Rapport d’analyse de sécurité – Migration des systèmes de gestion de production (usines) (SCADA PLC) vers

une solution Moderne et infonuagique : ÉLEVÉ

Objectif :
La présente analyse a pour but d'établir le niveau de risque que représente l’utilisation système de gestion de production
SCADA dans l’ABC Energie

Portée (scope) :
La portée de cette analyse est sur le système de gestion de production (usines) (SCADA PLC) traditionnelle dans l’ABC Energie à
Montréal .l’analyse se porte sur l’utilisation de (SCADA PLC), capteurs et actionneurs, RTU.PLC, protocole de communication, les
serveurs de SCADA, les applications SCADA, les clients SCADA, l’accès physique aux salle de serveurs et salle de contrôle

Hors portée (out of scope):

La configuration de (SCADA PLC et les applications qui a une relation avec le SCADA et leur code de sources), les outils de
développement tous qui es mécanique est ne font pas partie de cette analyse de risque.

Classification des informations :

Dans le monde industriel, les critères liés à la sûreté de fonctionnement (disponibilité et intégrité en premier lieu) sont prioritaires par
rapport aux critères de confidentialité ou de traçabilité. Mais Le stockage de données Quelle que soit la nature peut être à relativiser
en fonction des processus métiers concernés et des obligations règlementaires, Des clients et des fournisseurs de service ainsi que
des informations financières, des plans d’acquisition, des documents légaux et médicaux et des recettes à propriété intellectuelle, les
automates les le code source et les licences. La classification des informations contenues dans les médias de sauvegarde est
« Confidentielle ».

Niveau de Criticité du système :

Critique, période d’intolérance immédiat.

Le Participant :
Analyste de Sécurité : Mohamed Nouadra

Date : 31-03-2020 au 15 -04-2020

L’analyse de sécurité s’est déroulée du 27 Mars au 15 Avril 2020.

Sommaire Exécutif :
Il est reconnu dans l’industrie qu’une grande quantité d’incidents majeurs de sécurité informatique se sont produits dans des
environnements ayant moins de surveillance telle que les logiciels de gestion. L’analyse de cet exercice nous porte à croire que le
niveau de risque que représentent les le système de gestion de production SCADA chez ABC Energie est considéré élevé en raison
des anomalies suivantes qui ont été observées :

1- Mauvaise gestion de Contrôle d’accès physique

2- Absence de politique de Gestion des comptes (accès logique, authentification)
3- Absence de segmentation des réseaux
4- Mauvaise Gestion des médias amovibles
5- Absence des outils de Gestion des journaux d’événements et d’alarmes
6- Absence Sauvegardes / restaurations
7- Mauvaise de gestion de la Documentation
8- Absence de politique de Mise à jour des correctifs (planification)
9- Mauvaise Protection des automates (PLC)
10- L’absence totale de sensibilisation
OBSERVATIONS :
Entretien
- Les programmes antivirus doivent être tenus à jour
- Mises à niveau du logiciel SCADA sur des PC individuels pour les correctifs Windows
- L'obsolescence du système d'exploitation nécessite l'achat, l'installation, le transfert et la conversion de fichiers
- Le support logiciel, le diagnostic et la résolution fournis par SCADA peuvent être longs et coûteux
- rechargement de la configuration au redémarrage via clé USB ou MMC17.
Accès /authentification
- Accès libre avec la carte d’employée
- outils de prise de main à distance non sécurisés (VNC, Dameware...).

Enregistrement de données
- Les bases de données relationnelles, comme Microsoft SQL, nécessitent une maintenance de routine. Les performances
en souffriront considérablement si les fonctions de maintenance de routine ne sont pas exécutées
- SCADA fourni les packages Historien peuvent nécessiter moins de maintenance, mais ajouter des coûts importants

Sécurité des données

- Les sauvegardes de données sont généralement la responsabilité de l'utilisateur final
- Le défaut d'effectuer des sauvegardes et des mises à jour de données de routine pour accéder aux autorisations pourrait
compromettre toutes les données stockées
- accès en lecture (ou écriture) à des fichiers configurations via FTP ou TFTP.
- partage de fichier sur le réseau en accès complet alors qu’un accès en lecture seule suffit
La Cybersécurité
- L'approche «Trust No One» ou TNO en matière de sécurité et de SCADA est rarement suivie.
- Les licences SCADA qui nécessitent une connectivité Internet pour les mises à niveau peuvent compromettre la sécurité
des données

