13 Juil

La cybersécurité grâce à la technologie opérationnelle (OT)

Dans le contexte de la numérisation, les exigences en matière de cybersécurité augmentent aussi énormément. “Ainsi, 11% des entreprises allemandes ont enregistré un incident de sécurité informatique au cours des 12 derniers mois. Trois entreprises sur dix s’attendent à être prises pour cible par des cybercriminels dans les 12 mois à venir – les bandes organisées sont particulièrement redoutées. La guerre en Ukraine alimente à cet égard la crainte d’une augmentation des cyberattaques. [1]” Le domaine de l’infrastructure critique, c’est-à-dire ce qui nous maintient en vie au quotidien, doit faire l’objet d’une attention particulière. C’est le cas par exemple de l’infrastructure électrique, qui fait l’objet d’une attention particulière dans cet article. Dans une “enquête sur la cybersécurité : les fournisseurs d’électricité suisses sont insuffisamment protégés contre les pirates informatiques”, le Tagesanzeiger de Suisse (TA) affirme en effet que “les fournisseurs d’électricité suisses ne sont pas suffisamment protégés contre les pirates informatiques. Les entreprises sont particulièrement mauvaises dans la reconnaissance des attaques ainsi que dans la réaction à celles-ci. [2]”

Ce livre blanc aborde les dangers fondamentaux, le statu quo, la législation en vigueur dans l’UE ainsi que les solutions actuellement réalisables et disponibles dans le contexte des instruments de mesure électriques.

En raison de la dynamique et de l’extrême complexité du sujet, ce rapport sert d’orientation et ne doit pas être considéré comme définitif.

Cyber Security auf OT-Level
Cyber Security auf OT-Level

Scénarios de menaces

En principe, on peut dire que nous connaissons deux catégories principales de risques possibles. Il s’agit d’une part des vols de données [3] et d’autre part des manipulations de données. [3] Volontairement ou involontairement. Par inadvertance ou par des actes criminels.

Pour une meilleure segmentation, nous énumérons, comme toujours de manière non exhaustive, quelques-uns des scénarios de menace comme suit :

  1. Piratage d’une entreprise avec chantage, cryptage de données, vol, menaces, …
    (par ex. par ransomware (Lockbit, …), malware, …)
  2. Panne et attaque de services (hébergés en externe)
    (p. ex. sites web, comptes de médias sociaux, services cloud, services de sauvegarde de données, …)
  3. Attaques d’espionnage et de phishing
    (par ex. par des interviews, des sondages, un espionnage virtuel & physique, des visiteurs inconnus, des fuites de cartes de crédit, …)
  4. Cyber-attaques contre des personnes
    (p. ex. chantage et menaces contre des individus, applications pour smartphones (p. ex. caméra, microphone), …)
  5. Pertes
    (p. ex. simple perte de données, perte de matériel, vol de matériel, …)
  6. Échange conscient de données
    (p. ex. par des supports de données externes (clés USB, cartes SD, smartphone…), EDI, API, …)
  7. Influences physiques & physiques
    (par ex. foudre, incendie, eau, vandalisme, sabotage, …)
  8. Panne & défaillance de la sauvegarde des données
    (par ex. NAS, documentation insuffisante, mises à jour insuffisantes, longues pannes de courant, supports défectueux, vieillissement, …)
  9. Manque de sensibilisation au sein même de l’entreprise.
    (p. ex. ignorance et naïveté générales, manque de connaissances en TIC, pas de “truc de chef”, manque de formation, …)
  10. Équipement défectueux
    (p. ex. pannes, anciens systèmes, virus sur smartphone, nombre de clients TIC non déclarés, appareils tiers dans le réseau TIC, …)

Le point “Appareils tiers dans le réseau TIC” en particulier doit nous occuper dans cet article, car il concerne aussi les instruments de mesure et reflète donc aussi les scénarios de menace mentionnés ci-dessus.

Conclusion intermédiaire (1) :

Les interventions involontaires sur les données ont pour effet que quelque chose n’est plus comme prévu à la base. C’est pourquoi de telles interventions ont souvent un impact direct sur les coûts et la réputation de la personne ou de l’entreprise concernée. Le dommage est donc x fois plus important que la simple défense ou guérison de l’intervention effectuée.

