Les architectures des SI Industriels s’alignent souvent sur le modèle ISA 95. Si cet alignement est surtout motivé par le besoin d’optimiser en continu les procédés industriels, il n’est pas sans risque du point de vue de la sécurité. Alors que les installations industrielles doivent faire face à de nombreux risques, en particulier humains et environnementaux, orchestrer leur ouverture au SI de l’entreprise voire à internet les expose à des menaces plus nombreuses et virulentes.
Cloisonnement et segmentation : standards et réglementations se mettent d’accord
Pour traiter ces risques, trois méthodologies issues de l’IEC 62443, du NIST SP-800-82 et du guide de l’ANSSI, sont usuellement retenues.
L’IEC 62443 (ISA99) a établi les concepts de « zones » et de « conduits » avec pour chacun un niveau de sécurité (Security Level – SL) et des règles bien spécifiques. Le découpage en zones peut s’établir d’un point de vue physique (bâtiment, atelier) ou logique (répartition par processus industriel ou par fonction).
Toutes les zones communiquent entres elles par un conduit et peuvent également être imbriquées, dans une logique de défense en profondeur. Selon le niveau de criticité des zones et des conduits, des règles de sécurité sont définies et peuvent être plus ou moins restrictives. La détermination du niveau de sécurité d’une zone (ou d’un conduit) s’effectue au travers d’une analyse de risque. Concrètement, il correspond au niveau de robustesse des mesures de sécurité à implémenter permettant de faire face à des menaces plus ou moins évoluées. Pour l’IEC, il s’agira de segmenter et d’isoler physiquement les SI Industriels des SI de gestion et aussi de cloisonner les systèmes critiques (systèmes de sûreté) des systèmes de conduite des procédés.
Le NIST, au travers de sa publication spé- ciale pour les systèmes industriels, expose de bonnes pratiques d’architectures sécurisées sans promouvoir un modèle en particulier. Il consacre un chapitre entier au thème de la sécurisation des architectures des SI Industriels. Il met en avant le cloisonnement entre SI de gestion et SI Industriels en proposant des architectures type à base de DMZ, de firewall voire de diode. De bonnes pratiques et une matrice de flux type sont même proposées avec un focus pour des flux plus spécifiques.
En France, l’ANSSI prévoit de catégoriser les SI Industriels en 3 classes distinctes selon leur criticité. Trois niveaux sont définis ; la détermination du niveau pour une installation s’effectue au travers de critères tels que connectivité, fonctionnalités, niveau d’exposition, attractivité pour un attaquant, vraisemblance et impacts en cas d’attaque. Pour chacune des classes, des règles plus ou moins strictes font émerger entre autres des principes forts d’architectures sécurisées. Cette démarche peut être itérative. Il est possible de découper l’installation industrielle en plusieurs zones et d’établir pour chacune d’elles son niveau de classe. Cela rejoint l’approche de l’IEC 62443 au détail près qu’ici, la méthodologie de l’ANSSI établit les niveaux de classe en priorité au regard des impacts pour la population, l’environnement et l’économie nationale sans se soucier de l’impact direct pour l’entreprise concernée.
Quelle que soit la méthodologie mise en œuvre, le constat final reste le même : segmentation et cloisonnement constituent des briques essentielles en vue de protéger les SI Industriels. Mais l’expérience montre que segmenter et cloisonner n’est pas toujours simple…
Besoin métier et sécurité : la quadrature du cercle ?
Dans bien des cas, on observe un besoin élevé de remonter vers le SI de gestion des données « procédé » en vue de les analyser. Et ce pour différentes raisons : calcul d’optimisation, calcul financier, supply chain, Big data…
Selon la méthode de l’ANSSI, une installation de classe 3 ne peut communiquer avec le SI de gestion que de façon unidirectionnelle via l’utilisation d’une diode. Mettre en œuvre ce genre de technologie peut parfois relever de l’impossible : impossibilité d’avoir du temps réel, incompatibilité des solutions d’historisation des données procédé… Dans ce cas, on découpera l’installation en sous-systèmes de façon à pouvoir lui attribuer différents niveaux de classe. Un sous-système de classe 2 peut communiquer de façon bidirectionnelle avec le SI de gestion, tandis que le sous-système le plus critique de classe 3 n’est autorisé à communiquer unidirectionnellement qu’avec ce sous-système de classe 2. Cette approche peut notamment être considérée pour les systèmes de sûreté.
Si dans certains cas cela peut sembler réaliste, c’est parfois beaucoup plus complexe. L’exemple d’installations s’appuyant sur des SNCC (Système Numérique de Contrôle Commande) montre que les systèmes de sûreté, ou Systèmes instrumentés de sécurité (SIS), peuvent être totalement imbriqués avec les systèmes de conduite : mutualisation des capteurs pour les automates de conduite et de sûreté, automates assurant à la fois des fonctions de conduite et de sûreté.
Deux solutions opposées sont possibles
Deux solutions extrêmes sont peut-être à envisager. La première consisterait à revoir un certain nombre de process supports associés au procédé industriel pour permettre un cloisonnement fort des SI Industriels vis-à-vis des SI de gestion. La deuxième serait de revenir à des solutions « moins connectées » : désimbrication totale du SIS, dédoublement des capteurs, automates / contrôleurs de sûreté dédiés et isolés, recours à la logique « câblée », automates et contrôleurs non « modifiables ». Ces deux solutions peuvent sonner comme un retour en arrière. Le meilleur compromis réside sans doute dans une approche plus souple, fondée sur le bon sens et une gestion réaliste du risque.