Sécurité SCADA et la Gestion des Accès à Privilèges (PAM)

Les usines industrielles et les fournisseurs des services publics emploient couramment des systèmes de contrôle et d’acquisition de données (SCADA) pour gérer leurs systèmes de technologie opérationnelle (OT). Au cours des dernières années, l’exposition aux cybermenaces des systèmes SCADA a augmenté avec l’avènement d’Internet et l’augmentation de connectivité des systèmes SCADA traditionnellement isolés.

Le framework de cybersécurité SCADA recommande des contrôles pour contrer les risques de cyberattaques sur les systèmes SCADA, qui peut faire des ravages et même entraîner des pertes en vies humaines. Les contrôles d’accès, dont le PAM (Privileged Access Management), figurent en bonne place dans la sécurité SCADA, protégeant les systèmes industriels contre les acteurs malveillants.

Le framework de cybersécurité SCADA est mis en place pour gérer et prévenir les cyberattaques sur les systèmes technologiques opérationnels tels que les installations industrielles et les services d’électricité.

Qu’est-ce qu’un système SCADA ?

SCADA est un cadre technologique qui comprend de nombreux appareils et applications logicielles différents. Collectivement, les technologies pilotées par SCADA forment une sorte de système nerveux industriel. Ils se trouvent dans les usines, les centrales électriques et les hôpitaux. Ils exploitent également des systèmes de chauffage et de climatisation dans les bâtiments. Combinant des capteurs avec des ordinateurs de supervision et des unités terminales distantes (RTU), ils surveillent et contrôlent les processus physiques. Par exemple, le système SCADA d’une aciérie peut détecter quand l’acier fondu est suffisamment chaud pour couler, puis déclencher des actionneurs qui font couler l’acier dans des moules. Le SCADA englobe également des interfaces pour la génération de rapports et de commandes.

Sécurité SCADA a l’ère d’Internet

Traditionnellement, la sécurité SCADA n’était pas une préoccupation majeure pour les gestionnaires de systèmes SCADA. En utilisant des protocoles de communication exclusifs et en fonctionnant sur des réseaux isolés, les systèmes SCADA étaient difficiles à atteindre et difficiles à pirater. Les architectes de sécurité pourraient considérer le «trou d’air», la séparation complète des réseaux SCADA du monde extérieur, comme une contre-mesure extrêmement robuste aux menaces potentielles.

Cela dit, les impacts potentiels des attaques sur les systèmes SCADA sont importants. Ils vont d’inconvénients comme une panne de courant à des catastrophes directes comme une rupture de barrage, ou la mort ou la blessure de travailleurs industriels. Des possibilités auparavant lointaines, ce genre de conséquences potentiellement désastreuses sont maintenant plus probables.

Deux facteurs augmentent les risques des systèmes SCADA. Premièrement, le « trou d’air » n’étais jamais si efficace comme protection qu’on pensait. Un certain nombre de hacks très médiatisés, tels que l’attaque de Stuxnet sur les installations nucléaires iraniennes, ont révélé que les pirates peuvent accéder à des systèmes à interférence aérienne en utilisant l’ingénierie humaine, les clés USB et des techniques comparables.

Le développement le plus important, cependant, est l’activation des technologies SCADA avec Internet Protocol (IP). C’est un mouvement tout à fait compréhensible, étant donné que la propriété intellectuelle est devenue répandue et pratique. Les systèmes SCADA peuvent maintenant être entièrement accessibles sur Internet, avec toute la flexibilité et la portée que cela implique. Pourtant, du point de vue de la sécurité, c’est un désastre.

Le passage à des systèmes SCADA connectés offre un nouveau champ de possibilités pour des violations potentiellement catastrophiques.

Les systèmes SCADA compatibles IP sont maintenant aussi vulnérables aux attaques que n’importe quel autre périphérique sur Internet, sinon plus. Contrairement aux systèmes informatiques classiques tels que les serveurs et les bases de données, SCADA a été protégé par des lacunes et des barrières organisationnelles pendant des décennies. Par contre, l’OT n’est pas l’IT. SCADA est entré dans l’ère de l’Internet plus ou moins préparé aux cyberattaques. En revanche, l’informatique a connu plusieurs décennies difficiles pour apprendre à se défendre contre les pirates informatiques. OT est généralement une organisation distincte de l’informatique et n’a pas le même type de mandat de sécurité face aux départements informatiques. L’industrie a dû se montrer à la hauteur et concevoir des mesures de sécurité spécifiques aux systèmes SCADA IP.