En outre, il convient de noter que les appareils déjà attaqués peuvent être utilisés comme plateforme pour une propagation importante de l’accès aux données et de la manipulation. Ainsi, les accès involontaires présentent un potentiel de risque x fois plus important qu’il n’y paraît.

Elektrische Netzebenen 1-7

La nouvelle importance des flux de données dans les réseaux de distribution électrique

  • Les réseaux électriques interconnectés doivent pouvoir communiquer entre euxL’intégration dans le World Wide Web a lieu (www)
  • L’intégration d’un plus grand nombre de points de mesure est nécessaire en raison des nombreux nœuds (en particulier dans le réseau basse tension = Smart Grid).
  • Les utilisateurs du niveau de réseau 7 (réseau de distribution local <1kV) deviennent des spécialistes (App) (p. ex. SmartHome, approvisionnement en énergie, empreinte carbone, …)
  • Les applications Smart Grid sont nécessaires et demandées (par ex. réseaux intelligents, transparence, automatisation, temps réel, …).
  • La planification avec simulation, les données en temps réel et les tendances deviennent de plus en plus importantes pour les réseaux
  • Gestion dynamique de la charge et de la puissance = téléaction (par ex. redispatching, §14a EnWG (Allemagne), installations PV sans contre-charge, …)
  • Les centres de contrôle actuels sont reliés à des applications parallèles (par ex. pour Smart Grid)
  • Les solutions cloud arrivent sur les réseaux électriques
  • Les perturbations et les changements (dynamique) doivent être enregistrés en temps réel
  • De nouveaux facteurs de perturbation et d’influence apparaissent (par exemple, pour les énergies renouvelables, comme la formation de nuages, le vent, la chaleur, …)

Digression : loi sur l’énergie (EnWG) – dispositifs de consommation contrôlables :

La nouvelle version de l’article 14a de la loi allemande sur l’énergie (EnWG) (01.01.2023) prévoit une réduction des tarifs de réseau pour les consommateurs qui ont conclu avec le gestionnaire de réseau un accord sur le pilotage par le réseau d’installations de consommation pilotables ou de raccordements au réseau avec des installations de consommation pilotables. [4]

En bref : “A partir de 2024, le réseau basse tension doit être progressivement transformé en smart grid dans le cadre du §14a de la loi sur l’énergie. La première étape de développement pour chaque gestionnaire de réseau de distribution est la commande statique des charges interruptibles au niveau du réseau basse tension, qui doit être remplacée par la commande dynamique au plus tard en 2029.

Par charges interruptibles, on entend dans le réseau basse tension tous les consommateurs dont la puissance de raccordement est supérieure à 3,7 kW. En font partie en premier lieu les pompes à chaleur, les accumulateurs électriques, l’infrastructure de recharge pour véhicules électriques ou les climatiseurs”. [5]

Ainsi, les flux de données et les volumes vont considérablement augmenter et on peut supposer que d’autres pays dotés d’infrastructures urbaines et complexes pourraient suivre un principe similaire.

Conclusion intermédiaire (2)

Les flux et les volumes de données s’accumulent et sont associés à des dangers extrêmes ainsi qu’à des obstacles (par exemple, la connectivité).

Quelles sont les stratégies utilisées pour protéger les données et les manipulations ?

Ce paragraphe traite en principe des éléments possibles de la cybersécurité. Il est frappant de constater le peu d’informations spécifiques sur le thème de la technologie opérationnelle (OT) dans le contexte des appareils de terrain intégrés (p. ex. capteurs, instruments de mesure, …).

  • Définition d’une politique I(C)T spécifique à l’entreprise
  • Emploi de spécialistes informatiques internes et externes dans leurs domaines respectifs
  • Exploiter des réseaux fermés ou isolés
  • Respect strict des directives et des lois nationales en matière de protection des données
  • Réduire les systèmes propriétaires (par exemple, les interfaces propriétaires des fabricants)
  • Utilisation de protocoles standardisés (par exemple IEC61850, PQDIF IEEE1159.3, etc.)
  • Utilisation de solutions logicielles supplémentaires pour la surveillance
  • Centralisation des systèmes (matériel, logiciels, RH)
  • Externalisation de services à des prestataires externes
  • Insourcing de prestations d’externalisation
  • Segmentation du réseau afin de minimiser les surfaces d’attaque possibles
  • Utilisation de normes de sécurité auditables (par exemple ISO27001, individuellement, etc.)

