SERVICES INUTILISÉS ERREURS DE CONFIGURATION DE LA COMMUNICATION SCADA RISQUES DE SÉCURITÉ LES PLUS FRÉQUENTS dans les réseaux de centrales DÉTECTION DES CHANGEMENTS DE CONFIGURATION Les services ouverts ou inutilisés multiplient de manière disproportionnée les possibilités pour les pirates d’attaquer votre système de contrôle-commande ou votre système SCADA. Heureusement, nous pouvons facilement détecter ces services inutilisés grâce à la surveillance du réseau. Voici quelques services inutilisés courants que nous avons trouvés lors de nos évaluations : › IPv6 : principalement activé sur les PC, mais parfois aussi sur les IED. IPv6 n’a jamais été réellement utilisé mais il a fourni plusieurs vecteurs d’attaque sur le réseau. › Partage de fichiers Windows : le service de partage de fichiers était toujours activé sur les PC, les RTU et passerelles sous Windows, mais n’était pas utilisé. › PTPv2 : il a été activé par défaut sur certains switchs industriels, même s’il n’a jamais été utilisé. Il suffit de désactiver ces services ouverts/inutilisés pour diminuer le nombre de risques en matière de cybersécurité sur vos équipements. Une mauvaise configuration des périphériques RTU et SCADA peut ralentir la communication et entraîner l’échec des transmissions lors d’événements critiques sur site. Par exemple, dans un poste européen, les rapports MMS étaient configurés pour être envoyés à la mauvaise adresse IP du client. Après avoir résolu ces erreurs de configuration, nous avons constaté une amélioration vérifiable de la vitesse de communication de l’IED. La vérification de la vitesse de communication entravée réduira le risque opérationnel d’obstruction des processus de réponse. Dans un poste américain, nous avons détecté des messages GOOSE mal configurés. Ce problème s’est produit parce que deux techniciens différents ont configuré les appareils. À son tour, ce manque de communication entre les techniciens a provoqué des problèmes de communication entre ces appareils OT. Nous avons découvert que certaines activités de commande à distance dans le poste ne fonctionnaient pas correctement en raison de conditions de verrouillage non valides. Cela signifie qu’ils n’auraient pas été en mesure d’actionner leurs organes de coupure à distance en cas d’urgence. Ce cas m’a montré que des problèmes mineurs de communication GOOSE pouvaient causer des problèmes plus importants à la centrale. C’est pourquoi nous proposons toujours ces évaluations de sécurité de base gratuitement, ce qui nous permet de contacter d’autres centrales électriques, postes et centres de téléconduite pour approfondir nos connaissances. ? × Connexions externes non documentées accédant directement aux IED et aux switchs Firmware obsolète présentant des vulnérabilités connues Services inutilisés Accès non autorisés Habituellement, ces problèmes de sécurité sont favorisés par des problèmes de fonctionnement, tels que : Problèmes de configuration dans les IED, les RTU et les switchs réseau Défaillances de la synchronisation horaire Problèmes de redondance du réseau 8
RkJQdWJsaXNoZXIy NTkxNzY=