FORMATION CYBERSECURITE INDUSTRIELLE – ANSII / IEC 62443

La formation est organisée en 3 modules :
• Module: mise à niveau à destination des automaticiens (½ à 1 journée) PPT+ calclul
de segmentation réseau
• Module: mise à niveau à destination des informaticiens (½ à 1 journée)
PPT+exercice sur papier avec les gate « and » « or » etc…
• Module: module principal (2 journées) EXERCICES avec GNS3+Proview le tout sur
un os LINUX+ en guise d’automate nous utiliserons ARDUINO (il ya un TP avec
utilisation modbus , en utilisant Arduino le procédé est le même)
La première demi-journée à pour objectif de donner aux automaticiens le vocabulaire et les
notions nécessaires en matière de cybersécurité tels qu’ils sont connus par les informaticiens
et, de même, de donner aux informaticiens les notions de bases sur l’automatisme et les
systèmes de contrôle des procédés industriels.
La suite de la formation doit être consacrée à la cybersécurité des systèmes industriels, les
stagiaires étant réunis en un seul groupe.
Modules de mise à niveau
Module pour le profil automaticien
L’objectif essentiel de ce module est de donner les concepts principaux de la sécurité des
systèmes d’information (SSI) à un public d’automaticiens. Pour cela, les éléments suivants
doivent être présentés dans un but précis spécifié sous chaque élément :
• Définitions des cybersécurité/SSI et principaux concepts :
o Connaître l’objet de la sécurité dans les systèmes d’information et ses piliers :
la disponibilité, l’intégrité, la confidentialité, l’authentification, la traçabilité,
l’auditabilité, la non répudiation, etc. (ppt)
• Enjeux de la cybersécurité
• Catégories d’attaques (DDOS, Advanced Persistent Threat (APT), Vers, MITM,
spoofing, ingénierie sociale, détournement de sessions, etc.) et modes opératoires ;(
ppt)
• Exemples d’attaques ; (oral)
• Grands principes de déploiement d’un projet cybersécurité (analyse de risque, DEP,
PSSI, etc.) :
o Connaître les grands principes à prendre en compte pendant les différentes
phases d’un projet : phase de spécification, phase de conception, phase
d’intégration, phase de test, et processus de transfert en exploitation. (ppt)
• Bonnes pratiques :
o Connaître les bonnes pratiques décrites par exemple dans le « Guide d’hygiène
informatique » [GUIDE_HYGIENE] publié par l’ANSSI : la formation devra
présenter ces bonnes pratiques en détaillant leurs objectifs et les moyens de les
réaliser.(ppt)
• Panorama des normes et standards :
o Citer les normes ISO/IEC 2700X et connaître leurs objets : système de
management de la sécurité de l’information (exigences, guide
d’implémentation), mesures de la gestion de la sécurité de l’information,
gestion du risque, exigences concernant l’audit, (oral)
o Connaître les certifications de produits au niveau international (critère
commun, CC) et national (certification de sécurité de premier niveau, CSPN)
et le site de l’ANSSI qui tient une liste de ces produits, (oral)
o Connaître les principaux référentiels français : prestataires d’audit de la
sécurité des systèmes d’information (PASSI), PSSIE, etc. (oral)
• Introduction à la cryptographie :
o Connaître les principes du chiffrement symétrique/asymétrique, les fonctions
de hachage, la signature, etc. et le rôle de ces mécanismes, (ppt + exercice
simple sur papier chiffrage césar)
o Savoir que si la cryptographie est une technique utilisée en cybersécurité, son
utilisation peut présenter des inconvénients. Par exemple, la gestion des clés,
essentielle en cryptographie, peut se révéler complexe pour les systèmes
industriels. De même, dans des systèmes en temps réel où le délai de réponse
peut être critique, l’ajout de messages d’authentification peut ralentir les
échanges au-delà du tolérable tout comme le temps de calcul associé à la
cryptographie peut être prohibitif. Pour cette raison, on rappellera la nécessité
d’étude particulière. (ppt)
Les travaux pratiques suivants pourront être utilisés pour appuyer le discours. Toutefois,
certains des outils mentionnés pouvant s’avérer intrusifs, il est recommandé d’effectuer un
court rappel du code pénal sur ces questions.
