No Results Found

Try changing the filters or search term

Start Typing To Search

< View all Services d’eau
Série sur la cybersécurité : Protéger les systèmes SCADA du piratage

Série sur la cybersécurité : Protéger les systèmes SCADA du piratage

Making Waves

Les services de l’eau se soucient de plus en plus de devenir résilient face aux menaces de sécurités encourues par leur réseau. Les interactions homme-machine (IHM) sont l’une des principales voies d’accès empruntées par les pirates pour infiltrer les systèmes SCADA. Dans le second volet de notre série sur la cybersécurité, Steven Miller, responsable de la sécurité produit et Radhika Upadrashta, ingénieure en sécurité produit chez Xylem exposent des meilleurs pratiques pour déployer de manière sécurisée les IHM, et les étapes que les opérateurs réseaux peuvent suivre afin de réduire les vulnérabilités.

Chez Xylem nous croyons que protéger les procédés critiques permettant de fournir de l’eau potable, de traiter les eaux usées, de générer des rapports sur la qualité de l’eau, et de mesurer les consommations d’eau, de gaz et d’électricité nécessite modèle de responsabilité partagée. Il s’agit d’un partenariat entre ceux qui fournissent et ceux qui développent une technologie, les intégrateurs, les propriétaires d’équipements et tous les acteurs de la chaine logistique. Il incombe à Xylem de concevoir et de construire des produits qui incluent des fonctionnalités liées à la sécurité. En retour, il est de la responsabilité de nos clients de comprendre les risques inhérents à leurs processus et de prendre des mesures pour faire fonctionner et entretenir leurs solutions en toute sécurité.

Les interactions humain-machine (IHM) sont l’élément le plus vulnérable d’un système informatique. Les IHM désignent des tableaux de bord ou des écrans utilisés pour contrôler ou surveiller des machines, sur place ou à distance. En tant qu’interface utilisateur de base pour contrôler un équipement ou un processus, les IHM font partie des éléments les plus ciblés dans les infrastructures de systèmes de contrôle industriels. Si quelqu’un accède sans autorisation à une IHM, cela peut causer des ravages : les opérateurs peuvent perdre le contrôle du processus ; la brèche peut entrainer des dommages voire la destruction des équipements ; et dans des cas extrêmes, l’incident peut conduire à des blessures voire des décès causés par le matériel durant l’entretien.

La bonne nouvelle c’est que les opérateurs peuvent prendre des mesures pour sécuriser l’IHM en choisissant une approche qui assure l’équilibre entre la sécurité d’une part, la praticité et la réactivité nécessaires pour assurer l’efficacité des opérations d’autre part.

Superposer les couches de sécurité

Nous conseillons de concevoir une procédure de sécurité à l’aide d’une approche par couches successives. Cela implique de penser à chaque couche du système pour maximiser la sécurité. Si les mesures sont prises individuellement, elles peuvent être contournées. L’approche la plus prudente pour optimiser la protection et créer des couches de sécurité qui prennent en compte l’environnement physique, le réseau, le système d’exploitation et de l’hôte, et finalement l’application ou l’IHM elle-même.

Examinons chacune de ces couches séparément :

L’environnement : Il est crucial de protéger l’accès physique à la zone où est située l’IHM (la salle de contrôle ou l’étage de fabrication par exemple). Les IHM sont toujours en marche, simples d’accès et parfois ne nécessitent aucune forme d’identification. Même lorsqu’elles sont protégées par un mot de passe, les IHM sont extrêmement vulnérables. Limiter l’accès physique permet de réduire le risque d’utilisation malveillante d’appareils pirates ou de câbles, par exemple.

La protection du réseau : Pour les IHM dotées de capacités réseau, il est vital qu’une infrastructure réseau supplémentaire soit en place pour protéger le réseau élargi. Cela inclut le câblage de l’IHM au réseau ainsi que des mesures telles que l’adressage IP, les routeurs, les switches, les points d’accès et le réseau WiFi, etc. Il est également courant de segmenter le réseau grâce à des pare-feu pour le protéger.

Il est recommandé de mettre en place un contrôleur d’accès réseau (NAC). Un système de contrôleur d’accès réseau peut identifier les hôtes nouveaux ou inconnus jusque-là et de les mettre en quarantaine, le temps qu’ils soient approuvés par un administrateur réseau, avant de leur donner un accès plus large au réseau. Avoir des protections d’accès au réseau fortes (et automatisées) permet de réduire significativement les potentiels d’accès malveillants. On peut également réduire les risques avec le cryptage du trafic réseau qui peut empêcher l’espionnage et les réseaux privés virtuels (VPN) qui tirent parti de l’AMF pour les connexions à distance au réseau. Enfin, les systèmes de détection et de prévention des intrusions (IDS/IPS) qui surveillent l’activité réseau sont également une mesure de sécurité utile.

La protection du système d’exploitation et de l’hôte Cela désigne le système d’exploitation qui héberge l’IHM ainsi que son matériel, ses interfaces et ses lecteurs. La faculté de construire une protection à l’intérieur de cette couche diffère selon que les IHM sont installées sur un hôte spécialement conçu (qui est un système fermé ne pouvant pas être modifié) ou consultées depuis un matériel de base (ou fabriqué en série).

Idéalement, les hôtes devraient présenter le moins possible d’angles d’attaques. Les ports inutiles (physiques et virtuels) ainsi que les services système doivent être désactivés. Les applications inutilisées doivent être supprimées. Les correctifs de sécurité du système d’exploitation et l’antivirus doivent être mis à jour. Les connexions pour les IHM à distances doivent être protégées par un mot de passe.

La protection des applications/IHM : Comme le système d’exploitation ou l’hébergement, la faculté d’appliquer une protection à la couche applicative va dépendre des fonctionnalités de sécurités intégrées par le fabricant de l’IHM. Utilisez des règles d’autorisations et des mots de passe forts où c’est nécessaire. Un utilisateur devrait uniquement avoir les accès nécessaires et appropriés à son rôle. L’application IHM devrait utiliser une communication cryptée afin d’éviter l’espionnage et limiter l’accès au système d’exploitation.

La cybersécurité est cruciale dans la construction de réseaux résilients. Tandis que les cybermenaces continuent d’évoluer et de se développer, les services de l’eau peuvent prendre des mesures pour réduire les risques et protéger les infrastructures essentielles. Mais ils peuvent être accompagnés.

Découvrez en détail l’approche de Xylem en matière de cybersécurité ici (anglais).

Consultez cet article de blog pour savoir comment commencer à planifier dès aujourd’hui votre manière de répondre avec intelligence aux incidents.

février 21, 2022

A propos de Making Waves

Making Waves est le blog de Xylem, un leader mondial des technologies de l'eau. Les solutions de Xylem offrent une large gamme de produits pour transporter, traiter, analyser et surveiller l'eau.