Depuis 2006, les infrastructures critiques ont été reconnues par le Gouvernement français comme stratégiques pour la sécurité du pays[1]. Faisant le constat de l’importance de leurs activités et du nombre croissant d’attaques-cyber pesant sur elles, la France s’est depuis dotée d’une règlementation complète afin d’assurer leur sécurité et résilience. C’est l’un des premiers pays à s’être doté d’un tel dispositif obligatoire.
Les acteurs économiques et industriels, publics et privés, les plus critiques ont été identifiés sous le nom d’opérateur d’importance vitale (OIV). Ces derniers font partis du dispositif interministériel de sécurité des activités d’importance vitale (SAIV) soumis au code de la défense.
Cette démarche souligne l’importance accordée par la France à la sécurité de ces entités, essentielles pour le bon fonctionnement du pays. Depuis 2013, les OIV sont mêmes considérés comme acteurs de la stratégie nationale de sécurité. En effet, ils sont définis par l’ANSSI comme « une organisation privée ou publique pour laquelle une défaillance de certaines de ses activités, à la suite d’un acte de malveillance, sabotage ou terrorisme, pourrait compromettre le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation, ou de mettre en cause gravement la santé ou la vie de la population ». Au total, plus de 250 opérateurs ont été identifiés, à travers 12 secteurs, tels que la distribution d’eau, l’énergie, la finance, le transport, etc.
Du fait de leur importance stratégique, ces entités font l’objet de nombreuses obligations. Celles relatives à la sécurité des systèmes d’information ont été introduites par la Loi de Programmation Militaire (LPM) de 2013. Ils sont dénommés Systèmes d’Information d’Importance Vitale (SIIV) et doivent respecter certaines mesures imposées par la LPM et le décret nᵒ2015-351 du 27 mars 2015. Celles-ci portent sur la gestion et l’accès aux réseaux, la détection d’incidents, la confidentialité des informations, etc.
Par ailleurs, les OIV ne peuvent travailler avec n’importe quel prestataire de service ou produit de sécurité. Ces derniers doivent être qualifiés par l’ANSSI selon une procédure introduite par le décret nᵒ2015-350 du 27 mars 2015.
Afin de remplir ces obligations, l’ANSSI a publié plusieurs guides et recommandations. L’un porte notamment sur la connexion d’un système d’information vital à Internet.
En effet, les SIIV contiennent des informations critiques, souvent classifiées, qui doivent dès lors être protégées. Les infrastructures de ces réseaux nécessitent également de grandes précautions.
Alors que ces domaines étaient auparavant isolés de tout autre réseau et d’Internet, la digitalisation et la sophistication des cyber-attaques rendent cette séparation stricte inefficace et difficile à gérer.
Dès lors, des mesures de sécurité doivent être prises avant d’éviter tout vol, perte, divulgation, manipulation de données ou encore l’intrusion de malware au sein de ces réseaux critiques.
L’ANSII évoque pour cela dans son guide le recours à des passerelles d’interconnexion de sécurité, plus connues sous le terme de Security Guard ou de Cross Domain Solutions dans le monde anglophone. Celles-ci permettent de contrôler le flux de données entre réseaux de niveaux de sécurité différents, tout en protégeant le domaine le plus critique de toutes attaques externes. Les échanges d’information entre un SIIV et Internet ne sont qu’un exemple des multiples usages de cette technologie.
Si bien configurées, ces Security Guards permettent aux OIV de remplir les vingt obligations relatives à la sécurité des SIIV, et notamment celles relatives à la détection (7), le cloisonnement (16) et de filtrage (17).
Ces équipements sont des produits de haute technologie et très sécurisés. Ils prennent la forme d’appliance qui agissent entre les deux réseaux. Ils sont capables de filtrer toutes les données destinées à être échangées vers un réseau externe. Cela est fait sur le principe de zero-trust : la passerelle est configurée pour ne permettre que l’échange de données autorisées à circuler. Les données sont reconnues selon le protocole utilisé et leur format. Les données structurées sont filtrées par un rule-set, la politique définissant le format de la donnée et permettant de la reconnaitre. Plusieurs protocoles comme Modbus, MQTT, OPC, etc. peuvent être supportés par la passerelle.
La passerelle est ainsi incontournable pour pouvoir échanger avec l’autre réseau, ou dans le cas du guide, avec Internet (Recommandation 4). Les flux sont cloisonnés (Recommandation 5), analysés (Recommandation 9) et font l’objet d’une rupture protocolaire (Recommandation 8). Si la passerelle ne reconnait pas les données, le transfert sera automatiquement bloqué (Recommandation 20). L’ensemble des échanges sont journalisés (Recommandation 26).
Ces passerelles rendent aussi possible la réception de données d’un domaine moins critique. Elles sont généralement combinées à un pare-feu. Une passerelle ne peut servir qu’à échanger entre deux zones bien précises (Recommandation 12). Elles préviennent également de tout attaque par dénis de service (Recommandation 17 et 18).
Cette technologie n’est maitrisée que par une poignée d’entreprise dans le monde.
Pour les scénarios concernant uniquement des transferts de données unilatéraux, des passerelles unidirectionnelles ou diodes existent également. Ce type de produit bloque alors automatiquement tout retour d’information.
Les diodes classiques, à fibre optique, ne sont censées que supporter que le protocole UDP, car il n’induit pas d’échanges entre les deux réseaux. Cela peut poser un problème aux utilisateurs, car il est dès lors impossible de savoir si l’information a pu être transférée ou non. De nombreux scénarios impliquent également de pouvoir utiliser des protocoles bidirectionnels (http, smtp, tcp, etc.).
Pour se faire, certains vendeurs proposent d’utiliser une seconde diode, reliant les mêmes réseaux dans le sens inverse. Ceci est cependant très dangereux puisqu’il devient dès lors possible d’utiliser cette deuxième diode pour infiltrer le réseau critique.
Si, une diode permet de recevoir le statut de la donnée envoyée, les mécanismes le permettant doivent être bien analysés. Les diodes traditionnelles, optiques, présentent dans ces cas précis des risques importants.
Certaines diodes, comme celles d’Infodas, SDoT Diode, proposent des solutions avancées et totalement sécurisées, grâce au microkernel utilisé.
Illustration d’une diode :
La qualité et fonctionnalité des diodes et des passerelles d’interconnexion peuvent être facilement évaluées par les accréditations dont elles bénéficient et le nombre de protocoles supportés. Les agences nationales chargées de la protection des systèmes d’information et l’Union Européenne ont des listes de produits certifiés.
Focus sur les principaux éléments de sécurité des produits d’Infodas répondant aux recommandations de l’ANSSI
[table id=18 /]
[1] Décret 2006-212 du 23 février 2006 relatif à la sécurité des activités d’importance vitale.