Exemples de travaux pratiques :
• Sur un poste SCADA, mettre en place quelques durcissements de base (pare-feu du
poste, désactivation des ports USB, mécanisme basique d’authentification, etc.) ;
(GNS3)
• Mettre en œuvre un pare-feu sur un réseau industriel pour filtrer les flux en amont
d’un automate par exemple ; (GNS3)
• Mettre en œuvre un tunnel VPN entre un poste SCADA et une passerelle du réseau
industriel ; (GNS3)
• Mettre en place un LAN simple comprenant quelques ordinateurs et des équipements
réseau et utiliser des outils de tests de communication : ping, arp, traceroute, etc.
analyser les trames avec un outil tel que Wireshark ; (mettre les PC en réseau et
réaliser l’exercice)
• Mettre en œuvre les outils nmap et nc (netcat). (mettre les PC en réseau et réaliser
l’exercice)
Il n’est pas nécessaire de traiter chacun de ces travaux pratiques mais un panel adéquat
permettant d’appréhender la réalité. (il y a tout ce qu’il faut pour le faire reste la gestion
du temps)
Il serait souhaitable que les exercices portent sur des équipements et technologies
classiquement mis en œuvre par les stagiaires (par exemple une installation type que l’on
peut rencontrer en France).
UTILISER LES PPT ET L’OUTILS DE SIMULATION GNS3 ou
PACKET TRACER.
REALISER UN RESEAU-DES SOUS RESEAU.
METTRE DANS L’EXERCICE UN SWITCH (DE PREFERENCE
MANAGEABLE)- CONFIGURER UN ROUTEUR
LES PREREQUIS D’INSTALLATION (MACHINES VIRTUELLES
SONT UN PLUS SI LES APPRENANTS LE FESAIENT EUX MEME)
Module pour le profil informaticien
Concepts principaux des systèmes industriels :
• Définitions, les différents types de systèmes industriels :
o Connaître le modèle Computer Integrated Manufacturing (CIM), (ppt)
o Connaître les différents types : centralisés, décentralisés, étendus, etc, (ppt)
o Connaître les domaines d’activité et les contextes dans lesquels on rencontre
des systèmes industriels (eau, énergie, transport, bâtiment, etc.). Des vidéos
d’installations automatisées peuvent être utilisées pour illustrer les propos ;
(ppt)
o Notion de temps réel (confusion entre temps de réponse rapide et garantie du
temps de réponse). (oral)
• Composition d’un système industriel :
o Identifier et savoir situer les éléments constitutifs d’un système industriel :
automate programmable industriel (API/PLC), capteurs / actionneurs, logiciels
de supervision et de conduite (SCADA), logiciel d’historisation (Historian),
poste d’ingénierie, MES, RTU, IED, etc. (ppt)
• Les langages de programmation d’un PLC :
• Présentation rapide des cinq langages de programmation définis dans la
norme IEC 61131-3. Montrer par exemple que le langage Ladder est inspiré
des schémas électriques ou que le GRAFCET est une description logique des
procédés industriels. (PPT+exercice sur papier avec les gate « and » « or »
etc…)
• Les protocoles et bus de terrain :
o Notion de bus de terrain. Exemples de bus de terrain les plus répandus :
Modbus, Profibus, Asi-bus, DeviceNet, etc, (ppt)
o Présentation des protocoles de communication industriels courants : Modbus,
Profinet, Ethernet/IP, OPCUA, etc. (ppt)
• Les architectures réseaux classiques d’un système industriel :
o Savoir que la surface d’attaque d’un système industriel dépend en partie
de son architecture et de sa complexité, (ppt+bien expliquer et appuyer en
oral, très important : parler des modules déportés)
o Connaître les deux échelles d’architecture proposées dans le guide
[CSI_MESURES_PRINCIPALES] : niveau de fonctionnalité d’un système
industriel et sa connectivité avec l’extérieur. (non necessaire)
• Introduction à la sûreté de fonctionnement (SDF) :
o Connaître les concepts de base de la SDF (prévention, tolérance, élimination et
prévision des défaillances) et le principe des niveaux de sécurité fonctionnelle avec
les Safety (ppt)
o Expliquer les principes de l’analyse de risque en SDF et l’AMDEC par exemple,
