Les niveaux de sécurité IEC 62443

En sécurité fonctionnelle, le niveau de fiabilité d’un système instrumenté de sécurité est mesuré en SIL (Safety Integrity Levels). Il existe quatre niveaux de SIL : le SIL 1 est le plus bas, tandis que le SIL 4 indique un système de contrôle de sécurité très fiable.

Étant donné que le comité technique qui élabore les normes SIL est le même que celui qui développe la série IEC 62443, il n’est pas surprenant qu’il ait défini le niveau de sécurité qu’un système d’automatisation et de contrôle industriel (IACS) peut atteindre sous forme de SL (Security Levels).

Comme pour les SIL, il existe également quatre niveaux de SL (1, 2, 3 et 4), chacun correspondant à un niveau de sécurité croissant. Le SL 0 est implicitement défini comme l’absence d’exigences ou de protection de sécurité.

• • SL 1 : Protection contre les violations accidentelles ou fortuites
  • SL 2 : Protection contre les violations intentionnelles utilisant des moyens simples, avec peu de ressources, des compétences génériques et une faible motivation
  • SL 3 : Protection contre les violations intentionnelles utilisant des moyens sophistiqués, avec des ressources modérées, des compétences spécifiques aux IACS et une motivation modérée
  • SL 4 : Protection contre les violations intentionnelles utilisant des moyens sophistiqués, avec des ressources étendues, des compétences spécifiques aux IACS et une forte motivation

Le processus commence par la définition du niveau de sécurité requis pour un système. Cela s’appelle le Niveau de Sécurité Cible (SL-T) et reflète le niveau de protection nécessaire pour gérer les risques identifiés.

Une fois ce niveau cible défini, le système est conçu pour atteindre ce niveau de protection. Pendant la phase de conception, l’équipe vérifie si le système proposé peut réellement atteindre le niveau de sécurité requis. Cela se fait généralement à travers plusieurs révisions de conception, au cours desquelles le niveau de sécurité attendu du système est évalué et comparé à l’objectif fixé.

Pour atteindre le niveau de sécurité requis, des composants et des technologies appropriés sont sélectionnés. Si les composants disponibles ne répondent pas entièrement au niveau exigé, des mesures de protection supplémentaires sont ajoutées pour compenser.

Après la construction et la mise en service du système, son niveau de sécurité réel est évalué. Ce niveau atteint est ensuite comparé au niveau cible initial afin de confirmer que le système est suffisamment protégé et que les risques résiduels sont compris et maîtrisés.

C’est pour cette raison que l’IEC 62443 définit trois types de niveaux de sécurité : cible, atteint et capacité. Bien qu’ils soient liés entre eux, ces types correspondent à différents aspects du cycle de vie de la sécurité.

• Les niveaux de sécurité cibles (SL-Ts) représentent le niveau de sécurité souhaité pour un IACS, une zone ou un conduit particulier. Ils sont généralement déterminés à la suite d’une analyse de risque, concluant qu’un certain niveau de sécurité est nécessaire pour garantir le fonctionnement correct du système.
• Les niveaux atteints (SL-As) correspondent au niveau réel de sécurité d’un système donné. Ils sont mesurés une fois que la conception du système est disponible ou lorsque le système est déjà en place. Ils permettent de vérifier que le système de sécurité répond aux objectifs initialement définis dans les SL-T.
• Les niveaux de capacité (SL-Cs) sont les niveaux de sécurité que des composants ou des systèmes peuvent fournir lorsqu’ils sont correctement configurés. Ces niveaux indiquent qu’un composant ou un système est capable d’atteindre nativement les SL-T, sans mesures compensatoires supplémentaires, lorsqu’il est correctement configuré et intégré.

[IEC 62443-1-1: 2009] 5 Concepts – 5.11 Niveaux de sécurité

5.11.2 Types de niveaux de sécurité – 5.11.2.1 Généralités

Trois types différents de niveaux de sécurité peuvent être définis comme suit :

a) SL(target) – niveau de sécurité cible pour une zone ou un conduit ;

b) SL(achieved) – niveau de sécurité atteint d’une zone ou d’un conduit ;

c) SL(capability) – capacité de niveau de sécurité des contre-mesures associées à une zone ou un conduit ou capacité intrinsèque de niveau de sécurité des dispositifs ou systèmes au sein d’une zone ou d’un conduit.

Le SL 0 a plusieurs significations selon la situation dans laquelle il est appliqué.

Dans la définition du SL-C, cela signifie que le composant ou le système ne satisfait pas à certaines exigences du SL 1 pour le FR concerné. Cela concernera très probablement des composants ou des systèmes faisant partie d’une zone plus large dans laquelle d’autres composants ou systèmes fournissent des contre-mesures compensatoires.

Dans la définition du SL-T pour une zone particulière, cela signifie que le propriétaire des actifs a déterminé, sur la base de son analyse de risque, que moins que l’ensemble complet des exigences spécifiques du SL 1 est nécessaire pour ce FR sur ce composant ou système. Cela se produira plus probablement pour des composants individuels au sein d’un système ou d’une zone qui ne contribuent en aucune manière aux exigences spécifiques du FR.

