Étude de cas cybersécurité industrielle pétrochimie – secteur procédé continu

✅ Mesures actuelles :

IAC – Authentification : contrôle d’accès physique renforcé…
UC – Contrôle d’usage : procédure LOTO stricte …
SI – Intégrité : baseline configuration …
DC – Confidentialité : chiffrement …
RDF – Isolation réseau : LAN séparé, diode unidirectionnelle …
TRE – Réponse événements : IDS passif…
RA – Disponibilité : ne rien toucher au SIS existant…
Mesure compensatoire clé : surveillance périmétrique passive …

✅ Aux mesures actuelles, ⚠️ il faut ajouter un Contrôle d’accès physique renforcé pour un SL3  :  un ensemble complet de mesures, politiques d’accès granulaires

👮 À ajouter impérativement :
– Authentification multi facteurs (MFA) pour :
• Accès consoles d’ingénierie SIS
• Accès stations maintenance
• Toute modification de configuration (Analyse d’impact safety  61511 et security 62443) avec signatures numériques des rapports, V&V, …

– Gestion identités et comptes :
• Liste blanche des comptes autorisés (moindre privilège)
• Désactivation automatique comptes inactifs > 90 jours
• Comptes nominatifs (pas de comptes partagés)
• Traçabilité : qui a accédé, quand, pourquoi
→ SIS : max 5–10 comptes actifs documentés

– Authentification renforcée équipements :
• Certificats pour automates sécurité 
• Validation firmwares signés (HMAC, SHA, …)
• Protection anti-clonage modules I/O

– Procédure accès d’urgence :
• Coffre-fort physique avec codes (break-glass)
• Journalisation manuelle si urgence
• Notification DDS/RSSI

✅ A ajouter aux mesures actuelles : procédure LOTO  (Lockout – Tagout) stricte afin de valider SL3 :
– Contrôle d’accès RBAC (Role-Based Access Control ) : profils documentés, séparation droits, matrice droits
– Restrictions techniques : ports USB désactivés, clés whitelist, slots réseau verrouillés
→ Si impossible : station transfert sécurisée + scan antivirus
– Change Management : double validation, test en simulation, rollback documenté
– CLOTO (Cyber LOTO) : déconnexion réseau avant maintenance, consignation registre, vérification re-connexion

Baseline configuration plus :

1. Gestion de configuration renforcée :

   • Configuration de référence (golden image) pour chaque équipement SIS

   • Versioning et stockage hors ligne (pas sur le SIS lui-même)

   • Hash cryptographique (SHA-256) de chaque configuration pour détection d’altération

   • Sauvegarde quotidienne automatique sur support déconnecté

2. Détection d’intégrité en temps réel :

   • File integrity monitoring (FIM) sur les stations d’ingénierie

   • Alertes si modification non autorisée détectée

   • → Si impossible sur SIS legacy : Vérification manuelle hebdomadaire par checksum

3. Protection anti-malware adaptée OT :

   • Antivirus en mode « liste blanche » (seuls les exécutables autorisés peuvent tourner)

   • Mise à jour des signatures pendant arrêts de maintenance

   • → Si impossible : Scan périodique des stations lors des accès physiques

4. Validation des entrées/sorties :

   • Vérification plausibilité des valeurs process (ex: température -50°C à +500°C)

   • Alarmes sur valeurs aberrantes pouvant indiquer une manipulation

   • État de repli sûr (fail-safe) documenté et testé

Par rapport aux mesures actuelles : ✅ Chiffrement

Préciser également pour SL 3 :

1. Chiffrement des communications :

   • ⚠️ Attention : Pour un SIS, et bus « Safety », la confidentialité généralement moins critique que l’intégrité. Or le chiffrement a des impacts sur la disponibilité, la transparence, l’opérabilité, les capacités de diagnostic (DC) et le déterminisme ainsi que des contraintes temps réel strictes  (Temps de réponse << PST) généralement incompatible avec la gestion de bibliothèques cryptographiques et algorithme et clés changeant qui cassent le qualification/certification « SIL ». 

   • Si diode unidirectionnelle : pas de chiffrement nécessaire sur flux sortant (déjà unidirectionnel)

   • Si accès distant maintenance : VPN IPsec ou TLS 1.3 minimum sur EWS.

   • Protocoles propriétaires SIS : vérifier s’ils supportent le chiffrement (souvent NON pour legacy)

2. Chiffrement des données au repos :

   • Bases de données de configuration : chiffrement AES-256

   • Sauvegardes hors-ligne : support chiffré + stockage coffre-fort physique

   • → Clés de chiffrement : Gestion séparée, accès limité au DDS + 1 backup

3. Protection des écrans/documents :

   • Écrans des consoles SIS non visibles depuis l’extérieur (local dédié)

   • Documents de configuration marqués « CONFIDENTIEL SIIV » selon LPM

   • Impression limitée et tracée

💡 Note SL3 : Pour un SIS en Zone 1 isolée, la confidentialité (DC) peut être SL1 notamment si l’isolation physique et RDF sont SL3. C’est un vecteur de sécurité !

Les mesures actuelles : ✅ LAN séparé + diode unidirectionnelle – EXCELLENT

Renforcements documentaires :

1. Architecture formalisée :

   • Schéma réseau « as-built » mis à jour annuellement

   • Documentation du flux unidirectionnel : protocole, débit, données transmises

   • Justification de chaque connexion (même la diode)

2. Validation de l’isolation :

   • Test annuel de l’isolation réseau (test de non-communicabilité inverse)

   • Vérification physique de l’absence de câbles non autorisés (audit semestriel)

   • → Pour LPM : Attestation annuelle de conformité transmise à l’ANSSI

3. Mesures complémentaires :

   • Switch managé sur le LAN SIS avec port security (MAC address filtering)

   • Détection de Rogue Device (appareil non autorisé branché)

   • Câblage dédié de couleur spécifique (ex: rouge pour SIS)

4. Diode réseau – spécifications :

   • Certification matérielle (diode hardware, pas logicielle)

   • Unidirectionnalité physique garantie (pas de retour possible)

   • Protocole de transfert documenté (ex: OPC UA via diode, MODBUS TCP)

   • Test de bon fonctionnement mensuel

Les mesures actuelles  ✅ (IDS passif)  doivent être améliorées/précisées pour SL3 :

Le système doit accorder un accès en lecture seule aux journaux d’audit aux utilisateurs autorisés et ne pas pouvoir modifier les journaux.

À ajouter IMPÉRATIVEMENT :

1. Journalisation exhaustive (SR 6.1) :

   • Tous les événements de sécurité doivent être journalisés :

     • Tentatives d’authentification (réussies et échouées)

     • Modifications de configuration

     • Accès physiques au local SIS

     • Connexions/déconnexions d’équipements

     • Alarmes de sécurité du SIS

   • Timestamps synchronisés (NTP sécurisé ou horloge locale certifiée)

   • Stockage immuable : logs non modifiables, sur support WORM ou copie hors-ligne quotidienne

   • Rétention : Minimum 1 an (LPM peut exiger plus)

2. Surveillance continue (SR 6.2) :

   • IDS passif ✅ (bon départ)

   • À compléter :

     • Monitoring comportemental : détection de pattern anormal (ex: accès à 3h du matin)

     • Alertes temps réel vers le SOC/RSSI pour événements critiques

     • Surveillance de l’intégrité du réseau SIS (détection de nouvel équipement)

3. Capacité de réponse :

   • Procédure d’escalade documentée :

     • Niveau 1 : Alerte opérateur → vérification

     • Niveau 2 : Alerte RSSI → investigation

     • Niveau 3 : Alerte DDS + ANSSI → incident SIIV (notification « sans délai »)

   • Tests de la procédure : exercice annuel de réponse à incident cyber SIS

4. Audit et revue :

   • Revue mensuelle des logs d’accès SIS par le RSSI

   • Audit annuel par PASSI qualifié ANSSI (obligation LPM)

   • Rapport annuel à la direction sur les événements de sécurité Zone 1

Les mesures actuelles : ⚠️ « Ne rien toucher au SIS existant »

Compréhension de la position :

• ✅ Sage pour éviter les interruptions

• ⚠️ Mais SL3 exige des garanties de disponibilité

Mesures compatibles avec « ne rien toucher » :

1. Protection DoS/ressources (SR 7.1 & 7.2) :

   • Monitoring des ressources critiques :

     • CPU/RAM des contrôleurs SIS (seuils d’alerte < 80%)

     • Bande passante réseau (détection de saturation)

     • Espace disque stations d’ingénierie

   • → Surveillance passive uniquement (pas de modification du SIS)

2. Redondance et résilience :

   • Inventaire de disponibilité :

     • Contrôleurs SIS : redondance existante prise en compte dans l’étude « SIL » (1oo2, 2oo4, 2oo3)

     • Alimentation : UPS + groupe électrogène testés mensuellement

     • Réseau SIS : câbles et alimentations  redondants pour les systèmes à sécurité négative (non fail-safe). 

   • Documentation du mode dégradé :

     • Comportement du SIS en cas de perte d’alimentation – État de repli (fail-safe)

     • Procédure de redémarrage sécurisé (authentification MFA / localisation) 

     • Barrières de sécurité (IPL) et non cyber attaquable (DR, soupape, relais, …).

3. Pièces de rechange :

   • Stock critique de pièces SIS (modules I/O, contrôleurs)

   • Contrat de maintenance avec garantie de délai d’intervention

   • → Pour OIV : Pièces critiques stockées sur site (pas de dépendance à fournisseur unique)

4. Tests de continuité (sans toucher au SIS en production) :

   • Simulateur SIS hors-ligne pour tester les procédures de récupération

   • Test annuel de basculement sur redondance (si architecture le permet)

   • Exercice de reconstruction complète à partir des sauvegardes (sur environnement test)

5. Plan de continuité cybersécurité :

   • Procédure de basculement en mode manuel/local sécurisé si cyberattaque détectée

   • Isolation d’urgence du SIS (déconnexion physique réseau, SCADA)

   • Re-certification avant remise en service après incident

Surveillance périmétrique multi-couches :

1. Périmètre physique :

   • Contrôle d’accès biométrique au local SIS

   • Caméras de surveillance (enregistrement 30 jours minimum)

   • Détection d’intrusion physique (alarme)

   • Scellement des baies SIS (détection d’ouverture non autorisée)

2. Périmètre réseau (diode) :

   • IDS passif sur le LAN SIS ✅

   • Monitoring du trafic sortant par la diode (baseline de normalité)

   • Détection de tentative de communication entrante (devrait être impossible)

3. Périmètre logique :

   • Surveillance des tentatives d’accès aux comptes SIS

   • Détection de changement de configuration non planifié

   • Monitoring de l’intégrité des fichiers critiques

   • Programmation défensive avec auto-contrôle temps réel (DC > 99% pour traitement SIS et communications I/O).