Computer Security Techniques for Nuclear Facilities

1. INTRODUCTION

Contexte

1.1. La sécurité nucléaire est destinée à prévenir et à détecter les actes criminels et les actes non autorisés délibérés mettant en jeu ou visant des matières nucléaires, d’autres matières radioactives, des installations associées ou des activités associées, et à intervenir si de tels actes sont commis. La sécurité nucléaire des matières et installations nucléaires englobe la protection physique, les aspects de la sécurité qui concernent le personnel (habilitation et mesures de protection contre les menaces internes, par exemple) et la sécurité de l’information.

1.2. Les groupes ou les individus qui préparent ou commettent un acte malveillant mettant en jeu des matières nucléaires ou une installation nucléaire peuvent tirer parti d’informations sensibles et de ressources d’informations sensibles qui concernent les matières, l’installation ou les mesures de sécurité en vigueur.

1.3. Les Fondements de la sécurité nucléaire [1] et les trois Recommandations de sécurité nucléaire [2–4] soulignent qu’il importe de protéger les informations sensibles. La publication no 23-G de la collection Sécurité nucléaire de l’AIEA, intitulée « Sécurité de l’information nucléaire » [5], donne des orientations sur les mesures qui permettent de recenser, de classer et de protéger les informations sensibles afin d’atteindre une sécurité de l’information efficace dans le cadre d’un régime de sécurité nucléaire national.

1.4. Une cyberattaque contre une installation nucléaire peut contribuer à causer des dommages matériels à l’installation ou à désactiver ses systèmes de sûreté ou de sécurité (c’est-à-dire à les saboter), ou faciliter l’accès à des informations nucléaires sensibles ou permettre un enlèvement non autorisé de matières nucléaires. Dans une installation nucléaire, la sécurité informatique est donc indispensable pour préserver la sécurité et la sûreté nucléaires.

1.5. La protection des ressources numériques sensibles¹ (RNS) est recommandée au paragraphe 4.10 de la référence [2], selon lequel

« [l]es systèmes informatisés utilisés pour la protection physique, la sûreté nucléaire et la comptabilité et le contrôle des matières nucléaires devraient être protégés contre la compromission (cyberattaque, manipulation ou falsification, par exemple) conformément à l’évaluation de la menace ou à la menace de référence. »

Le besoin particulier de protection des systèmes informatiques contre les menaces internes est confirmé dans la référence [6].

1.6. Des orientations générales sur la sécurité informatique pour la sécurité nucléaire figurent dans la publication n° 42-G de la collection Sécurité nucléaire de l’AIEA, intitulée « Sécurité informatique pour la sécurité nucléaire » [7], et des orientations plus précises sur la sécurité informatique des systèmes de contrôle-commande figurent dans la publication n° 33-T de la collection Sécurité nucléaire de l’AIEA, intitulée « Sécurité informatique des systèmes de contrôle-commande dans les installations nucléaires » [8]. La présente publication vise à compléter ces orientations en donnant des informations détaillées sur les techniques de sécurité informatique pour d’autres systèmes utilisés dans les installations nucléaires.

Objet

1.7. La présente publication a pour objet d’aider les États Membres à mettre en œuvre la sécurité informatique dans les installations nucléaires afin d’empêcher l’enlèvement non autorisé de matières nucléaires, le sabotage d’installations nucléaires et l’accès non autorisé à des informations nucléaires sensibles, et d’assurer une protection contre de tels actes. Elle traite la question de la sécurité informatique pour les activités de soutien et les organismes qui apportent un appui, comme les vendeurs, les sous-traitants et les fournisseurs. La présente publication est principalement consacrée à la sécurité des installations nucléaires, mais l’application de ces orientations peut également avoir un effet positif sur la sûreté des installations et la performance d’exploitation.