qui est une méthode régulièrement utilisée. Quels sont ses points communs
avec une analyse de risque (type EBIOS) utilisée en SSI. (oral)
• Panorama des normes et standards :
o Citer les principales normes en matière de sûreté de fonctionnement et notamment
la norme IEC 61508 et IEC 61511. Afin d’éviter les éventuelles dérives, il est utile
de noter que la formation des stagiaires à ces normes est en dehors du périmètre
du présent guide. (oral)
o Savoir que les normes portant sur la sûreté de fonctionnement ne traitent pas
ou peu les questions liées à la cybersécurité. (oral)
Les travaux pratiques suivants pourront être utilisés pour appuyer le discours :
• Configurer un PLC pour piloter une sortie TOR en fonction de boutons poussoirs
selon une équation logique donnée ; (PROVIEW+ARDUINO)
• Écrire un programme simple d’automate ; (PROVIEW+ARDUINO)
• Configurer une IHM de supervision de quelques paramètres envoyant des
télécommandes ; (PROVIEW+ARDUINO)
• Manipuler un système de taille réduite intégrant un PLC, un ou plusieurs capteurs,
un ou plusieurs actionneurs. (PROVIEW+ARDUINO)
IMPORTANT : LORSQUE NOUS REALISERONS CES EXERCICES IL Y A DEUX
METHODES :
SIMULATION ET EN CONDITION REELLE. FAIRE DABORD LA SIMULATION (VUE
SUPERVISION+TEST) PUIS CONNECTER ARDUINO ET CONFIGURER PROVIEW DE
SORTE QU’IL INTERAGISSE AVEC LA SUPERVISION
Il n’est pas nécessaire de traiter chacun de ces travaux pratiques mais un panel adéquat
permettant d’appréhender la réalité. En revanche, il serait souhaitable que les exercices portent
sur des équipements classiquement mis en œuvre par les stagiaires (par exemple une
installation type que l’on peut rencontrer en France).
Module principal
Étude de la cybersécurité pour les systèmes industriels :
• Enjeux :
o Connaître les enjeux de la cybersécurité des systèmes industriels, en particulier
du point de vue des impacts qui peuvent être différents de ceux des systèmes
d’information classiques (dommages matériels, corporels, environnementaux,
etc.).
• État des lieux et historique :
o Connaître le contexte d’emploi contraignant des systèmes industriels (durée de
vie importante des installations en comparaison à celle des systèmes
informatiques, contraintes de disponibilités et de sûreté, etc.) et ses
conséquences en termes de vulnérabilités (composants obsolètes, logiciels non
mis à jour, etc.) ainsi que les conséquences de l’introduction de technologies
standardisées issues de l’informatique de gestion.
• Dualité sûreté de fonctionnement (SDF) et cybersécurité :
o Savoir distinguer la SDF de la cybersécurité qui tient compte des actes
malveillants,
o Apport de la SDF à la cybersécurité des systèmes industriels (les points
communs),
o Sensibiliser aux risques de confusions (mécanismes d’intégrité par CRC vs
par fonction de hachage par exemple).
• Exemples d’incidents sur les systèmes industriels
• Les vulnérabilités et vecteurs d’attaques classiques :
o Connaître les sources principales de vulnérabilités : cartographie du système
industriel non maîtrisée, défaut de la politique de gestion de mots de passes,
absence de gestion des comptes, défaut de maîtrise de la configuration, défaut
de contrôle des interfaces de connexion, emploi de protocoles non sécurisés,
mauvaise gestion des médias amovibles, absence de systèmes de détections
d’incidents, etc.
o connaître les vecteurs d’attaque par la télémaintenance, les interconnexions
avec les réseaux bureautiques, les médias amovibles, les piégeages
d’équipement, etc.
• Panorama des normes et standards :
o Citer les principales normes, référentiels et standards de cybersécurité des
systèmes industriels : AIEA, NERC CIP, IEC 62443, ISO 27019, OLF, NIST,
etc. et montrer pourquoi le sujet est complexe en expliquant les points
communs et les divergences entre ces normes.
