de données (SCADA) ou des systèmes de commande de processus (SCI).

Objectif

Le présent rapport technique vise à renseigner les professionnels et gestionnaires des TI responsables des systèmes SCADA et SCI sur les pratiques exemplaires de l'industrie, sur les plans technique et administratif, afin d'aider les responsables et les exploitants des installations industrielles utilisant des systèmes de commande réseautés

Définitions

Le terme générique « système de contrôle industriel » (Industrial control system, ou SCI) englobe plusieurs types de systèmes de contrôle permettant d'automatiser les processus industriels, y compris les systèmes de surveillance et d'acquisition de données (SCADA), les systèmes de commande répartis (SCR), et d'autres configurations de système de commande de moindre envergure comme les contrôleurs logiques programmables (CLP).  Ces systèmes sont utilisés dans de nombreuses applications par un grand nombre d'industries, notamment des secteurs de l'énergie et des services publics, du transport, de la santé, de la fabrication, de l'alimentation et du traitement de l'eau.

Pratiques exemplaires recommandées en sécurité informatique des SCI

Élaborer une politique robuste sur la sécurité informatique commence par bien comprendre les risques auxquels l'organisation est confrontée ainsi que les risques auxquels elle peut exposer ses clients et d'autres parties intéressées.  Vu les applications possibles des SCI, ces risques peuvent dépasser les domaines financier et commercial pour englober les blessures et les pertes de vie. Les organisations doivent donc impérativement évaluer leur vulnérabilité aux menaces informatiques, en évaluer les risques afférents et mettre en place les mesures défensives appropriées.  Voici quelques-une des mesures d'atténuation que vous pouvez envisager. Vous devrez toutefois les évaluer attentivement et les mettre à l'essai dans l'environnement réseau pertinent avant de les mettre en œuvre. Cette liste peut aussi servir de liste de vérification des sujets pertinents à la sécurité informatique des SCI.

1. Segmentation de réseau

Elle consiste à séparer le système en zones de sécurité distinctes et à mettre en œuvre des couches de protection afin d'isoler les parties vitales du système à l'aide d'un dispositif d'application des politiques.

Voici une liste générale des pratiques exemplaires en matière de segmentation du réseau :

Configuration et gestion des pare-feu

2. Accès à distance

De nos jours, diverses technologies offrent un accès à distance « sécurisé » aux systèmes informatiques, comme les pare-feu, les réseaux privés virtuels (RPV), la connexion par rappel (pour l'accès par ligne commutée), l'authentification multifactorielle, le contrôle d'accès des utilisateurs et la détection des intrusions.

Voici une liste générale des pratiques exemplaires en matière d'accès à distance :

On utilise souvent les SCI dans des emplacements éloignés où la connectivité est limitée; c'est pourquoi on communique souvent avec les SCI par ligne commutée. Ces lignes dovent être sécurisées. Voici une liste générale des pratiques exemplaires en matière d'accès aux SCI par lignes commutées :

3. Communications sans fil

Non seulement l'accès sans fil au réseau d'un SCI entraîne-t-il des risques semblables à ceux que présente l'accès à distance, mais il en comporte d'autres, comme la possibilité qu'une personne non autorisée se trouvant à l'extérieur du périmètre de sécurité de l'usine accède au réseau sans fil.  Les bornes sans fil sont en outre extrêmement vulnérables aux attaques entraînant un déni de service.  S'il est possible de déceler ce genre d'attaque, on ne peut toutefois l'empêcher lorsqu'elle relève du niveau physique (RF).

Voici une liste générale des pratiques exemplaires en matière de sécurité des communications sans fil :

4. Gestion des correctifs

La gestion des correctifs constitue un aspect important de toute stratégie globale visant à assurer la sécurité d'un système de contrôle.  La seule mesure d'atténuation efficace en cas de découverte d'une vulnérabilité consiste souvent à installer un correctif logiciel ou une mise à jour du fournisseur.  La gestion des correctifs présente toutefois une difficulté : on ne peut déployer automatiquement les nouveaux correctifs dans l'environnement d'un SCI sans risquer d'interrompre les opérations.  Il est nécessaire de planifier soigneusement les périodes de maintenance et les essais, et d'établir les politiques et pratiques connexes afin de trouver le bon équilibre entre la fiabilité et la sécurité des systèmes.

Voici une liste générale des pratiques exemplaires en matière de gestion des correctifs :

5. Contrôle d'accès et politiques connexes

Le contrôle d'accès est un sujet très vaste qui couvre tous les aspects de l'accès à un réseau, à un appareil ou à un service, tant sur le plan physique que sur le plan électronique. 

Voici une liste générale des pratiques exemplaires en matière de contrôle d'accès :

6. Sécurisation des systèmes

La sécurisation d'un système (le renforcement de ses composants) consiste à en verrouiller les fonctionnalités pour bloquer les accès et les changements non autorisés, à retirer les fonctions ou les caractéristiques superflues et à corriger toute vulnérabilité connue.

Voici une liste générale des pratiques exemplaires en matière de sécurisation des systèmes :

7. Détection des intrusions

La mise en place d'une méthode de surveillance et de repérage des activités malveillantes qui menacent le réseau s'impose pour tous les systèmes. Si aucune surveillance ne s'exerce, les incidents de sécurité mineurs ne seront pas détectés tant qu'ils ne deviendront pas des problèmes graves.