1.8. La présente publication porte aussi sur l’utilisation d’approches fondées sur les risques pour mettre en place et améliorer les politiques, les programmes et les mesures de sécurité informatique qui visent à protéger les RNS et les autres ressources numériques. Une installation nucléaire est tributaire de RNS et d’autres ressources numériques pour sa sûreté et sa sécurité. La présente publication décrit l’intégration de la sécurité informatique dans le système de gestion d’une installation ou d’une organisation, et contient des orientations sur la définition des règles et des exigences et sur les activités menées pour élaborer, appliquer, pérenniser, maintenir, évaluer et améliorer continuellement les mesures de sécurité informatique qui protègent l’installation contre les cyberattaques conformément à l’évaluation de la menace ou à la menace de référence [9].

1.9. La présente publication donne également des orientations techniques pour protéger d’autres ressources numériques présentes dans une installation nucléaire.

1.10. La présente publication est destinée aux organismes de réglementation et aux autres autorités compétentes, ainsi qu’aux exploitants d’installations nucléaires et à leurs vendeurs, à leurs sous-traitants et à leurs fournisseurs.

Champ d’application

1.11. Les orientations qui figurent dans la présente publication concernent la mise en œuvre et la gestion de la sécurité informatique pour la sécurité nucléaire dans les installations nucléaires. Elles s’appliquent à toutes les étapes de la vie d’une installation nucléaire [10].

1.12. Dans une installation nucléaire, la sécurité informatique vise à protéger différents systèmes qui contribuent à assurer différents aspects de la sécurité nucléaire, comme le système de protection physique ou le système de comptabilité et de contrôle des matières nucléaires. La question de la conception ou du fonctionnement de ces systèmes n’est pas abordée dans la présente publication, sauf dans la mesure où elle a un rapport avec la protection des systèmes par des mesures de sécurité informatique.

1.13. La présente publication prend en compte toutes les ressources numériques associées à une installation nucléaire, y compris les systèmes de contrôle-commande de l’installation. Des orientations supplémentaires sur les questions particulières de sécurité informatique pour les systèmes de contrôle-commande d’une installation qui exécutent des fonctions de sûreté ou de sécurité, ou des fonctions auxiliaires, figurent dans la référence [8].

Structure

1.14. Après la présente introduction, la section 2 définit les termes essentiels et les notions de base, et décrit les relations qui existent entre ces notions. La section 3 expose des considérations générales sur la sécurité informatique dans les installations nucléaires. Les sections 4 et 5 donnent des orientations sur la gestion des risques liés à la sécurité informatique (GRSI), respectivement au niveau d’une installation et d’un système. La section 6 contient des orientations sur la GRSI pour une installation ou un système qui concernent les différentes étapes de la vie de l’installation concernée. La section 7 donne une vue d’ensemble du programme de sécurité informatique (PSI). La section 8 présente un exemple d’utilisation d’une architecture de sécurité informatique défensive (ASID) et de mise en œuvre des mesures de sécurité informatique correspondantes.

1.15. L’appendice contient des orientations portant spécifiquement sur certains éléments du PSI. L’annexe I donne des exemples de scénarios d’attaque qui peuvent servir à évaluer la sécurité dans une installation nucléaire. L’annexe II présente un exemple d’affectation des niveaux de sécurité informatique dans une centrale nucléaire. L’annexe III donne un exemple d’application du principe des niveaux et des zones de sécurité informatique.

2. Notions de base et relations qui existent entre elles

2.1. La présente section clarifie le sens de termes importants qui sont employés dans toute la publication.

Sécurité nucléaire et sécurité informatique

2.2. Selon les Fondements de la sécurité nucléaire [1], les cibles sont les suivantes dans le domaine de la sécurité nucléaire :

« Matières nucléaires, autres matières radioactives, installations associées, activités associées ou autres emplacements ou objets pouvant être exploités par une menace contre la sécurité nucléaire, y compris les grandes manifestations publiques, les emplacements stratégiques, les informations sensibles et les ressources d’informations sensibles. »

Les informations sensibles comprennent les informations stockées dans les RNS, mais aussi les logiciels installés sur ces ressources, notamment les logiciels exécutés, les micrologiciels embarqués, les outils de développement, les outils de tests, les logiciels de maintenance et les systèmes d’exploitation.

2.3. Selon la référence [1],un système de sécurité nucléaire est un « [e]nsemble intégré de mesures de sécurité nucléaire ». Les mesures de sécurité nucléaire sont définies comme suit :

« Mesures visant soit à prévenir une menace contre la sécurité nucléaire découlant de l’accomplissement d’actes criminels ou d’actes non autorisés délibérés mettant en jeu ou visant des matières nucléaires, d’autres matières radioactives, ou des installations ou activités associées, soit à détecter des événements de sécurité nucléaire ou à intervenir en cas de tels événements. » [1]

2.4. Selon les orientations générales sur la sécurité informatique [7] : « Dans le cadre de son régime de sécurité nucléaire, l’État devrait élaborer et pérenniser une stratégie nationale de sécurité informatique. » Comme les installations nucléaires relèvent du régime de sécurité nucléaire, les mesures de sécurité informatique applicables dans ces installations doivent être intégrées dans la stratégie nationale. Les fonctions d’une installation qui contribuent à la sûreté et à la sécurité doivent être protégées contre les adversaires. Lorsque ces fonctions reposent sur des techniques numériques ou en dépendent ou en bénéficient, des mesures de sécurité informatique doivent être adoptées pour les protéger.

2.5. La sécurité informatique concerne les systèmes informatiques, surtout ceux qui exécutent ou appuient des fonctions d’une installation importantes pour la sécurité et la sûreté nucléaires (c’est-à-dire les ressources numériques) ou ayant un rapport avec ces domaines. Elle se compose de techniques et d’outils qui permettent de se protéger contre les cyberattaques et contre les actes ou les omissions qui pourraient compromettre la sécurité.

Fonctions d’une installation, niveaux de sécurité informatique et zones de sécurité informatique

2.6. Pour protéger méthodiquement des systèmes selon une approche graduée, l’une des techniques classiques consiste à recourir aux notions de niveau de sécurité informatique et de zone de sécurité informatique. Le niveau de sécurité informatique qui est attribué à une zone de sécurité informatique est déterminé par la plus forte protection de la sécurité qui est nécessaire pour chaque fonction de l’installation qui est exécutée par un système présent dans cette zone. Le même niveau de sécurité informatique est attribué à tous les systèmes d’une zone. Lorsque ce modèle est appliqué, une installation nucléaire se compose généralement de nombreuses zones différentes, et plusieurs zones peuvent avoir le même niveau de sécurité informatique.

2.7. Une fonction d’une installation est un ensemble coordonné d’actions et de processus qui doivent être exécutés dans une installation nucléaire. Les fonctions d’une installation comprennent les fonctions qui sont importantes pour la sécurité nucléaire ou qui intéressent la sécurité nucléaire, et les fonctions qui sont importantes pour la sûreté nucléaire ou qui intéressent la sûreté nucléaire (c’est-à-dire les fonctions de sûreté)². Les fonctions d’une installation sont confiées à des systèmes³, et chacun d’entre eux exécute une ou plusieurs de ces fonctions.

2.8. Le niveau de sécurité informatique est un chiffre qui indique le degré de protection de la sécurité qui est nécessaire pour une fonction d’une installation, et donc pour le système qui exécute la fonction en question. Chaque niveau de sécurité informatique s’accompagne d’une série d’exigences imposées par l’exploitant pour que les ressources numériques auxquelles a été attribué le niveau concerné bénéficient d’une protection appropriée selon une approche graduée. Chacun d’entre eux requiert différentes séries de mesures de sécurité informatique pour répondre aux exigences de sécurité informatique du niveau en question.

2.9. Une zone de sécurité informatique est un regroupement logique ou physique de ressources numériques auxquelles est attribué le même niveau de sécurité informatique et qui sont soumises aux mêmes exigences de sécurité informatique en raison des caractéristiques des systèmes ou de leurs connexions avec d’autres systèmes (des critères supplémentaires sont utilisés au besoin). Le recours aux zones de sécurité informatique vise à simplifier la gestion, la communication et l’application des mesures de sécurité informatique⁴.

