Comment tester la cybersécurité des systèmes OT pour les systèmes SCADA et de contrôle du réseau électrique

Principaux enseignements

• Les tests de cybersécurité des réseaux opérationnels (OT) destinés aux services publics doivent évaluer l'impact sur les processus physiques, et pas seulement l'exposition du réseau ou la couverture des politiques de sécurité.
• La conformité aux normes CIP du NERC est renforcée lorsque les preuves sont reproductibles, associées aux actifs et issues de tests qui reflètent les limites de confiance des sous-stations.
• Les bancs d'essai cyber-physiques en boucle fermée offrent aux ingénieurs un moyen sûr de simuler des attaques, de reproduire des scénarios et de vérifier la protection des systèmes de contrôle dans des conditions de contrainte temporelle.

Des tests efficaces de cybersécurité des systèmes de technologie opérationnelle (OT) pour le réseau électrique permettront de démontrer que les incidents cybernétiques ne peuvent pas entraîner des actions de contrôle dangereuses.

Les services publics considèrent les tests comme une simple formalité de conformité, alors que leur rôle est de vérifier comment les relais, les interfaces homme-machine (IHM), les passerelles et les contrôleurs se comportent en cas de perturbation de la synchronisation ou lorsque les commandes arrivent dans le désordre. Cet écart est important car la CISA a publié 536 avis relatifs aux systèmes de contrôle industriels au cours de l’exercice 2023. Une liste de contrôle ne vous permettra pas de savoir ce qui se passe lorsqu’un poste de travail d’ingénierie transmet un point de consigne erroné à une boucle de contrôle. Vous avez besoin de tests reproductibles qui associent le trafic cybernétique à la réponse du système physique.

La cybersécurité des systèmes de contrôle-commande (OT) dans les réseaux électriques garantit l'intégrité des processus

« La cybersécurité des systèmes de contrôle-commande (OT) dans les réseaux électriques protège l'intégrité des processus en analysant le lien entre les incidents cybernétiques et le comportement physique. »

Un test utile consiste à poser une question directe : un attaquant, un dysfonctionnement ou une commande mal synchronisée peut-il modifier l'état d'un disjoncteur, la logique d'un relais, la tension ou la fréquence d'une manière que les opérateurs ne puissent pas maîtriser ?

Le système de protection d’une ligne d’alimentation illustre bien ce cas de figure. Si un poste de travail d’ingénierie compromis modifie les paramètres d’un relais, le problème de cybersécurité prend toute son importance lorsque le relais se déclenche trop tard, trop tôt ou ne se déclenche pas du tout en cas de défaut. Il ne s’agit pas seulement de vérifier les journaux de contrôle d’accès. Il s’agit de vérifier si le processus reste dans les limites de fonctionnement sûres après que l’action malveillante a eu lieu.

Cette approche permet de centrer les tests sur le risque opérationnel. Elle aide également à distinguer les incidents mineurs des menaces pesant sur le système. Une tentative de connexion infructueuse a certes son importance, mais une commande de contrôle non autorisée revêt une importance bien plus grande lorsqu’elle peut déclencher un disjoncteur sous charge ou bloquer un verrouillage de sécurité. Les équipes qui définissent la cybersécurité des technologies opérationnelles (OT) en fonction de l’intégrité des processus mettent au point des tests auxquels les opérateurs, le personnel chargé de la conformité et les ingénieurs en protection font confiance.

La sécurité OT diffère de la sécurité informatique, car le facteur temps influe sur le risque

La sécurité des systèmes OT diffère de celle des systèmes informatiques, car le timing, le déterminisme et l'état physique déterminent l'issue d'un incident. Les réseaux de services publics ne peuvent pas absorber les retards comme le font les systèmes de bureau ; il est donc nécessaire de tester la latence, la séquence et le comportement de sécurité intégrée dans le cadre de la validation de la sécurité, plutôt que dans le cadre d'une étude distincte sur la fiabilité.

Un serveur d'entreprise peut redémarrer après l'application d'un correctif sans conséquence majeure. Un relais de protection qui se met en pause lors d'un défaut peut manquer sa fenêtre de déclenchement, et un délai d'interrogation SCADA peut masquer les premiers signes de dysfonctionnement d'un équipement. C'est pourquoi les tests OT des services publics doivent prendre en compte la synchronisation des paquets, la séquence des protocoles et l'état des contrôleurs. Vous validez ainsi à la fois la sécurité et la continuité.

Le personnel de sécurité importe parfois des routines de test informatique dans la sous-station et s'attend à obtenir les mêmes résultats. Cette approche passe à côté de la partie du système qui présente un risque. Le travail sur les systèmes opérationnels (OT) des services publics commence par l'analyse de la synchronisation des processus, car il est impossible d'évaluer l'exposition aux cybermenaces sans savoir quelles conséquences un retard ou une commande erronée aura sur les systèmes de protection et de contrôle. Une fois la synchronisation testée, les résultats acquièrent une réelle pertinence opérationnelle.