• En France, la LPM :
o Champ d’application,
o Classification des systèmes industriels,
o Les principales mesures.
• Le projet de cybersécurité du système industriel :
Connaître les aspects organisationnels et techniques décrits dans le guide «
« Maîtriser la SSI pour les systèmes industriels.
[CSI_MAITRISER_LA_SSI] dans sa partie « Méthode de
déploiement de la SSI. »
• Les recommandations :
o Connaître les bonnes pratiques citées en annexe du guide
[CSI_MAITRISER_LA_SSI] : la formation devra présenter ces bonnes
pratiques en détaillant leurs objectifs et les moyens de les réaliser.
o Expliquer pourquoi les antivirus ne sont pas forcément une solution pour les
systèmes industriels
o Insister sur les aspects liés à la détection d’intrusion (IDS), solution peu
intrusive et parfois la seule alternative pour la cybersécurité d’un système
industriel : la formation
devra présenter les bonnes pratiques en détaillant leurs objectifs et les moyens
de les réaliser.
o Connaître les mesures principales décrites dans le guide [CSI_MESURES]. La
formation devra présenter ces mesures en détaillant leurs objectifs et les
moyens de les réaliser.
o Détailler le principe de l’homologation.
o Connaître le principe de sécurité par le design (des protections mécaniques et
électriques peuvent par exemple être intégrées aux fonctions critiques en
compléments des systèmes automatisés),
o Prise en compte de la cybersécurité dans les projets, etc.
Une présentation de l’état des lieux des équipements et produits de cybersécurité dédiés aux
systèmes industriels peut être envisagée. Les apports mais aussi les limites de ces équipements
et produits seront montrés. Il est souhaitable que le choix des produits ne se limite pas aux
gammes proposées par un acteur industriel particulier. Cette partie est laissée à la discrétion
de l’organisme de formation.
Les exercices et travaux pratiques suivants pourront être utilisés pour appuyer le discours :
• Sur un plan d’installation donné, proposer la recherche par petits groupes des failles
de sécurité probables et des recommandations d’amélioration à mettre en œuvre. A
cette occasion, mettre en évidence les notions de sous-systèmes et de cloisonnement
ainsi que les dangers liés aux accès distants et à l’interconnexion des réseaux
industriels et de gestion ;
• Sur une architecture simplifiée formée d’un PLC et des entrées sorties associées,
d’une IHM et d’une console de programmation, expliciter les mesures de
cybersécurité à prendre. Dans ce cadre, montrer l’apport d’un accès VPN ;
• Sur un réseau industriel, configurer des commutateurs pour mettre en place un
cloisonnement logique au moyen de VLAN ;
• Sur un réseau industriel, mettre en place un pare-feu entre un PLC et un SCADA ou
entre ce SCADA et le reste du monde ;
• Sur un réseau industriel, mettre en place un VPN pour relier un SCADA « distant » à
un système industriel ou pour réaliser des opérations de télémaintenance
• Renforcer la configuration d’un PLC ;
• Configurer les éléments de monitoring disponibles.
Il n’est pas nécessaire de traiter chacun de ces travaux pratiques mais un panel adéquat
permettant d’appréhender la réalité.
Il est recommandé, dans la mesure du possible, l’utilisation pour les travaux pratiques de
matériel suffisamment à l’état de l’art.
Module complémentaire
La formation peut être prolongée par l’étude d’un cas pratique complet, s’appuyant sur la
méthode de classification et les mesures proposées en support des travaux de la LPM. Cela
sera l’occasion d’un approfondissement de la relation entre informaticiens et automaticiens par
la création de petits groupes de travail comportant des participants des deux origines. Ce
module est optionnel. Il peut s’organiser comme suit :
• Présenter une étude de cas simple d’un environnement industriel « non-sécurisé »
comprenant des systèmes de classes différentes ;
• Appliquer la méthode de classification ;
• Dérouler la démarche pour renforcer la cybersécurité des systèmes ;
• Mettre en œuvre les mesures du guide de l’ANSSI « La cybersécurité des systèmes
industriels-Mesure détaillées ».