Le Framework de sécurité SCADA

L’industrie utilise la publication spéciale NIST 800-82 comme guide définitif sur la sécurité SCADA. La révision 2, publiée en 2015, contient un « Guide de sécurité des systèmes de contrôle industriel (ICS) », ainsi que des systèmes de contrôle et d’acquisition de données (SCADA), des systèmes de contrôle distribués (DCS) et d’autres configurations de contrôles comme les contrôleurs logiques programmables (PLC).

La norme NIST couvre la gestion et l’évaluation des risques ICS, le développement et le déploiement de programmes de sécurité et l’architecture de sécurité. Elle offre des conseils détaillés sur l’application des contrôles de sécurité à ICS. À près de 250 pages, c’est au-delà de l’exhaustivité. Une discussion utile et concise de ses contrôles peut être trouvée dans un article publié par l’ISACA.

Sécurité PAM et SCADA

Quel est l’élément le plus important de la norme NIST pour SCADA et ICS? C’est difficile à dire, bien sûr. Ils sont tous importants. Pour maintenir un système SCADA sécurisé, les responsables de la sécurité doivent effectuer les évaluations et mettre en œuvre les contrôles recommandés dans la norme. Un domaine de contrôle, cependant, est fondamental pour le succès de pratiquement tous les autres aspects de la norme. C’est le contrôle d’accès, en particulier le contrôle sur des accès à privilèges.

Utilisateurs à Privilèges

Un utilisateur privilégié est une personne (ou une machine) qui peut exécuter des fonctions administratives sur les back-ends des systèmes critiques. Ils peuvent configurer, modifier ou supprimer des comptes d’utilisateurs. Leurs privilèges peuvent inclure la possibilité de configurer des systèmes, de mettre à jour un logiciel et d’accéder ou même de supprimer des données.

Accès à Privilèges

La gestion des accès à privilèges (PAM) désigne un ensemble de pratiques et d’outils permettant aux administrateurs de superviser et de régir l’utilisation des comptes d’utilisateurs à privilèges. Une solution PAM est un logiciel conçu pour contrôler et surveiller ces accès à privilèges. Il enregistre également généralement des sessions de compte privilégié à utiliser dans les réponses et les enquêtes sur les incidents de sécurité. Dans certains cas, les solutions de PAM émettent des alertes en cas de violation de la politique d’accès privilégié.

PAM et la norme NIST

Le terme « Gestion des accès à privilèges » n’apparaît pas dans la norme NIST, mais les principes de PAM sont présents partout. La section 5.6 de la norme, qui traite de la nécessité de « Défense en profondeur », recommande aux responsables de la sécurité d’OT de comprendre et de se défendre contre les « attaques sur les comptes privilégiés et / ou partagés ». La norme inclut une recommandation pour « restreindre les privilèges des utilisateurs ICS uniquement aux tâches requises pour effectuer le travail de chaque personne » (c’est-à-dire, établir un contrôle d’accès basé sur les rôles et configurer chaque rôle sur la base du principe du moindre privilège).

Le NIST 800-82 conseille également de restreindre l’accès physique au réseau et aux dispositifs ICS. Cette recommandation concerne le PAM. Après tout, il est presque impossible de restreindre l’accès aux périphériques physiques, tout en leur permettant d’être administrés sans une sorte de couche de protection intermédiaire comme une solution de PAM.

Bien que le terme « gestion des accès à privilèges » ou « PAM » n’apparaisse pas dans la norme NIST, les principes du PAM s’appliquent partout.

Le besoin d’une solution de PAM dans SCADA

Les solutions PAM offrent aux responsables de la sécurité OT les outils dont ils ont besoin pour gérer l’accès à privilèges dans un environnement SCADA complexe. La norme inclut des références aux difficultés inhérentes à l’authentification et à l’autorisation d’un grand nombre d’utilisateurs de SCADA. Par exemple, la section 5.15 de la norme, qui traite de l’authentification et de l’autorisation, lit,

« Un ICS peut contenir un grand nombre de systèmes, dont chacun doit être accessible par une variété d’utilisateurs. L’authentification et l’autorisation de ces utilisateurs constituent un défi pour l’ICS. La gestion des comptes de ces utilisateurs peut s’avérer problématique à mesure que les employés sont ajoutés, supprimés et que leurs rôles changent. À mesure que le nombre de systèmes et d’utilisateurs augmente, le processus de gestion de ces comptes devient plus compliqué. »

PAM fournit les outils dont les équipes de sécurité ont besoin pour gérer efficacement les accès à privilèges dans un environnement SCADA complexe.