Aperçu de l’ISO27001 – une approche viable ?

La présente Norme internationale a été élaborée pour définir les exigences relatives à l’établissement, à la mise en œuvre, au maintien et à l’amélioration continue d’un système de management de la sécurité de l’information (SMSI).

L’introduction d’un système de gestion de la sécurité de l’information est une décision stratégique pour une organisation. La création et la mise en œuvre d’un tel système au sein d’une organisation dépendent de ses besoins et de ses objectifs, des exigences de sécurité, des processus organisationnels ainsi que de la taille et de la structure de l’organisation. Il faut partir du principe que tous ces facteurs d’influence évoluent au fil du temps.

Le système de gestion de la sécurité de l’information préserve la confidentialité, l’intégrité et la disponibilité des informations en appliquant un processus de gestion des risques et en donnant aux parties intéressées la confiance nécessaire pour gérer les risques de manière appropriée.

Il est important que le système de gestion de la sécurité de l’information fasse partie des procédures de l’organisation et soit intégré dans sa structure de gestion globale, et que la sécurité de l’information soit prise en compte dès la conception des processus, des systèmes d’information et des mesures.

On s’attend à ce que la mise en œuvre d’un système de sécurité (ISMS) soit échelonnée en fonction des besoins de l’organisation.

Cette norme est complétée par la norme IEC62443. Celle-ci décrit à son tour une approche globale de la cybersécurité. Et ce, jusqu’au niveau des composants de l’automatisation industrielle.

 

Conclusion intermédiaire (3) :

  • Les approches individuelles ne prennent en compte que certains aspects
  • Les experts en informatique se concentrent généralement sur un domaine spécifique et moins sur le contexte global.
  • L’ISO27001 est un système de gestion complet et holistique et est très complexe
  • La norme CEI62443 ne s’applique en principe qu’au secteur de l’automatisation industrielle.
  • Il n’existe pas encore de norme de sécurité informatique selon la CEI pour les instruments de qualité de l’énergie et les dispositifs de surveillance de l’énergie au niveau des appareils. Celle-ci est actuellement en cours d’élaboration dans les comités de la CE TC 85/WG 20 – Equipment for measuring and monitoring of steady state and dynamic quantities in Power Distribution Systems sous le titre de projet : “Cybersecurity aspects of devices used for power metering and monitoring, power quality monitoring, data collection and analysis”. Il reste à voir quelles normes se comportent de quelle manière.
  • Si l’on n’utilise pas de composants renforcés CS, il faut investir davantage dans la gestion CS pour maîtriser la cybersécurité. C’est risqué, car les composants non sécurisés ne peuvent pas être gérés de manière sûre.
  • La vérification de la conformité de la cybersécurité d’un produit ne coûte qu’une fraction des dépenses liées à un certificat de système de gestion de la sécurité.
  • De nombreux fabricants laissent les clients supporter les coûts de la gestion de la sécurité au lieu de développer eux-mêmes des produits sûrs.

Et que dit l’UE sur la cybersécurité ?

L’UE a déjà édicté une directive sur le thème de la cybersécurité en 2019. Celle-ci est présentée dans le “Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de la cybersécurité des technologies de l’information et de la communication, et abrogeant le règlement (UE) n° 526/2013 (acte législatif sur la cybersécurité) (Texte présentant de l’intérêt pour l’EEE) [6]”. L’origine de ce texte se trouve dans le European Cyber Resilience Act (CRA) “Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020. [7]”.

Cette organisation, appelée “Cybersecurity and Infrastructure Security Agency”, a publié un document sur le thème de la cybersécurité, issu d’un regroupement de plusieurs pays (Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), United Kingdom’s National Cyber Security Centre (NCSC-UK), Germany’s Federal Office for Information Security (BSI), Netherlands’ National Cyber Security Centre (NCSC-NL), Computer Emergency Response Team New Zealand (CERT NZ) and New Zealand’s National Cyber Security Centre (NCSC-NZ)). Ce guide, intitulé “Shifting the Balance of Cybersecurity Risk : Principles and Approaches for Security-by-Design and -Default”, doit aider à maîtriser le thème de la cybersécurité et donc de la cyberprotection (OT). [8]

Petite ou grande conclusion ?!

