VAPT industrielle
L'évaluation des vulnérabilités et les tests d'intrusion (VAPT) sont des moyens de découvrir les points faibles de la sécurité de vos systèmes OT.
> OT SERVICES > VAPT industrielle
Test d'intrusion en milieu industriel
Au sein des environnements industriels, les tests de cybersécurité nécessitent une approche spécialisée. Cela s'explique par les différents risques et modèles de menaces au sein des technologies opérationnelles (OT).
Découvrez-en plus sur les VAPT dans le secteur industriel :
- Qu'est-ce que l'Évaluation des vulnérabilités / test d'intrusion (VAPT) ?
- La valeur et les résultats du VAPT dans la technologie opérationnelle
- VAPT dans le secteur industriel
- Différentes techniques pour les systèmes OT
- L'approche de Bureau Veritas Cybersecurity en matière de VAPT dans le secteur industriel
Qu'est-ce que l'évaluation des vulnérabilités et le test d'intrusion ?
De nombreux types de tests sont collectivement connus sous le nom d'évaluations des vulnérabilités et de tests d'intrusion (VAPT). Le test d'intrusion classique signifie que les tests sont effectués du point de vue d'un attaquant et que les vulnérabilités sont exploitées pour voir "jusqu'où un attaquant peut aller". Cependant, ce n'est pas toujours la manière la plus efficace de tester, car il est souvent plus judicieux d'effectuer une Évaluation des vulnérabilités.
Une Évaluation des vulnérabilités implique de tester de manière à trouver autant de vulnérabilités que possible sans perdre de temps à exploiter ces vulnérabilités pour voir jusqu'où vous pouvez aller. Il est souvent plus utile de trouver davantage de vulnérabilités, car cela permet de réduire les risques de manière plus efficace : il s'agit d'explorer en profondeur plutôt que (seulement) en profondeur.
La valeur du VAPT en OT
L'objectif d'un test d'intrusion est d'illustrer aussi clairement que possible les conséquences d'un certain problème lié à votre cybersécurité, et ce que cela signifierait pour votre organisation. Par exemple, le risque qu'un incident de cyber sécurité, comme un Ransomware, affecte également le réseau OT, que des acteurs de la menace s'introduisent dans le réseau OT pour accéder à la propriété intellectuelle, les risques liés à la chaîne d'approvisionnement causés par la connectivité des fournisseurs à distance, ou l'impact potentiel d'une attaque cyber physique.
VAPT donne un aperçu de la résilience Cyber actuelle des réseaux IT et/ou OT pour ces types de menaces et si des améliorations pourraient être nécessaires. Bureau Veritas Cybersecurity consigne les résultats du test VAPT dans un rapport clair, avec un résumé concis pour la direction, une analyse de risque approfondie pour chaque résultat et des recommandations aux niveaux stratégique, tactique et opérationnel. Les résultats de l'assessment peuvent être utilisés pour prendre des mesures visant à combler les gaps de sécurité et à réduire les risques dans votre organisation.
VAPT industrielle
Dans les environnements industriels, de nombreux processus commerciaux critiques dépendent des technologies de l'information. Les réseaux dotés de systèmes de contrôle industriel (ICS) tels que les DCS, les PLC et les systèmes SCADA gèrent et automatisent les processus critiques. Cependant, les services informatiques de l'entreprise sont tout aussi importants pour les opérations quotidiennes. De plus, en raison de la convergence de l'IT et de l'OT et des initiatives de l'Industrie 4.0, la dépendance entre ces deux environnements s'accroît également. Une entreprise prospère dépend de systèmes fiables à la fois dans l 'IT et l'OT; par conséquent, les tests VAPT sont importants pour tous ces systèmes. Différentes technologies sont utilisées dans ces environnements, et l'on sait collectivement que les systèmes OT peuvent ne pas être résistants aux analyses VAPT. Il est évident que chaque domaine nécessite une approche différente.
Déterminer la portée de l'assessment VAPT
Il est important de définir la portée de l'évaluation de la VAPT. Les différentes approches pour des parties spécifiques de l'infrastructure sont brièvement décrites ci-dessous à l'aide d'un modèle de référence commun. Chaque infrastructure étant différente, Bureau Veritas Cybersecurity commencera toujours par examiner la topologie du réseau avec le client afin d'adapter son approche aux systèmes concernés.
- Technologie de l'information (IT)
- IT/OT-DMZ
- Technologie opérationnelle (OT)
- Internet des objets (IIoT)
Scoping - Parties spécifiques de l'infrastructure
01
Technologie de l'information (IT)
Outre les composants habituels que l'on trouve dans tout réseau informatique moderne (et leurs vulnérabilités), les organisations industrielles peuvent être confrontées à des défis supplémentaires. Les services qui dépendent des données reçues de la couche OT ou vice versa. Un bon exemple est la connexion entre le système informatique ERP et les applications OT, souvent à l'aide de connexions SQL ou HTTP non chiffrées. Même les services OT-cloud ou l'accès à distance OT peuvent être acheminés via le domaine informatique. Cette connectivité et cette dépendance augmentent le risque que des cyberincidents passent d'un domaine à l'autre. Les incidents survenant dans l'environnement informatique peuvent affecter l'environnement OT, mais l'inverse est également vrai.
Bien sûr, vous pouvez effectuer une VAPT standard dans votre domaine informatique. Toutefois, il est également possible d'étendre ce principe en se demandant si les vulnérabilités du domaine informatique peuvent être exploitées pour atteindre ou affecter les systèmes informatiques. Dans ce cas, nous essayons d'exploiter les vulnérabilités découvertes pour accéder aux serveurs de la zone de gestion informatique/technologique ou, éventuellement, directement au réseau technologique.
02
IT/OT-DMZ
LA DMZ sépare le réseau informatique de l'entreprise et le réseau OT. Souvent, ce niveau est constitué de containers informatiques génériques, mais il peut également contenir des applications spécifiques liées à l'informatique de terrain, y compris des protocoles de communication spécifiques à l'informatique de terrain, tels que Modbus, OPC ou OPC-UA. Les serveurs d'accès à distance, les serveurs de distribution de mises à jour de correctifs et les serveurs d'historiens de données en sont quelques exemples. Il s'agit souvent d'une couche cruciale, car c'est l'une des premières couches de défense des systèmes OT sous-jacents.
En général, ces systèmes sont plus résistants aux analyses de vulnérabilité. C'est pourquoi nous suggérons souvent d'utiliser une approche "boîte grise". Nous obtenons des informations à l'avance afin d'éviter les techniques perturbatrices sur des systèmes qui pourraient ne pas être en mesure de faire face à ces attaques. Dans le même temps, la plupart des tests utilisent une "approche pirate" réaliste. L'une des principales questions est de vérifier s'il existe des vulnérabilités qui pourraient être exploitées par un attaquant pour accéder aux données ou aux systèmes d'exploitation.
Au cours du test d'intrusion, on tente d'échapper aux contraintes de la DMZ, soit en se déplaçant latéralement vers d'autres systèmes de la DMZ, soit en escaladant les privilèges, soit en exploitant des failles de sécurité ou de configuration. On cherchera à savoir s'il est possible de manipuler la communication entre l'informatique et l'informatique de terrain (comme les changements de paramètres de production, les opérations à distance, etc.) Toutefois, l'objectif ultime est de contourner le pare-feu et d'accéder au domaine des technologies de l'information.
03
Technologie opérationnelle (OT)
Dans l'environnement OT, il y a beaucoup plus de composants comme les contrôleurs DCS , les PLC, les RTU, les systèmes SCADA , et éventuellement d'autres systèmes hérités qui ne peuvent pas supporter les scans ou les actions perturbatrices utilisées pendant un test d'intrusion conventionnel. Un simple balayage du réseau peut déjà suffire à perturber le fonctionnement d'un automate. C'est l'une des raisons pour lesquelles il est communément dit que ce n'est pas une bonne idée d'effectuer des missions de VAPT dans des réseaux de production en direct.
Par ailleurs, les pirates informatiques peuvent ne pas le savoir ou ne pas s'en préoccuper, et nous savons qu'il existe de nombreuses vulnérabilités dans les réseaux OT. Alors, comment gérer cette situation ? Au lieu de vous contenter de suivre le consensus, vous devez vous concentrer sur les tests qui sont possibles dans les environnements OT. Cela dépend de l'infrastructure spécifique concernée, mais nous préférons généralement une approche de type "boîte de cristal". Dans ce cas, les informations sur le réseau interne sont fournies, peut-être avec quelques identifiants et l'accès à des exemples de configuration. Ces informations sont nécessaires pour que l'approche de chaque appareil puisse être adaptée en fonction de sa situation par rapport au modèle Purdue.
