Plateforme pour l’eau, le gaz et la chaleur
Le monde numérique a révolutionné l’univers industriel en lui offrant une meilleure productivité mais en contrepartie, il l’a exposé à de nouvelles menaces. Tous les secteurs sont touchés par des cyberattaques, y compris celui du gaz. Il existe plusieurs faits relatant des problèmes de cybersécurité auxquelles certaines entreprises gazières ont été confrontées. Début 2018, un groupe de hacker a piraté un système de contrôle industriel principalement utilisé par les entreprises nucléaires, pétrolières et gazières, par les biais du logiciel malveillant «Triton». L’entreprise ciblée par l’attaque ne s’est rendu compte de la situation que lorsque les pirates ont essayé de reprogrammer certains capteurs, déclenchant ainsi le mode sécurité du système et son arrêt automatique [1]. En 2019, l’une des plus grandes entreprises gazières mexicaines a été attaquée par le ransomware «Ryuk». Les systèmes industriels ont été épargnés mais les éléments TIC liés aux tâches organisationnelles ont été bloqués et cryptés empêchant le bon fonctionnement de l’entreprise [2]. Ces exemples démontrent que de telles menaces sont réelles et qu’il est nécessaire que les systèmes TIC requis pour l’approvisionnement en gaz présentent un niveau de sécurité élevé.
Pour les organisations industrielles, un système de contrôle industriel (ICS, Industrial Control System) est primordial car il contrôle le cœur de leurs activités. Un ICS est composé de plusieurs éléments de contrôle pouvant être électriques, mécaniques, hydrauliques ou encore pneumatiques qui interagissent ensemble afin d’atteindre un objectif commun, comme par exemple, gérer le transport du gaz. La tâche d’un ICS consiste à collecter des données provenant de processus variables ou des statuts de machines industrielles et à contrôler des machines sur place ou à distance [3]. Le terme ICS est générique et englobe plusieurs types de systèmes de contrôle dont les systèmes de contrôle et d’acquisition de données (SCADA, Supervisory Control and Data Acquisition) [4] particulièrement utilisés dans la distribution industrielle (y compris pour le transport du gaz). La spécificité d’un système SCADA est sa capacité à effectuer des contrôles opérationnels sur de longues distances. Un système SCADA permet de contrôler à distance plusieurs opérations locales telles que l’ouverture et la fermeture de vannes ou de disjonc-teurs, la collecte de données provenant de différents capteurs ainsi que la surveillance des unités de terrain et la possibilité de réagir [5].
Afin de réduire les coûts et d’améliorer le fonctionnement des ICS, les technologies opérationnelles (OT) ont commencé à fusionner avec les technologies de l’information (IT). Pour rappel, les technologies de l’information regroupent l’ensemble des systèmes informatiques qui soutient le travail quotidien d’une entreprise (e-mail, imprimantes, téléphonie, etc.). Quant aux technologies opérationnelles (OT), elles sont utilisées pour le travail opérationnel lié aux processus industriels d’une organisation (capteurs, thermomètres, machines industrielles, etc.). Cette convergence entre IT et OT a permis de connecter et d’automatiser les systèmes industriels. De ce fait, il est désormais possible de contrôler à distance les équipements OT, sur lesquels sont implémentés les ICS, grâce aux protocoles de communication IT standard. Les ICS gagnent donc en productivité au détriment de la sécurité en s’exposant aux menaces extérieures provenant des équipements IT [6]. L’objectif de la norme minimale TIC est donc de sécuriser convenablement l’ensemble des équipements TIC et de s’assurer que les ICS sont correctement protégés vis-à -vis de ces «nouveaux» risques.
Pour remonter à l’origine du concept de norme minimale TIC, il faut se plonger dans la première stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) qui a été adoptée par le Conseil fédéral en 2012. Ce document regroupe l’ensemble des acteurs fédéraux œuvrant pour améliorer la protection de la Suisse contre les cyberrisques et coordonne les différentes missions attribuées à chacun d’entre eux. L’une des tâches qui a été confiée à l’Office fédéral pour l’approvisionnement économique du pays (OFAE) est la réalisation de la norme minimale TIC. L’objectif est de protéger convenablement les infrastructures jugées critiques pour l’approvisionnement du pays en mettant à dispositions un programme de cybersécurité commun et efficace. En 2018, une nouvelle version de la SNPC est entrée en vigueur et a permis d’actualiser et d’étendre les objectifs de la précédente [7]. À présent, l’OFAE est responsable d’adapter la norme minimale TIC aux différents secteurs jugés critiques pour l’approvisionnement du pays. C’est dans ce contexte que la norme minimale TIC pour l’approvisionnement en gaz a vu le jour.
La norme minimale TIC ne contient pas un programme de cybersécurité qui offre une protection maximale. L’objectif est d’atteindre un niveau de protection acceptable en implémentant la norme minimale TIC selon les besoins et les ressources spécifiques à chaque organisation afin qu’elle puisse être protégée convenablement selon ses risques. D’ailleurs, cette flexibilité est l’un des avantages de la norme minimale TIC. En effet, bien qu’elle soit originalement destinée aux infrastructures jugées critiques pour l’approvisionnement du pays, elle est disponible et exploitable par n’importe qu’elle organisation désireuse de
l’implémenter.
Afin de protéger plus efficacement les différents secteurs jugés critiques pour l’approvisionnement du pays, des normes minimales TIC «spécifiques» ont été réalisées (fig. 1). Elles se basent toutes sur le même programme de cybersécurité et préconisent les mêmes mesures de sécurité mais elles s’adaptent aux secteurs concernés en identifiant leurs activités critiques. L’identification des activités critiques permet de prioriser certaines mesures du programme de cybersécurité afin que les organisations puissent cibler et sécuriser les éléments indispensables au bon fonctionnement de leurs installations. Avant d’aborder les activités critiques de la norme minimale TIC pour l’approvisionnement en gaz, il est préférable de commencer par décrire le programme de cybersécurité commun à toutes les normes minimales TIC.
Dans le domaine de la cybersécurité, il existe trois principes fondamentaux qui régissent la mise en place d’une politique de sécurité. Il s’agit de la confidentialité, de l’intégrité et de la disponibilité des données (fig. 2). La norme minimale TIC ne déroge pas à la règle et chaque mesure contenue dans son programme de cybersécurité a pour but d’améliorer le niveau de sécurité d’au moins l’une de ces trois notions.
La confidentialité qui a longtemps été un symbole de la sécurité, signifie que seuls les systèmes et les personnes autorisées peuvent accéder aux données. Cependant, travailler uniquement sur la confidentialité des données n’est pas suffisant pour permettre aux organisations de se protéger contre des cyberrisques. En effet, il est aussi important de garantir l’intégrité des données, ce qui signifie s’assurer que les données soient en tout temps complètes et exactes afin d’éviter de prendre de mauvaises décisions en se basant sur des informations erronées. Le dernier élément est la disponibilité des données qui signifie qu’une organisation doit avoir accès à ses données à chaque fois que cela est nécessaire. Il s’agit d’une notion primordiale car même si les données sont confidentielles et intègres mais qu’elles ne sont pas accessibles, elles ne sont d’aucune utilité.
Lors de l’élaboration de la norme minimale TIC, le choix du programme de cybersécurité s’est porté sur le NIST Framework Core [8]. Cette méthodologie américaine élaborée par le National Institute of Standards and Technology (NIST) permet de disposer d’une protection globale et surtout continue des équipements TIC. L’objectif du NIST Framework Core est de fournir aux opérateurs d’infrastructures critiques et à toutes les autres organisations dépendantes des TIC, un instrument leur permettant d’accroître de manière indépendante et autonome leur niveau de résilience face aux risques des TIC.
Pour élaborer l’ensemble des mesures qui compose le NIST Framework Core, l’institution américaine s’est appuyée sur deux concepts: une approche basée sur le risque et la stratégie de defense-in-depth. L’analyse du risque acceptable est primordiale pour une organisation car cela lui permet d’implémenter les mesures du NIST Framework Core selon ses propres besoins (selon son secteur, sa taille, ses ressources et ses menaces).
Après cette analyse, chaque organisation est en mesure de déterminer, selon ses ressources, le niveau de protection optimal à atteindre. Quant à la stratégie de defense-in-depth, il s’agit d’une approche dérivée du principe militaire qui veut qu’un système de défense multicouche complexe est plus difficile à franchir qu’une simple barrière. L’objectif de cette stratégie est donc d’appliquer plusieurs mesures de sécurité sur différents niveaux de protection (allant, par exemple, de la protection du réseau à la protection des éléments physiques en passant par la formation des collaborateurs), obligeant ainsi le potentiel attaquant à franchir une multitude d’obstacles de sécurité complexes.
Le dernier aspect du programme de cybersécurité concerne les mesures du NIST Framework Core. Il s’agit d’une centaine de mesures réparties sous cinq fonctions: identifier, protéger, détecter, réagir et récupérer. Ces cinq fonctions reflètent la philosophie du NIST Framework Core qui aborde la cybersécurité comme un processus dynamique qui nécessite des contrôles réguliers et une procédure d’amélioration continue (fig. 3).
L’objectif des mesures de cette fonction est de répertorier l’ensemble des éléments en lien avec les TIC de l’organisation ainsi que les cyberrisques pouvant affecter ces derniers. Il s’agit de procéder à un «inventaire» des systèmes, des procédures, des ressources, des responsabilités des collaborateurs ou encore des biens de l’organisation. Une fois l’ensemble des éléments TIC répertorié, il est plus aisé de les protéger efficacement en mettant en œuvre les procédures de sécurité adéquates.
