Sécurité SCADA et la Gestion des Accès à Privilèges (PAM)
Les usines industrielles et les fournisseurs des services publics emploient couramment des systèmes de contrôle et d’acquisition de données (SCADA) pour gérer leurs systèmes de technologie opérationnelle (OT). Au cours des dernières années, l’exposition aux cybermenaces des systèmes SCADA a augmenté avec l’avènement d’Internet et l’augmentation de connectivité des systèmes SCADA traditionnellement isolés.
Le framework de cybersécurité SCADA recommande des contrôles pour contrer les risques de cyberattaques sur les systèmes SCADA, qui peut faire des ravages et même entraîner des pertes en vies humaines. Les contrôles d’accès, dont le PAM (Privileged Access Management), figurent en bonne place dans la sécurité SCADA, protégeant les systèmes industriels contre les acteurs malveillants.
Le framework de cybersécurité SCADA est mis en place pour gérer et prévenir les cyberattaques sur les systèmes technologiques opérationnels tels que les installations industrielles et les services d’électricité.
Qu’est-ce qu’un système SCADA ?
SCADA est un cadre technologique qui comprend de nombreux appareils et applications logicielles différents. Collectivement, les technologies pilotées par SCADA forment une sorte de système nerveux industriel. Ils se trouvent dans les usines, les centrales électriques et les hôpitaux. Ils exploitent également des systèmes de chauffage et de climatisation dans les bâtiments. Combinant des capteurs avec des ordinateurs de supervision et des unités terminales distantes (RTU), ils surveillent et contrôlent les processus physiques. Par exemple, le système SCADA d’une aciérie peut détecter quand l’acier fondu est suffisamment chaud pour couler, puis déclencher des actionneurs qui font couler l’acier dans des moules. Le SCADA englobe également des interfaces pour la génération de rapports et de commandes.
Sécurité SCADA a l’ère d’Internet
Traditionnellement, la sécurité SCADA n’était pas une préoccupation majeure pour les gestionnaires de systèmes SCADA. En utilisant des protocoles de communication exclusifs et en fonctionnant sur des réseaux isolés, les systèmes SCADA étaient difficiles à atteindre et difficiles à pirater. Les architectes de sécurité pourraient considérer le «trou d’air», la séparation complète des réseaux SCADA du monde extérieur, comme une contre-mesure extrêmement robuste aux menaces potentielles.
Cela dit, les impacts potentiels des attaques sur les systèmes SCADA sont importants. Ils vont d’inconvénients comme une panne de courant à des catastrophes directes comme une rupture de barrage, ou la mort ou la blessure de travailleurs industriels. Des possibilités auparavant lointaines, ce genre de conséquences potentiellement désastreuses sont maintenant plus probables.
Deux facteurs augmentent les risques des systèmes SCADA. Premièrement, le « trou d’air » n’étais jamais si efficace comme protection qu’on pensait. Un certain nombre de hacks très médiatisés, tels que l’attaque de Stuxnet sur les installations nucléaires iraniennes, ont révélé que les pirates peuvent accéder à des systèmes à interférence aérienne en utilisant l’ingénierie humaine, les clés USB et des techniques comparables.
Le développement le plus important, cependant, est l’activation des technologies SCADA avec Internet Protocol (IP). C’est un mouvement tout à fait compréhensible, étant donné que la propriété intellectuelle est devenue répandue et pratique. Les systèmes SCADA peuvent maintenant être entièrement accessibles sur Internet, avec toute la flexibilité et la portée que cela implique. Pourtant, du point de vue de la sécurité, c’est un désastre.
Le passage à des systèmes SCADA connectés offre un nouveau champ de possibilités pour des violations potentiellement catastrophiques.