Tendance historique
- La tendance historique est limitée par l'espace de stockage sur le PC local
Rapports / Analytique
- Les rapports et analyses de données sont généralement configurés en tant que module complémentaire distinct et
peuvent nécessiter une grande expertise pour la configuration et la maintenance

Interface Web
- Les utilisateurs Web sont ajoutés en fonction de frais par utilisateur ou d'utilisateurs simultanés.
- Les utilisateurs Web ont généralement les mêmes capacités que les utilisateurs SCADA locaux.

Interface mobile
- Selon le fournisseur, il peut s'agir simplement d'une page HTML avec des graphiques formatés pour un PC
- Les fournisseurs SCADA qui proposent des applications mobiles ont généralement une approche de conception unique
avec une flexibilité limitée

Notifications par e-mail et SMS

- Un serveur SCADA doit avoir accès à un serveur de messagerie local ou éventuellement basé sur le Web afin d'envoyer
des notifications via SMS ou e-mail.
- Les destinataires d'alarmes et de notifications par e-mail sont généralement configurés dans le cadre de la configuration
du système de développement. Les destinataires des e-mails qui ne veulent plus de messages ou en veulent moins sont
à la merci du développeur SCADA.
Liste des Anomalies et des Écarts :
1- Mauvaise gestion de Contrôle d’accès physique (Estimation du risque : Elevé).
- Accès libre aux sièges et salle de contrôle avec la carte employé (stations, serveurs, équipements, réseau, automates,
captures/actionneurs, écrans tactiles)
- Le système d’alarme existe depuis 20 ans
- Les appareils de mesure de température humidité et autre appareils existe depuis l’ouverture d’ABC Energie

Il est important d’avoir une stratégie selon les normes de sécurité pour Identifier qui a besoin d’accéder aux équipements,
pourquoi et à quelle fréquence, Installer les serveurs dans des locaux fermés sous contrôle d’accès (si possible dans les salles
informatiques),Placer les unités centrales des stations, les équipements réseaux industriels et les automates dans des armoires
fermées à clé, Protéger l’accès au câble réseau et aux prises de connexion. Et mettre en place un système d’alarme moderne
centralisé pour Remonter un contact d’ouverture de la porte pour générer une alarme sur le SCADA.
2- Absence de politique de Gestion des comptes (accès logique, authentification) (Estimation du risque : Elevé).
- Absence de séparation des tâches par le biais de l’autorisation d’accès assignée.
- Il n’y a pas d’authentification en fonction des rôles pour la communication avec les composants des SCI.
- mot de passe en clair dans les codes sources, dans les procédures d’exploitation et les données sauvegardées.
- les comptes restent actifs lorsque les intervenants quittent le site, existence de comptes génériques.
- Utilisation excessive des comptes administrateurs.
- Certains hôtes de SCI ont des mots de passe administratifs très faibles à trois caractères.

- Non-application d’un système de verrouillage pour les tentatives de connexion infructueuses.

Pour protéger ABC-Energie contre les accès illicites.il doit Définir une politique de gestion des comptes utilisateur et des
comptes d’application. Ne pas laisser les comptes par défaut sur les équipements et applications (admin/admin), Privilégier
des mots de passe robustes, activer l’option de complexité de mot de passe Ne pas oublier de changer régulièrement les
mots de passe. Et dans une autre Façon il doit mettre en place solution GIA sur tous Les systèmes d’exploitation, les bases de
données, les applications SCADA, les programmes automates, les équipements de réseau, les capteurs et actionneurs
3- Absence de segmentation des réseaux (Estimation du risque : Elevé).
- Absence de segmentation interne du réseau production du SCI, Les serveurs du protocole de communication inter-
centres de
- Absence de segmentation interne du réseau production du SCI : l’hôte doté d’une liaison série dédiée pour le transfert
de données utilise une application à haut risque qui n’est pas dans une DMZ.
- Règles des pare-feu non adaptées au trafic du SCI
- Un client de courrier électronique de la DMZ avait accès au réseau local et à l’Internet de l’entreprise.
- Les évaluations des interventions en cas d’incident et les évaluations faites à l’aide de l’outil d’évaluation de la
Cybersécurité sur le site ont mis en évidence les problèmes ci-après sur de multiples sites.

