Le standard ISA-99Présentation préparée par

J Pi H tJean-Pierre HauetPrésident ISA-Franceet Jean-Pierre Dalzon

R bl t h i•Standards

•Certification

•Education & Training

Responsable technique

•Education & Training

•Publishing

•Conferences & Exhibits

Les risques pour la cyber-sécurité des systèmes de contrôle -- Paris 13 octobre 2010

Qu'est ce que l’ISA ?Qu est ce que l ISA ?International Society of Automation

• Association a but non lucratif

te at o a Soc ety o uto at o

• 30 000 membres dans le monde• Active dans tous les secteurs de

l'i d il'industrie• Présente dans plus de 100 pays

StandardisationFormation et certificationcertification

Conférences expositions

Publications et articles techniques

ISA-France• Section française de l’ISA• Réseau de professionnels des

automatismes, du contrôle et de l’instrumentationl instrumentation

• Forums techniques de niveau international

• Newsletters & ISA-Flash• Actions de formation• Liaison avec les autres

organisations du secteur de l’ t til’automation

• Participation aux travaux de normalisationnormalisation

L’adhésion à l’ISA-France est gratuite pour les membres de l’ISA

L’ISA et la cyber-sécurité

• La nécessité de veiller à la sécurité des systèmes• La nécessité de veiller à la sécurité des systèmes d’automatisme et de contrôle de procédé est apparue évidente aux USA en 2001 à la suite des événementsévidente aux USA en 2001 à la suite des événements du 11 septembre.

• Si des terroristes étaient arrivés à se former auSi des terroristes étaient arrivés à se former au pilotage d’avions sophistiqués, il leur était a priori possible de s’initier au fonctionnement des systèmes p ycontrôlant des infrastructures stratégiques : alimentation en eau, centrales et réseaux électriques, moyens de transports, installations réputées sensibles : chimie, pharmacie, agro alimentaire.

Des besoins de communication accrus

Gestion, surveillance à distance, aide à la maintenance, télécommande, aide au test et mise en service...

Recours accru à la sous-traitance, aux O&M etc.

Systèmes « ouverts » utilisant des composants banalisésutilisant des composants banalisés

Supervision et CAO ettélécommande

CAO et téléchargement

Communicationspour support externe

Logiciels de configuration et de gestion d’instruments

Portables de maintenance..

Collaborations inter-entreprises

Surveillance et gestionSurveillance et gestion à distance des installations

I-partenaire

Production de la documentation/

données d’ingénierie / imagerie E i d’i é i i

Client et consultants

Webimagerie

Documentation électronique

Equipe d’ingénierie

Plate-forme d’intégration et de test

Site

Les collaborations inter-entreprises sont stimulées par les contrainteséconomiques et facilitées par les communications électroniques. Laréalisation de projets est éclatée sur plusieurs sites avec des échangesréalisation de projets est éclatée sur plusieurs sites, avec des échangesde données informatisées

Le risque est bien réel

• La cyber-sécurité des systèmes de contrôle a trait à la prévention des risques associés aux intrusions dans le système, liées à des actions malintentionnées, au travers des éq ipements informatiq es et des résea dedes équipements informatiques et des réseaux de communication.

• Ces risques peuvent se traduire par• Ces risques peuvent se traduire par– des pertes de production– des pertes de données sensiblesp– des incidents sur le procédé– la mise en danger des personnels d ’exploitation– des atteintes à l’environnement

• Les systèmes de contrôle n’appartiennent plus à un monde isolé. y pp p• L’ouverture des systèmes vise à accroitre les points d’accès pour

satisfaire de nouveaux besoins

Quelques exemples…

• Le 20 juin 2003 "SQL Slammer Worm ". Le ver slammer se propageant et se multipliant sur le réseau ATM a bloqué leLe ver slammer se propageant et se multipliant sur le réseau ATM a bloqué le trafic sur un réseau desservant des sites industriels et plusieurs entreprises.