La norme met également en garde contre une approche distribuée de l’authentification et de l’autorisation, où chaque système stocke ses propres identifiants utilisateur, « est problématique en ce sens qu’il ne s’adapte pas bien à mesure que la taille du système augmente. » Elle note, « Par exemple, si un utilisateur quitte l’organisation, le compte d’utilisateur correspondant doit être supprimé de chaque système individuellement. » Avec un contrôle centralisé des utilisateurs à privilèges, une solution de PAM peut désactiver l’accès des utilisateurs lorsqu’ils quittent l’organisation. Le PAM répond au besoin suggéré par la norme, qui stipule que « l’autorisation est appliquée par un mécanisme de contrôle d’accès ».

La solution de PAM de WALLIX Bastion

Le Bastion de WALLIX donne aux responsables du SCADA un tel mécanisme. L’Access Manager de WALLIX consiste d’une plateforme d’administration centralisée pour tous les accès à privilèges sur l’ensemble de l’écosystème SCADA. Les utilisateurs privilégiés se connectent à l’Access Manager afin d’effectuer des opérations liées a leur niveau de privileges sur les périphériques SCADA. Avec le Password Manager, les utilisateurs privilégiés n’ont pas besoin de connaître le mot de passe réel du périphérique physique. Cela empêche les utilisateurs d’ouvrir une brèche accidentelle ou malveillante sur un périphérique physique utilisé dans le contrôle industriel.

Le Session Manager de WALLIX enregistre les sessions à privilèges. Il met les journaux et les vidéos des sessions à la disposition des équipes des opérations de sécurité (SecOps) en cas d’incident de sécurité. Le Session Manager fournit des réponses aux questions les plus urgentes qui se posent au moment donné: Qui a fait quoi, quand et à quel système. Sans ce type d’enregistrement de session, SecOps peut perdre un temps de réponse précieux en essayant de comprendre des facteurs de causalité basiques dans une violation ou un acte de sabotage.

Le PAM est critique dans l’application du framework SCADA

La sécurité SCADA est un sujet lourd et complexe. Cependant, les enjeux sont élevés, et le public est à risque si les menaces ne sont pas bien atténuées. Le PAM apparaît comme un élément essentiel d’une stratégie de sécurité SCADA. Il est directement nécessaire de protéger les accès administratifs sensibles aux systèmes SCADA. Le PAM est également un support de nombreux contrôles mandatés, dans la norme NIST, par exemple. Le PAM est un facteur de succès clé pour une sécurité SCADA robuste.

Vous souhaitez en savoir plus sur la manière dont le Bastion WALLIX peut appliquer le framework SCADA à l’aide de fonctionnalités PAM robustes? Contactez-nous.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Durée	Description
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Durée	Description
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Sécurité SCADA et la Gestion des Accès à Privilèges (PAM)

Qu’est-ce qu’un système SCADA ?

Sécurité SCADA a l’ère d’Internet

Le Framework de sécurité SCADA

Sécurité PAM et SCADA

Utilisateurs à Privilèges

Accès à Privilèges

PAM et la norme NIST

Le besoin d’une solution de PAM dans SCADA

La solution de PAM de WALLIX Bastion

Le PAM est critique dans l’application du framework SCADA

contenus associés

ressources associées

PRODUITS

RESSOURCES

SUPPORT

À PROPOS

SUIVEZ-NOUS

Sécurité SCADA et la Gestion des Accès à Privilèges (PAM)

Qu’est-ce qu’un système SCADA ?

Sécurité SCADA a l’ère d’Internet

Le Framework de sécurité SCADA

Sécurité PAM et SCADA

Utilisateurs à Privilèges

Accès à Privilèges

PAM et la norme NIST

Le besoin d’une solution de PAM dans SCADA

La solution de PAM de WALLIX Bastion

Le PAM est critique dans l’application du framework SCADA

Partager cet article

contenus associés

ressources associées

PRODUITS

RESSOURCES

SUPPORT

À PROPOS

SUIVEZ-NOUS