- Absence de pare-feu.
Pour Limiter la propagation des attaques et confiner les vulnérabilités Réseau SCADA, réseau d’automates, réseau de
développement... .Il doit appliquer les mesure de sécurité suivantes Établir une cartographie des flux, Séparer les réseaux par
des équipements dédiés ou des VLAN, Filtrer les flux au moyen de pare-feu Tracer les flux rejetés et les analyser, limiter les
accès selon le rôle.
4- Mauvaise Gestion des médias amovibles (Estimation du risque : Elevé).
- absence de sauvegarde des données, des codes sources, et de la configuration des équipements.
- absence de politique de gestion des médias amovibles (ex. : blocage des ports USB) alors que les clés USB non maîtrisées
sont autorisées.

- Absence de chiffrement (encryptions) des données sauvegardées

Il important d’avoir une stratégie de sauvegarde selon les normes de sécurité (ISO, NIST) et autre de norme de sécurité pour
Réduire les risques d’attaque de virus véhiculés à partir de médias amovibles (clés USB, DVD, etc.) qui sont des vecteurs
majeurs de propagation.
5- Absence des outils de Gestion des journaux d’événements et d’alarmes (Estimation du risque : Elevé).

- Journalisation absente ou médiocre

Pour Surveiller les systèmes / Détecter les intrusions / Tracer les actions et les interventions de maintenance (ou
télémaintenance) il doit Activer les fonctions de traçabilité si les équipements et logiciels le permettent (syslog, SNMP, «
Windows Event », fichier texte, etc. Sélectionner les événements pertinents et organiser le stockage des événements
(volumétrie, durée de conservation). Centraliser les journaux et générer des alertes pour certains événements ou suites
d’événements. Actuellement il Ya des outils pour aider à traiter les événements et à les trier en fonction de critères prédéfinis.
 (Exemple OSSIM, SPLUNK).les outils touchent Systèmes d’exploitation, bases de données, applications SCADA, équipements
réseau, automates…

6- Absence de politique Sauvegardes / restaurations (Estimation du risque : Elevé).