2.10. Les critères supplémentaires qui sont appliqués pour la définition des zones de sécurité informatique peuvent notamment être les suivants :

a) les responsabilités au sein de l’organisation, par exemple des zones de sécurité informatique différentes pour des systèmes qui relèvent de départements différents ;

b) la nécessité de maintenir une séparation, par exemple des zones de sécurité informatique différentes pour des systèmes redondants qui ont le même niveau de sécurité informatique et exécutent la même fonction d’une installation ;

c) les zones déjà définies à d’autres fins ; par souci de simplicité, une zone de sécurité informatique est par exemple définie de la même manière qu’une zone déjà créée pour des besoins administratifs ou à des fins de communication.

2.11. Les relations théoriques entre les notions de fonction d’une installation, de niveau de sécurité informatique, de système et de zone de sécurité informatique sont représentées sur la figure 1.

2.12. Sur la figure 1, chacune des relations théoriques est associée à une lettre, et on trouvera ci-après la description correspondante :

a) Chaque fonction d’une installation se voit attribuer un seul niveau de sécurité informatique.

b) Chaque niveau de sécurité informatique peut être attribué à une ou plusieurs fonctions d’une installation.

c) Chaque fonction d’une installation est idéalement affectée à un seul système, dans la mesure du possible ⁵.

d) Chaque système exécute idéalement une seule fonction d’une installation, dans la mesure du possible ⁶.

e) Chaque niveau de sécurité informatique peut être attribué à une ou plusieurs zones de sécurité.

f) Chaque zone de sécurité informatique se voit attribuer un seul niveau de sécurité informatique.

g) Chaque système est installé dans une seule zone de sécurité informatique, dans la mesure du possible ⁷.

h) Chaque zone de sécurité informatique peut contenir un ou plusieurs systèmes.

Gestion des risques liés à la sécurité informatique

2.13. La GRSI pour une installation (voir la section 4) concerne les fonctions de l’installation et permet d’attribuer un niveau de sécurité informatique à ces fonctions et de les confier à un ou plusieurs systèmes. Les systèmes se voient attribuer le niveau de sécurité informatique des fonctions qui leur sont confiées.

2.14. La GRSI pour un système (voir la section 5) fait partie de la GRSI pour une installation, est consacrée à un système particulier et permet de déterminer a) les limites des zones de sécurité informatique à partir des fonctions de l’installation exécutées et des connexions des systèmes, et b) les mesures de sécurité informatique à appliquer pour répondre aux exigences du niveau de sécurité informatique de la zone.

2.15. Pour obtenir des résultats en gestion des risques, il faut le plus souvent élaborer et analyser des scénarios, et parfois les simuler pour renforcer la confiance dans les évaluations qualitatives. Il existe deux catégories de scénarios : les scénarios fonctionnels et les scénarios techniques. Les scénarios fonctionnels sont généralement utilisés dans le cadre de la GRSI pour une installation, et les scénarios techniques dans le cadre de la GRSI pour un système.

Concilier simplicité, efficacité et sécurité informatique

2.16. Il faut pouvoir concilier simplicité, efficacité et sécurité informatique pour les actions suivantes :

a) recenser les fonctions d’une installation ;

b) confier ces fonctions à des systèmes ;

c) mettre au point les systèmes ;

d) définir les exigences de sécurité informatique pour les différents niveaux de sécurité informatique selon une approche graduée ;

e) fixer des limites logiques ou physiques pour les zones de sécurité informatique.

2.17. La simplicité peut conduire à confier une fonction à un seul système. L’ASID permettra alors probablement d’élaborer des mesures de sécurité informatique adaptées à chaque zone pour chaque fonction d’une installation (en supposant que la relation entre les systèmes et les fonctions est bijective). Les systèmes ont cependant besoin d’interconnexions pour pouvoir intégrer des fonctions distantes d’une installation. L’ensemble des niveaux et des zones de sécurité informatique peut donc devenir plus complexe en