Techniques VAPT pour les systèmes OT
Analyse passive
L'une des techniques pouvant être utilisées dans les environnements OT est l'analyse passive des vulnérabilités. Contrairement à l'analyse de vulnérabilité normale (active), aucun trafic (intrusif) n'est injecté dans le réseau, ce qui garantit que même les systèmes les plus fragiles ne sont pas affectés. L'analyse passive est une technique de "lecture seule" qui utilise une copie du trafic réseau existant. Ce trafic est analysé et pourrait exposer des vulnérabilités telles que des protocoles faibles, une mauvaise configuration ou un micrologiciel obsolète.
L'inconvénient de cette méthode est qu'elle est moins précise et qu'elle n'offre pas une couverture complète (seuls les appareils utilisés au moment du test génèrent du trafic à analyser). Elle nécessite donc un peu plus d' investigations manuelles pour confirmer les résultats.
Analyse sélective
En plus de l'analyse passive, il est possible d'utiliser des techniques d'analyse active spécifiques et moins intrusives en collaboration avec le client. Ces requêtes seront adaptées à un seul hôte ou à une partie sélectionnée du réseau, et les paramètres seront configurés de manière à éviter tout trafic excessif. Cette technique est plus précise que le balayage passif, mais elle prend du temps. Certains dispositifs, comme les anciens automates programmables, ne devraient jamais être scannés lorsqu'ils sont en production. Il est toutefois possible d'effectuer ces balayages pendant une période de maintenance ou de supervision manuelle, ou encore, si cela est possible, dans un environnement de test distinct contenant les mêmes types de dispositifs.
Notre approche de la VAPT pour l'OT
Notre approche spécifique de la VAPT dans l'environnement de l'ergothérapie dépend des niveaux qui entrent dans le champ d'application des niveaux de Purdue.
Le modèle Purdue
Selon le modèle Purdue, un réseau OT typique se compose de différents niveaux :
Niveaux 2 et 3 de Purdue
En général, les systèmes qui résident dans les niveaux 2 et 3 de Purdue (Supervision de zone et Opérations de site, respectivement) sont basés sur des composants informatiques génériques. En fonction de la criticité de chaque système, nous pouvons utiliser des méthodes plus ou moins intrusives. Il s'agit souvent de tester la résistance des systèmes et du réseau à des attaques ciblées. À ces niveaux, les systèmes peuvent également utiliser des protocoles spécifiques à la technologie de l'information, tels que Modbus, DNP3, IEC-101/104, CIP Ethernet/IP, etc., pour communiquer entre eux et avec les systèmes des modèles Purdue inférieurs. Il n'est pas rare non plus, dans les environnements OT, que des applications ou des solutions personnalisées soient installées à ce niveau, ce qui pourrait ajouter une surface d'attaque. La question ultime est de savoir si un pirate peut se déplacer latéralement sur le réseau et atteindre les niveaux les plus profonds du système.
Au stade du test d'intrusion, nous essayons d'exploiter les vulnérabilités dans les configurations du système, les applications (personnalisées) installées, les protocoles informatiques faibles tels que FTP, Telnet, HTTP et SNMP, ainsi que les protocoles industriels non sécurisés. L'objectif est d'accéder aux postes de travail des ingénieurs, aux bases de données SCADA ou aux interfaces homme-machine afin de déterminer si nous pouvons influencer le processus.
Niveaux 0 et 1 de Purdue
Au niveau 1 (contrôle de base) et au niveau 0 (processus), nous n'utiliserons pas de méthodes intrusives à moins que cela ne soit spécifiquement demandé, par exemple lorsque le système pourrait également être utilisé manuellement ou qu'il n'est pas utilisé activement en raison d'une période de maintenance programmée. Souvent, la question est de savoir si un attaquant peut manipuler des signaux ou des mesures ou mener une attaque cyber-physique, en particulier lorsque ce niveau peut également contenir des systèmes de sécurité (SIS). Il est également possible d'étudier si ces niveaux inférieurs (qui peuvent être installés dans des sites distants sans personnel) peuvent donner accès à des niveaux supérieurs du réseau OT et peut-être même à l'environnement informatique.
À ces niveaux, la plupart des communications s'effectuent par le biais de protocoles spécifiques à la technologie de l'information, dont beaucoup ne sont pas sécurisés. Voici quelques exemples : Modbus-TCP, Fieldbus, Profibus, HART, et bien d'autres encore, y compris des protocoles propriétaires.