• Tempe, Arizona Domaine, déclenchement du 29 juin 2007. La panne a duré 46 minutes et 98 700 clients touchés, ce qui représente 399 p q pmégawatts (MW) de perte de charge. Il a été causé par l ’activation inexpliquée du programme de délestage dans le système de gestion de l'énergie (SGE) à la Salt River Project (SRP).

• Réseau sans fil en Australie : hacking en 2000• Réseau sans fil en Australie : hacking en 2000 Un ancien consultant, mécontent d'une firme australienne qui mettait en œuvre un SCADA radio pour contrôler une installation de traitement des eaux usées, a dérobé sa voiture avec les équipements hertziens et les a reliés à un ordinateur. Il a roulé autour de la zone au moins 46 fois en émettant des commandesa roulé autour de la zone au moins 46 fois, en émettant des commandes d’ouverture des soupapes de décharge d’eaux usées.

• Nuclear Power Plant : incidents cybernétiques Le 19 août 2006, les opérateurs à Browns Ferry, installation nucléaire, ont du faire

êt l d l ’ ité N°3 it à l t d d i l tiun arrêt manuel de l ’unité N°3, suite à la perte des pompes de recirculation primaire et secondaire du réacteur causée par une attaque sur le système de contrôle de ces pompes.

• Le Large Hadron Collider (LHC) inauguré en septembre 2008 au CERN sous laLe Large Hadron Collider (LHC) inauguré en septembre 2008 au CERN sous la frontière franco-suisse, a été le même jour attaqué par un groupe de hackers grecs afin de montrer sa vulnérabilité ».

Le cas Stuxnet (1)

• En juillet 2010 Siemens met en garde ses clients contre un virus encore• En juillet 2010 Siemens met en garde ses clients contre un virus encore non répertorié (0-day attaque) utilisant une faille de sécurité dans Windows et modifiant les logiciels des équipements de contrôle du type WinCC et PCS7PCS7• La contamination se ferait à partir de connexion de clés USB infectées.• Le code du virus est très complexe. Il est sans effet visible sur les PC mais

t t tè d t ôl d t il difi l dse transmet aux systèmes de contrôle dont il modifie le code.

Le cas Stuxnet (2)

• L’analyse du virus Stuxnet met en évidence un dispositif de haut niveau de technicité, utilisant simultanément 4 vulnérabiltés 0-day et pénétrant en , y pfaisant usage des codes de sécurité légitimes des sociétés Realtek semiconductor ou Jmicron Technology (Taïwan)• Siemens tient très régulièrement informés ses clients du résultat de sesSiemens tient très régulièrement informés ses clients du résultat de ses analyses et propose des contre-mesures mises au point avec Microsoft et les fournisseurs d’antivirus.

http://support automation siemens com/WW/llisapi dll?func=cslib csinfo&lang=en&objid=43876783&caller=viewhttp://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=43876783&caller=view

Product Information dated September 17, 2010 (extraits)• The virus has been isolated on a test system in order to carry out more extensive investigations. Previously analyzed properties and the behavior of the virus in the software environment of the test y y p psystem suggest that we are not dealing with the random development of one hacker, but with the product of a team of experts who must have IT expertise as well as specific know-how about industrial controls, their deployment in industrial production processes and corresponding engineering knowledge. g• As far as we know at the moment, industrial controls from Siemens are affected. The Trojan is activated whenever WinCC or PCS7 software from Siemens is installed.Latest news on the infected computers:• On October 01, 2010, we know of 15 systems infected worldwide. In none of these cases did the infection cause an adverse impact to the automation system. Source : Siemens

Le cas Stuxnet (3)

• Copie des faux certificats utilisés par les roortkits masquant Stuxnet

Source : VirusBlokAda – Juillet 2010

Le cas Stuxnet (3)

• Le rapport détaillé de Symantec estime qu’au 29 septembre 2010, 100 000 hôtes étaient contaminés dans le monde dont 60% en Iran …

• Symantec émet l’hypothèse que l’Iran serait la cible principale, les

Source : Symantec – 30 sept 2010infections répertoriées dans d’autres pays étant des dégâts collatéraux.

