Le département de l’énergie américain vient de publier un petit guide comprenant 21 points pour améliorer la sécurité d’une infrastructure SCADA. Ce petit document (télécharger au format PDF – 3 Mo) énonce de grands principes de sécurité applicables pour tout déploiement d’un SCADA. La nature des systèmes SCADA (télémesure et télégestion), fait qu’on les retrouve au coeur de systèmes critiques. Vous comprendrez donc que ces principes sont parfaitement applicables par des entreprises non américaines. A ma connaissance, en dehors de certains travaux d’EADS (télécharger au format PDF – 444 Ko), on ne trouve pas de guides visant à la sécurisation de ces systèmes. Les menaces grandissantes, dont la plus visible, Stuxnet, a agité le monde de la cyber sécurité cette année, justifient que les gouvernement s’intéressent de près à la sécurité de ces systèmes. Comme ils contrôlent des infrastructures physiques, il y a un risque de destruction matérielle, et donc, un risque de pertes en vies humaines.
Ce petit guide est donc à placer entre les mains de nos entreprises. Ce sont certes des conseils de bon sens, mais il y a fort à parier qu’en France, nombre d’infrastructures critiques ne les respectent pas.
Bonne information que celle-ci (merci Bluetouff !) et excellente initiative des autorités gouvernementales US (une de plus, soit dit en passant).
A mettre en relation, je pense, avec le travail effectué par ailleurs sur les Smart Grid, dans lequel trempe activement le DoE.
http://si-vis.blogspot.com/2011/05/cybersecurite-us-un-exemple-parmi.html
Sauf que dans la pratique, c’est impossible à mettre en place, jamais un client voudra dépenser plus d’argent dans la sécurité, seul le process leur importe.
Je crée des supervisions destinées à diverses installations industrielles, et vu le temps et le budget qui nous est imparti lors du déploiement des infrastructures SCADA, c’est impossible à mettre en place. Sans parler de la plupart des logiciels SCADA qui sont totalement allergiques à toute forme de bridage réseau, Siemens avec PCS7 et autre STEP7 pour de ne pas les nommer sont bien les pires.
Bonjour,
Oui, la sécurité est un vrai problème en devenir pour les scada.
La solution ? des systèmes plus conformes aux regles IT, idéalement sous Linux et qui du coup nécessitent moins de màj systèmes.
Et pourquoi pas ajouter OPC-UA, pare-feu friendly, et en plus bien sécurisé (certificat, protocole binaire tcp, authentification et cryptage 256 bits).
Mais est-ce que cela existe ? oui. Regardez Ignition distribué par on-solution.
Bien à vous.
Merci @Marcel pour ces informations « de 1ère main » !
@Gilles : bonne direction mais pas que !
« jamais un client voudra dépenser plus d’argent dans la sécurité, seul le process leur importe. »
–> on en revient à l’un des « fondamentaux » de la Security vue par les décideurs : un coût, pas un centre de profit (ou un investissement, au choix).
« […] vu le temps et le budget qui nous est imparti lors du déploiement des infrastructures SCADA, c’est impossible à mettre en place. »
Ben ouais. Mais le jour où des attaques à la Die Hard 4 vont se produire, il est à espérer que votre société dispose de clauses contractuelles en béton armé. Sinon d’avocats en or massif. Parce qu’en fonction des impacts possibles (allant de la simple destruction de matériels à des blessés voire des morts), c’est le pénal en ligne de mire (et en horizon indépassable !).
« Sans parler de la plupart des logiciels SCADA qui sont totalement allergiques à toute forme de bridage réseau, Siemens avec PCS7 et autre STEP7 pour de ne pas les nommer sont bien les pires. »
On n’avait d’ailleurs pas eu le droit au password admin écrit en dur et en clair pour les PCS7 ?