Dans la définition du SL-A, cela signifie que la zone concernée ne satisfait pas à certaines exigences du SL 1 pour le FR considéré.

Les violations accidentelles ou fortuites de la sécurité sont généralement dues à une application laxiste des politiques de sécurité. Elles peuvent être causées aussi bien par des employés bien intentionnés que par des menaces externes. Beaucoup de ces violations sont liées à la sécurité et sont traitées par l’application stricte des politiques et procédures.

Un exemple simple serait un opérateur capable de modifier une consigne sur la station d’ingénierie dans la zone BPCS à une valeur en dehors des limites définies par le personnel d’ingénierie. Le système n’a pas appliqué les restrictions appropriées d’authentification et de contrôle d’usage pour empêcher cette modification par l’opérateur.

Un autre exemple serait un mot de passe transmis en clair via le conduit entre la zone BPCS et la zone DMZ, permettant à un ingénieur réseau de visualiser le mot de passe lors d’un dépannage. Le système n’a pas assuré une confidentialité des données suffisante pour protéger le mot de passe.

Un troisième exemple serait un ingénieur souhaitant accéder à un PLC dans un réseau industriel, mais accédant par erreur à un PLC situé dans un autre réseau. Le système n’a pas imposé une restriction adéquate des flux de données empêchant l’accès au mauvais système.

Les moyens simples ne nécessitent pas de grandes connaissances de la part de l’attaquant. Celui-ci n’a pas besoin de connaissances détaillées en sécurité, dans le domaine industriel ou concernant le système spécifique visé. Ces vecteurs d’attaque sont bien connus et il peut exister des outils automatisés pour aider l’attaquant. Ils sont également conçus pour attaquer un large éventail de systèmes plutôt qu’un système spécifique, de sorte que l’attaquant n’a pas besoin d’un niveau élevé de motivation ni de ressources importantes.

Un exemple serait un virus infectant la station de maintenance dans la zone DMZ de l’usine et se propageant à la station d’ingénierie BPCS, les deux utilisant le même système d’exploitation généraliste.

Un autre exemple serait un attaquant compromettant un serveur web dans le réseau d’entreprise au moyen d’un exploit téléchargé sur Internet exploitant une vulnérabilité publiquement connue du système d’exploitation du serveur. L’attaquant utilise ensuite le serveur web comme point pivot pour attaquer d’autres systèmes du réseau d’entreprise ainsi que du réseau industriel.

Un troisième exemple serait un opérateur consultant un site web depuis l’IHM située dans le Réseau Industriel n°1, téléchargeant ainsi un cheval de Troie qui ouvre une brèche dans les routeurs et pare-feu vers Internet.

Les moyens sophistiqués exigent des connaissances avancées en sécurité, des connaissances approfondies du domaine industriel, une connaissance détaillée du système cible ou une combinaison de ces éléments. Un attaquant visant un système de niveau SL 3 utilisera probablement des vecteurs d’attaque personnalisés pour le système cible spécifique.

Il peut exploiter des vulnérabilités peu connues des systèmes d’exploitation, des faiblesses des protocoles industriels, des informations spécifiques sur la cible ou d’autres moyens nécessitant davantage de motivation, de compétences et de connaissances que pour les SL 1 ou 2.

Un exemple de moyens sophistiqués serait l’utilisation d’outils de cassage de mots de passe ou de clés basés sur des tables de hachage. Ces outils sont disponibles en téléchargement, mais leur utilisation nécessite une connaissance du système (par exemple, le hachage du mot de passe à casser).

Un autre exemple serait un pirate informatique accédant au FS-PLC via le conduit série après avoir compromis le PLC de contrôle par une vulnérabilité du contrôleur Ethernet.

Un troisième exemple serait un pirate informatique accédant à l’historien de données au moyen d’une attaque par force brute à travers le pare-feu DMZ industriel/entreprise, initiée depuis le réseau sans fil de l’entreprise.

Les SL 3 et SL 4 sont très similaires en ce sens qu’ils impliquent tous deux des moyens sophistiqués pour violer les exigences de sécurité du système. La différence réside dans le fait que le pirate informatique est encore plus motivé et dispose de ressources étendues.

Celles-ci peuvent inclure des ressources de calcul haute performance, un grand nombre d’ordinateurs ou des périodes d’attaque prolongées. Un exemple serait l’utilisation de superordinateurs ou de clusters informatiques pour réaliser un cassage de mots de passe par force brute à l’aide de grandes tables de hachage.

Un autre exemple serait l’utilisation d’un botnet pour attaquer un système via plusieurs vecteurs d’attaque simultanément.

Un troisième exemple serait une organisation criminelle organisée disposant de la motivation et des ressources nécessaires pour analyser un système pendant plusieurs semaines et développer des exploits personnalisés de type « zero-day ».