Étude de cas cybersécurité industrielle – secteur nucléaire

 Périmètre : I&C Safety (DRPS, RTS, ESFAS, SAS), capteurs/actionneurs sûreté, réseaux redondants qualifiés :

 🪪IAC – Identification et Authentification Continue.
🛂 UC – Contrôle d’Usage Strict
⚖️ SI – Intégrité Système Maximale
🤐 DC – Confidentialité selon secret défense
🧷 RDF – Flux Réseau Restreints (Isolation Totale)
📣 TRE – Réponse aux Événements (Détection Multi-Niveaux)
🔄 RA – Disponibilité Ressources (Résilience Extrême)
✅ Mesure compensatoire clé : surveillance périmétrique

✅ IAC – Identification et Authentification Continue

• Accès physique ultra-contrôlé :

  • Air-gap absolu : aucune connexion réseau IP, pas de remote jamais (même maintenance constructeur sur site)

  • Accès physique : sas biométrique multi-facteurs (empreinte digitale + iris + badge RFID + code PIN) avec vidéo enregistrée

  • Engineering station dédiée jamais connectée réseau, stockée en coffre-fort entre interventions (scellé numéroté)

  • Ré-authentification toutes les 15 min si session engineering ouverte (timeout sécurité)

  • Accompagnement obligatoire : toute intervention zone I&C avec témoin habilité (binôme sécurité)

• Authentification matérielle :

  • Clé physique démarrage engineering station (Yubikey qualifié ou token matériel certifié)

  • Certificat X.509 personnel sur carte à puce (révocation instantanée si compromission)

  • Password complexe 16+ caractères (renouvellement 90j max)

• Traçabilité maximale :

  • Logs papier + vidéo de toute intervention (archivage 10 ans)

  • Badge accès avec localisation temps réel (RFID actif)

  • Validation tripartite obligatoire : ingénieur sûreté + Safety Manager + responsable ASN (si modification critique)

• Limitation réaliste legacy :

  • Systèmes I&C anciens (TELEPERM XS génération 1) : pas d’auth individuelle automate → mesure compensatoire = contrôle accès physique maximal + surveillance vidéo permanente

✅ UC – Contrôle d’Usage strict

• Gestion des rôles (principe moindre privilège) :

  • Opérateur salle commande : lecture état sûreté uniquement (aucune action sur I&C depuis supervision)

  • Technicien I&C : diagnostic seulement (pas de modification logique, intervention matérielle tracée)

  • Ingénieur sûreté : modification logique après validation ASN + test simulateur / plateforme agréé

  • Safety Manager : validation toute modification + audit configurations

  • Administrateur système : gestion utilisateurs, audité par ASN

• Procédure LOTO cyber (Lock Out Tag Out) :

  • Verrouillage engineering station avant intervention (cadenas physique + tag identifié)

  • Validation écrite Safety Manager avant déverrouillage

  • Présence minimum 2 personnes habilitées (dont 1 Safety Manager)

• Traçabilité actions (logs immuables) :

  • Journalisation papier manuscrite + signature (cahier scellé, numéroté, archivé)

  • Logs numériques signés temporellement (horodatage certifié, signature électronique qualifiée)

  • Enregistrement vidéo intervention (caméra HD, archivage sécurisé 10 ans)

  • Interdiction absolue supports amovibles non validés (clé USB scannée offline avant usage, liste blanche matériel)

• Validation modifications critiques (process ASN) :

  • Dossier technique préalable (analyse impact sûreté, threat modeling)

  • Validation Autorité de Sûreté Nucléaire (délai instruction 3-6 mois)

  • Test obligatoire simulateur qualifié avant mise en œuvre réelle

  • Plan de retour arrière validé (procédure rollback testée)

• Baseline configuration qualifiée :

  • Triple sauvegarde : site (coffre-fort numérique scellé) + coffre bancaire + site distant >100km

  • Baseline certifiée ASN (sceau autorité sur archive)

  • Format immuable (WORM – Write Once Read Many) support optique CD/DVD ou bande LTO

  • Checksum SHA-256 + signature électronique qualifiée ANSSI

• Vérification intégrité (monitoring automatisé si possible) :

  • Systèmes modernes (TELEPERM XS récent, Delta V SIS) :

    • Code applicatif automate calcule SHA-256 programme au démarrage

    • Comparaison vs baseline stockée ROM (Read-Only Memory immuable)

    • Alerte immédiate si discordance (signal sûreté + notification ASN/ANSSI)

  • Legacy (TELEPERM XS ancien) :