Les systèmes SCADA compatibles IP sont maintenant aussi vulnérables aux attaques que n’importe quel autre périphérique sur Internet, sinon plus. Contrairement aux systèmes informatiques classiques tels que les serveurs et les bases de données, SCADA a été protégé par des lacunes et des barrières organisationnelles pendant des décennies. Par contre, l’OT n’est pas l’IT. SCADA est entré dans l’ère de l’Internet plus ou moins préparé aux cyberattaques. En revanche, l’informatique a connu plusieurs décennies difficiles pour apprendre à se défendre contre les pirates informatiques. OT est généralement une organisation distincte de l’informatique et n’a pas le même type de mandat de sécurité face aux départements informatiques. L’industrie a dû se montrer à la hauteur et concevoir des mesures de sécurité spécifiques aux systèmes SCADA IP.
Le Framework de sécurité SCADA
L’industrie utilise la publication spéciale NIST 800-82 comme guide définitif sur la sécurité SCADA. La révision 2, publiée en 2015, contient un « Guide de sécurité des systèmes de contrôle industriel (ICS) », ainsi que des systèmes de contrôle et d’acquisition de données (SCADA), des systèmes de contrôle distribués (DCS) et d’autres configurations de contrôles comme les contrôleurs logiques programmables (PLC).
La norme NIST couvre la gestion et l’évaluation des risques ICS, le développement et le déploiement de programmes de sécurité et l’architecture de sécurité. Elle offre des conseils détaillés sur l’application des contrôles de sécurité à ICS. À près de 250 pages, c’est au-delà de l’exhaustivité. Une discussion utile et concise de ses contrôles peut être trouvée dans un article publié par l’ISACA.
Sécurité PAM et SCADA
Quel est l’élément le plus important de la norme NIST pour SCADA et ICS? C’est difficile à dire, bien sûr. Ils sont tous importants. Pour maintenir un système SCADA sécurisé, les responsables de la sécurité doivent effectuer les évaluations et mettre en œuvre les contrôles recommandés dans la norme. Un domaine de contrôle, cependant, est fondamental pour le succès de pratiquement tous les autres aspects de la norme. C’est le contrôle d’accès, en particulier le contrôle sur des accès à privilèges.
Utilisateurs à Privilèges
Un utilisateur privilégié est une personne (ou une machine) qui peut exécuter des fonctions administratives sur les back-ends des systèmes critiques. Ils peuvent configurer, modifier ou supprimer des comptes d’utilisateurs. Leurs privilèges peuvent inclure la possibilité de configurer des systèmes, de mettre à jour un logiciel et d’accéder ou même de supprimer des données.
Accès à Privilèges
La gestion des accès à privilèges (PAM) désigne un ensemble de pratiques et d’outils permettant aux administrateurs de superviser et de régir l’utilisation des comptes d’utilisateurs à privilèges. Une solution PAM est un logiciel conçu pour contrôler et surveiller ces accès à privilèges. Il enregistre également généralement des sessions de compte privilégié à utiliser dans les réponses et les enquêtes sur les incidents de sécurité. Dans certains cas, les solutions de PAM émettent des alertes en cas de violation de la politique d’accès privilégié.
PAM et la norme NIST
Le terme « Gestion des accès à privilèges » n’apparaît pas dans la norme NIST, mais les principes de PAM sont présents partout. La section 5.6 de la norme, qui traite de la nécessité de « Défense en profondeur », recommande aux responsables de la sécurité d’OT de comprendre et de se défendre contre les « attaques sur les comptes privilégiés et / ou partagés ». La norme inclut une recommandation pour « restreindre les privilèges des utilisateurs ICS uniquement aux tâches requises pour effectuer le travail de chaque personne » (c’est-à-dire, établir un contrôle d’accès basé sur les rôles et configurer chaque rôle sur la base du principe du moindre privilège).
Le NIST 800-82 conseille également de restreindre l’accès physique au réseau et aux dispositifs ICS. Cette recommandation concerne le PAM. Après tout, il est presque impossible de restreindre l’accès aux périphériques physiques, tout en leur permettant d’être administrés sans une sorte de couche de protection intermédiaire comme une solution de PAM.
