Informatique Industrielle

Le contexte de la sécurité des systèmes de contrôle-commande et de l’informatique industrielle

Le monde du contrôle-commande intègre depuis plus de 15 ans les technologies de l’informatique et les standards liés. Ainsi les stations des opérateurs, de maintenance sont de plus en plus basés sur des matériels et systèmes d’exploitation d’origine Microsoft ou Linux.

Le coût des systèmes diminue, leurs fonctionnalités s’enrichissent et leur intégration avec le monde de la gestion de production et de maintenance se fait plus étroite. Mais cette évolution rapproche les systèmes de contrôle-commande du monde extérieur et les rend plus vulnérables à des intrusions et à des attaques de toutes natures.

L’informatique industrielle est devenue avec le temps aussi vulnérable que l’informatique de gestion, la définition d’une politique de protection implique une véritable analyse des risques encourus par l’ensemble des activités, ainsi qu’une mobilisation de l’ensemble des acteurs de l’entreprise.

L’arrivée des standards de l’IT

L’informatique s’est largement introduite dans les systèmes de contrôle-commande :

  • au niveau des réseaux, avec Ethernet, TCP-IP, les connexions à Internet,
  • au niveau des équipements, avec l’usage de matériels non spécifiques et l’utilisation de Windows et Linux.

 Cette évolution est  bénéfique sur le plan des fonctionnalités et des coûts d’exploitation :

  • accès aux données de production et aux historiques depuis l’informatique de gestion et ,
  • accès distants, pour la collecte d’information, la configuration et la maintenance,SNCC-securite
  • ouverture au partenariat d’ingénierie à travers d’outils communicants.

 Mais cela a multiplié les points d’accès potentiels aux systèmes de contrôle et il devient aujourd’hui difficile de savoir qui est autorisé à accéder à un système d’information, quand cet accès est autorisé et quelles données peuvent être rendues accessibles.

Un contexte humain particulier au monde du contrôle-commande

Par rapport à l’informatique de gestion, le monde du contrôle-commande n’a pas encore intégré l’ensemble des dimensions DIC dans leur approche sécurité.

Les automaticiens sont axés sur la conduite des procédés et pensent être protégés par la spécificité apparente de leurs outils et à leur fournisseur. Ils sont encore peu préoccupés par les problèmes de protection contre les intrusions ou de logiciels malveillants, …..

Les technologies IT sont ‘embarquées’ dans les systèmes de contrôle-process et sont managés par les spécialistes processus, ou par les fournisseurs industriels. Les équipes IT ne sont pas vraiment impliquées dans le design et la maintenance des systèmes de contrôle- commande.

Les équipes d’automaticiens et les informaticiens ont des langages et des cultures différents. Les spécialistes du process vont parler de fiabilité, sureté, machines, capteurs, …alors que les informaticiens parlent de disponibilité, intégrité, réseau TCP/IP, serveurs, firewall, virus, etc…

Les métiers d’automaticien ont du mal à imaginer que près de 50% des incidents de sécurité sont d’origine interne à l’entreprise (enquête du British Columbia Institute of Technology Internet Engineering Lab de juin 2008). Enfin, les managers liés aux systèmes industriels (SCADA, DCS) sont peu sensibilisés et ils ont d’autres priorités (amélioration des processus, fiabilité des équipements, …)

Les solutions standards de sécurité informatiques sont-elle applicables ?

Les scénarios de risques sont particuliers au contrôle-commande. Les mesures de sécurité préconisées sont proches de celles connues dans la sécurité informatique des systèmes de gestion.

Néanmoins, les contraintes de mise en œuvre sont très spécifiques aux exigences de continuité et de sureté de fonctionnement des SCADA et DCS. Ainsi les mesures très standards de règle d’application des corrections (patch management), de gestion des anti-virus, de filtrage des flux demandent des précautions très particulières de mise en œuvre dans le monde des SCADA et DCS.

Les principes généraux de sécurité de l’informatique industrielle sont développés dans la norme SP-99 et les documents qui l’accompagnent (ISA-TR99.00.01, et ISA-TR99.00.02), publiés par l’association ISA (The Instrumentation, Systems and Automation Society).

Les standards ISA 99ISA-99-ISO-27001

Ce sont les principaux textes disponibles actuellement qui traitent de façon organisée de la sécurité de l’informatique industrielle. Ils constituent un bon point de départ pour prendre en compte de façon méthodique la problématique de la sécurisation des systèmes d’information industriels.

  • ISA-TR99.00.01, « Technologies de sécurité pour le contrôle de processus » (dernière version date de 2007), qui est un « tutorial » sur les technologies du monde informatique potentiellement utilisables dans les systèmes de contrôle, permettant d’évaluer leur intérêt au regard de la capacité de résistance aux cyber-attaques.
  • ISA-TR99.00.02 « Intégration de la sécurité électronique dans les systèmes de contrôle de processus » (dernière version date de 2008), qui propose une approche pour auditer un système, déterminer ses failles éventuelles face aux différentes attaques dont il peut être l’objet et faciliter la vérification de la bonne application des mesures de mise en conformité face aux recommandations formulées. 
  • ISA-TR99.00.03 « Operating an Industrial Automation and Control System Security Program» qui est prévu pour 2009. Cette partie définira comment mettre en œuvre un programme de sécurité et les moyens de contrôler son efficience.
    COPYRIGHT YSOSECURE © 2002 - 2021