- absence de sauvegarde des données, des codes sources, et de la configuration des équipements
- Aucune sauvegarde du matériel, des logiciels et des échelles de l'automate la logique, les journaux d'alarmes ou les
données historiques sont actuellement conservé par l’entreprise
- Le protocole des SCI a autorisé des hôtes des systèmes à lire ou à écraser des fichiers sur d’autres hôtes sans aucune
journalisation.
- Service de base de données fonctionnant comme administrateur
Pour assurer la récupération et Disposer des données nécessaires au redémarrage complet d’un site après une attaque ou un
désastre (ceci inclut les données des systèmes). Il doit Définir une politique de sauvegarde. Surtout les données nécessaires à
sauvegarder pour répondre aux besoins des utilisateurs, reconstruire une installation suite à un incident ou satisfaire aux
exigences réglementaires la gestion touchent Codes source de l’application, bases de données de configuration (utilisateurs,
seuils d’alarmes…), historiques de SCADA, programmes, firmwares et données (variables, mots…) des automates, fichiers de
configuration et firmware des équipements réseau (commutateur, VPN, routeur, firewall, …), paramètres de réglage et
firmware des capteurs et actionneurs intelligents par exemple
7- Mauvaise de gestion de la Documentation (Estimation du risque : Elevé).
- Une mauvaise documentation de l'automate n'identifie pas Logique ladder PLC obsolète, ce qui le rend extrêmement
difficile de comprendre comment le Les automates fonctionnent.
- Une mauvaise documentation de l'automate augmente le besoin avoir un programmeur sur place pour répondre
questions relatives aux opérations de processus.
- Une mauvaise documentation de l'automate augmente le besoin d'avoir un programmeur sur place pour aider
l’électricien d'usine pour dépanner simple problème.
- Les variables WW obsolètes sont toujours valides Adresses API. Lorsque ces adresses API sont réutilisées avec une
nouvelle instrumentation, le trafic réseau augmente, ce qui ralentit réponse de l'ordinateur aux perturbations du
processus.
- Des noms WW incorrects créent de la confusion pendant le dépannage.
- De nombreux écrans dans WW contiennent des couleurs combinaisons qui ne peuvent pas être facilement distingué par
quelqu'un avec une couleur carence.
- La documentation et les informations sur la configuration sont échangées librement (lecture seule).
Pour Maîtriser la documentation pour disposer d’une image exacte des installations et éviter des erreurs d’exploitation
Maîtriser la diffusion afin que seules les personnes ayant besoin des informations soient les destinataires. Il doit Définir une
politique de gestion de la documentation (processus de mise à jour, durée de conservation, liste de diffusion, stockage…). La
documentation relative à un système d’information ne doit pas être conservée sur le système lui-même. On plus il doit
Sensibiliser les utilisateurs aux risques liés à la documentation. Laisser des documents en évidence sur un bureau ou dans le
coffre d’une voiture (à côté du PC d’astreinte par exemple) est une mauvaise pratique.
8- Absence de politique Mise à jour des correctifs (planification) (Estimation du risque : Elevé).
- absence de mise à jour (correctifs) des systèmes d’exploitation, des applications, des firmwares (pour les automates,
capteurs/actionneurs intelligents…).
- absence de mécanisme de signature des firmwares (possibilité pour un attaquant de diffuser une mise à jour piégée).
Pour prémunir de défaillances liées aux bogues corrigés par les correctifs. Définir une politique de gestion des
correctifs (systématique, périodique ou ponctuelle) adaptée aux contraintes fonctionnelles et aux risques identifiés. Par
exemple, définir les priorités de déploiement des correctifs, vérifier les compatibilités ascendantes, et l’interopérabilité.
Appliquer systématiquement les correctifs aux stations d’ingénierie et postes nomades Appliquer périodiquement les
correctifs sur les stations opérateurs. Appliquer lors de la maintenance les correctifs sur les installations sensibles les
Correctifs s’applique sur les systèmes d’exploitation, des applications, des firmwares en fonction des vulnérabilités corrigées.
Station d’ingénierie, postes opérateurs, serveurs, PLC, équipements télécom, écrans tactiles...
9- mauvaise Protection des automates (PLC) (Estimation du risque : Elevé).
- modification en ligne des programmes automates autorisée sans contrôle
Ces éléments constituent des points vulnérables et sont des vecteurs forts de contamination et de prise de contrôle. Ces
machines, connectées au réseau industriel, contiennent les logiciels de configuration des équipements, de programmation
des automates et des SCADA, parfois des versions de code source... Certains postes peuvent être nomades et se connecter
sur d’autres réseaux comme des réseaux bureautiques
10- L’absence totale de sensibilisation : (Estimation du risque : Moyen).
- Absence totale de sensibilisation concernent les méthodes d’attaque
