Présentation de la certification CSPN
CSPN (Certification de Sécurité de Premier Niveau) est une certification de cybersécurité actuellement utilisée en France. Un produit doté de la certification CSPN est censé résister à une cyberattaque menée par deux hommes-mois de pirates expérimentés. La plate-forme Modicon M580 est certifiée CSPN. Cette rubrique décrit l'environnement, les configurations d'automate programmable (PAC) et les paramètres qui répondent aux exigences de la certification CSPN pour assurer un niveau optimal de sécurité.
Présentation du PAC M580
Le PAC M580 est conçu pour contrôler et commander continuellement un processus industriel sans intervention humaine. A chaque étape, le PAC traite les données reçues de ses entrées, des capteurs, et envoie des commandes à ses sorties, les actionneurs. Les échanges avec la supervision (HMI, SCADA) sont effectués via un module de communication Ethernet BMENOC0301/0311 situé dans le rack local avec le PAC. Le PAC peut fonctionner dans un environnement hostile et en dépit de l'humidité, de la poussière ou de températures inhabituelles pour des systèmes informatiques et en présence de contraintes mécaniques ou CEM importantes.
L'illustration suivante décrit une architecture typique de plateforme M580 qui peut être vulnérable à une attaque de sécurité :
1 Opérateur sous Control Expert
2 Attaquant
3 Réseau de supervision
4 Réseau de terrain sans attaquant
Fonctionnalités du M580
Le PAC M580 PAC offre les fonctionnalités suivantes :
Fonctionnalité |
Description |
|---|---|
Exécution du programme utilisateur |
Un PAC M580 exécute un programme utilisateur qui traite les entrées et met à jour les sorties. |
Gestion des entrées/sorties |
Un PAC M580 peut lire des entrées locales et écrire des sorties locales. Ces entrées/sorties, qui peuvent être numériques ou analogiques, permettent au PAC M580 de contrôler et commander le processus industriel. |
Communication avec la supervision |
Un PAC M580 peut communiquer avec un système SCADA pour recevoir des commandes et transmettre des données de processus via le protocole Modbus. |
Fonctions administratives |
Un PAC M580 intègre des fonctions administratives, fournies dans Control Expert , à des fins de configuration et de programmation. |
consignation à distance |
Un PAC M580 prend en charge la définition d'une stratégie de consignation à distance ; il peut consigner des événements de sécurité et d'administration. |
Configuration du M580
Une configuration M580 certifiée CSPN comprend les composants suivants :
Module |
Micrologiciel |
Description |
|---|---|---|
BMEP58•0•0 |
Version 2.20 ou ultérieure |
Cette CPU respecte les règles de sécurité décrites dans les documents de sécurité (voir les hypothèses). |
BMENOC0301/0311 |
Version 2.11 ou ultérieure |
Ce module Ethernet gère les communications chiffrées avec la couche supérieure (logiciel de supervision et d'ingénierie Control Expert ). |
Profils d’utilisateur
Les utilisateurs qui interagissent avec le PAC pour améliorer la mise en oeuvre ont les profils prédéfinis suivants de l'éditeur de sécurité de Control Expert :
Profil utilisateur |
Description |
|---|---|
Lecture seule |
Aucune modification d'application n'est autorisée. |
Utilisation |
Seules l'exécution de l'application et la modification de paramètres sont activées. |
Programme |
Toutes les fonctions sont activées. |
Amélioration de la mise en œuvre
Ces éléments contribuent à un environnement sain pour une meilleure mise en œuvre :
Elément |
Critères de sécurité |
|---|---|
Documentation sur la sécurité |
Toutes les recommandations contenues dans la documentation (guides d’utilisation, livres blancs, etc.) sont appliquées avant l'évaluation. |
Administrateurs |
Les administrateurs système sont compétents, formés et dignes de confiance. |
Locaux |
L'accès à l'emplacement du PAC est réservé aux personnes dignes de confiance. En particulier, un utilisateur malveillant n'a pas accès aux ports physiques des PAC. Comme des produits identiques sont en vente libre, l'utilisateur malveillant peut s'en procurer un et rechercher des vulnérabilités par tous les moyens possibles. |
Désactivation des services non évalués |
Les services ne répondant pas aux impératifs de sécurité sont désactivés dans la configuration ou par un programme utilisateur (comme indiqué dans la documentation de sécurité). |
Vérification de l'application utilisateur |
L'administrateur contrôle l'intégrité de l'application Control Expert avant son chargement dans le PAC. |
Consignation active |
La fonction de consignation est opérationnelle et les journaux ne sont pas endommagés. |
Vérification des journaux |
Les administrateurs système vérifient régulièrement les journaux locaux et distants. |
Configuration initiale |
La configuration initiale est chargée dans le PAC via l'interface USB, et le PAC est déconnecté du réseau. |
mise à niveau du micrologiciel |
Le micrologiciel est mis à niveau à l'aide de l'interface USB, et le PAC est déconnecté du réseau. |
Mots de passe renforcés |
Les administrateurs système utilisent des mots de passe renforcés, qui combinent des majuscules, des minuscules, des chiffres et des caractères spéciaux. |
Modes de fonctionnement
Les modes de fonctionnement suivants sont compatibles avec les exigences CSPN :
Pendant la phase de mise en service, la configuration initiale du PAC peut être effectuée avec soit une station d'ingénierie Control Expert connectée en point à point au port Ethernet, soit au port USB local du PAC.
