Ce que j’ai appris de l’évaluation des réseaux OT

1. Identification des risques en matière de sécurité 

En regardant leur réseau OT, les clients nous demandent toujours : « Quels sont, à votre avis, les risques encourus en matière de sécurité ? »  

Malgré de nombreuses années de connaissances en cybersécurité des réseaux électriques à notre actif et 20 ans d’expérience dans les automatismes de postes électriques et les réseaux SCADA, nous avions encore des difficultés à répondre à cette question. 

Pour trouver des réponses satisfaisantes, nous avons passé trois ans (2017-2020) à évaluer des centrales et des postes électriques sur tous les continents, de la Suisse à l’Inde et des États-Unis à la Namibie. L’expérience en matière de cybersécurité et de surveillance fonctionnelle que nous avons accumulée nous a aidés à développer une nouvelle approche de la sécurité dans l’environnement OT, car la protection des réseaux d’automatisme des postes électriques ne se limite pas uniquement à la cybersécurité

La sécurité fonctionnelle et l’efficacité opérationnelle continue jouent également un rôle essentiel dans le concept de sécurité global. Ce n’est que par la couverture combinée de tous les facteurs qui sont impliqués dans un système SCADA et un système de contrôle-commande numérique (CCN) fonctionnant correctement qu’un concept de sécurité général peut être créé et, plus important encore, maintenu.  

Aujourd’hui, nous sommes fiers de dire que nous utilisons StationGuard. Il s’agit d’un système de détection d’intrusion (IDS) qui nous permet non seulement d’assurer la cybersécurité des CCN et des centres de téléconduite, mais aussi d’évaluer la sécurité du réseau OT avec un niveau de précision et une simplicité d’utilisation sans précédent. 

Je vais maintenant expliquer  

  • pourquoi nous fournissons des évaluations de sécurité pour les centres de téléconduite, les centrales électriques et les réseaux de postes,  

  • pourquoi nous les offrons gratuitement 

  • et certains des résultats les plus intéressants que nous avons obtenus. 

  •  

2. Évaluation de la sécurité du réseau OT 

Avant d’ajouter StationGuard à notre répertoire, les ingénieurs OMICRON ont testé et évalué de nombreux CCN, centrales électriques et réseaux de centres de téléconduite : nous avons effectué des tests de pénétration, participé au développement d’architectures réseau sécurisées, pris en charge la rédaction de procédures d’ingénierie OT sécurisées pour les postes, et réalisé des évaluations des risques dans les centrales électriques, pour ne citer que ces quelques exemples. Nous avons utilisé les connaissances acquises pendant cette période pour développer notre IDS StationGuard.  

Grâce à ce système, les évaluations de sécurité sont simples, facilement compréhensibles et peu compliquées. Les problèmes les plus importants pour la cybersécurité d’un environnement OT, qui converge régulièrement avec le réseau informatique de la compagnie d’électricité, peuvent être révélés en détail. 

Fin 2020, j’ai été contacté par un de mes collègues qui m’a demandé de créer un rapport d’évaluation de sécurité pour l’un de nos clients utilisant StationGuard. J’ai reçu des fichiers techniques du client et je me suis familiarisé avec l’architecture réseau de la compagnie d’électricité. Ces documents constituent toujours la base conventionnelle d’une évaluation de sécurité, avant que nous poursuivions notre évaluation sur site.  

À la fin de notre évaluation, nous avons présenté nos conclusions à nos clients. Dans le cadre de nos évaluations de sécurité, nous fournissons généralement : 

  • un inventaire exhaustif de tous les éléments communiquant dans les réseaux ;  
  • une liste des services « inhabituels » observés sur le réseau ; et  
  • les problèmes fonctionnels que nous avons découverts dans le système de contrôle-commande ou le système SCADA. 
  •  

Les données de ma première évaluation de sécurité se sont révélées très inattendues pour les techniciens en charge des postes et les informaticiens. Parmi les risques mis en évidence par notre évaluation, citons de multiples connexions externes passées inaperçues, des équipements inattendus sur le réseau, des firmwares obsolètes, des opérations RTU infructueuses, des erreurs de configuration et des problèmes avec le réseau et son protocole de redondance (RSTP). 

Par la suite, mes collègues et moi-même avons réalisé (et amélioré) de nombreuses évaluations de sécurité dans le monde entier, pour des postes, mais aussi pour des centrales électriques et des centres de téléconduite, y compris des compagnies d’électricité utilisant les protocoles CEI 61850, CEI 60870-5-104, DNP3, Modbus TCP/IP et de nombreux autres protocoles informatiques.  

Les résultats de nos évaluations de sécurité étaient toujours très intéressants et, parfois, alarmants

3. Résultats de nos évaluations de sécurité 

Les équipements électroniques intelligents (IED), que mes collègues et moi-même appelons en plaisantant des « équipements émotionnels », peuvent réagir de manière erronée à des requêtes inattendues provenant des RTU, à des erreurs de configuration et à des problèmes de communication. 

Dans nos évaluations de sécurité, nous trouvons généralement plusieurs risques en matière de sécurité dans le réseau de la centrale. En voici quelques-uns des plus fréquents : 

  • connexions externes non documentées accédant directement aux IED et aux switchs ; 
  • firmware obsolète présentant des vulnérabilités connues ; 
  • services inutilisés ; et 
  • accès non autorisés. 
  •  

Habituellement, ces problèmes de sécurité sont favorisés par des problèmes de fonctionnement, tels que : 

  • problèmes de configuration dans les IED, les RTU et les switchs réseau ; 
  • défaillances de la synchronisation horaire ; et 
  • problèmes de redondance du réseau. 
  •  

D’après mon expérience, la plupart des centres de téléconduite et des réseaux de centrales fonctionnent sans problème après leur mise en service, mais rencontrent des problèmes après quelques années, voire quelques mois. Il peut y avoir des problèmes sous-jacents, même dans un système de contrôle-commande ou un système SCADA qui semble bien fonctionner.  

Par exemple, nous avons vu des réseaux qui se reconfigurent toutes les 10 secondes en raison de problèmes de configuration de la redondance Rapid Spanning Tree. Cela peut entraîner des problèmes majeurs en cas de défaut sur le réseau électrique, lorsque davantage de largeur de bande est nécessaire. En aval, ces problèmes peuvent provoquer des erreurs, et ils représentent un risque de pannes et de cyberattaques. 

Dans les paragraphes suivants, je voudrais citer quelques risques fréquents que j’ai rencontrés ces dernières années. 

 

3.1. Services inutilisés 

En regardant l’interface utilisateur d’un PC, d’un IED ou d’un RTU, vous ne pouvez jamais savoir quelle communication a lieu sur le réseau, jusqu’à ce que vous surveilliez le réseau, bien sûr. Les services ouverts ou inutilisés multiplient de manière disproportionnée les possibilités pour les pirates d’attaquer votre système de contrôle-commande ou votre système SCADA. Heureusement, nous pouvons facilement détecter ces services inutilisés qui communiquent sur le réseau. 

Voici quelques services inutilisés courants que nous avons trouvés : 

  • IPv6 : principalement activé sur les PC, mais parfois aussi sur les IED. IPv6 n’a jamais été réellement utilisé, mais il fournit plusieurs vecteurs d’attaque sur le réseau. 
  • Partage de fichiers Windows : le service de partage de fichiers était toujours activé sur les PC et les RTU et passerelles sous Windows, mais n’était pas utilisé. 
  • Services de licence de logiciels : ils fonctionnent avec des autorisations d’administrateur sur les PC et les passerelles sous Windows, mais ne servent à rien dans un réseau de centrale isolé. Pourtant, ils sont préinstallés avec des outils techniques et certains logiciels IHM. Plusieurs vulnérabilités critiques ont été découvertes pour ce service. 
  • CoDeSys Gateway Server, un service pour l’environnement de développement de programmes PLC actif en permanence sur les IED critiques dans les centrales électriques et les postes. Plusieurs vulnérabilités critiques ont été découvertes pour ce service également. 
  • PTPv2 : il est activé par défaut sur certains switchs industriels, même s’il n’est jamais utilisé.  
  •  

Il suffit de désactiver ces services pour diminuer le nombre de risques en matière de cybersécurité sur vos équipements. 


3.2. Connexions externes 

Les centrales électriques et les centres de téléconduite disposant de connexions à distance à partir du réseau informatique de l’entreprise présentent toujours le risque le plus élevé de cyberattaque. Prenons l’exemple du réseau d’un poste en Amérique du Sud, que j’ai évalué en 2021. 