    • Checksum/CRC natif automate (limité mais existant)

    • Comparaison manuelle trimestrielle (upload + compare baseline ASN)

• Comparaison baseline périodique :

  • Upload configuration mensuel (procédure validée ASN, fenêtre maintenance)

  • Calcul SHA-256 serveur sécurisé qualifié (isolé réseau, accès restreint)

  • Comparaison automatique vs baseline certifiée ASN

  • Rapport conformité ASN trimestriel (audit réglementaire)

• Protection mémoire automate :

  • Secure boot si supporté (TELEPERM XS V8+) : démarrage sécurisé, firmware signé

  • ROM firmware : zones critiques en mémoire morte (pas modifiable)

  • ASLR/DEP (Address Space Layout Randomization / Data Execution Prevention) si architecture le permet

  • Détection altération mémoire temps réel (TMR – Triple Modular Redundancy sur I&C Safety)

• Firmware automate (approche ultra-prudente) :

  • Ne JAMAIS mettre à jour firmware I&C Safety sans raison critique validée ASN

  • Si update obligatoire (CVE critique) :

    • Qualification constructeur + validation ASN (dossier 6 mois)

    • Test automate spare identique (6 mois minimum environnement test)

    • Validation indépendante organisme agréé (TÜV, BV)

    • Plan retour arrière validé (rollback firmware ancien si régression)

  • Inventaire versions firmware : documentation papier + base ASN

• Mesure compensatoire legacy (systèmes anciens) :

  • Automates sans fonctions intégrité avancées : protection périmétrique maximale

    • Air-gap physique absolu (pas de réseau)

    • Surveillance vidéo permanente salles I&C

    • Détection intrusion physique (capteurs ouverture armoires, sismique)

    • Scellés numérotés armoires automates (contrôle quotidien)

 ✅ DC – Confidentialité Maximale

• Air-gap = confidentialité par isolation :
  
  • Zone 1 (I&C Safety) : aucune donnée ne sort électroniquement
  • Transfert données uniquement par clé USB validée en sas de transfert sécurisé (scan offline antivirus + malware)
• Chiffrement configurations offline :
  
  • Archives baseline : AES-256 certifié ANSSI avec clés gérées HSM qualifié
  • Clés stockées coffre-fort (dual custody : 2 personnes habilitées nécessaires)
  • Algorithmes homologués RGS (Référentiel Général de Sécurité)
• Destruction sécurisée supports :
  
  • Supports sensibles (disques, bandes, clés USB) : broyage certifié niveau P-7 (particules <5mm²)
  • Certificat destruction archivé (traçabilité complète)
  • Démagnétisation préalable disques (effacement cryptographique + physique)
• Protection données imprimées :
  
  • Plans I&C, schémas : classification Diffusion Restreinte ou Secret Défense
  • Stockage coffre-fort, prêt tracé (registre manuscrit)
  • Destruction par incinération certifiée (pas simple broyage)
• Chiffrement protocoles (zones 2-3 si réseau) :
  
  • Zone 2 → Zone 3 (via diode) : données process en clair acceptable (diode = unidirectionnel matériel)
  • Zone 3 ↔ Zone 4 : TLS 1.3 configuration ANSSI (cipher suites restreintes, certificats qualifiés)

✅ RDF – Flux Réseau Restreints (Isolation Totale)

• Zone 1 – Air-gap absolu :
  
  • Aucune connexion réseau IP : ni Ethernet, ni fibre, ni WiFi, ni série connectée autre zone
  • Câblage physiquement séparé (chemins câbles dédiés, salles distinctes)
  • Synchronisation temps : GPS local autonome (pas NTP réseau, antenne dédiée site)
  • Transfert données : clé USB contrôlée en sas blindé (scan antivirus offline, whitelist matériel)
• Zone 2 → Zone 3 – Diode unidirectionnelle qualifiée :
  
  • Flux unidirectionnel matériel : lecture process I&C vers supervision, aucun flux retour possible physiquement
  • Diode certifiée EAL7 (Evaluation Assurance Level maximum) + qualification nucléaire
  • Test périodique unidirectionnalité (essai injection Zone 3 → Zone 2 doit échouer)
• Zone 3 ↔ Zone 4 – DMZ durcie :
  
  • Double firewall qualifié ANSSI (Stormshield CSPN)
  • Inspection tout flux applicatif (pas de bypass)
  • Whitelist stricte IP/port (matrice flux validée ASN)
  • Proxy applicatif (pas de connexion directe)
• Externe → Site – Accès distant ultra-contrôlé :
  
