Analyse du rapport de l’ICS-CERT sur la sécurité des systèmes industriels américains

de | 24 août 2017

L’ICS-CERT du Department of Homeland Security américain a publié son bilan 2016 des 130 audits qu’il a réalisé des systèmes industriels américains, secteurs publics et privés confondu [1]. Les audits sont basés sur les 115 points de contrôle du référentiel NIST SP 800-53 [1]. Ce post résume les 6 principales faiblesses constatés par les équipes de l’ICS-CERT durant les évaluations.

Leurs recommandation de l’ICS-CERT sont intéressantes : elles brisent certaines idées reçues et défendues sur la spécificité de la sécurité des systèmes industriels par rapport à la sécurité des systèmes d’information.

94 constats d’une mauvaise gestion des frontières entre les réseaux industriels et les réseaux des Systèmes d’Information. Des frontières trop poreuses ne permettent pas de détecter et de bloquer le trafic non-autorisé ou malicieux.

L’ICS-CERT recommande :

1. L’utilisation d’un serveur de rebond (bastion) sécurisé pour l’accès aux composants du système industriel.

2. L’hébergement des composants de gestion de la sécurité tels que les serveurs de mise à jour de l’anti-virus et des systèmes d’exploitation dans un DMZ dédiée.

42 constats du maintien de fonctionnalités et des services actifs qui ne sont pas nécessaires pour le fonctionnement des composants techniques. Ces fonctionnalités augmentent la surface d’exposition d’un système industriel aux cyber menaces : un tiers peut les exploiter pour compromettre ces composants techniques ainsi que l’ensemble du Système Industriel.

L’ICS-CERT recommande :

1. Une identification des besoins en terme de services systèmes, ports, protocoles et applications doit être réalisée afin de restreindre au juste nécessaire les fonctionnalités des composants du Systèmes Industriels.

2. Des guides de durcissement des composants ainsi que les recommandations des constructeurs et éditeurs doivent être appliqués. Les exceptions doivent être documentées.

 36 constats d’une mauvaise gestion des authentifiants et des processus l’habilitation. La traçabilité des actions réalisées dans le Système d’Information ne peut être garantie, des changements inappropriés peuvent être réalisés sans aucune capacité à identifier leurs responsables.

L’ICS-CERT recommande :

1. Les comptes utilisés dans le Système Industriel doivent être nominatifs

2. Les usages des comptes partagés doivent être documentés et leur utilisation encadrée par des dispositifs complémentaires (ex. accès par badge à une salle de contrôle)

 28 constats d’une mauvaises gestions des accès physiques aux sites industriels. Une personne étrangère à l’organisation, de surcroit malintentionnée, peut s’introduire sur site industriel et se connecter au composantes du Système Industriel afin de le commettre.

L’ICS-CERT recommande :

1. Les processus d’identification des personnes qui accèdent aux sites industriels doivent être renforcés

2. L’ensemble des alarmes remonté depuis les systèmes de sécurité physique doit être traité sans exception

3. L’utilisation de clés, de surcroît électronique pour simplifier la gestion, doit être généralisée et documentée

 26 constats de manquements dans les revues, l’analyse et le reporting de sécurité des Systèmes industriels qui ne permettent pas la détection des activités non-autorisées ou malveillantes.

L’ICS-CERT recommande :

1. L’identification et la surveillance d’événements particuliers dans le Systèmes Industriels par exemple : la création de compte à privilèges

2. La centralisation des événements ainsi que leur analyse par un outil de corrélation de type SIEM

24 constats relatifs à une mauvaise gestion des identifiants (mot de passe). Les identifiants ne sont pas renforcés, une attaque par brute force permet de découvrir les mots de passe utilisés dans les composants du système industriel. De plus, les flux n’étant pas chiffrés, une personne malveillante disposant des moyens d’écoute sur le réseau industriel peut facilement intercepter les couples identifiants et mots de passe qui transitent en clair.

L’ICS-CERT recommande :

1. Une politique de gestion des mots de passe renforcée, à minima, la politique doit imposer des mots de passe longs, des changements périodique (et non pas régulier 🙂 [3]) et le chiffrement lors du stockage et lors du transit

2. Pour les accès distants, une authentification multi-facteur doit être mise en place.

A noter qu’il y très peu de changement par rapport aux conclusions du rapport 2015 :

Le top 30 des faiblesses identifiées :

Les recommandations du rapport démontrent qu’il n’y a plus de spécificités à envisager dans la sécurité des systèmes industriels et la sécurité des Systèmes d’Informations, n’en déplaise aux métiers qui cherchent à expliquer que les deux mondes ne sont pas pareils. A mon sens, il y a confusion entre objectifs liés à la sûreté de fonctionnement, qui sont, certes, différents, et enjeux et moyens de sécurité qui sont et resteront les mêmes.

 

[1] Annual 2016 Industrial Control Systems Assessment Summary Report : https://ics-cert.us-cert.gov/sites/default/files/Annual_Reports/FY2016_Industrial_Control_Systems_Assessment_Summary_Report_S508C.pdf

[2] Le référentiel de contrôle NIST 800-53 : https://nvd.nist.gov/800-53

[3] Un peu d’auto promo : faire changer périodiquement les mots de passe ne semble plus une bonne idée http://cybersecurite-hq.fr/2016/12/faire-changer-periodiquement-les-mots-de-passe-ne-semble-plus-une-bonne-idee/

2 réflexions au sujet de « Analyse du rapport de l’ICS-CERT sur la sécurité des systèmes industriels américains »

  1. Ping : Veille Cyber N144 – 28 août 2017 |

  2. Ping : Analyse du rapport de l’ICS-CERT sur la sécurité des systèmes industriels américains | Cybercriminalité

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *