in Sécurité

Cybersécurité : Panorama LEXSI des principales défaillances des systèmes SCADA

Le cabinet conseil en cybersécurité, LEXSI a mené, pendant 4 ans, un audit sur les infrastructures de 50 de ses clients (notamment issus du CAC 40). Cette enquête, réalisée sur la base d’une référentiel maison représentatif (celui de l’ANSSI étendu) et mise à jour chaque année, a permis au cabinet de dresser le top 10 des principales vulnérabilités rencontrées lors de cet audit.

  1. Sécurité des OS/firmware, mis en danger du fait de systèmes d’exploitation obsolètes ou non à jour ou encore pas de hardening (mots de passes stockés de manière non sécurisés, privilèges administrateur en local…). Conséquences : des compromissions instantanées des machines / équipements terrain, des prise de main sur le SCADA et les IHMs… perturbation des automates.
  2. Protocoles non-sécurisés, c’est-à-dire sans chiffrement. Conséquences : récupération de logins/mots de passe… Déni / perturbation de service en modifiant des configurations réseau par exemple.
  3. Absence de SIEM, d’Intrusion Prevention System ou d’Intrusion Detection System. Conséquences : incapacité à détecter les attaques (tentative de brute-force sur une machine par exemple, envoi d’ordres aux équipements…) ou à détecter les signaux faibles précurseurs d’attaques, type APT.
  4. Interface Homme Machine connectée en permanence avec un compte « admin » par exemple ou encore session Windows non verrouillée et IHM accessible (accès physique au poste de supervision ou par de la prise en main à distance). Conséquence : perturbation du procédé industriel (compromission logique du poste ou accès physique).
  5. Pas de veille en cybersécurité, qui implique donc peu ou aucune connaissance des menaces et vulnérabilités affectant les systèmes et composants industriels. Conséquences : un manque de culture cybersécurité industrielle et donc une absence d’intégration de la sécurité dans les projets.
  6. L’absence d’antivirus actif et à jour sur les postes de travail et serveurs, qui a engendré pour 50% des cas, la présence du vers conficker sur des postes de supervision industrielle. Conséquences : une multiplication des infections des postes et serveurs par des malwares importés via des clés USB, perturbation des composants informatiques d’un système industriel.
  7. Interconnexion SIG/SII non sûre, exemple de cas de figure observés : un seul et unique réseau regroupant la bureautique et le SI Industriel, présence d’un firewall mais des règles non maîtrisées… Conséquences : les attaquants ont la possibilité de rebondir dans le SI industriel à partir du SI de gestion ou encore composants industriels exposés à des actes de malveillance volontaires ou involontaires.
  8. Mauvaise gestion des comptes, c’est-à-dire des mots de passe trop faibles ou inexistants ou encore l’usage d’identifiant par défaut user/user, winccd/winccpass, etc. Conséquences : possibilité de connexion illégitime à différentes ressources, obtention de droits élevés sur les systèmes exposés.
  9. Pas de tests sécurité, soit une absence totale de sécurité au sein des projets informatiques. Conséquences : exploitation des vulnérabilités, absence de feuille de route pour la cybersécurité industrielle.
  10. Pas de développement sécurisé, qui s’explique par des développements en interne (en fonction des besoins), comme par exemple : mot de passe hardcodés, stockage de comptes en clair ou encodés trivialement. Conséquences : des vulnérabilités aisément exploitables ou encore obtention de logins/mots de passe d’accès au SCADA et donc possibilité de perturbation de la supervision.

« Ce top 10 démontre qu’aujourd’hui les systèmes industriels sont particulièrement vulnérables et qu’il devient nécessaire que les entreprises se penchent sur cette problématique, prise, par ailleurs, très au sérieux par le législateur (notamment à travers la Loi de Programmation Militaire). Cependant, il est difficile d’appliquer des recommandations dans un environnement industriel ; cela implique inévitablement des conséquences sur la production et donc sur le coût », déclare David Bigot, expert SCADA chez Lexsi. « Mais c’est par la sensibilisation et l’évolution des mentalités, par le soutien de la direction et par la création de groupes de travail multi-compétences que passera l’amélioration de la sécurité au sein du monde industriel. »

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.