Dans les conditions de fonctionnement normal (mode d'exécution, SCADA connecté sur le réseau de contrôle Ethernet), vérifiez que Control Expert est déconnecté.
Pour toute modification ultérieure de la configuration ou du programme d'application, connectez Control Expert au port USB du PAC.
Paramètres de cybersécurité
Ce tableau décrit les paramètres de cybersécurité :
Paramètre |
Rubrique |
Guide de l'utilisateur |
|---|---|---|
ACL activée. |
Configuration des services de sécurité |
Modicon M580 - Module de communication Ethernet BMENOC0301/0311 - Guide de l'utilisateur |
IPsec activée sur BMENOC0301/0311 avec le niveau de sécurité maximum. |
Configuration des services de sécurité |
|
Sélection du paramètre Appliquer la sécurité (protocoles FTP, TFTP, HTTP, DHCP/BOOTP, SNMP, EIP, NTP désactivés). |
Configuration des services de sécurité |
|
Journal activé. |
Consignation d'événements de DTM et de module dans le serveur Syslog |
|
RUN/STOP par entrée uniquement activé. |
Gestion de l'entrée Run/Stop |
Modicon M580 - Matériel - Manuel de référence |
Protection de la mémoire activée. |
Protection mémoire |
|
Sécurisation d'un projet :
|
Protection d'un projet dans Control Expert |
|
Aucune information de chargement stockée dans la CPU. |
Données intégrées du PAC |
EcoStruxure™ Control Expert, Modes de fonctionnement |
Modification du mot de passe par défaut du service FTP. |
Protection du micrologiciel |
|
Sections d'application non accessibles en lecture/écriture. |
Protection de sections et de sous-routines |
Équipements critiques
Environnement : Ce tableau indique les actifs critiques pour l'environnement :
Equipement |
Description pour une utilisation appropriée |
|---|---|
Contrôle-commande du processus industriel |
Le PAC contrôle et commande un processus industriel en lisant des entrées et en envoyant des commandes à des actionneurs. La disponibilité de ces actions fait l'objet d'une protection. |
Flux du poste de travail d'ingénierie |
L'intégrité, la confidentialité et l'authenticité des flux entre le PAC et le poste de travail d'ingénierie sont protégées. |
Exigences de sécurité concernant les équipements critiques par rapport à l'environnement :
Equipement |
Disponibilité |
Confidentialité |
Intégrité |
Authenticité |
|---|---|---|---|---|
Contrôle-commande du processus industriel |
X |
|||
Flux du poste de travail d'ingénierie |
X |
X |
X |
PAC : Ce tableau indique les équipements critiques pour les PAC :
Equipement |
Description pour une utilisation appropriée |
|---|---|
micrologiciel |
L'intégrité et l'authenticité du micrologiciel sont protégées. |
Mémoire du PAC |
La mémoire du PAC contient la configuration du PAC et un programme chargé par l'utilisateur. Son intégrité et son authenticité sont protégées pendant l'exécution. |
Mode d'exécution |
L'intégrité et l'authenticité du mode d'exécution du PAC sont protégées. |
Secrets d'utilisateur |
Les utilisateurs concernés ne divulguent pas les mots de passe qu'ils utilisent pour s'authentifier. |
Exigences de sécurité pour les équipements critiques du PAC :
Equipement |
Disponibilité |
Confidentialité |
Intégrité |
Authenticité |
|---|---|---|---|---|
micrologiciel |
X |
X |
||
Mémoire du PAC |
X |
X |
||
Mode d'exécution |
X |
X |
||
Secrets d'utilisateur |
X |
X |
Menaces pour la sécurité
Menaces considérées par les attaquants contrôlant un équipement connecté au réseau de supervision :
Contrôle-commande du processus industriel |
Flux du poste de travail d'ingénierie |
Micrologiciel |
Mémoire du PAC |
Mode d'exécution |
Secrets d'utilisateur |
|
|---|---|---|---|---|---|---|
Refus de service |
Di |
|||||
altération du micrologiciel |
I, Au |
|||||
altération du mode d'exécution |
, AuI |
|||||
altération du programme en mémoire |
I, Au |
|||||
altération des flux |
Di |
Au, C, I |
C, I |
|||
Di : disponibilité I : intégrité C : confidentialité Au : authenticité |
||||||
Type de menace |
Description |
|---|---|
Refus de service |
L'attaquant arrive à générer un refus de service sur le PAC en effectuant une action inattendue ou en explorant une vulnérabilité (envoi d'une requête mal formée, utilisation d'un fichier de configuration corrompu...). Ce refus de service affecte l'ensemble du PAC ou seulement certaines de ses fonctions. |
