La Cybersécurité Grâce à La Technologie Opérationnelle (OT)

13 Juil

La cybersécurité grâce à la technologie opérationnelle (OT)

Dans le contexte de la numérisation, les exigences en matière de cybersécurité augmentent aussi énormément. « Ainsi, 11% des entreprises allemandes ont enregistré un incident de sécurité informatique au cours des 12 derniers mois. Trois entreprises sur dix s’attendent à être prises pour cible par des cybercriminels dans les 12 mois à venir – les bandes organisées sont particulièrement redoutées. La guerre en Ukraine alimente à cet égard la crainte d’une augmentation des cyberattaques. [1] » Le domaine de l’infrastructure critique, c’est-à-dire ce qui nous maintient en vie au quotidien, doit faire l’objet d’une attention particulière. C’est le cas par exemple de l’infrastructure électrique, qui fait l’objet d’une attention particulière dans cet article. Dans une « enquête sur la cybersécurité : les fournisseurs d’électricité suisses sont insuffisamment protégés contre les pirates informatiques », le Tagesanzeiger de Suisse (TA) affirme en effet que « les fournisseurs d’électricité suisses ne sont pas suffisamment protégés contre les pirates informatiques. Les entreprises sont particulièrement mauvaises dans la reconnaissance des attaques ainsi que dans la réaction à celles-ci. [2] »

Ce livre blanc aborde les dangers fondamentaux, le statu quo, la législation en vigueur dans l’UE ainsi que les solutions actuellement réalisables et disponibles dans le contexte des instruments de mesure électriques.

En raison de la dynamique et de l’extrême complexité du sujet, ce rapport sert d’orientation et ne doit pas être considéré comme définitif.

Scénarios de menaces

En principe, on peut dire que nous connaissons deux catégories principales de risques possibles. Il s’agit d’une part des vols de données [3] et d’autre part des manipulations de données. [3] Volontairement ou involontairement. Par inadvertance ou par des actes criminels.

Pour une meilleure segmentation, nous énumérons, comme toujours de manière non exhaustive, quelques-uns des scénarios de menace comme suit :

Piratage d’une entreprise avec chantage, cryptage de données, vol, menaces, …
(par ex. par ransomware (Lockbit, …), malware, …)
Panne et attaque de services (hébergés en externe)
(p. ex. sites web, comptes de médias sociaux, services cloud, services de sauvegarde de données, …)
Attaques d’espionnage et de phishing
(par ex. par des interviews, des sondages, un espionnage virtuel & physique, des visiteurs inconnus, des fuites de cartes de crédit, …)
Cyber-attaques contre des personnes
(p. ex. chantage et menaces contre des individus, applications pour smartphones (p. ex. caméra, microphone), …)
Pertes
(p. ex. simple perte de données, perte de matériel, vol de matériel, …)
Échange conscient de données
(p. ex. par des supports de données externes (clés USB, cartes SD, smartphone…), EDI, API, …)
Influences physiques & physiques
(par ex. foudre, incendie, eau, vandalisme, sabotage, …)
Panne & défaillance de la sauvegarde des données
(par ex. NAS, documentation insuffisante, mises à jour insuffisantes, longues pannes de courant, supports défectueux, vieillissement, …)
Manque de sensibilisation au sein même de l’entreprise.
(p. ex. ignorance et naïveté générales, manque de connaissances en TIC, pas de « truc de chef », manque de formation, …)
Équipement défectueux
(p. ex. pannes, anciens systèmes, virus sur smartphone, nombre de clients TIC non déclarés, appareils tiers dans le réseau TIC, …)

Le point « Appareils tiers dans le réseau TIC » en particulier doit nous occuper dans cet article, car il concerne aussi les instruments de mesure et reflète donc aussi les scénarios de menace mentionnés ci-dessus.

Conclusion intermédiaire (1) :

Les interventions involontaires sur les données ont pour effet que quelque chose n’est plus comme prévu à la base. C’est pourquoi de telles interventions ont souvent un impact direct sur les coûts et la réputation de la personne ou de l’entreprise concernée. Le dommage est donc x fois plus important que la simple défense ou guérison de l’intervention effectuée.

En outre, il convient de noter que les appareils déjà attaqués peuvent être utilisés comme plateforme pour une propagation importante de l’accès aux données et de la manipulation. Ainsi, les accès involontaires présentent un potentiel de risque x fois plus important qu’il n’y paraît.

La nouvelle importance des flux de données dans les réseaux de distribution électrique

Les réseaux électriques interconnectés doivent pouvoir communiquer entre euxL’intégration dans le World Wide Web a lieu (www)
L’intégration d’un plus grand nombre de points de mesure est nécessaire en raison des nombreux nœuds (en particulier dans le réseau basse tension = Smart Grid).
Les utilisateurs du niveau de réseau 7 (réseau de distribution local <1kV) deviennent des spécialistes (App) (p. ex. SmartHome, approvisionnement en énergie, empreinte carbone, …)
Les applications Smart Grid sont nécessaires et demandées (par ex. réseaux intelligents, transparence, automatisation, temps réel, …).
La planification avec simulation, les données en temps réel et les tendances deviennent de plus en plus importantes pour les réseaux
Gestion dynamique de la charge et de la puissance = téléaction (par ex. redispatching, §14a EnWG (Allemagne), installations PV sans contre-charge, …)
Les centres de contrôle actuels sont reliés à des applications parallèles (par ex. pour Smart Grid)
Les solutions cloud arrivent sur les réseaux électriques
Les perturbations et les changements (dynamique) doivent être enregistrés en temps réel
De nouveaux facteurs de perturbation et d’influence apparaissent (par exemple, pour les énergies renouvelables, comme la formation de nuages, le vent, la chaleur, …)
…

Digression : loi sur l’énergie (EnWG) – dispositifs de consommation contrôlables :

La nouvelle version de l’article 14a de la loi allemande sur l’énergie (EnWG) (01.01.2023) prévoit une réduction des tarifs de réseau pour les consommateurs qui ont conclu avec le gestionnaire de réseau un accord sur le pilotage par le réseau d’installations de consommation pilotables ou de raccordements au réseau avec des installations de consommation pilotables. [4]

En bref : « A partir de 2024, le réseau basse tension doit être progressivement transformé en smart grid dans le cadre du §14a de la loi sur l’énergie. La première étape de développement pour chaque gestionnaire de réseau de distribution est la commande statique des charges interruptibles au niveau du réseau basse tension, qui doit être remplacée par la commande dynamique au plus tard en 2029.

Par charges interruptibles, on entend dans le réseau basse tension tous les consommateurs dont la puissance de raccordement est supérieure à 3,7 kW. En font partie en premier lieu les pompes à chaleur, les accumulateurs électriques, l’infrastructure de recharge pour véhicules électriques ou les climatiseurs ». [5]

Ainsi, les flux de données et les volumes vont considérablement augmenter et on peut supposer que d’autres pays dotés d’infrastructures urbaines et complexes pourraient suivre un principe similaire.

Conclusion intermédiaire (2)

Les flux et les volumes de données s’accumulent et sont associés à des dangers extrêmes ainsi qu’à des obstacles (par exemple, la connectivité).

Quelles sont les stratégies utilisées pour protéger les données et les manipulations ?

Ce paragraphe traite en principe des éléments possibles de la cybersécurité. Il est frappant de constater le peu d’informations spécifiques sur le thème de la technologie opérationnelle (OT) dans le contexte des appareils de terrain intégrés (p. ex. capteurs, instruments de mesure, …).

Définition d’une politique I(C)T spécifique à l’entreprise
Emploi de spécialistes informatiques internes et externes dans leurs domaines respectifs
Exploiter des réseaux fermés ou isolés
Respect strict des directives et des lois nationales en matière de protection des données
Réduire les systèmes propriétaires (par exemple, les interfaces propriétaires des fabricants)
Utilisation de protocoles standardisés (par exemple IEC61850, PQDIF IEEE1159.3, etc.)
Utilisation de solutions logicielles supplémentaires pour la surveillance
Centralisation des systèmes (matériel, logiciels, RH)
Externalisation de services à des prestataires externes
Insourcing de prestations d’externalisation
Segmentation du réseau afin de minimiser les surfaces d’attaque possibles
Utilisation de normes de sécurité auditables (par exemple ISO27001, individuellement, etc.)
…

Aperçu de l’ISO27001 – une approche viable ?

La présente Norme internationale a été élaborée pour définir les exigences relatives à l’établissement, à la mise en œuvre, au maintien et à l’amélioration continue d’un système de management de la sécurité de l’information (SMSI).

L’introduction d’un système de gestion de la sécurité de l’information est une décision stratégique pour une organisation. La création et la mise en œuvre d’un tel système au sein d’une organisation dépendent de ses besoins et de ses objectifs, des exigences de sécurité, des processus organisationnels ainsi que de la taille et de la structure de l’organisation. Il faut partir du principe que tous ces facteurs d’influence évoluent au fil du temps.

Le système de gestion de la sécurité de l’information préserve la confidentialité, l’intégrité et la disponibilité des informations en appliquant un processus de gestion des risques et en donnant aux parties intéressées la confiance nécessaire pour gérer les risques de manière appropriée.

Il est important que le système de gestion de la sécurité de l’information fasse partie des procédures de l’organisation et soit intégré dans sa structure de gestion globale, et que la sécurité de l’information soit prise en compte dès la conception des processus, des systèmes d’information et des mesures.

On s’attend à ce que la mise en œuvre d’un système de sécurité (ISMS) soit échelonnée en fonction des besoins de l’organisation.

Cette norme est complétée par la norme IEC62443. Celle-ci décrit à son tour une approche globale de la cybersécurité. Et ce, jusqu’au niveau des composants de l’automatisation industrielle.

Conclusion intermédiaire (3) :

Les approches individuelles ne prennent en compte que certains aspects
Les experts en informatique se concentrent généralement sur un domaine spécifique et moins sur le contexte global.
L’ISO27001 est un système de gestion complet et holistique et est très complexe
La norme CEI62443 ne s’applique en principe qu’au secteur de l’automatisation industrielle.
Il n’existe pas encore de norme de sécurité informatique selon la CEI pour les instruments de qualité de l’énergie et les dispositifs de surveillance de l’énergie au niveau des appareils. Celle-ci est actuellement en cours d’élaboration dans les comités de la CE TC 85/WG 20 – Equipment for measuring and monitoring of steady state and dynamic quantities in Power Distribution Systems sous le titre de projet : « Cybersecurity aspects of devices used for power metering and monitoring, power quality monitoring, data collection and analysis ». Il reste à voir quelles normes se comportent de quelle manière.
Si l’on n’utilise pas de composants renforcés CS, il faut investir davantage dans la gestion CS pour maîtriser la cybersécurité. C’est risqué, car les composants non sécurisés ne peuvent pas être gérés de manière sûre.
La vérification de la conformité de la cybersécurité d’un produit ne coûte qu’une fraction des dépenses liées à un certificat de système de gestion de la sécurité.
De nombreux fabricants laissent les clients supporter les coûts de la gestion de la sécurité au lieu de développer eux-mêmes des produits sûrs.

Et que dit l’UE sur la cybersécurité ?

L’UE a déjà édicté une directive sur le thème de la cybersécurité en 2019. Celle-ci est présentée dans le « Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de la cybersécurité des technologies de l’information et de la communication, et abrogeant le règlement (UE) n° 526/2013 (acte législatif sur la cybersécurité) (Texte présentant de l’intérêt pour l’EEE) [6] ». L’origine de ce texte se trouve dans le European Cyber Resilience Act (CRA) « Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020. [7] ».

Cette organisation, appelée « Cybersecurity and Infrastructure Security Agency », a publié un document sur le thème de la cybersécurité, issu d’un regroupement de plusieurs pays (Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), United Kingdom’s National Cyber Security Centre (NCSC-UK), Germany’s Federal Office for Information Security (BSI), Netherlands’ National Cyber Security Centre (NCSC-NL), Computer Emergency Response Team New Zealand (CERT NZ) and New Zealand’s National Cyber Security Centre (NCSC-NZ)). Ce guide, intitulé « Shifting the Balance of Cybersecurity Risk : Principles and Approaches for Security-by-Design and -Default », doit aider à maîtriser le thème de la cybersécurité et donc de la cyberprotection (OT). [8]

Petite ou grande conclusion ?!

Il est donc évident que les questions de cybersécurité doivent être traitées en permanence sur le terrain, en l’occurrence en ce qui concerne les instruments de mesure. Les fabricants d’instruments de mesure ne peuvent donc plus se référer au fait que la cybersécurité doit être assumée uniquement par l’utilisateur du produit. La cybersécurité pour les instruments de mesure attire donc le thème de la « technologie opérationnelle (OT) » et est indispensable à court terme, du moins pour les domaines critiques.

Mais il est également clair que les instruments de mesure existants ne peuvent pas être équipés d’une cybersécurité au niveau OT ou, disons plutôt, d’une cyberprotection. Les technologies embarquées ont des limites technologiques à cet égard. Par exemple, lorsque les instruments de mesure ne sont pas du tout conçus à cet effet pour des raisons de conception. Ou lorsque les capacités des processeurs sont déjà entièrement utilisées pour d’autres applications de calcul. Cela concerne essentiellement les instruments de mesure déjà présents sur le marché.

Mais même si les designs autorisaient la cyberprotection, il manque souvent aussi des compétences pour définir la cyberprotection au niveau du terrain afin de pouvoir la développer par la suite. Au moins du point de vue actuel, la technologie IT, c’est-à-dire tout ce qui concerne les applications et les infrastructures régulières, ne doit pas être assimilée aux technologies embarquées. Et même si c’était le cas, la cybersécurité a encore suffisamment de sujets à traiter dans le monde informatique. Parfois même des thèmes de base essentiels. Sans parler de la connectivité mobile. Mais il s’agit là d’un autre sujet qui pourrait faire l’objet d’un livre blanc à part entière.

Les incertitudes liées aux normes CEI constituent un autre obstacle à l’application des règles de l’UE. On constate que les normes adoptées, par exemple pour PQI ou PMD, ne sont pas encore des normes de cybersécurité. Oui, on y travaille. Mais on ne sait pas quand et quelles normes seront appliquées. Les fabricants d’instruments de mesure ne peuvent donc pas se référer à des définitions claires et sont donc limités. Camille Bauer et ses instruments de mesure constituent une exception. Dans ce domaine, Camille Bauer suit depuis quelques années déjà la norme ENEL GSTQ901, par exemple pour les analyseurs de qualité du réseau.

Solutions pour renforcer la cybersécurité avec OT

Malgré l’absence de normes, les utilisateurs de produits ne devraient pas renoncer à la cybersécurité dans le domaine OT, c’est-à-dire la cyberprotection. Et surtout pas dans le domaine des infrastructures critiques. Pour l’intégration d’instruments de mesure, on peut se référer, en tant que garde-fou, aux aspects de la norme ISO27001 (annexe A ; objectifs et mesures de référence) comme suit :

Contrôle d’accès aux systèmes et aux applications
Mesures cryptographiques
Sécurité physique et environnementale
Protection contre les logiciels malveillants
Sauvegarde des données
Journalisation et surveillance

Le respect de ces critères dans les instruments de mesure aide déjà énormément à augmenter la cybersécurité à l’aide de l’OT.

1. Autorisation d’accès basée sur les rôles (RBAC)

Accorder les droits d’utilisateur qui sont nécessaires et pas au-delà :
- Accès aux données de mesure : Visualisation, suppression, téléchargement
- Données de configuration : Afficher, modifier
- Gestion complète des utilisateurs
- Accès à distance via le site web / le logiciel
- Accès local
Pas de transmission textuelle claire des informations de connexion
Les tentatives de connexion répétées augmentent la latence
Enregistrement des paramètres RBAC uniquement sous forme cryptée

2. Protocole de transfert hypertexte sécurisé (https)

Protocole de transmission hypertexte sécurisé (protégé contre les écoutes grâce au cryptage du transport)
Cryptage bidirectionnel entre le serveur et le client
Certificats racines comme élément de cryptage
Authentification protégée
Cryptage du contenu des données
Cryptage avec certificat Camillebauer ou certificat défini par l’utilisateur

Hypertext Transfer Protocol Secure (https)

3. Liste blanche client / Liste blanche client IEC61850 [Pare-feu]

Liste de 10 participants (ordinateurs) autorisés au maximum avec :
- vIPv4 Adresse
- vIPv6 Adresse
Tous les autres accès des participants sont bloqués

Informationstechnik; 09.08.2021]
Möglichkeiten zur Daten-und Manipulationssicherheit

Quelle: Camille Bauer Metrawatt AG
Kontakt
Rollenbasierte Zugriffsberechtigung (RBAC)

Gewähren von Nutzer-Rechten, die notwendig sind und nicht darüber hinaus
Zugriff auf Messdaten: Visualisierung, Löschen, Herunterladen
Konfigurationsdaten: Anzeigen, Ändern
Benutzerverwaltung
Fernzugriff über Website / Software
Lokaler Zugang
Keine klare Textübertragung von Login-Informationen
Wiederholte Anmeldeversuche erhöhen die Latenz
Speicherung der RBAC-Einstellungen nur verschlüsselt

RBAC
Hypertext Transfer Protocol Secure (https)

Sicheres Hypertext-Übertragungsprotokoll (abhörsicher durch Transportverschlüsselung)
Bidirektionale Verschlüsselung zwischen Server und Client
Stammzertifikate als Verschlüsselungselement
Geschützte Authentifizierung
Verschlüsselung des Dateninhalts
Verschlüsselung mit Camillebauer Zertifikat oder benutzerdefiniertem Zertifikat

RBAC
Client Whitelist / Client IEC61850 Whitelist [Firewall]

4. Journal d’audit [enregistrement de toutes les manipulations]

Journalisation sécurisée avec informations sur l’utilisateur pour tous:
- Tentatives de connexion
- Processus d’inscription / de désinscription des utilisateurs
- Visualisations du protocole de surveillance
- Modifications de la configuration Réinitialisation / suppression des données

5. Sys-Log

Surveillance centralisée du réseau
- Transfert des entrées du journal de surveillance vers un serveur de sécurité

6. Mises à jour sécurisées du firmware

Vérifier si le firmware est original
- Les images du micrologiciel sont signées numériquement
- Le contrôle de plausibilité de la validité est garanti

7. Enregistreur de données & alimentation sans interruption (UPS)

Mémoire sur carte SD dans l’appareil de mesure
16 Go de mémoire de données suffisent pour de nombreuses années d’utilisation typique
UPS avec 5×3 minutes en cas de panne de tension sur l’alimentation

Datenlogger und unterbrechungsfreie Spannungsversorgung (USV)

8. Exportation de données

Exportation manuelle des données via CSV & PQDIF
Exportation automatisée des données csv & PQDIF (Scheduler)
Push d’événements (PQDIF) vers le serveur SFTP

9. Solution de plate-forme sécurisée avec connectivité sécurisée

Solution de plate-forme sécurisée grâce à un fournisseur certifié ISO27001
Pas besoin d’investir dans une infrastructure informatique propre en raison de la verticalisation complète
La puissance de calcul du système reste toujours à un niveau élevé (hub de données autarcique)
Des barrières de protection TIC propres ne sont pas nécessaires (par ex. pare-feu, antivirus, …)