Lors de cette évaluation de sécurité, nous avons capturé l’activité de plusieurs clients avec des adresses IP externes qui utilisaient les services Web des IED et des switchs du poste. Cette compagnie d’électricité permettait à ses techniciens de se connecter et de configurer les IED depuis leur domicile en utilisant une connexion à distance (tunnels VPN).  

L’une des conclusions qui a préoccupé les responsables de la sécurité informatique est l’existence d’une adresse IP et d’une adresse MAC qui n’étaient pas reconnues ou documentées par un membre de leur équipe. Finalement, nous avons pu suivre l’adresse IP, trouver d’où provenait cette connexion et bloquer son accès au système. 

Même avec toutes les mesures de sécurité modernes offertes par le poste, comme les tunnels VPN, les pare-feu, le contrôle d’accès basé sur le rôle, etc., un risque de sécurité considérable subsistait : outre les problèmes d’architecture, il y avait tout simplement trop de connexions, et même des connexions non documentées. Nous les avons rendues visibles grâce à notre évaluation de la sécurité et la compagnie d’électricité a amélioré ses connexions. 


3.3. Firmware obsolète présentant des vulnérabilités connues 

Dans CHAQUE évaluation de sécurité, je rencontre des versions de firmware obsolètes dans les compagnies d’électricité.  

Dans le cadre de notre évaluation, nous fournissons un inventaire des équipements découverts passivement aux techniciens et aux experts informatiques des compagnies d’électricité. En important des fichiers techniques, tels que des fichiers de projet SCL CEI 61850 et des listes d’inventaire CSV, nous complétons les informations sur les équipements avec plus de détails, comme la version du logiciel, la configuration du matériel et les numéros de série. Cet inventaire des équipements constitue alors une bonne base pour effectuer une analyse de vulnérabilité et de risque. 


3.4. Erreurs de configuration de la communication SCADA 

Une mauvaise configuration des appareils RTU et SCADA peut entraîner des événements critiques sur site qui ne sont pas transmis au centre de téléconduite et ralentir la communication. 

Dans un poste européen que nous avons visité, il y avait, par exemple, des erreurs de configuration du rapport MMS. Les rapports étaient configurés pour être envoyés à une mauvaise adresse IP du client.  

Après avoir résolu ces erreurs de configuration, la vitesse de communication des IED s’est améliorée de manière vérifiable. Ce problème ne constituait pas une menace pour la sécurité en soi, mais la vitesse de communication entravée présentait un risque opérationnel et aurait gêné les processus de réponse. 


3.5. Détection des changements de configuration

Il existe plusieurs façons de détecter les changements de configuration sur des équipements importants dans l’environnement OT. 

Dans un poste américain, nous avons détecté une mauvaise configuration des messages GOOSE. Ce problème s’est produit parce que les appareils ont été configurés par deux personnes différentes. À son tour, ce manque de communication entre les techniciens a provoqué des problèmes de communication entre ces appareils OT.  

Nous avons découvert que certaines activités de commande à distance dans le poste ne fonctionnaient pas correctement en raison de conditions de verrouillage qui n’étaient pas valides. Cela signifie qu’ils n’auraient pas été en mesure d’actionner leurs organes de coupure à distance en cas d’urgence. Ce qui les a effrayés, c’est qu’ils ne savaient même pas que le problème existait, jusqu’à ce que nous le découvrions lors d’une évaluation de sécurité. 

Cet exemple a aussi été très révélateur pour moi. Il m’a montré que de si petits problèmes dans la communication GOOSE pouvaient causer de plus gros problèmes dans la centrale.  

Par conséquent, pour approfondir nos connaissances et entrer en contact avec d’autres employés de centrales électriques, de postes et de centres de téléconduite, nous proposons toujours ces évaluations de sécurité de base gratuitement.   

4. Avantages de notre évaluation gratuite de la sécurité 

Que vous soyez responsable de la cybersécurité, technicien chargé du contrôle et de la protection, technicien réseau, gestionnaire, intégrateur de systèmes ou toute autre personne travaillant dans un centre de téléconduite, une centrale électrique ou un poste, je voudrais vous présenter d’autres raisons pour lesquelles une telle évaluation de la sécurité en vaut vraiment la peine.  