Cette fonction englobe les mesures permettant d’assurer une protection et des contrôles de sécurité appropriés à l’ensemble des actifs TIC de l’organisation. Il s’agit de procédés techniques (anti-virus; DMZ, c’est-à -dire un sous-réseau séparé du réseau local et isolé de celui-ci et d’Internet par un pare-feu; architecture réseau; etc.) mais aussi d’éléments plus globaux, comme par exemple la sensibilisation des collaborateurs vis-à -vis des cyberrisques. Le but est d’éviter ou de limiter les dégâts engendrés par une potentielle menace.
Après avoir identifié les éléments TIC et appliqué les mesures de protection adéquates, il est nécessaire de procéder à une surveillance en continu de la sécurité des infrastructures. Les mesures de cette fonction ont pour objectifs de mettre en place un système de surveillance efficace et ciblé des éléments TIC afin de déceler suffisamment tôt des menaces et ainsi d’éviter ou d’atténuer l’effet d’un cyberincident.
Au sein de cette fonction, les mesures permettent d’adapter les procédures de sécurité lors de la détection de cybermenaces. L’objectif est de répondre correctement à un cyberincident en limitant un maximum l’impact de ce dernier sur l’organisation. L’idéal est de disposer de procédures détaillées et approuvées afin résoudre le plus efficacement possible l’incident.
Cette fonction contient les mesures permettant de restaurer toutes les capacités qui ont été altérées par un incident de cybersécurité. Il s’agit d’appliquer les plans de résilience afin de rétablir les infrastructures de l’organisation pour lui permettre de reprendre rapidement un rythme de travail normal. Cette fonction est primordiale pour permettre de relancer, sur une base saine, les éléments TIC d’une entreprise et donc réduire l’impact d’un incident de cybersécurité.
L’implémentation de la norme minimale TIC consiste à évaluer sur une échelle de 0 à 4 l’ensemble des mesures du NIST Framework Core. Ce diagnostic permet à chaque organisation de déterminer son niveau de sécurité face au risque, d’identifier ses forces ainsi que ses faiblesses et d’appliquer les solutions de sécurité correspondantes en améliorant les mesures ou les fonctions qui sont en-dessous de leurs attentes. L’évaluation de ces mesures offre un cadre de sécurité complet permettant aux organisations d’adapter en continu leur programme de sécurité à leurs besoins.
De plus, l’outil d’évaluation [9], disponible sur le site Internet de l’OFAE, permet de créer différents profils en comparant, par exemple, le niveau de protection atteint dans chaque fonction afin d’offrir aux entreprises une meilleure perception de leur situation (fig. 4). Les profils permettent d’identifier les meilleures options d’amélioration en comparant le profil réel et le profil souhaité. Dans ce cas, le niveau minimal est considéré comme atteint lorsque le profil de la cote globale de l’évaluation de la cybersécurité indique des valeurs réelles égales ou supérieures aux valeurs minimales souhaitées. Afin d’illustrer ces propos, la figure 5 contient une brève description des différents niveaux d’évaluation.
Comme expliqué précédemment, l’un des objectifs de l’OFAE est d’adapter la norme minimale TIC aux différents secteurs jugés critiques pour l’approvisionnement du pays. Afin d’effectuer cette tâche, l’OFAE collabore toujours avec une ou plusieurs organisations spécialisées du secteur concerné. En 2019, l’OFAE et la SSIGE ont publié conjointement la norme minimale TIC pour l’approvisionnement en eau potable (Recommandation SSIGE W1018; [10]).
Cette collaboration s’est donc naturellement poursuivie pour donner naissance à la norme minimale TIC pour l’approvisionnement en gaz (Recommandation SSIGE G1008) qui sera publiée à la fin de cette année. Afin de produire un document de qualité et adaptable à l’ensemble du secteur, des représentants de la majorité des organisations gazières suisses (Swissgas, Transitgas, Gasverbund Mittelland, GAZNAT, Erdgas Ostschweiz, Erdgas Zentralschweiz ainsi que certaines sociétés de distribution locales) ont pris part à la réalisation de cette
norme.
Comme le programme de cybersécurité est commun à toutes les normes minimales TIC cela permet, par exemple, à la SSIGE de travailler avec les mêmes bases dans le secteur de l’eau potable et du gaz. Les particularités des normes minimales TIC spécifiques à un secteur résident donc dans l’identification des activités critiques du secteur concerné. En se basant sur l’analyse des risques et de la vulnérabilité du secteur du gaz naturel [11] réalisée par l’OFAE ainsi que sur les experts en gaz, la structure du marché et le processus d’approvisionnement de ce secteur ont été analysées permettant ainsi de définir les activités critiques et les systèmes TIC associés.