Spécificité des systèmes de contrôle

Complexité en termes de matériels, de programmation, et Co p e té e te es de até e s, de p og a at o , etde communication,

Les systèmes de contrôle sont un mélange de y gtechnologies de l’information (IT) et de contrôle industriel (IC). Les systèmes de contrôle utilisent (au moins pour l t ti ) d OS “t é l” é i (les automatismes) des OS “temps réel” spéciaux (au sens IT)

Les architectures vis à vis du risque sont différentes : les Les architectures, vis-à-vis du risque sont différentes : les points critiques (PLCs, drives, instruments...) sont davantage répartis et hétérogènesdavantage répartis et hétérogènes

Faible conscience des enjeux sécuritaires dans le monde des automatismes, à l’exception des domaines critiquesp q

Spécificité des exigencesp g

Exigences de performances (temps réel ou critique Exigences de performances (temps réel ou critique, messages courts et fréquents)

Exigences de disponibilitéExigences de disponibilité Gestion du risque différente (priorité à la sécurité des

biens et des personnesp Les objectifs peuvent être inversés

Systèmes de contrôle Systèmes d’informationSystèmes de contrôle Systèmes d information

rois

sant

e

Disponibilité Confidentialité

Prio

rité

c

Intégrité Confidentialité

Intégrité Disponibilité

Pourquoi une norme particulière?

• La cyber-sécurité est une extension de la sécurité fonctionnelle (ou sûreté de fonctionnement), correspondant à la protection contre un certain type d’agressions externes qui ne relèvent généralementun certain type d agressions externes qui ne relèvent généralement pas du hasard et peuvent avoir des conséquences très larges.

• La sécurité fonctionnelle se fonde actuellement sur la norme CEI 61508 et sur ses dérivées61508 et sur ses dérivées.

• Cette norme impose l’analyse du système face aux agressions internes et externes.

• Elle introduit la notion de Safety Integrity Level comme un indicateur et mesure de la sécurité fonctionnelle (SIL1 à SIL4)

• Mais au moment de sa conception les cyber attaques étaient du• Mais au moment de sa conception, les cyber-attaques étaient du second ordre (isolement et technologies spécifiques des systèmes de contrôle)

La cyber-sécurité devient une discipline à part entièredevient une discipline à part entière

Température, humidité

Agression électromagnétiques (normes IEC)

Analyse résistanceaux agressions

Tolérances aux pannesTolérances aux pannes

Résistance aux agressions informatiques :Cyber-sécurité

Traitée de façon très succincte lors de l’adoption de lanorme 61508 – Les systèmes de contrôle étaient alorsconsidérés comme spécifiques et auto-protégés.

Le champ d’application de l’ISA-99

• Essentiellement les systèmes industriels d’automatisme• Essentiellement les systèmes industriels d automatisme et de contrôle (IACS)

• Y compris les systèmes de supervision rencontrés dans p y ples industries de process

• Y compris les Scadas (Supervisory control and data i iti )acquisition) :

Réseaux de transport et de distribution d’électricitéRéseaux de distribution d’eau et de gazRéseaux de distribution d eau et de gazProduction de gaz et de pétrolePipelines et gazoducsPipelines et gazoducsAutres applications éventuelles

Le programme ISA-99Le programme ISA 99

nIS

A99

C

omm

o n ISA- 99.01.01Terminology, Concepts

And Models

ISA- TR99.01.02Master Glossary of

Terms and Abbreviations

ISA- 99.01.03System Security

Compliance Metrics

was ISA-99.00.01-2007

Sec

urity

Pro

gram ISA- 99.02.01

Establishing an IACS Security Program

ISA-99.02.02 Operating an IACS Security Program

ISA-TR99.02.03 Patch Management in the

IACS Environment

En circulation pour approbation

hnic

al -

yste

m ISA- TR99.03.01 Security Technologies for I d t i l A t ti d

ISA- 99.03.02Security Assurance Levels

f Z d C d it

ISA- 99.03.03System Security

Req irements and

ISA-99.03.04Product Development

Requirements

Tec Sy

al - ent

Industrial Automation and Control Systems

for Zones and Conduits Requirements and Security Assurance Levels

Requirements

was ISA-TR99.00.01-2007 was Target Security Levels was Foundational RequirementsISA -TR99.01.03