Altération du micrologiciel |
L'attaquant parvient à injecter et exécuter un micrologiciel corrompu sur le PAC. L'injection de code peut être temporaire ou permanente et elle ne comprend aucune exécution de code inattendu ou non autorisé. Un utilisateur peut tenter d'installer cette mise à jour sur le PAC par des moyens légitimes. Au final, l'attaquant arrive à modifier la version du micrologiciel installée sur le PAC sans en avoir le droit. |
Altération du mode d'exécution |
L'attaquant parvient à modifier le mode d'exécution du PAC sans y être autorisé (commande stop par exemple). |
Altération de la mémoire |
L'attaquant parvient à modifier (temporairement ou de façon permanente) le programme utilisateur ou la configuration qui s'exécute dans la mémoire du PAC. |
Altération des flux |
L'attaquant parvient à altérer les échanges entre le PAC et un composant externe sans être détecté. Il peut effectuer des attaques telles que le vol des informations d'identification, la violation du contrôle d'accès ou la mitigation du contrôle du processus industriel. |
Refus de service permanent |
Altération du micrologiciel |
Altération du mode d'exécution |
Altération de la mémoire |
Altération des flux |
|
|---|---|---|---|---|---|
Gestion des entrées mal formées |
X |
||||
stockage des secrets |
X |
||||
authentification sur l'interface d’administration |
X |
||||
stratégie de contrôle d'accès |
X |
||||
signature du micrologiciel |
X |
||||
intégrité et authenticité de la mémoire du PAC |
X |
||||
intégrité du mode d'exécution du PAC |
X |
||||
communication plus sécurisée |
X |
Type de menace |
Description |
|---|---|
Gestion des entrées mal formées |
Le PAC a été développé pour gérer correctement les entrées mal formées, notamment le trafic réseau mal formé. |
force des secrets |
Le PAC a été développé pour gérer correctement les entrées mal formées, notamment le trafic réseau mal formé.
|
authentification sur l'interface d’administration |
Les jetons de session sont protégés contre le piratage et la relecture ; ils ont une durée de vie brève. L'identité et les droits du compte utilisateur sont vérifiés systématiquement avant toute action nécessitant un privilège. Un mot de passe d'application est défini dans chaque configuration pour éviter toute modification du PAC par un utilisateur non authentique. |
Stratégie de contrôle d'accès |
La stratégie de contrôle d'accès permet de garantir l'authenticité des opérations nécessitant des privilèges, à savoir les opérations qui peuvent modifier des équipements critiques identifiés. La liste de contrôle d'accès (ACL) est activée dans chaque configuration et seules les adresses IP identifiées peuvent se connecter au PAC. |
signature du micrologiciel |
Lors de chaque mise à jour de micrologiciel, l'intégrité et l'authenticité du nouveau micrologiciel sont vérifiées avant le lancement de la mise à jour. |
Intégrité et authenticité de la mémoire du PAC |
La fonction de protection de la mémoire est activée dans chaque configuration, ce qui permet d'empêcher la modification du programme en cours d'exécution en l'absence d'action dans des entrées ou des sorties spécifiques. Si aucun module d'entrée/sortie n'est installé, l'interface de programmation est bloquée. Le PAC se charge d'assurer l'intégrité et l'authenticité du programme utilisateur, de sorte que ce dernier ne peut être modifié que par des utilisateurs autorisés. La protection de la mémoire permet également de garantir la protection de la configuration, ce qui implique plusieurs paramètres de sécurité :
|
Intégrité du mode d'exécution du PAC |
Le PAC se charge d'assurer que le mode d'exécution ne peut être modifié que par des utilisateurs autorisés et authentifiés. La fonctionnalité RUN/STOP par entrée uniquement est activée, ce qui permet d'éliminer la possibilité de modification d'état RUN/STOP via l'interface Ethernet. |
communication chiffrée |
Le PAC prend en charge la communication chiffrée, protégée en termes d'intégrité, de confidentialité et d'authenticité (IPsec chiffré avec ESP). Le protocole FTP est désactivé et IPsec permet de sécuriser la communication Modbus via le module BMENOC0301/0311. |