  • VPN IPsec qualifié ANSSI avec certificats matériels
  • MFA renforcée (biométrie + token + code)
  • Session enregistrée (Wallix Bastion), rejouable pour audit
  • Pas d’accès direct I&C (même via VPN) : uniquement Zone 4 IT support
• Micro-segmentation interne zones :
  
  • Zone 3 : VLAN par fonction (supervision / engineering / historisation)
  • Firewall interne entre VLAN (défense en profondeur)

  ✅ TRE – Réponse aux Événements (Détection Multi-Niveaux)

• Niveau 1 – Surveillance physique :
  
  • Caméras HD zones I&C (enregistrement continu 90j)
  • Détection intrusion physique (ouverture armoires, sismique, infrarouge)
  • Ronde sécurité quotidienne (contrôle scellés, vérification accès)
• Niveau 2 – Monitoring réseau passif :
  
  • IDS passif qualifié en écoute (span port switch Zone 3)
  • Détection protocoles inhabituels, scan réseau, connexions non autorisées
  • Pas d’IDS inline Zone 1-2 (trop risqué, perturbation possible)
• Niveau 3 – Logs centralisés immuables :
  
  • SIEM qualifié secret défense (Wallix, solution souveraine)
  • Logs automates I&C modernes (si syslog disponible) : événements sûreté + cyber
  • Logs firewall, bastion, authentification : corrélation événements
  • Signature temporelle certifiée (horodatage qualifié RGS)
  • Stockage immuable (WORM), rétention 10 ans minimum
• Niveau 4 – Corrélation cyber + process :
  
  • Analyse conjointe équipes cyber + exploitation + sûreté
  • Détection anomalies process (déviations paramètres = possible cyber-attack ?)
  • Threat intelligence OT : règles ICS-CERT, MITRE ATT&CK for ICS
  • IA/ML détection comportementale (Claroty, Dragos)
• Alerting et escalade :
  
  • Alerte temps réel War Room cyber 24/7 (si incident détecté)
  • Notification simultanée ASN + ANSSI + Préfecture (protocole PPI)
  • Procédures d’urgence testées (playbooks cyber-sûreté validés ASN)
  • Exercices bimestriels (test cellule crise, coordination autorités)
• Procédure incident (graduated response) :
  
  1. Détection : IDS, monitoring, alerte opérateur
  2. Analyse : équipe cyber + sûreté (cyber ou process ? impact sûreté ?)
  3. Confinement : isolation segment réseau si Zone 3-4 (débrancher switch), jamais arrêt automate I&C sauf validation ASN
  4. Éradication : restauration baseline validée ASN, analyse forensic
  5. Récupération : retour service progressif, tests validation
  6. Leçons apprises : REX, mise à jour procédures, reporting ASN/ANSSI
• Limitations réalistes :
  
  • Pas de réponse automatisée sur I&C Safety (trop risqué, validation humaine obligatoire)
  • Pas d’EDR sur automates : n’existe pas, protection périmétrique + monitoring externe
  • Temps réponse allongé (validation ASN nécessaire) : accepté car sûreté prime sur rapidité

 ⚠️ RA – Disponibilité Ressources (Résilience Extrême)

• Redondance I&C Safety (ne pas modifier – Exigences safety) :
  
  • Architecture native 2oo3, 2oo4 ou supérieure (qualification IEC 61513)
  • Triple ou Quadruple Modular Redundancy (TMR/QMR) : voter majoritaire
  • Ne jamais toucher redondance native : validée ASN, modif = re-qualification complète (2-3 ans)
  • Tests périodiques redondance (procédure ASN, simulation panne module)
• Redondance géographique (systèmes critiques) :
  
  • Duplication systèmes sur site distant >100km (tranche sœur ou site backup)
  • Synchronisation contrôlée baseline configurations
  • Basculement manuel uniquement (jamais automatique inter-sites)
• Stock stratégique pièces :
  
  • Modules I&C qualifiés nucléaire (CPU, cartes I/O, alimentations redondantes)
  • Stock 10 ans minimum (durée vie tranche)
  • Stockage conditions contrôlées (température, humidité, ESD)
  • Tests périodiques modules spare (validation fonctionnement)
• Sauvegarde configurations (triple redondance) :
  
  • Sauvegarde avant toute intervention (procédure obligatoire non négociable)
  • Stockage triple :
    
    1. Site (coffre-fort numérique blindé, scellé)
    2. Coffre bancaire local (backup offline, bande LTO)
    3. Site distant géographiquement séparé (>100km, bunker sécurisé)
  • Format immuable WORM, SHA-256 signé
  • Rétention durée de vie installation (40-60 ans)
• Test restauration (validation périodique) :
  