Bien que le terme « gestion des accès à privilèges » ou « PAM » n’apparaisse pas dans la norme NIST, les principes du PAM s’appliquent partout.
Le besoin d’une solution de PAM dans SCADA
Les solutions PAM offrent aux responsables de la sécurité OT les outils dont ils ont besoin pour gérer l’accès à privilèges dans un environnement SCADA complexe. La norme inclut des références aux difficultés inhérentes à l’authentification et à l’autorisation d’un grand nombre d’utilisateurs de SCADA. Par exemple, la section 5.15 de la norme, qui traite de l’authentification et de l’autorisation, lit,
« Un ICS peut contenir un grand nombre de systèmes, dont chacun doit être accessible par une variété d’utilisateurs. L’authentification et l’autorisation de ces utilisateurs constituent un défi pour l’ICS. La gestion des comptes de ces utilisateurs peut s’avérer problématique à mesure que les employés sont ajoutés, supprimés et que leurs rôles changent. À mesure que le nombre de systèmes et d’utilisateurs augmente, le processus de gestion de ces comptes devient plus compliqué. »
PAM fournit les outils dont les équipes de sécurité ont besoin pour gérer efficacement les accès à privilèges dans un environnement SCADA complexe.
La norme met également en garde contre une approche distribuée de l’authentification et de l’autorisation, où chaque système stocke ses propres identifiants utilisateur, « est problématique en ce sens qu’il ne s’adapte pas bien à mesure que la taille du système augmente. » Elle note, « Par exemple, si un utilisateur quitte l’organisation, le compte d’utilisateur correspondant doit être supprimé de chaque système individuellement. » Avec un contrôle centralisé des utilisateurs à privilèges, une solution de PAM peut désactiver l’accès des utilisateurs lorsqu’ils quittent l’organisation. Le PAM répond au besoin suggéré par la norme, qui stipule que « l’autorisation est appliquée par un mécanisme de contrôle d’accès ».
La solution de PAM de WALLIX Bastion
Le Bastion de WALLIX donne aux responsables du SCADA un tel mécanisme. L’Access Manager de WALLIX consiste d’une plateforme d’administration centralisée pour tous les accès à privilèges sur l’ensemble de l’écosystème SCADA. Les utilisateurs privilégiés se connectent à l’Access Manager afin d’effectuer des opérations liées a leur niveau de privileges sur les périphériques SCADA. Avec le Password Manager, les utilisateurs privilégiés n’ont pas besoin de connaître le mot de passe réel du périphérique physique. Cela empêche les utilisateurs d’ouvrir une brèche accidentelle ou malveillante sur un périphérique physique utilisé dans le contrôle industriel.
Le Session Manager de WALLIX enregistre les sessions à privilèges. Il met les journaux et les vidéos des sessions à la disposition des équipes des opérations de sécurité (SecOps) en cas d’incident de sécurité. Le Session Manager fournit des réponses aux questions les plus urgentes qui se posent au moment donné: Qui a fait quoi, quand et à quel système. Sans ce type d’enregistrement de session, SecOps peut perdre un temps de réponse précieux en essayant de comprendre des facteurs de causalité basiques dans une violation ou un acte de sabotage.
Le PAM est critique dans l’application du framework SCADA
La sécurité SCADA est un sujet lourd et complexe. Cependant, les enjeux sont élevés, et le public est à risque si les menaces ne sont pas bien atténuées. Le PAM apparaît comme un élément essentiel d’une stratégie de sécurité SCADA. Il est directement nécessaire de protéger les accès administratifs sensibles aux systèmes SCADA. Le PAM est également un support de nombreux contrôles mandatés, dans la norme NIST, par exemple. Le PAM est un facteur de succès clé pour une sécurité SCADA robuste.
Vous souhaitez en savoir plus sur la manière dont le Bastion WALLIX peut appliquer le framework SCADA à l’aide de fonctionnalités PAM robustes? Contactez-nous.