 

4.1. Utilisateurs tiers dans votre réseau OT 

Ce n’est un secret pour personne que de nombreuses sociétés tierces sont fortement impliquées dans la mise en service (et la maintenance) des CCN et autres réseaux OT. Comme nous l’avons mentionné plus haut, la présence de différents groupes de techniciens sur site peut créer des difficultés lorsqu’il s’agit d’assurer la pérennité du système OT.  

J’ai entendu de nombreuses plaintes concernant des tiers qui configurent mal les systèmes et laissent des connexions ouvertes. Le bon fonctionnement d’une compagnie d’électricité dépend de la gestion de cette coactivité et, en même temps, de l’efficacité opérationnelle continue du système. Souvent, la gestion de ces facteurs de risque prend du temps, est coûteuse et nécessite des ressources importantes

Notre évaluation de la sécurité identifie efficacement les équipements et les risques, et aide les compagnies d’électricité à traiter avec des sociétés tierces, afin d’éviter les coûts à long terme. 


4.2. Un moyen simple pour les responsables informatiques de comprendre le monde des OT 

Les solutions informatiques IDS classiques ne peuvent malheureusement pas évaluer les protocoles et les événements OT. Les approches des IDS basées sur l’apprentissage nécessitent de nombreuses connaissances en matière de technologies opérationnelles pour évaluer initialement les activités autorisées et celles qui doivent être interdites.  

En outre, les responsables de la sécurité informatique ne connaissent généralement pas l’environnement OT et ses principes de fonctionnement pour prendre ces décisions. Cela s’avère être un défi lorsqu’il s’agit de gérer les incidents liés aux technologies opérationnelles et d’introduire des processus de sécurité dans ces technologies. 

Notre produit StationGuard offre la solution : il fournit des données compréhensibles pour les techniciens informatiques et des technologies opérationnelles. Notre évaluation de la sécurité avec StationGuard peut fusionner ces deux mondes différents et créer une base pour une compréhension commune. 


4.3. Observez les modèles de votre réseau 

Comme mentionné précédemment, les réseaux OT sont pleins de surprises et de complexités. 

Il est toujours préférable de prendre des contre-mesures aujourd’hui pour les problèmes potentiels qui pourraient survenir demain : peut-être trouverons-nous la raison d’un problème chronique sur votre réseau ? Peut-être y a-t-il un problème caché qui attend d’être découvert ? 

Beaucoup de choses restent encore à découvrir, mais une chose est sûre : tout risque susceptible de porter atteinte à votre activité dans un environnement où le temps est critique sera coûteux. 

5. Demandez une évaluation de la sécurité de votre poste 

Nous offrons une évaluation de sécurité gratuite dans le monde entier à nos clients potentiels ! 

Vous êtes un responsable/gestionnaire informatique et souhaitez en savoir plus sur la partie OT de votre entreprise ? Vous souhaitez connaître les risques en matière de sécurité de votre réseau OT ?  

Vous êtes un technicien/gestionnaire de CCN et vous voulez trouver (ou résoudre) vos problèmes de fonctionnement, ou vérifier la communication sur votre réseau ?  

Dans tous les cas, demandez-nous une évaluation de sécurité ! 

 

Pour demander une évaluation de sécurité, écrivez-moi avec l’objet « SG Free Assessment » (Évaluation SG gratuite) à l’adresse électronique suivante : info@omicronenergy.com 

(En raison de nos politiques de confidentialité, je ne peux pas communiquer mon adresse électronique personnelle ici. Toutefois, soyez assuré que tous les e-mails me seront transmis directement.) 


Merci d’avoir lu mon rapport ! 


Cordialement,  

Ozan Dayanc (OT Security Engineer)

Découvrez d'autres reportages sur OMICRON

Ecoutez nos podcasts

30 mai 2022

Digital Transformation in the Power Industry 4 | Data Validation

with David Gopp & Lukas Klingenschmid

Episode 33 - Energy Talks

Digital Transformation Series | Part 4

27 avril 2022

Digital Transformation in the Power Industry 3 | Cyber Security

with Thomas Friedel & Eugenio Carvalheira

Episode 31 - Energy Talks

Digital Transformation Series | Part 3

30 mars 2022

It’s Quieter Up Here – Partial Discharge Testing in the UHF Range

with Ulrike Broniecki

Episode 29 - Energy Talks

Vous utilisez une ancienne version de votre navigateur.
Merci de mettre à jour votre navigateur ou d’utiliser un autre navigateur pour afficher cette page correctement.
×