Sécurité : Le cabinet Lexsi livre les points clés qui
doivent permettre aux industriels de mieux se protéger en matière de
sécurité informatique. Des OS obsolètes aux problèmes de mot de passe,
le tour de ce qui pose problème aujourd'hui.
Quelles sont les défaillances majeures qui touchent les systèmes
industriels ? Le cabinet de conseil Lexsi répond en 10 points afin de
prendre la mesure des risques des systèmes SCADA. Un pourcentage
d’exposition est livré pour chaque thématique.
Les OS et firmware obsolètes et non mis à jour sont la menace la plus importante, avec 93% d’exposition. Des OS obsolètes tels que Windows XP, Windows 2000 voire NT4 sont encore très présent dans le monde industriel explique Lexsi. D’où des risques de compromissions instantanées des équipements et de rebond de l’exploitation des failles de sécurité sur d’autres périmètres.
Suit la non sécurisation des protocoles couramment utilisés (FTP, Telnet, VNC, SNMP…). Conséquence : le risque de vol de login/mot de passe, des connexion illégitimes aux serveurs, des attaques hors ligne ou encore des dénis de service par modification des configurations réseau… Lexsi recommande sur ce point l’utilisation de protocoles sécurisés tels que SFTP, SSH, SNMPv3 et de durcir la configuration des serveurs VNC. Là aussi le taux d’exposition est de 93%.
En troisième position, on trouve l’absence d’outils de surveillance des systèmes (sondes de détection/prévention d’intrusion) couplé au manque de centralisation et d’analyse des journaux systèmes. Les risques sont l’incapacité à détecter des signaux faibles d’attaques de type APT ou les attaques de force brute. Là encore le taux d’exposition est de 93%.
Arrive ensuite l’absence d’antivirus, avec un taux d’exposition de 90%. Lexsi cite des cas où les antivirus ne sont installés ni sur les serveurs ni sur les postes de travail. Conséquence : identification dans 50% des cas de la présence du vers Conficker sur des postes de supervision industrielle.
Pour finir, Lexsi cite l’interconnexion non sécurisée des systèmes de gestion avec les systèmes industriels (taux d’exposition de 89%), la mauvaise gestion des comptes (usage d’identifiant par défaut, mots de passe trop faibles ou inexistant ,…) avec un taux d’exposition de 87%, l’absence de tests de sécurité (86% de taux d’exposition) et pour finir des plateformes de développement non sécurisées (86% de taux d’exposition).
L’étude réalisée par Lexsi porte sur une durée de 4 ans, et concerne 50 de ses 500 clients sur la base d’un référentiel représentatif et contenant des acteurs du CAC40 ou équivalent.
Les OS et firmware obsolètes et non mis à jour sont la menace la plus importante, avec 93% d’exposition. Des OS obsolètes tels que Windows XP, Windows 2000 voire NT4 sont encore très présent dans le monde industriel explique Lexsi. D’où des risques de compromissions instantanées des équipements et de rebond de l’exploitation des failles de sécurité sur d’autres périmètres.
Suit la non sécurisation des protocoles couramment utilisés (FTP, Telnet, VNC, SNMP…). Conséquence : le risque de vol de login/mot de passe, des connexion illégitimes aux serveurs, des attaques hors ligne ou encore des dénis de service par modification des configurations réseau… Lexsi recommande sur ce point l’utilisation de protocoles sécurisés tels que SFTP, SSH, SNMPv3 et de durcir la configuration des serveurs VNC. Là aussi le taux d’exposition est de 93%.
En troisième position, on trouve l’absence d’outils de surveillance des systèmes (sondes de détection/prévention d’intrusion) couplé au manque de centralisation et d’analyse des journaux systèmes. Les risques sont l’incapacité à détecter des signaux faibles d’attaques de type APT ou les attaques de force brute. Là encore le taux d’exposition est de 93%.
Système
de contrôle industriel tel que décrit par Lexsi. Le réseau Scada
contrôle et permet l'accès à l'ensemble des sous-systèmes (Crédit :
Lexsi)
Quatrième du classement, l’interface utilisateur
connectée en permanence, soit via un compte admin, ou une session
Windows restée ouverte sur un poste de travail. Lexsi recommande la mise
en place d’un timeout de la session sur le logiciel de supervision pour
un verrouillage automatique ou encore la connexion à l’applicatif via
une smart-card ou token-USB. Le taux d’exposition est ici de 92%.Manque de veille et absence d'antivirus
En cinquième position, Lexsi dénonce le manque de veille de sécurité, avec un taux d’exposition de 90%. Dans ces conditions, difficile de détecter de nouveaux signaux d’alerte et d’effectuer une bonne remontée des informations. Le risque étant bien sûr de passer totalement à côté de la dimension sécurité dans la conception des projets Scada. Le cabinet propose d’initier une démarche de veille à partir de sources d’information ciblées. Et de citer Différentes sources d’informations sur les failles (CERT-FR, ICS-CERT, SIEMENS ProductCERT) ou encore des blogs et des mailing list tells que scadastrangelove, digital bond,tofino, et scadahacker.comArrive ensuite l’absence d’antivirus, avec un taux d’exposition de 90%. Lexsi cite des cas où les antivirus ne sont installés ni sur les serveurs ni sur les postes de travail. Conséquence : identification dans 50% des cas de la présence du vers Conficker sur des postes de supervision industrielle.
Pour finir, Lexsi cite l’interconnexion non sécurisée des systèmes de gestion avec les systèmes industriels (taux d’exposition de 89%), la mauvaise gestion des comptes (usage d’identifiant par défaut, mots de passe trop faibles ou inexistant ,…) avec un taux d’exposition de 87%, l’absence de tests de sécurité (86% de taux d’exposition) et pour finir des plateformes de développement non sécurisées (86% de taux d’exposition).
L’étude réalisée par Lexsi porte sur une durée de 4 ans, et concerne 50 de ses 500 clients sur la base d’un référentiel représentatif et contenant des acteurs du CAC40 ou équivalent.