Les systèmes de contrôle de surveillance et d’acquisition de données (SCADA) sont utilisés pour surveiller et contrôler les processus industriels. Ces systèmes de contrôle étendus fonctionnent en coulisses, collectant les mesures des capteurs et les données opérationnelles sur le terrain, traitant et affichant ces informations et relayant les commandes de contrôle à l’équipement local ou distant. Les systèmes SCADA sont utilisés dans le monde entier dans de nombreuses industries, le citoyen moyen n’est pas conscient de leur importance critique. Cependant, cela change rapidement car de plus en plus d’informations sur les cyber-vulnérabilités des systèmes SCADA des services publics sont accessibles au public.

Les systèmes SCADA attirent l’attention de gouvernements et de concurrents hostiles, de groupes terroristes, d’employés mécontents et d’autres intrus malveillants – ils offrent l’énorme potentiel d’acquérir des données confidentielles et de perturber les opérations.

Les systèmes SCADA contrôlent certaines des infrastructures les plus vitales des secteurs industriels et énergétiques, des installations nucléaires, des usines de traitement des eaux et des sous-stations de distribution d’électricité. L’infrastructure critique est définie comme les actifs physiques et informatiques, les réseaux et les services qui, s’ils étaient interrompus ou détruits, auraient un impact sérieux sur la santé, la sécurité ou le bien-être économique des citoyens et le fonctionnement efficace du gouvernement d’un pays. A cela s’ajoute le fait que de nombreux systèmes SCADA sont vulnérables. Il est donc impératif que la sécurité du système et l’atténuation des risques soient au premier plan des préoccupations de tous les utilisateurs du système SCADA.

SCADA a été caché derrière son manteau d’obscurité au cours des quatre dernières décennies, les responsables des technologies de l’information étant convaincus que ces systèmes ne seraient jamais accessibles via les réseaux d’entreprise ou à partir de points d’accès distants. Le système SCADA moderne a considérablement évolué. Les entreprises de services publics reconnaissent les coûts réduits, l’accessibilité plus facile et l’amélioration de l’efficacité obtenues grâce à la connexion de leurs réseaux TCP/IP à leurs systèmes SCADA. Ces systèmes de nouvelle génération, intégrés aux réseaux d’entreprise et à Internet, font face à de nombreux défis dans leur quête de sécurité.

Plusieurs facteurs ont contribué à la vulnérabilité croissante des systèmes de contrôle, notamment :

  • L’intégration des systèmes de contrôle et des réseaux d’entreprise. Des failles dans la sécurité de l’entreprise peuvent survenir si des contrôles de sécurité appropriés ne sont pas mis en place pour les deux réseaux.
  • Les liaisons d’accès telles que les modems et les communications sans fil sont utilisées pour les diagnostics à distance, la maintenance et l’examen de l’état du système. Si les mécanismes de cryptage ou d’authentification ne sont pas utilisés, l’intégrité des informations transmises est vulnérable.
  • Les entreprises passent à des technologies standardisées, telles que Windows de Microsoft, afin de réduire les coûts et d’améliorer l’évolutivité et les performances du système. Le résultat est plus de personnes dotées des connaissances et des outils capables d’attaquer un système et une augmentation du nombre de systèmes vulnérables à une attaque.
  • Les informations publiques sur les infrastructures et les systèmes de contrôle sont facilement accessibles aux pirates. Les documents de conception et de maintenance et les normes techniques d’un système critique peuvent tous être trouvés sur Internet, ce qui compromet considérablement la sécurité globale

Assurer la cybersécurité dans les systèmes de contrôle peut sembler au premier abord une tâche ardue car elle nécessite un engagement de l’ensemble de l’organisation. La haute direction doit reconnaître les nombreux avantages d’un système SCADA sécurisé. Ces avantages incluent la disponibilité, la fiabilité et la disponibilité du système. La mise en œuvre d’une bonne cybersécurité est une entreprise intelligente, car un système sécurisé est un système de confiance, et la fidélisation et la fidélité des clients reposent sur la confiance. Les fournisseurs, les intégrateurs de systèmes, les ingénieurs informatiques et de contrôle partagent tous la responsabilité.

De nombreuses ressources sont désormais disponibles pour aider les systèmes SCADA des infrastructures critiques à améliorer leur sécurité. Par exemple, la norme IEC62443 établit les meilleures pratiques, les rapports techniques et les informations connexes pour définir les procédures de mise en œuvre et d’évaluation des systèmes sécurisés électroniquement. La conformité à cette norme peut améliorer la sécurité électronique du système de fabrication et de contrôle, aider à identifier et à résoudre les vulnérabilités et réduire le risque de compromission des informations confidentielles et de dégradation du système.

Des réglementations gouvernementales existent également et continuent d’évoluer dans le but de sécuriser les industries d’infrastructures critiques. La plus ambitieuse pour influencer la politique gouvernementale est la norme à but non lucratif North American Electric Reliability Corporation (NERC) – Critical Infrastructure Protection (CIP). Connue sous le nom de NERC-CIP, cette norme trouve ses racines dans la loi sur la modernisation de l’électricité, qui fait partie de la loi américaine sur la politique énergétique de 2005. Dans la loi sur la politique énergétique de 2005, une section stipule que la norme NERC-CIP exige que tous centrales électriques et installations de services publics d’électricité pour développer de nouveaux systèmes et procédures de cybersécurité conformément à un plan de mise en œuvre de 3 ans. Il existe huit normes CIP différentes couvrant tout, du contrôle de la gestion de la sécurité et des cyberactifs critiques aux rapports d’incidents et aux plans de récupération. Chacune des huit normes définit une série d’exigences spécifiques. Les normes sont :

  • CIP-002-1: Critical Cyber Asset Identification
  • CIP-003-1: Security Management Controls
  • CIP-004-1: Personnel and Training
  • CIP-005-1: Electronic Security Perimeter
  • CIP-006-1: Physical Security of Critical Cyber Assets
  • CIP-007-1: Systems Security Management
  • CIP-008-1: Incident Reporting and Response Planning
  • CIP-009-1: Recovery Plans for Critical Cyber Assets

Réaliser votre SCADA sécurisé avec Y2E

Comme décrit ci-dessus, le gouvernement rend obligatoire le déploiement de la technologie de sécurité pour les systèmes SCADA dans certains secteurs des services publics,. Avec les vulnérabilités croissantes des systèmes de contrôle et le potentiel de dommages et de perturbations civiles dans un système d’infrastructure critique violé, il est conseillé aux utilisateurs de SCADA de formuler et de déployer un plan de sécurité qui répond à leurs besoins individuels et immédiats.

Y2E propose des solutions de cybersécurité basés sur le concept defense in depth qui est une stratégie de défense en profondeur impliquant l’utilisation de plusieurs outils et mécanismes de sécurité à l’unisson. L’idée est que, si un outil de sécurité échoue ou est contourné par un attaquant, d’autres outils correctement configurés empêchent l’accès non autorisé.

Defense in depth – Cybersécurité