Tech

nica

Com

pone ISA-99.04.01

Embedded DevicesISA-99.04.02Host Devices

ISA-99.04.03Network Devices

ISA-99.04.04Applications, Data

And Functions

Publié Draft Draft àusage interne

Projet

La démarche ISA-99

• La cyber-sécurité du système se construit à partir d’une analyse des actifs (matériels ou immatériels) à protéger, de leurs forces et faiblesses, des risques encourus, des menaces potentielles

• Cette analyse nécessite une mise en forme de l’architecture• Cette analyse nécessite une mise en forme de l’architecture et une décomposition du système en zones homogènes,

• L’analyse de chacune des zones permet de définir desL analyse de chacune des zones permet de définir des objectifs pour chacune de ces zones, puis règles et procédures qui constituent le programme de sécurité

• Des itérations sont nécessaires, notamment pour s’assurer que les objectifs sont atteints.

Le cycle d’analyseSynthèse de la démarche d’analysey y

3

41

2

Architecture de référence

Exemple d’architecture de référence simplifiée

Exemple de zones hiérarchiséesp

Les zones « filles » héritent des propriétés des zones « parents »

Zones et conduits

Conduit d’entreprise

Les « Security Assurance Levels » : SALsy

Safety systems SILs Security systems SALs (vecteurs)

• Après définition des zones et des conduits, les standards ISA-99 03 02 et 03 définissent une méthodologie permettant99.03.02 et 03 définissent une méthodologie permettantd’assigner des niveaux d’assurance sécurité (SALs) à chaquezone

• Quatre types de vecteurs SAL: target, design, achieved, capability• Les niveaux de sécurité vont de 1 à 4 pour 7 requirements• Le niveau de sécurité résulte d’une combinaison de la probabilité• Le niveau de sécurité résulte d une combinaison de la probabilité

d’occurrence des risques et de de la criticité des conséquences• Le standard donne également des éléments pour diagnostiquer le

niveau de sécurité effectivement atteint.• Les métriques sont précisées dans les standards en cours de

mise au pointmise au point

Les sept « Functional requirements »

• FR1 : Access control (AC)

• FR2 : Use control (UC)

• FR3 : Data integrity (DI)• FR3 : Data integrity (DI)

• FR4 : Data confidentiality (DC)

• FR5 : Restrict data flow (RDF)

• FR6 : Timely response to event (TRE)FR6 : Timely response to event (TRE)

• FR7 : Resource availability (RA)

Exemple de vecteur SAL :SAL-C (Engineering Workstation) : {3 3 2 3 0 0 1}

Défense en profondeur

• Une seule technologie de « barrière » n’est pas suffisante pourg p plimiter suffisamment le risque (exemple de la ligne Maginot)

• La défense en profondeur consiste à multiplier les mesures faisant barrière au risque de façon hiérarchisée et à multiplier les mesures faisant barrière au risque, de façon hiérarchisée et

/ou par redondance À faire en sorte de cloisonner les effets de défaillances éventuelles suite à

attaque (contre exemple du Titanic)q ( p )

Quelques exemples de défense en profondeur : Segmentation des réseaux et barrières multiples, le niveau le plusSeg e tat o des éseau et ba è es u t p es, e eau e p us

protégé pour les applications les plus critiques Séparation logique entre réseau entreprise et réseau contrôle (firewall

régulièrement inspectés),régulièrement inspectés), DMZ (pas de trafic perturbant les automatismes depuis le réseau

entreprise)Redondance des éléments critiques (hard et soft) Redondance des éléments critiques (hard et soft)

Différentiation technologique et diversité (par ex : antivirus dedifférents fournisseurs) etc.