La conformité aux normes CIP du NERC nécessite des preuves vérifiables concernant les systèmes de contrôle

La conformité aux normes CIP du NERC nécessite des preuves vérifiables démontrant que chaque mesure de sécurité requise est effective sur les actifs que vous avez identifiés. Les auditeurs ne se contenteront pas d'un simple texte de politique. Ils ont besoin de preuves attestant que les contrôles d'accès, d'application des correctifs, de surveillance, de reprise après sinistre et de configuration sont bien respectés sur l'ensemble des systèmes informatiques qui soutiennent l'exploitation du réseau électrique à grande échelle.

Prenons l’exemple d’une sous-station équipée d’un périmètre de sécurité électronique. Vous pouvez bien sûr documenter les règles de pare-feu et les autorisations d’accès à distance, mais vous avez tout de même besoin de rapports de test démontrant que le trafic est filtré comme prévu et que les accès autorisés aboutissent bien sur le bon hôte de relais, avec une journalisation complète. Il en va de même pour les contrôles de correctifs. Un registre de maintenance est important, mais une validation reproductible après l’application d’un correctif l’est encore plus, car les paramètres des relais et les services peuvent évoluer.

Des données probantes de qualité sont cohérentes, datées et liées à l'inventaire des actifs. Elles sont obtenues à chaque fois selon la même méthode de test, ce qui permet à un examinateur de voir ce qui a changé et ce qui est resté stable. Cette rigueur est également utile à votre équipe d'ingénieurs. Lorsqu'un problème de contrôle survient par la suite, vous disposez déjà d'une référence montrant comment l'appareil se comportait avant et après la modification.

Les essais effectués dans les postes électriques doivent d'abord porter sur chaque limite de zone de confiance

Les tests effectués dans les sous-stations doivent donner la priorité à chaque limite de zone de confiance, car la plupart des chemins les plus dangereux traversent un point de transfert avant d'atteindre une action de contrôle. Vous obtiendrez une meilleure couverture en testant la circulation du trafic entre les zones plutôt qu'en analysant chaque périphérique selon la même routine, dans l'espoir que les chemins critiques apparaissent d'eux-mêmes.

Une sous-station comporte généralement davantage de limites de confiance que ne le laisse entendre le schéma. Une session à distance d'un fournisseur, une IHM de la station, un port d'ingénierie des relais et une liaison de raccordement de passerelle créent différents chemins d'accès au même processus. Chaque chemin est soumis à ses propres hypothèses en matière d'authentification, de protocole et de surveillance. Les tests commencent là où ces hypothèses rencontrent la logique de contrôle en temps réel.

• La zone démilitarisée du centre de contrôle nécessite un filtrage rigoureux des protocoles de service autorisés.
• La passerelle de la sous-station doit assurer le contrôle de session pour chaque connexion de maintenance à distance.
• Le bus de la station doit assurer une séparation claire entre le trafic de l'opérateur et le trafic technique des relais.
• Le bus de processus doit être soumis à des contrôles visant à détecter les messages falsifiés et les dérives de synchronisation.
• Le port de service série ou du fournisseur doit faire l'objet d'un contrôle d'accès physique et d'une journalisation des sessions.

Cette approche garantit une approche pratique. Vous commencez par tester les points critiques où se manifestent généralement les erreurs d’accès à distance, le trafic mal acheminé et les règles de pare-feu trop permissives. Elle facilite également la mise en conformité avec les normes CIP du NERC, car les limites de confiance coïncident avec les contrôles périmétriques, les points d’accès et les sessions enregistrées. Les équipes qui commencent par les limites identifient généralement plus rapidement les chemins présentant le plus grand risque et consacrent moins d’efforts à des analyses à faible impact.

Les plans de test doivent établir un lien entre les menaces et le comportement des appareils

Les plans de test doivent établir un lien entre les menaces et le comportement des appareils, de sorte que chaque scénario associe une technique cybernétique à un résultat de contrôle. Un plan élaboré de cette manière vous indique ce qu’il faut injecter, quel état de l’appareil surveiller, quelle valeur de processus contrôler, et quel résultat sera considéré comme sûr, dangereux ou incertain.

Une modification des réglages d'un relais, une commande falsifiée adressée à un contrôleur de disjoncteur et une perte de synchronisation temporelle ne devraient jamais être regroupées dans la même catégorie de tests génériques. Chacune de ces situations affecte le processus différemment. La matrice publique des techniques d'attaque des systèmes de contrôle industriel (ICS) répertorie plus de 100 techniques utilisées contre les systèmes de contrôle industriels. Cette diversité montre pourquoi il est nécessaire de disposer de scénarios de menaces qui relient la technique à la réponse du dispositif, plutôt que de se fier à des étiquettes générales telles que « logiciel malveillant » ou « accès non autorisé ».

Un scénario peut suivre le parcours d'une fausse commande d'ouverture depuis une IHM compromise jusqu'à un dispositif électronique intelligent, puis surveiller l'état du disjoncteur, le délai de déclenchement de l'alarme et l'acquittement de l'opérateur. Un autre scénario peut cibler un flux de données historiques et vérifier que le processus reste sûr lorsque les opérateurs consultent des données obsolètes. En cartographiant les menaces de cette manière, votre plan de test devient mesurable. Vous pouvez le répéter après des mises à jour du micrologiciel, des modifications du réseau ou des révisions des paramètres de protection, et comparer clairement les résultats.