L’identification des activités critiques permet de prioriser certaines mesures du programme de cybersécurité afin que les sociétés de transport et de distribution de gaz puissent garantir la sécurité des éléments indispensables au bon fonctionnement de leurs installations. Pour qu’une activité soit considérée comme critique, elle doit remplir deux conditions: être dépendante des systèmes TIC et être indispensable au processus d’approvisionnement.
Dans le cas du gaz, neuf activités critiques ont été identifiées: le négoce, la nomination, les postes de comptage douaniers, l’odorisation, la gestion du réseau, la compression, le stock journalier, les données clients et les outils de communication. Le tableau 1 développe ces neuf activités critiques en expliquant leur signification et les raisons de leur criticité. Dans le cadre de cet article, il est difficile de rentrer plus dans les détails car l’identification des activités critiques se base sur l’analyse de la structure du marché, du processus d’approvisionnement et des systèmes TIC utilisés. Il n’est donc pas évident d’aborder le thème des activités critiques sans développer chacun de ces éléments. Pour plus de détails, il est donc conseiller de lire le chapitre 2 de la norme minimale TIC pour l’approvisionnement en gaz G1008 qui décrit toute la procédure d’identification des activités critiques.
L’objectif de cet article est d’introduire la norme minimale TIC en traitant simplement et brièvement plusieurs thématiques de cybersécurité. Pour ceux qui souhaitent approfondir le sujet, il est conseillé de lire la norme minimale TIC pour l’approvisionnement en gaz (Recommandation G1008), en particulier les chapitres 2, 3 et 4 qui ont servi de base à cette introduction. De plus, la SSIGE et l’OFAE recommandent à chaque organisation d’implémenter la norme minimale TIC pour l’approvisionnement en gaz dans sa totalité. Pour terminer, il est bon de rappeler que la cybersécurité ne doit pas être considérée ni abordée comme un état, mais comme un processus dynamique. La sécurité des systèmes TIC n’est jamais acquise. Elle constitue un objectif permanent qui doit faire l’objet de contrôles réguliers et d’un processus d’amélioration continue. La norme minimale TIC sert donc de guide afin de mettre en œuvre ce processus et ainsi atteindre cet objectif.
Â
Un grand merci à tous les membres du groupe de travail pour leur engagement et leur soutien lors de la réalisation de la norme minimale TIC pour l’approvisionnement en gaz.
[1] The Guardian (15 décembre 2017) Triton: hackers take out safety systems in «watershed» attack on energy plant. https://www.theguardian.com/technology/2017/dec/15/triton-hackers-malware-attack-safety-systems-energy-plant
[2] Reuters (12 décembre 2019): Ransomware attack at Mexico’s Pemex halts work, threatens to cripple computers. https://www.reuters.com/article/us-mexico-pemex-idUSKBN1XM041
[3] National Institute of Standards and Technology: Glossary – Industrial Control System ICS. https://csrc.nist.gov/glossary/term/industrial_control_system
[4] Falco, J.; Scarfone, K.; Stouffer, K. (2013): Guide to Industrial Control Systems (ICS) Security. NIST special publication 800–82 Revision 1
[5] National Institute of Standards and Technology: Glossary – Supervisory Control and Data Acquisition SCADA. https://csrc.nist.gov/glossary/term/supervisory_control_and_data_acquisition
[6] Balmelli, L. (14 février 2020): Build a cyber security program for industrial control systems. Medium: https://medium.com/@laurentbalmelli/build-a-cyber-security-program-for-industrial-control-systems-5026064aa633
[7] Unité de pilotage informatique de la Confédération UPIC (2018): Stratégie nationale de protection de la Suisse contre les cyberrisques 2018–2022. https://www.newsd.admin.ch/newsd/message/attachments/52072.pdf
[8] National Institute of Standards and Technology: An introduction to the components of the framework. https://www.nist.gov/cyberframework/online-learning/components-framework
[9] OFAE (2018): Norme minimale TIC – Outil d’évaluation. https://www.bwl.admin.ch/bwl/fr/home/themen/ikt/ikt_minimalstandard.html
[11] Office fédéral pour l’approvisionnement économique du pays OFAE (2014): Risiko- und Verwundbarkeitsanalyse des Teilsektors Erdgasversorgung. Berne (n’existe qu’en allemand)
Avec l'abonnement en ligne, lisez le E-paper «AQUA & GAS» sur l'ordinateur, au téléphone et sur la tablette.
Avec l'abonnement en ligne, lisez le E-paper «Wasserspiegel» sur l'ordinateur, au téléphone et sur la tablette.
Kommentare (0)