  • Test restauration baseline semestriel sur automate spare
  • Validation procédure : temps restauration <4h (objectif), <8h (max acceptable)
  • Simulation panne complète : test plan de reprise annuel (exercice ASN)
• Plan de reprise (RTO/RPO extrêmes) :
  
  • RTO I&C Safety : <1h (modules spare hot-standby, basculement redondance native)
  • RPO I&C Safety : 0 (redondance temps réel, aucune perte donnée acceptable)
  • RTO DCS Zone 3 : <4h (restauration serveur supervision)
  • Procédure documentée validée ASN, testée annuellement
• Mode dégradé (continuité sûreté) :
  
  • Pilotage manuel salle commande : boutons coup de poing, sélecteurs (indépendants I&C)
  • Procédures papier validées (conduite manuelle sans I&C possible)
  • Formation opérateurs : conduite dégradée (exercices trimestriels)
• Basculement automatique redondance :
  
  • Temps basculement <100ms (TMR/QMR natif I&C Safety)
  • Sans perte données, sans interruption fonction sûreté
  • Logs événement basculement (analyse post-incident)
• Continuité énergétique :
  
  • Alimentation I&C : UPS qualifié nucléaire (onduleur redondant N+1)
  • Groupe électrogène secours (diesel, autonomie 7j)
  • Batteries 4h minimum (transition réseau ↔ groupe)
• Pas de sur-engineering inutile :
  
  • Ne pas virtualiser I&C Safety : matériel dédié, bare-metal uniquement
  • Ne pas cluster automates : redondance native suffisante, ajout complexité = risque
  • Accepter temps validation ASN (sûreté > rapidité cyber pure)

Mesures compensatoires brownfield (équipements legacy nucléaire)

Problème : I&C Safety anciens (TELEPERM XS génération 1, systèmes analogiques résiduels)

Solutions réalistes conformes ASN :

1. Protection périmétrique maximale (défense en profondeur) :

• Air-gap physique absolu : isolation totale réseau (pas de connexion, même série)
• Surveillance vidéo permanente zones I&C (détection intrusion)
• Scellés numérotés armoires (contrôle quotidien, logs manuscrits)
• Détection ouverture armoires (alarme sécurité, corrélation caméras)

2. Contrôles organisationnels stricts :

• Procédure LOTO cyber nucléaire : validation ASN avant toute intervention
• Logs papier interventions (manuscrits, signés, archivés 10 ans)
• Double validation obligatoire : ingénieur + Safety Manager + ASN (si critique)
• Présence témoin habilité (binôme sécurité)

3. Surveillance accès (traçabilité maximale) :

• Logs stations engineering centralisés (même déconnectées réseau, logs locaux extraits)
• Caméras salles automates (archivage 90j, analyse post-intervention)
• Badge RFID actif (localisation temps réel personnel habilité)
• Alertes accès hors fenêtre autorisée (corrélation badge + caméra + logs)

4. Durcissement engineering stations :

• Stations dédiées jamais connectées réseau (même IT)
• Whitelist applications stricte (uniquement logiciel constructeur validé ASN)
• Antivirus OT-compatible (Kaspersky Industrial, Trend Micro) + scan offline
• Chiffrement disque dur (BitLocker, VeraCrypt)
• MFA accès session Windows (biométrie + password)

5. Baseline documentaire (compensation absence monitoring auto) :

• Documentation exhaustive : schémas logiques, P&ID I&C, configurations papier
• Archives ASN : triple exemplaire (site + ASN + coffre)
• Comparaison manuelle trimestrielle (upload + validation humaine)
• Audit ASN annuel : vérification conformité baseline

6. Plan de remplacement progressif (long terme) :

• Roadmap 10-20 ans : remplacement I&C legacy par systèmes modernes (TELEPERM XS V8, Delta V SIS récent)
• Lors rénovation : intégration critères cybersécurité IEC 62443-4-2 SL4 + IEC 61513
• Budget provisionné (investissement majeur, qualification ASN longue)
• Expertise indépendante (TÜV, BV, IRSN) pour validation choix techniques

7. Redondance et diversité (défense en profondeur) :

• Diversité technologique : systèmes sûreté différents technologies (numérique + analogique résiduel)
• Protection contre vulnérabilité commune (Common Mode Failure)
• Exemple : RTS numérique + système analogique backup (câblé dur)
• IHM + Pupitre cablé local