La simulation d'attaques en toute sécurité nécessite un banc d'essai cyber-physique en boucle fermée

La simulation d'attaques en toute sécurité nécessite un banc d'essai cyber-physique en boucle fermée, car les systèmes de production ne peuvent pas absorber de défaillances contrôlées lors de la validation de la sécurité. Il faut disposer d'une configuration de laboratoire dans laquelle le trafic réseau, les contrôleurs, les dispositifs de protection et le modèle du réseau électrique réagissent en temps réel, de sorte que les effets dangereux apparaissent sans affecter les opérations sur le terrain.

Une configuration utile peut associer un modèle numérique du réseau électrique à des relais, une interface homme-machine (IHM), un maître SCADA et un segment de réseau dans lequel on injecte du trafic malveillant, des retards ou des commandes non autorisées. Cette boucle est essentielle, car l’attaque ne représente que la moitié du problème. Le modèle montre comment la ligne d’alimentation, la logique des disjoncteurs et la séquence de protection réagissent une fois que le cyberincident s’est produit. OPAL-RT répond à ce besoin lorsque les ingénieurs ont besoin que le modèle électrique et la pile de contrôle fonctionnent en parallèle à la vitesse d’un laboratoire.

Cette méthode vous permettra d'obtenir des résultats plus fiables et plus précis que ceux obtenus lors d'un test pilote sur l'équipement en service. Le banc d'essai favorise également la reproductibilité. Si une attaque provoque un déclenchement intempestif, vous pouvez reproduire le même trafic après une modification des règles du pare-feu ou l'application d'un correctif du micrologiciel, et vérifier si le résultat concret s'améliore. Il est difficile d'établir cette preuve en se basant uniquement sur les journaux de production.

La réussite des audits repose sur des résultats reproductibles issus de chaque test

La réussite des audits repose sur des preuves reproductibles issues de chaque test, car un résultat ponctuel ne suffit pas à démontrer l'efficacité d'un contrôle sur la durée. Vous devez disposer de documents indiquant quel élément a été testé, quelles conditions ont été appliquées, quel était le résultat attendu, ce qui s'est produit et qui a vérifié le résultat.

Un dossier de preuves solide issu d'un test d'accès à distance comprend la plage horaire de modification approuvée, les identifiants des appareils, les journaux du pare-feu et d'authentification enregistrés, des captures d'écran ou des exportations du chemin de la session observée, ainsi qu'une brève déclaration sur l'impact sur les processus. Un test de restauration de relais doit également conserver le fichier de paramètres « avant » et « après », la condition de déclenchement et la validation de l'opérateur. Ces enregistrements vous permettent de répondre à la même question plusieurs mois plus tard sans avoir à reconstituer l'intégralité de l'événement de mémoire.

Cette structure apporte une aide qui va bien au-delà de la salle d'audit. Elle facilite la planification de la maintenance, l'analyse a posteriori des incidents et les transferts entre les équipes opérationnelles et techniques. Les désaccords sur l'interprétation des résultats des tests sont moins fréquents, car les critères de réussite ont été définis avant l'exécution. La disponibilité de preuves reproductibles transforme les tests de sécurité en une activité de contrôle maîtrisée, capable de résister à un examen minutieux.

La plupart des programmes échouent lorsque la validation se limite à des contrôles sur papier

La plupart des programmes échouent lorsque la validation se limite à des contrôles sur papier, car les exigences écrites ne suffisent pas à prouver la résilience opérationnelle. Les politiques, les inventaires et les procédures ont certes leur importance, mais ils ne reflètent que les pratiques prévues. Les services publics obtiennent des résultats fiables lorsqu’ils testent l’impact des défaillances informatiques, des abus d’accès et des erreurs de synchronisation sur le comportement réel des contrôles, et qu’ils veillent à ce que ces preuves restent à jour.

« Les documents écrits ont leur importance, mais ils ne font que prouver que quelqu’un a rédigé la règle. »

Une équipe chargée de la sous-station doit encore vérifier le comportement du relais après une mise à jour du micrologiciel, la manière dont la passerelle gère une rafale de paquets mal formés, ainsi que la réaction du poste de commande en cas de dégradation de la qualité des données. Ces vérifications confèrent une crédibilité à la cybersécurité des systèmes opérationnels (OT). Elles démontrent que le système est capable d’encaisser une attaque, de maintenir un état de sécurité et de se rétablir selon un processus bien défini.

C’est également pour cette raison qu’une exécution rigoureuse en laboratoire est essentielle. OPAL-RT a toute sa place dans ce débat lorsque la tâche nécessite une validation en boucle fermée et reproductible qui associe l’activité du réseau au réponse du réseau électrique dans des délais très serrés. Les équipes qui fondent leurs tests sur l’intégrité des processus, le respect des limites de confiance et des preuves reproductibles renforceront au fil du temps leur conformité aux normes CIP du NERC et mettront en place une protection plus fiable de leurs systèmes de contrôle.