Systèmes distribués : Comment protéger simplement un réseau industriel contre des cyber-attaques ?
On ne dénombre plus les cyber attaques contre les systèmes embarqués qu’ils soient grand public, professionnels ou industriels. Si cette exigence de sécurité tend à devenir une préoccupation dès la conception d’un nouveau produit connecté, il est très difficile d’intégrer cette sécurité dans un produit existant sans une refonte totale de ce dernier. Que faire alors pour protéger un système ou un réseau industriel local non « secure » mais que l’on doit connecter au monde extérieur ?
Cette préoccupation est cruciale, voire vitale car les cybercriminels, les robots pirates, les agents d'espionnage industriels et même les groupes terroristes se focalisent de plus en plus sur les systèmes embarqués en raison du manque de sécurité de ces derniers contre ce type d’intrusions, et qui constituent de ce fait une faille facilement accessible. Et cela touche tous les secteurs d’activité : objets grand public, produits sanitaires ou médicaux, automates industriels ou des services publics, comme le démontrent ces récents exemples :
Cette préoccupation est cruciale, voire vitale car les cybercriminels, les robots pirates, les agents d'espionnage industriels et même les groupes terroristes se focalisent de plus en plus sur les systèmes embarqués en raison du manque de sécurité de ces derniers contre ce type d’intrusions, et qui constituent de ce fait une faille facilement accessible. Et cela touche tous les secteurs d’activité : objets grand public, produits sanitaires ou médicaux, automates industriels ou des services publics, comme le démontrent ces récents exemples :
- Enregistrements de cartes de crédit obtenus par des pirates qui accèdent au système d’information de l'entreprise.
- Images de rayons X obtenues par des pirates qui accèdent à un système de radiographie numérique.
- Fermeture d’une usine automobile suite à une cyberattaque. Les pirates ont enfreint les systèmes SCADA dans 3 villes différentes (basées sur un rapport du FBI).
- Système de surveillance des pipelines en échec en raison d'une attaque DoS.
- Retard de trains causés par les pirates informatiques.
- Déversement d'eaux usées causé par un système de contrôle qui a été piraté par un initié.
- Pacemakers, pompes à insuline et autres dispositifs médicaux piratés par des chercheurs.
PROTÉGER DES EQUIPEMENTS NON SÉCURISÉS :
Si intégrer la sécurité dans un nouveau design devient effectif, beaucoup de systèmes embarqués qui se retrouvent connectés ont été développés il y a plus de 10 voire 20 ans, époque où la connectivité n’était pas envisagée. Et quand bien même on souhaiterait rajouter dans les logiciels de ces équipements des fonctions de sécurité, la plupart d’entre eux ne disposent pas des ressources nécessaires pour les implémenter. En outre, le coût pour les remplacer par des équipements plus sécurisés est souvent prohibitif et généralement de tels équipements n’existent pas.
La solution ? Insérer une passerelle sécurisée, véritable firewall embarqué, entre le système à protéger et le monde extérieur.
La solution ? Insérer une passerelle sécurisée, véritable firewall embarqué, entre le système à protéger et le monde extérieur.
FIREWALL MATÉRIEL « FLOODGATE DEFENDER » de ICON LABS :
La passerelle “Floodgate Defender” est un véritable firewall matériel permettant de sécuriser en quelques minutes un équipement ou un réseau non protégé des intrusions, des cyberattaques ou dénis de services (DoS) provenant d’internet. A partir de sa suite logicielle Floodgate Security Framework, Icon Labs a développé un boitier indépendant permettant d’assurer la protection, la gestion et l’analyse de la situation d’un périphérique ou du réseau qu’il protège. Disposant d’une interface web sécurisée et pouvant s’interfacer avec les systèmes de gestion de sécurité des SI, il permet de bloquer tout paquet non voulu/attendu avant que la connexion ne soit établie avec l’équipement.
Protéger les équipements et les réseaux existants :
Solution autonome, la passerelle Floodgate Defender s’interface simplement entre l’équipement à protéger sans modification de ce dernier. De même il ne nécessite aucune configuration spécifique du réseau sur lequel il est connecté, il se configure automatiquement à la topologie du réseau. Il suffit d’insérer la passerelle entre le périphérique/le réseau à protéger et la connexion extérieure, de configurer les règles de filtrage/sécurité et les équipements sont immédiatement protégés de toutes tentatives d’attaques ou d’intrusions.
Filtrer et contrôler les accès :
Firewall bidirectionnel, Floodgate Defender contrôle les communications depuis et vers le système protégé. Cette protection à double sens permet aux équipements de ne communiquer que vers des adresses IP connues et de confiance. Des malwares de cyber-espionnage ou de vols de données qui tenteraient d’envoyer des données depuis l’équipement vers l’extérieur seraient bloqués immédiatement.
Protéger d’actes malveillants internes :
Floodgate Defender protège également contre des actions « internes », volontaires ou non. En effet, en 2011, plus de 20% des cyberattaques étaient perpétrées de l’intérieur. Floodgate Defender permet, pour chaque périphérique relié, de définir des droits à chaque utilisateur, même légitime, des fichiers de log et des alertes pouvant être générés afin de détecter ces accès ou utilisations non autorisés.
Bloquer les attaques :
Floodgate Defender reconnait et bloque certains types d’attaques courantes telle que « TCP SYN FLOOD» souvent utilisée pour les dénis de service (DoS) et ce même si cela provient d’une adresse IP reconnue et de confiance.
Contrôler en continu et gérer des alertes :
Floodgate Defender permet de générer des alertes lorsque des conditions d’alarme sont détectées avec des logs sur les évènements et les violations des règles de sécurité définies. Il peut également remonter ces alertes et ces journaux à des systèmes SIEM (Security Information and Event Management), tels que Floodgate Security Manager ou McAfee ePO.
Participer à la mise en conformité des équipements :
Dans beaucoup de secteurs des normes/recommandations (telles que le NERC-CIP, EDSA, ISA/IEC62443, ISO2700x) deviennent obligatoires afin de garantir la protection des biens et des infrastructures pour tout équipement utilisant des protocoles routables. Floodgate Defender facilite cette mise en conformité des équipements en créant un périmètre de sécurité autour de périphériques non sécurisés en amenant une enclave sécurisée pour les équipements qui y sont connectés.
Spécifications matérielles :
Solution autonome, la passerelle Floodgate Defender s’interface simplement entre l’équipement à protéger sans modification de ce dernier. De même il ne nécessite aucune configuration spécifique du réseau sur lequel il est connecté, il se configure automatiquement à la topologie du réseau. Il suffit d’insérer la passerelle entre le périphérique/le réseau à protéger et la connexion extérieure, de configurer les règles de filtrage/sécurité et les équipements sont immédiatement protégés de toutes tentatives d’attaques ou d’intrusions.
Filtrer et contrôler les accès :
Firewall bidirectionnel, Floodgate Defender contrôle les communications depuis et vers le système protégé. Cette protection à double sens permet aux équipements de ne communiquer que vers des adresses IP connues et de confiance. Des malwares de cyber-espionnage ou de vols de données qui tenteraient d’envoyer des données depuis l’équipement vers l’extérieur seraient bloqués immédiatement.
Protéger d’actes malveillants internes :
Floodgate Defender protège également contre des actions « internes », volontaires ou non. En effet, en 2011, plus de 20% des cyberattaques étaient perpétrées de l’intérieur. Floodgate Defender permet, pour chaque périphérique relié, de définir des droits à chaque utilisateur, même légitime, des fichiers de log et des alertes pouvant être générés afin de détecter ces accès ou utilisations non autorisés.
Bloquer les attaques :
Floodgate Defender reconnait et bloque certains types d’attaques courantes telle que « TCP SYN FLOOD» souvent utilisée pour les dénis de service (DoS) et ce même si cela provient d’une adresse IP reconnue et de confiance.
Contrôler en continu et gérer des alertes :
Floodgate Defender permet de générer des alertes lorsque des conditions d’alarme sont détectées avec des logs sur les évènements et les violations des règles de sécurité définies. Il peut également remonter ces alertes et ces journaux à des systèmes SIEM (Security Information and Event Management), tels que Floodgate Security Manager ou McAfee ePO.
Participer à la mise en conformité des équipements :
Dans beaucoup de secteurs des normes/recommandations (telles que le NERC-CIP, EDSA, ISA/IEC62443, ISO2700x) deviennent obligatoires afin de garantir la protection des biens et des infrastructures pour tout équipement utilisant des protocoles routables. Floodgate Defender facilite cette mise en conformité des équipements en créant un périmètre de sécurité autour de périphériques non sécurisés en amenant une enclave sécurisée pour les équipements qui y sont connectés.
Spécifications matérielles :
- Taille: 10,1 x 9,5 x 3,1cm
- Poids: 369 g
- Température de fonctionnement: 0-70 C
- Alimentation: 24 VDC
- Consommation: 8W à pleine charge, 1W en veille, 6W à faible charge
- 2 ports Ethernet 10/100 (RJ-45)
- Montage sur rail DIN supporté
Frédéric MARAVAL – Responsable BU Temps réel Embarqué – fmaraval@isit.fr