La sensibilisation joue un grand rôle au niveau de sécurité de l’entreprise
Recommandations : notre objectif de maigrir vers le cloud est de sécuriser ABC Energie et de réduire le risque actuel
Court Terme (dans les plus brefs délais) : Les remédiations suivantes sont requises dans les plus brefs délais afin de réduire le niveau
de risque à Moyen : toutes les actions suivantes sont des points de préparation pour maigrir vers le cloud
1- il doit penser à maigrir ver le cloud
2- mettre en place un système d’alarme moderne sensible
3- Définissez un processus clair pour octroyer et gérer les autorisations et les données d’identification pour utilisateurs,
appareils/machines et processus, applications, et enlever les accès actuel et remplacer par d’autre accès selon le rôle
4- segmenter le réseau actuel Séparer les réseaux par des équipements dédiés ou des VLAN, Filtrer les flux au moyen de pare-
feu, Tracer les flux rejetés et les analyser, chiffrer les connexions inter-réaux exemple N0- réseau du bus d’instrumentation,
N1- réseau de commande, N2 - réseau des systèmes de commande (IHM), N3 - zone DMZ (opérations), N4 - réseau
d'entreprise, N5 - zone DMZ (Internet).
5- Procéder au chiffrement de tous les médias de sauvegarde d’ABC Energie localisés à l’internet et à l’externe, Utiliser au
minimum un algorithme AES-256 bit de type symétrique. Une procédure écrite sera nécessaire pour la gestion des clés de
chiffrement.
6- Protéger l’accès au code source et au code embarqué dans les CPU.
7- Installer un antivirus professionnelle
8- Apres tous ca il doit procéder un test d’intrusion pour détecter d’autre vulnérabilité
9- Choisir ton type de cloud et ton fournisseur de service cloud selon la nature d’ABC Energie
- Flexibilité pour augmenter les ressources du serveur selon les besoins, sans avoir à acheter des ressources
supplémentaires pour l'avenir.
- Paiements réguliers bas pour le service cloud. Exclure les coûts de démarrage élevés pour l'achat d'un propre serveur
physique
- Sauvegarde sur un serveur séparé qui garantit la récupération des données en cas d'urgence.
- L’accessibilité : tout service offert à partir du nuage est accessible de partout tant que l'utilisateur dispose d'une
connectivité internet.
Moyen Terme (trois (3) mois) : Les remédiations suivantes sont requises pour réduire le niveau de risque de Moyen à Faible :
10- Apres avoir choisir IoT-Cloud comme type de cloud il doit
11- Procéder un audit totale pour la conformité selon les normes applique sur le domaine de production énergique et TI
12- Vérifier la compatibilité de votre infrastructure et les Normes d’IoT-cloud
13- Sélectionner les applications à migrer en priorité ici il doit poser la question suivant est-ce que Toutes les applications et
licences sont-elles éligibles dans l’IoT-cloud ? selon l’analyse il faut les mettre ajour toutes les applications et les protocoles
industriel
14- Vérifier votre infrastructure actuelle, selon l’analyse il y a des travaux majeurs au niveau de réseaux, serveurs, ordinateurs,
type de connectivite pour s’adapter l’infrastructure (mémoire processeur stockage) avec d’IoT-cloud
15- Exécuter la migration
16- Sauvegardez vos serveurs et données afin de maintenir la disponibilité des applications pendant le processus de migration
17- Déployez l’environnement cloud : cela implique l’approvisionnement, la connexion et les tests de tous les composants (de
stockage, de calcul, de base de données, de sécurité…).
18- Migrez les serveurs, données et applications : quel que soit l’ordre dans lequel vous choisissez de migrer, vous devrez passer
du temps à les configurer.
19- Validez et ajustez l’environnement de production : vous devez vérifier que toutes vos données sont présentes et sécurisées.
De leur côté, les utilisateurs finaux des applications migrées doivent vérifier que toutes les fonctionnalités sont accessibles et
opérationnelles…
20- Surveiller l’environnement de production avec des outils comme SPLUNK pour vous alerter s’il Ya des actions au niveau de
votre system de production
Long Terme (six (6) mois) :
21- Passer complètement vers l’iot-cloud
22- Créer des centres de données
23- évaluation des performances
24- Mettre en place un politique de continuité (créer des sites de relevé)
25- Vers la conformité selon les normes (ISO NIST SOX etc ….)
26- Procéder périodiquement des tests d’intrusion pour détecter des vulnérabilités
27- ne pas oublier les plans futurs
Même si le SCADA est maintenant dans le cloud il y a des attaques cybernautiques qui lui touchent mais ce n’est pas comme avant de
migrer vers le cloud

Conclusion : L’analyse de sécurité des sauvegardes dans ABC Energie de nous porte à croire que le risque pour la confidentialité,
l’intégrité et la disponibilité des actifs informationnels serait élevé. Dans l’industrie, si les volumes de données restent relativement
modestes et les données généralement peu sensibles en termes de confidentialité, il n’en va pas de même pour leur disponibilité et
leur intégrité.