Cybersécurité des systèmes industriels (SCADA)

Jour 1

Tour d'horizon des systèmes industriels

• Les enjeux d'un système d'information
• Spécificités et contraintes opérationnelles
• Architecture des systèmes SCADA
• Les familles et générations d'ICS
• Les types d'équipement et exemples d'architectures
• Les architectures par secteurs d'activité
• Les attentes des nouveaux systèmes industriels
• Les principaux protocoles industriels

Enjeux de la sécurité d'une infrastructure industrielle

• La convergence de l'OT et de l'IT
• Panorama de la cybersécurité
• Les spécificités de la cybersécurité industrielle
• Les profils des attaquants et leurs objectifs
• Les grandes familles d'attaques :
• Spoofing
• Sniffing
• Forging...
• Prise de conscience de l'importance de la sécurité des SI industriels au sein de l'Etat et des entreprises : les différents aspects
• Les référentiels sur la sécurité des sytèmes d'information industriels
• Les normes de la sécurité industrielle :
• IEC 62443
• ISO 27019
• IEC 61508 et 61511
• NIST 800-82
• Le "Threat Modeling" en fonction des générations et des équipements des systèmes SCADA
• Qu'est-ce que l'ANSSI et quel est son rôle ?

Normes

• Panorama des normes et guides de la sécurité industrielle
• Les normes de sécurité des SI de gestion ISO 270xx
• Les normes de la sécurité industrielle IEC 61508 et 61511
• La norme de sécurité du NIST 800-82
• La convergence vers la norme de sécurité IEC 62443
• Les guides de l'ANSSI
• Maîtriser la SSI pour les systèmes industriels
• Méthode de classification et mesures principales
• Cas pratique
• Mesures détaillées

Jour 2

Détermination des niveaux de classification par l'ANSSI

• Analyse basée sur le guide ANSSI relatif aux réseaux industriels

Risques et menaces

• Les attaques réelles sur les systèmes SCADA et retours d'expérience :
• Stuxnet, Duqu, Flame et Gauss
• Triton
• BlackEnergy, Dragonfly et Energetic Bear
• Night Dragon
• APT33
• Les autres attaques sur des ICS
• Les facteurs de risque
• Les grands risques et familles de vulnérabilités
• Les menaces APT (Advanced Persistent Threat)
• Les postures de sécurité modernes des systèmes ICS

Vulnérabilités intrinsèques des ICS

• Les vulnérabilités :
• Réseau
• Systèmes
• Applicatives
• Analyse avancée de la sécurité des PLC

Exemples de travaux pratiques (à titre indicatif)

• TP offensif
• Découvrir les machines exploitant Modbus sur un réseau
• Mettre sur écoute le protocole Modbus
• Détourner le trafic Modbus
• Falsifier une trame sur le protocole Modbus
• Réaliser un "fuzzing" sur les protocoles d'ICS / SCADA
• Découvrir les attaques sur S7comm
• Découvrir les protocoles BACnet et EtherNet/IP
• Découvrir les surfaces d'attaque sur les PLC
• Maîtriser l'analyse de firmware sur les PLC
• Mettre en place une attaque par rebond via un PLC
• Réaliser un brute-force sur un PLC ou une supervision

Jour 3

Evaluer la sécurité de ses installations

• Réunir les éléments-clefs d'un diagnostic préalable
• Tests à prévoir pour des installations locales et/ou distribuées
• Outillage nécessaire pour l'audit
• Failles les plus couramment rencontrées
• Les plans d'actions types à appliquer et les outils requis

Exemples de travaux pratiques (à titre indicatif)

• TP offensif
• Mettre en place un "Threat Modeling" pour attaquer les architectures réseaux ICS / SCADA
• Introduire Metasploit pour le test d'intrusion des systèmes ICS / SCADA
• Maîtriser l'exploitation de vulnérabilités dans les environnements ICS / SCADA
• Découvrir le pivoting dans les environnements ICS / SCADA
• TP défensif
• Analyse de trames / Forensic
• Réalisation de règles sur un IDS dédiées aux ICS
• Configuration d'un honeypot
• Conception d'une architecture sécurisée

Accès distants

• Les liaisons RTC
• Les points d'accès VPN
• Les boîtiers de télétransmission sans-fil et 4G
• La sécurité des liaisons sans-fil (Wi-Fi, liaisons radio)
• Les problèmes spécifiques aux automates et IHM exposés sur Internet

Postures défensives de protection des ICS

• Définir une politique de sécurité
• Mener une évaluation des risques
• Les objets principaux de la sécurisation technique
• L'authentification
• Le chiffrement
• Le durcissement
• La traçabilité
• Les équipements dédiés
• Le patch management
• La sécurisation fonctionnelle et l'utilisation des garde-fous
• Comment réagir à un incident de sécurité
• Les facteurs-clés de succès et bonnes pratiques
• L'intégration avec la sûreté industrielle
• La sécurité organisationnelle des réseaux industriels

Le contenu de ce programme peut faire l'objet d'adaptation selon les niveaux, prérequis et besoins des apprenants.

Modalités d’évaluation des acquis

• En cours de formation, par des études de cas ou des travaux pratiques
• Et, en fin de formation, par un questionnaire d'auto-évaluation