La définition des zones : une partie importante de la défense en profondeurimportante de la défense en profondeur

Ser e r deMonde extérieur

à l’ t iZ 2 ti / li tiZone 3 : configuration Serveur de données

Imprimante

Modem

Client/Serveur OPC

Stations de travail

Serveur d’applications

Contrôleur de domaine de

secours

Internet/WAN

à l’entreprise

Serveur de contrôle redondant

Serveur d’historiques

Entreprise distribuée

Zone 1 : entreprise

Zone 2 : gestion/applicationsZone 3 : configuration - simulation

Réseau local

Equipement fil

WANFirewall

Hub/SwitchIHM

Station d’ingénierie

d historiques

sans-filRéseau point à point

Contrôleur simple boucle

Contrôleur de procédé

Automate programmableContrôleur de

machine

Modem

IHM

Modem

IHMZone 5-2 :

contrôle groupe 2Zone 5-1 :

contrôle groupe 1Zone 5-4 :

contrôle groupe 4

Zone 4 : contrôle du procédé

Moteur Avertisseur lumineux

I/O

I/O

Drive à variation de fréquence

DC Servo drive

Capteurs de proximité

Capteur ActuateurRéseau machines Modem

Modem

Moteur

Capteur de pression

Zone 5-3 : contrôle groupe 3

Zones 6 : équipements

de terrain

Zones 6 : équipements

de terrain

Z 6Zones 6 :

é i t

Valve solénoïde

Régulateur de pressionServo valve

AC Drive

Fieldbus

motor Fieldbus

Capteur de pression

Capteur de température

Valve solénoïde

Régulateur de pression

Servo driveServo drive

Servo driveDétecteur optique

Zones 6 : équipements de

terrain

Zones 6 : équipements

de terrain

équipements de terrain

Zones 6 : équipements de

terrainr Contrôle logique

Fieldbus pressiontempératureterrain

L’ISA-99 aurait-il permis d’éviter la contamination par Stuxnet?contamination par Stuxnet?• Les vecteurs SALs auraient dû être de niveau 4 (résistance à attaque

hi i é i é ili d f ill 0 d ) i lsophistiquée et organisée, utilisant des failles 0-day) au moins pour les composantes AC (Access Control), UC (Use Control), DI (Data Integrity).• Les experts pensent que le respect des principes posés par l’ISA-99 p p q p p p p pauraient permis de réduire les risques : Application des principes du « least priviledge » et des « least functionality »functionality » Sécurisation des connexions vers l’extérieur des pare-feux Mise en place d’IDS (Intrusion Detection Sofware) surveillant les accès

d é l fi l éaux données et le trafic sur les réseaux Mise en œuvre des SRP (Software Restrictions Policies, fournies par Windows) qui restreignent l’exécution de certains types de fichiers (pas seulement des .exe) en provenance de sources externes (USB, CD, DVD, partage de machines via réseaux….)Nota : Tout en se souvenant que Stuxnet est fondé sur une série de quatre 0-day vulnérabilités de Windows.

La culture cyber-sécuritaireLa culture cyber sécuritaire

• La démarche cyber-sécuritaire nécessite un brassage de culture desintervenants et elle doit en général être réaliste et progressive. Leprogramme général de cyber-sécurité doit prendre en compte le niveauprogramme général de cyber sécurité doit prendre en compte le niveaude risque, qui peut être différencié d’un type d’application à l’autre, et lesdifférents modes d’exploitation.

• Pour résorber les différences culturelles entre les informaticiens et les• Pour résorber les différences culturelles entre les informaticiens et les« gens du contrôle de procédé », il faut :– Former le personnel du contrôle de procédé aux enjeux et aux

technologies de cyber sécuritétechnologies de cyber-sécurité

– Former le personnel informatique à la compréhension destechnologies et contraintes des systèmes de contrôle de procédég y p

– Développer la collaboration et la formation d’équipes intégrées avecdes experts de divers horizons.

Merci de votre attentionMerci de votre attentionPour tout renseignement complémentaire :

info@isainfo@isa--france orgfrance org•Standards

•Certification

•Education & Training

info@isainfo@isa--france.orgfrance.org

•Education & Training

•Publishing

•Conferences & Exhibits