Afin de sécuriser les environnements des infrastructures critiques, il est essentiel d’adopter une vision globale et d’examiner chaque partie du réseau, à la fois informatique et opérationnelle, analyser les systèmes et les processus de chaque zone, analyser les vecteurs d’attaque et les risques, et implémenter les contrôles de sécurité recommandés.
Pour ce faire, nous utilisons le modèle Purdue, qui a été adopté à partir du modèle PERA (modèle d’architecture d’entreprise Purdue) par ISA-99 et utilisé comme modèle conceptuel pour la fabrication intégrée par ordinateur (FIO). [3] Il s’agit d’un modèle de référence adopté par le secteur, qui montre les interconnexions et les interdépendances de tous les composants principaux d’un système de contrôle industriel (ICS) typique, divisant son architecture en 3 zones et subdivisant ces zones en 6 niveaux.
L’application de la sécurité à un système ICS devrait disséquer les 6 différentes couches Purdue et leur association avec les différentes zones du réseau. Le principe est d’expliquer les flux de communication entre les différents niveaux du modèle Purdue et comment les sécuriser.
Le dessin suivant est une représentation de haut niveau d’un environnement informatique/d’exploitation typique. Toutefois, le lien entre les niveaux 2 et 3 peut varier en fonction du type d’entreprise :
– Usine de fabrication (typiquement un site, combinant technologies de l’information et d’exploitation)
– Services publics tels que le gaz, l’eau et l’électricité (environnements généralement distribués avec de nombreux sites distants communiquant avec une installation centrale). Les contraintes de bande passante peuvent affecter l’architecture proposée ici.
Niveaux 5 et 4 : Le réseau informatique d’entreprise et les systèmes de logistique d’entreprise
Contrôles de sécurité recommandés :
S’agissant du réseau informatique où résident les utilisateurs et le point d’accès à Internet, il est recommandé d’activer l’ensemble des fonctionnalités d’extraction des menaces de nouvelle génération au niveau du réseau :
- Pare-feu
- Prévention des intrusions
- Antivirus
- Antibots
- SandBlast (bac à sable)
- Contrôle des applications
- Filtrage des URL
- Inspection SSL
Il est également recommandé d’installer la suite de protection complète sur les postes des utilisateurs.
Dernier point mais non des moindres, il est également très important de sécuriser les services dans le Cloud public, car ceux-ci sont généralement connectés aux ressources de l’entreprise et constituent donc également un vecteur d’attaque potentiel.
L’activation de la sécurité des réseaux et des postes permet de bloquer et d’éliminer les attaques avant toute intrusion dans les équipements ICS. SmartCenter est utilisé pour l’administration de toutes les passerelles de sécurité mentionnées dans ce schéma.
Niveau 3.5 : la DMZ industrielle
Contrôles de sécurité recommandés :
Pour assurer une disponibilité maximale de la passerelle d’accès à distance permettant à des tiers de superviser les équipements d’exploitation à distance, il est essentiel de protéger la passerelle avec une solution anti-DDoS (de préférence sur site et dans le Cloud). Ce schéma comporte un serveur intermédiaire dans la DMZ industrielle. Les sessions VPN d’accès à distance sont terminées sur la passerelle de périmètre au niveau 5. La passerelle termine le trafic VPN, y recherche des logiciels malveillants et autorise uniquement le trafic RDP vers le serveur intermédiaire. Le serveur intermédiaire est ensuite utilisé pour se connecter aux postes de travail opérateur du niveau 2 pour des travaux de maintenance à distance. Cette approche est beaucoup plus sûre que d’autoriser les connexions VPN entrantes à partir d’Internet directement dans le niveau 2, et réduit considérablement le risque d’infection du réseau d’exploitation due à des connexions RAS non sécurisées provenant de tiers. Le serveur intermédiaire lui-même est protégé par la passerelle, qui n’autorise que le protocole RDP entrant, et dispose des contrôles de sécurité nécessaires, tels que la prévention des intrusions, l’antibots et le contrôle des applications.
Niveau 3 : Systèmes de fabrication
Contrôles de sécurité recommandés :
- Détection des actifs et des anomalies, et vue d’ensemble
- Antibots
- Prévention des intrusions (généralement utilisée comme correctif virtuel pour protéger les postes de supervision des opérateurs)
- Technologies de bac à sable pour stopper les attaques zero-day : SandBlast
- Une politique de sécurité avec contrôle des applications qui permet uniquement d’envoyer les commandes spécifiques autorisées du poste de travail de l’opérateur jusqu’aux automates.
- La prise en charge des identités ajoute une couche de sécurité supplémentaire à la politique de sécurité en permettant uniquement aux utilisateurs authentifiés (c’est-à-dire les opérateurs) d’envoyer des commandes spécifiques à des appareils dans le niveau 2.
- Le chiffrement du trafic de contrôle entre les opérateurs du niveau 3 et les automates du niveau 2 repose sur IPsec pour empêcher les attaques d’espionnage et de retransmission du trafic.
- Protection des postes avec protection des ports
Niveaux 2 et 1 : Sécurisation des communications entre les niveaux
Contrôles de sécurité recommandés :
- Utilisez des passerelles dotées de technologies de prévention des intrusions pour protéger les systèmes vulnérables, sous forme de correctif virtuel plutôt que de corriger réellement les systèmes, ce qui entraînerait des temps d’arrêt.
- La communication entre les niveaux 2 et 3 peut être chiffrée à l’aide d’IPsec pour empêcher les attaques d’espionnage et de retransmission.
- Une passerelle de sécurité peut être connectée à un port miroir (SPAN) sur un commutateur de ce niveau, fonctionnant comme capteur et fournissant à l’AAD des informations sur les actifs découverts ainsi que les anomalies.
- Les clients souhaitant s’équiper de passerelles de sécurité en ligne pour le niveau 1 peuvent ainsi séparer les postes de travail des opérateurs locaux et les interfaces homme-machine des automates et des unités de télégestion, afin qu’aucune commande non autorisée ne puisse leur être envoyée. Lors de l’utilisation d’une passerelle connectée à un port miroir, cela peut également être détecté, mais pas empêché.
- La sécurité des postes peut être implémentée sur les ordinateurs équipés de systèmes d’exploitation pris en charge.
- Sécurité appropriée de niveau 2 sur les commutateurs
- Envisagez l’utilisation d’un réseau dédié au trafic d’administration, aux mises à jour de signatures et aux mises à jour du micrologiciel des équipements de ce niveau. Seuls les protocoles SCADA doivent transiter au niveau 1.
- N’autorisez pas les techniciens à distance à se connecter directement au réseau de niveau 1. Utilisez plutôt un serveur intermédiaire dans la DMZ de niveau 3.5 : lorsque des ressources non gérées se connectent à ce réseau, l’état de leur sécurité est inconnu et ne peut donc pas être approuvé.
Niveau 0 : Processus physiques
Contrôles de sécurité recommandés :
Il est recommandé d’utiliser des connexions de point à point entre les appareils intelligents du niveau 1 et les appareils de terrain du niveau 0.
Si la communication entre le niveau 1 et le niveau 0 se fait sur IP, préférez les connexions de point à point. Si les liaisons de point à point ne sont pas possibles et que les commutateurs Ethernet sont utilisés au niveau 0, assurez-vous que la sécurité de niveau 2 appropriée est appliquée : verrouillage de tous les ports inutilisés du commutateur, authentification MAC sur les ports utilisés du commutateur, et envisagez d’utiliser des passerelles de sécurité supplémentaires entre le niveau 1 et le niveau 0. L’utilisation d’une politique de sécurité approuvée avec la blade de contrôle des applications permet d’avertir un administrateur lorsqu’une commande inconnue est envoyée à un appareil sur le terrain.
Les composants Check Point proposés dans cette structure :
- Passerelles Check Point (avec technologies de prévention des menaces)
- Moteur de détection des actifs et des anomalies
- Administration Check Point
Voici 5 éléments clés de protection des infrastructures critiques :
- Veillez à ce que la segmentation soit en place. Il ne s’agit pas ici de configurer plusieurs VLAN et/ou différents sous-réseaux, mais simplement d’activer le routage entre eux. Il s’agit de disposer des contrôles de sécurité appropriés entre les segments.
Pour récapituler : Technologies de bac à sable et suite NGTX complète au périmètre (niveau 5), avec inspection SSL/TLS. Pare-feu, prévention des intrusions, prise en charge des identités et contrôle des applications sur les segments internes (niveau 4 et inférieur) sont les fonctions de sécurité de base. Le bac à sable est essentiel pour se protéger contre les attaques zero-day, un vecteur d’attaque courant utilisé par les pirates pour cibler les infrastructures critiques. - La prévention des menaces est cruciale. La détection ne vous informe que lorsque le mal est déjà fait.
- La blade de prévention des intrusions intègre plusieurs signatures spécifiquement destinées à la protection des environnements ICS. Activez-la en mode prévention chaque fois que possible et surveillez spécifiquement les alertes sur ces signatures.
- La blade de contrôle des applications prend en charge plusieurs protocoles SCADA jusqu’au niveau des commandes et même au niveau des paramètres. Cela permet de créer une politique de sécurité n’autorisant que l’envoi de commandes spécifiques à des automates et interdisant tout le reste.
- La visibilité est la clé de la sécurité. Veillez à disposer de suffisamment de personnel pour superviser l’environnement. Des outils tels que SmartEvent, AAD et un SIEM dédié peuvent apporter de nombreuses informations qui pourraient sinon passer inaperçues.