Sur demande, nous pourrions, dans le cadre du test d'intrusion, étudier les éventuelles vulnérabilités à ces niveaux également. Nous essaierons d'exploiter les vulnérabilités des protocoles de communication utilisés, les vulnérabilités potentielles du contrôleur ou du micrologiciel de l'appareil, ou les faiblesses d'abus dans la configuration de l'appareil.
Connectivité
Enfin, tous ces composants sont connectés via des dispositifs de réseau tels que des commutateurs, des routeurs, des pare-feu et même des points d'accès sans fil. En outre, il est courant que de nombreux convertisseurs de protocole et de média soient utilisés dans les environnements OT, comme les convertisseurs RS-232/RS-485 vers Ethernet ou cuivre vers fibre optique. Tous ces dispositifs intelligents génèrent des surfaces d'attaque supplémentaires. C'est pourquoi la configuration et la segmentation du réseau sont cruciales et constituent un bon domaine d'intérêt pour notre service VAPT. Ces appareils sont résistants à ces types d'analyses et seront inclus dans le champ d'application des analyses et des tests de vulnérabilité réguliers.
Pendant le test d'intrusion, nous essayons d'abuser des faiblesses dans la configuration de ces appareils ou d'exploiter les vulnérabilités potentielles du micrologiciel pour accéder à la couche d'infrastructure. En cas de succès, il devient plus facile d'attaquer d'autres parties du réseau, de manipuler le trafic réseau pour influencer le processus ou d'écouter les communications non cryptées.
- Niveau 0 - Processus
Ce niveau contient les dispositifs qui interagissent physiquement avec le processus. Par exemple, les instruments de terrain, les variateurs de fréquence (VDF), les pompes, les moteurs, les actionneurs et la robotique.
- Niveau 1 - Contrôle de base
Ce niveau contient les containers qui interagissent avec les instruments de terrain et les actionneurs. Par exemple, les contrôleurs DCS et de sécurité, les contrôleurs logiques programmables (PLC) et les unités de terminal à distance (RTU).
- Niveau 2 - Supervision de zone
Ce niveau contient les dispositifs utilisés pour surveiller les contrôleurs ou interagir avec eux. Par exemple, les interfaces homme-machine (IHM), les stations de travail d'ingénierie (EWS) et les collecteurs de données OPC.
- Niveau 3 - Opérations et contrôles du site
Ce niveau comprend un système permettant de prendre en charge les opérations, la maintenance et les optimisations à l'échelle du site. Par exemple, des historiens de données, des serveurs d'E/S et des services de sécurité plus génériques pour l'environnement OT, tels que des contrôleurs de domaine, des serveurs de sauvegarde et des serveurs de distribution de correctifs et d'AV.
J'aimerais en savoir plus sur Industrial Pentesting
Veuillez remplir le formulaire ci-dessous et nous vous contacterons dans un délai d'un jour ouvrable.
Services connexes
Site Assessment
Modélisation des menaces pour les Industrial Control Systems
OT Cyber FAT/SAT
Formation aux principes fondamentaux de la cybersécurité en OT
Maîtrisez l'essentiel de la cybersécurité des systèmes de contrôle industriels grâce à notre formation complète " Les fondamentaux de la cybersécurité des systèmes de contrôle industriels ". Saisissez les complexités de la sécurité des Industrial Control Systems (ICS) et naviguez dans les normes applicables pour appliquer des contrôles de sécurité efficaces.
Évaluation des vulnérabilités / test d'intrusion (VAPT)
Pourquoi choisir Bureau Veritas Cybersecurity
Bureau Veritas Cybersecurity est votre expert partner en cybersécurité. Nous aidons les organisations à identifier les risques, à renforcer leurs défenses et à se conformer aux normes et réglementations en matière de cybersécurité. Nos services couvrent les personnes, les processus et la technologie, allant de la formation à la sensibilisation et à l'ingénierie sociale aux conseils en matière de sécurité, de conformité et de tests d'intrusion.
Nous intervenons dans les environnements IT, OT et IoT, et accompagnons aussi bien les systèmes numériques que les produits connectés. Avec plus de 300 professionnels de la cybersécurité à travers le monde, nous combinons une expertise technique approfondie et une présence mondiale. Bureau Veritas Cybersecurity fait partie du Bureau Veritas Group, leader mondial de l'inspection, de la certification et des services aux entreprises.