Il est donc évident que les questions de cybersécurité doivent être traitées en permanence sur le terrain, en l’occurrence en ce qui concerne les instruments de mesure. Les fabricants d’instruments de mesure ne peuvent donc plus se référer au fait que la cybersécurité doit être assumée uniquement par l’utilisateur du produit. La cybersécurité pour les instruments de mesure attire donc le thème de la “technologie opérationnelle (OT)” et est indispensable à court terme, du moins pour les domaines critiques.

Mais il est également clair que les instruments de mesure existants ne peuvent pas être équipés d’une cybersécurité au niveau OT ou, disons plutôt, d’une cyberprotection. Les technologies embarquées ont des limites technologiques à cet égard. Par exemple, lorsque les instruments de mesure ne sont pas du tout conçus à cet effet pour des raisons de conception. Ou lorsque les capacités des processeurs sont déjà entièrement utilisées pour d’autres applications de calcul. Cela concerne essentiellement les instruments de mesure déjà présents sur le marché.

Mais même si les designs autorisaient la cyberprotection, il manque souvent aussi des compétences pour définir la cyberprotection au niveau du terrain afin de pouvoir la développer par la suite. Au moins du point de vue actuel, la technologie IT, c’est-à-dire tout ce qui concerne les applications et les infrastructures régulières, ne doit pas être assimilée aux technologies embarquées. Et même si c’était le cas, la cybersécurité a encore suffisamment de sujets à traiter dans le monde informatique. Parfois même des thèmes de base essentiels. Sans parler de la connectivité mobile. Mais il s’agit là d’un autre sujet qui pourrait faire l’objet d’un livre blanc à part entière.

Les incertitudes liées aux normes CEI constituent un autre obstacle à l’application des règles de l’UE. On constate que les normes adoptées, par exemple pour PQI ou PMD, ne sont pas encore des normes de cybersécurité. Oui, on y travaille. Mais on ne sait pas quand et quelles normes seront appliquées. Les fabricants d’instruments de mesure ne peuvent donc pas se référer à des définitions claires et sont donc limités. Camille Bauer et ses instruments de mesure constituent une exception. Dans ce domaine, Camille Bauer suit depuis quelques années déjà la norme ENEL GSTQ901, par exemple pour les analyseurs de qualité du réseau.

Cyber_Happy

Solutions pour renforcer la cybersécurité avec OT

Malgré l’absence de normes, les utilisateurs de produits ne devraient pas renoncer à la cybersécurité dans le domaine OT, c’est-à-dire la cyberprotection. Et surtout pas dans le domaine des infrastructures critiques. Pour l’intégration d’instruments de mesure, on peut se référer, en tant que garde-fou, aux aspects de la norme ISO27001 (annexe A ; objectifs et mesures de référence) comme suit :

  • Contrôle d’accès aux systèmes et aux applications
  • Mesures cryptographiques
  • Sécurité physique et environnementale
  • Protection contre les logiciels malveillants
  • Sauvegarde des données
  • Journalisation et surveillance

Le respect de ces critères dans les instruments de mesure aide déjà énormément à augmenter la cybersécurité à l’aide de l’OT.

1. Autorisation d’accès basée sur les rôles (RBAC)

  • Accorder les droits d’utilisateur qui sont nécessaires et pas au-delà :
    • Accès aux données de mesure : Visualisation, suppression, téléchargement
    • Données de configuration : Afficher, modifier
    • Gestion complète des utilisateurs
    • Accès à distance via le site web / le logiciel
    • Accès local
  • Pas de transmission textuelle claire des informations de connexion
  • Les tentatives de connexion répétées augmentent la latence
  • Enregistrement des paramètres RBAC uniquement sous forme cryptée
Role Based Access Control (RBAC)