Voici une liste générale des pratiques exemplaires en matière de détection des intrusions :

8. Sécurité des lieux et de l'environnement

Il faut restreindre l'accès physique aux biens essentiels des SCI aux seules personnes qui en ont besoin pour effectuer leur travail, et n'utiliser que l'équipement approuvé ou autorisé.  Au-delà du contrôle d'accès physique, il faut renforcer et protéger les équipements essentiels, comme les SCI, contre les risques environnementaux. 

Voici une liste générale des pratiques exemplaires en matière de protection physique et environnementale des SCI :

9. Détection des maliciels et protection contre ceux-ci

Les avantages de l'utilisation d'un logiciel antivirus sur les SCI hôtes dépassent largement les risques d'effets négatifs.

Voici une liste générale des pratiques exemplaires en matière de protection contre les maliciels et de détection de ceux-ci.

10. Sensibilisation

Il est essentiel de former et de sensibiliser le personnel quant à la sécurité des SCI pour réduire les risques liés à la cybersécurité.  Tout programme de sécurité des SCI doit obligatoirement être assorti d'un programme de formation et de sensibilisation pour que les employés comprennent leur rôle et les attentes à leur égard.  Un personnel informé et vigilant constitue l'un des moyens de défense les plus importants dans la sécurisation d'un système.

Voici une liste générale des pratiques exemplaires en matière de sensibilisation et de formation en sécurité :

11. Évaluations et vérifications périodiques

De nombreux facteurs influent sur la sécurité d'un système durant tout son cycle de vie.  Il importe donc d'en mettre à l'essai et d'en vérifier périodiquement la configuration afin de s'assurer que celle-ci offre toujours une sécurité maximale.

Voici une liste générale des pratiques exemplaires en matière d'évaluations et de vérifications :

12. Contrôle des changements et gestion des configurations

Les politiques et procédures relatives à la gestion des changements permettent de contrôler les modifications apportées au matériel, aux micrologiciels, aux logiciels et à la documentation afin de s'assurer que le SCI se trouve à l'abri des modifications inappropriées avant, pendant et après la mise en service. Voici une liste générale des pratiques exemplaires en matière de gestion des configurations du SCI :

13. Planification et intervention en cas d'incident

Un plan d'intervention complet en cas de cyberincident doit contenir à la fois des mesures proactives et des mesures défensives.  Les mesures proactives aident à prévenir les incidents ou permettre à l'organisation de mieux réagir à un incident, alors que les mesures réactives aident à détecter et gérer un incident s'il survient. 

Voici une liste générale des pratiques exemplaires en matière d'intervention en cas d'incident :

Établissez des mesures visant les procédures de confinement, d'éradication, de reprise, de collecte et de protection des données, ainsi que le suivi et l'examen de l'incident.

Recommandations

Le CCRIC recommande aux organismes de passer en revue les pratiques exemplaires en sécurité informatique, comme celles décrites ci-dessus et celles décrites dans les documents de référence recommandés, et d'intégrer les principes et mesures de sécurité informatique connexes à leurs processus et technologies de cycle de vie des SCI, ainsi qu'aux contrats de services de ces systèmes. Ces processus doivent comprendre des examens périodiques et un processus de gestion des changements d'envergure et de leurs répercussions sur l'exposition aux risques de l'environnement réseauté.

Rapports

Nous encourageons les exploitants des infrastructures essentielles, les gouvernements provinciaux et territoriaux ainsi que les administrations municipales potentiellement touchés par des incidents informatiques à entrer en contact avec le CCRIC.

Références

  1. NIST Guide to Industrial Control Systems (ICS) Security
    http://csrc.nist.gov/publications/nistpubs/800-82/SP800-82-final.pdf
  2. ICS-CERT, ICS-TIP-12-146-01A — Targeted Cyber Intrusion Detection and Mitigation Strategies
    http://www.us-cert.gov/control_systems/pdf/ICS-TIP-12-146-01A.pdf
  3. CCRIC, TR08-004 Désactiver la fonction Autorun de Windows
    http://www.securitepublique.gc.ca/cnt/rsrcs/cybr-ctr/2008/tr08-004-fra.aspx
  4. CCIRC, TR11-002 Principes de prévention contre les menaces sophistiquées et persistantes
    http://www.publicsafety.gc.ca/cnt/rsrcs/cybr-ctr/2011/tr11-002-fra.aspx
  5. ICS-CERT, Incident Response Summary Report 2009 – 2011
    http://www.us-cert.gov/control_systems/pdf/ICS-CERT_Incident_Response_Summary_Report_09_11.pdf
  6. US-CERT, Control Systems Security Program (CSSP)
    http://www.us-cert.gov/control_systems/
  7. US-CERT, Recommended Practice: Improving Industrial Control Systems Cybersecurity with Defense-In-Depth Strategies
    http://www.us-cert.gov/control_systems/practices/documents/Defense_in_Depth_Oct09.pdf
  8. CPNI, CPNI Viewpoint: Securing the move to IP-based SCADA/PLC networks
    http://www.cpni.gov.uk/Documents/Publications/2011/2011034-scada-securing_the_move_to_ipbased_scada_plc_networks_gpg.pdf
  9. International Society of Automation (ISA), ISA99, Industrial Automation and Control Systems Security
    http://www.isa.org/MSTemplate.cfm?MicrositeID=988&CommitteeID=6821
  10. Centre de la sécurité des télécommunications Canada (CSTC), Méthodologie harmonisée d'évaluation des menaces et des risques
    https://www.cse-cst.gc.ca/fr/publication/methodologie-harmonisee-demr

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :