Le secteur de l’eau est une cible de choix pour les cyberattaquants, le plus souvent dans un but lucratif mais aussi à des fins de déstabilisation. L’ANSSI dresse le bilan du “pourquoi ?” la menace informatique dans l’eau est aussi présente.
En voici les points principaux :
Le logiciel de supervision est un bien clé et sensible du Système d’Information (SI) industriel des opérateurs du domaine de l’eau. Il est souvent exposé pour des consultations en itinérance ou pour réaliser la télémaintenance des applications. Par ailleurs, il détient des informations critiques sur les ouvrages exploités et permet de les piloter.
Alors, comment protéger ce bien essentiel et se prémunir contre les menaces informatiques ? L’ANSSI livre dans sa publication de nombreuses recommandations, dont certaines en lien direct avec les systèmes SCADA.
Objectif :
Sécuriser les communications entre SCADA et équipements de terrain (ou inter-équipements) : automates industriels, automates de télégestion, data loggers, IoT.
Recommandations :
Utiliser des protocoles nativement sécurisés comme OPC UA ou encapsuler les protocoles dans des tunnels Ipsec ou TLS.
AREAL a bien compris les enjeux liés à la sécurité concernant la collecte des données et le pilotage des installations. Topkapi dispose d’un large éventail de protocoles de communication natifs (simplifiant la mise en œuvre) sécurisés : OPC UA, Sofrel Lacbus sécurisé, interfaçage avec des serveurs FTPS ou SFTP (pour le dépôt de données par les équipements), Webservices en HTTPS.
Objectif :
Sécuriser la chaine d’approvisionnement, en particulier les accès des prestataires externes aux SI industriels.
Recommandations :
Utiliser des postes dédiés et définir des procédures de gestion des outils de maintenance des prestataires.
Pour le SCADA, il est évoqué ici l’accès en configuration depuis l’extérieur. Les préconisations d’AREAL : configurer en dehors du SI (donc ne pas avoir l’outil de configuration au sein du SI). Si ce n’est pas possible utiliser un client TS/RDP pour la configuration accessible depuis une solution PAM* avec contrôle des opérateurs renforcés ou depuis un VPN.
*Solution PAM : système de gestion des accès privilégiés
Objectif :
Se prémunir de malveillances internes initiées par des employés, d’anciens employés, des prestataires, d’anciens prestataires, etc.
Recommandations :
Il faut donc utiliser un SCADA dont la gestion des droits et des modes d’authentification permet de suivre les préconisations de l’ANSSI. C’est le cas de la solution de supervision Topkapi.
Objectif :
Ne pas exposer les interfaces SCADA sur Internet pour limiter la surface d’attaque.
Recommandations :
Si ce n’est pas possible, mettre en place un pare-feu industriel, des mots de passe robustes et authentification à multiples facteurs. Pour les connexions à distance, mettre en place des tunnels chiffrés de type IPsec ou TLSv1.3. Utiliser un logiciel d’accès à distance maintenu à jour avec les correctifs de sécurité les plus récents.
Les évolutions de la plateforme logicielle Topkapi dans ses dernières versions sont conformes aux préconisations de l’ANSSI, notamment, en matière d’authentification multi-facteurs et de robustesse des mots de passe.
Objectif :
Sécuriser les interactions avec d’autres SI industriels.
Recommandations :
AREAL apporte des solutions concrètes avec les serveurs de données de Topkapi : serveur OPC UA ou Webservice en HTTPS. Ces serveurs de données permettent des échanges sécurisés avec l’extérieur. Les architectures en étoile sont celles les plus couramment utilisées pour les échanges avec les équipements distants.
La menace informatique dans le secteur de l’eau est bel et bien présente. Les recommandations de l’ANSSI en lien avec les logiciels SCADA sont essentielles dans la protection du SI industriel. Cette dernière nécessite de disposer d’une solution de supervision industrielle à jour des correctifs de sécurité et ayant suivi les recommandations de l’ANSSI pour son développement. AREAL travaille dans ce sens depuis de nombreuses années pour sa solution de supervision Topkapi.
Par ailleurs, avec la transposition de la directive européenne NIS2 en droit français, les recommandations de l’ANSSI vont - sans aucun doute - évoluer et se préciser. C’est le travail qui est ou a été réalisé par l’ANSSI avec les différentes filières éligibles à NIS2, dont le secteur de l’eau. Les publications sont attendues. Nous serons présents à vos côtés pour pouvoir les appliquer et être conforme NIS2 avec Topkapi au sein de votre SI.