2. Protocole de transfert hypertexte sécurisé (https)

  • Protocole de transmission hypertexte sécurisé (protégé contre les écoutes grâce au cryptage du transport)
  • Cryptage bidirectionnel entre le serveur et le client
  • Certificats racines comme élément de cryptage
  • Authentification protégée
  • Cryptage du contenu des données
  • Cryptage avec certificat Camillebauer ou certificat défini par l’utilisateur
Hypertext Transfer Protocol Secure (https)

3. Liste blanche client / Liste blanche client IEC61850 [Pare-feu]

  • Liste de 10 participants (ordinateurs) autorisés au maximum avec :
    • vIPv4 Adresse
    • vIPv6 Adresse
  • Tous les autres accès des participants sont bloqués
Informationstechnik; 09.08.2021]
Möglichkeiten zur Daten-und Manipulationssicherheit

Quelle: Camille Bauer Metrawatt AG
Kontakt
Rollenbasierte Zugriffsberechtigung (RBAC)

    Gewähren von Nutzer-Rechten, die notwendig sind und nicht darüber hinaus
        Zugriff auf Messdaten: Visualisierung, Löschen, Herunterladen
        Konfigurationsdaten: Anzeigen, Ändern
        Benutzerverwaltung
        Fernzugriff über Website / Software
        Lokaler Zugang
    Keine klare Textübertragung von Login-Informationen
    Wiederholte Anmeldeversuche erhöhen die Latenz
    Speicherung der RBAC-Einstellungen nur verschlüsselt

RBAC
Hypertext Transfer Protocol Secure (https)

    Sicheres Hypertext-Übertragungsprotokoll (abhörsicher durch Transportverschlüsselung)
    Bidirektionale Verschlüsselung zwischen Server und Client
    Stammzertifikate als Verschlüsselungselement
    Geschützte Authentifizierung
    Verschlüsselung des Dateninhalts
    Verschlüsselung mit Camillebauer Zertifikat oder benutzerdefiniertem Zertifikat

RBAC
Client Whitelist / Client IEC61850 Whitelist [Firewall]

4. Journal d’audit [enregistrement de toutes les manipulations]

  • Journalisation sécurisée avec informations sur l’utilisateur pour tous:
    • Tentatives de connexion
    • Processus d’inscription / de désinscription des utilisateurs
    • Visualisations du protocole de surveillance
    • Modifications de la configuration Réinitialisation / suppression des données
Audit-Log

5. Sys-Log

  • Surveillance centralisée du réseau
    • Transfert des entrées du journal de surveillance vers un serveur de sécurité
SysLog-Server Transfer

6. Mises à jour sécurisées du firmware

  • Vérifier si le firmware est original
    • Les images du micrologiciel sont signées numériquement
    • Le contrôle de plausibilité de la validité est garanti
Secure Firmware

7. Enregistreur de données & alimentation sans interruption (UPS)

  • Mémoire sur carte SD dans l’appareil de mesure
  • 16 Go de mémoire de données suffisent pour de nombreuses années d’utilisation typique
  • UPS avec 5×3 minutes en cas de panne de tension sur l’alimentation
Datenlogger und unterbrechungsfreie Spannungsversorgung (USV)

8. Exportation de données

  • Exportation manuelle des données via CSV & PQDIF
  • Exportation automatisée des données csv & PQDIF (Scheduler)
  • Push d’événements (PQDIF) vers le serveur SFTP
Datenexport

9. Solution de plate-forme sécurisée avec connectivité sécurisée

  • Solution de plate-forme sécurisée grâce à un fournisseur certifié ISO27001
  • Pas besoin d’investir dans une infrastructure informatique propre en raison de la verticalisation complète
  • La puissance de calcul du système reste toujours à un niveau élevé (hub de données autarcique)
  • Des barrières de protection TIC propres ne sont pas nécessaires (par ex. pare-feu, antivirus, …)
Plattformlösung BentoNet

10. Instruments de mesure non µP

La manière la plus simple de soutenir la cybersécurité.

  • Convertisseur de mesure pour I/U/P/Q
  • Le matériel “stupide” empêche les attaques informatiques (pas d’adresse IP)
  • Haute disponibilité & longue durée de vie pendant des décennies
  • Une technologie éprouvée au niveau mondial
Unifunktionale Messwandler

Related Posts

Leave A Comment