A l'issue de cette formation, vous serez capable de :

• Décrire le métier et les problématiques
• Dialoguer avec les automaticiens
• Identifier et expliquer les normes et standards propres au monde industriel
• Auditer un système SCADA
• Développer une politique de cybersécurité
• Proposer des mesures de consolidation et de sécurisation en milieu industriel.

Jour 1

Tour d'horizon des systèmes industriels

• Les enjeux d'un système d'information
• Les spécificités et contraintes opérationnelles
• L'architecture des systèmes SCADA
• Les familles et générations d'ICS
• Les types d'équipements et exemples d'architectures
• Les architectures par secteur d'activité
• Les attentes des nouveaux systèmes industriels
• Les principaux protocoles industriels

Exemples de travaux pratiques (à titre indicatif)

• Modéliser l'environnement industriel d'un stagiaire ou proposé par le formateur
• Définir les enjeux de sécurité de cette architecture

Enjeux de la sécurité d'une infrastructure industrielle

• La convergence de l'OT et de l'IT
• Les principes de la cybersécurité
• Confidentialité
• Intégrité
• Disponibilité
• Le panorama de la cybersécurité
• Les spécificités de la cybersécurité industrielle
• Les profils des attaquants et leurs objectifs
• Les grandes familles d'attaques :
• Spoofing
• Sniffing
• Forging...
• La prise de conscience de l'importance de la sécurité des SI industriels au sein de l'Etat et des entreprises
• Les référentiels sur la sécurité des systèmes d'information industriels
• Les normes de cybersécurité en milieu industriel
• Le "Threat Modeling" en fonction des générations et des équipements des systèmes SCADA
• Qu'est-ce que l'ANSSI et quel est son rôle ?
• Les OIV (Opérateur d'Importance Vitale)

Normes

• Le panorama des normes et guides de la sécurité industrielle
• Les normes de sécurité des SI de gestion ISO 270xx
• Les normes de la sécurité industrielle IEC 61508 et 61511
• La norme de sécurité du NIST 800-82
• La convergence vers la norme de sécurité IEC 62443
• Les réglementations spécifiques à l'industrie
• NERC CIP pour l'énergie
• Les standards pour l'eau et le traitement des eaux usées
• Les guides de l'ANSSI
• Maîtriser la SSI pour les systèmes industriels
• Méthode de classification et mesures principales
• Cas pratique
• Mesures détaillées

Exemples de travaux pratiques (à titre indicatif)

• Mettre en oeuvre des méthodes de classification sur le système décrit dans le module précédent
• Proposer des mesures de sécurisation
• Décrire et organiser quelques points de passage d'une certification de cybersécurité évoquée dans ce chapitre

Jour 2

Risques et menaces

• Les attaques réelles sur les systèmes SCADA et retours d'expérience :
• Les célèbres Stuxnet, Duqu, Flame et Gauss
• L'attaque Triton
• Le malware Industroyer (CrashOverride)
• Le malware Havex
• Les célèbres BlackEnergy, Dragonfly et Energetic Bear
• Le groupe Sandworm Team
• Le groupe APT34 (OilRig)
• Les autres attaques sur des ICS
• Les facteurs de risque
• Les menaces et les vulnérabilités spécifiques aux systèmes SCADA
• Les menaces APT (Advanced Persistent Threat)
• Les postures de sécurité modernes des systèmes ICS
• Le calcul d'un risque
• Les CVE (Common Vulnerabilities and Exposures)
• Le scoring CVSS (Common Vulnerability Scoring System)
• Les CWE (Common Weakness Enumeration)
• Les méthodes d'analyse des risques spécifiques à SCADA
• La modélisation avec ATT&CK
• Les plans de réponse aux incidents et de récupération après sinistre

Exemples de travaux pratiques (à titre indicatif)

• Modéliser le risque de l'architecture décrite dans le premier module
• Estimer le risque pour quelques composants

Vulnérabilités intrinsèques et fréquentes des ICS

• Les principales vulnérabilités
• Réseaux
• Systèmes
• Applicatives
• Le traitement de l'authentification et du contrôle d'accès
• La sécurisation des interfaces homme-machine (HMI) et des serveurs de données
• L'analyse avancée de la sécurité des PLC

Exemples de travaux pratiques (à titre indicatif)

• Découvrir les machines exploitant Modbus sur un réseau
• Mettre sur écoute le protocole Modbus
• Détourner le trafic Modbus
• Falsifier une trame sur le protocole Modbus
• Réaliser un "fuzzing" sur les protocoles d'ICS / SCADA
• Découvrir les surfaces d'attaques sur les PLC
• Mettre en place une attaque par rebond via un PLC
• Réaliser un brute-force sur un PLC ou une supervision

Jour 3

Evaluer la sécurité de ses installations

• Réunir les éléments-clés d'un diagnostic préalable
• Tests à prévoir pour des installations locales et/ou distribuées
• Outillage nécessaire pour l'audit
• Les méthodes d'analyse de risque et d'audit
• Les plans d'actions types à appliquer et les outils requis
• Détermination des niveaux de classification par l'ANSSI
• Le processus d'audit et de conformité pour les systèmes SCADA

Exemples de travaux pratiques (à titre indicatif)

• Capturer et analyser des trames Modbus
• Analyser la sécurité d'un PLC avec un scanneur de vulnérabilité
• Evaluer le risque d'un processus industriel décrit par un stagiaire ou le formateur

Accès distants

• L'exposition publique des ICS (Shodan, Censys, Zoomeye...)
• L'exposition des ICS dans les réseaux privés
• Les liaisons RTC
• Les points d'accès VPN
• Les boîtiers de télétransmission sans-fil et 4G
• La sécurité des liaisons sans-fil (Wi-Fi, liaisons radio)
• Le chiffrement des liaisons

Postures défensives de protection des ICS

• Définir une politique de sécurité
• Les objets principaux de la sécurisation technique
• L'authentification
• Le chiffrement
• Le durcissement
• La traçabilité
• Les équipements dédiés
• Le patch management
• La sécurisation fonctionnelle et l'utilisation des garde-fous
• Les techniques de monitoring en temps réel et outils analytiques
• La détection d'anomalies et réponse aux alarmes
• L'utilisation de SIEM (Security Information and Event Management) dans un contexte SCADA
• Comment réagir à un incident de sécurité
• Les facteurs clés de succès et bonnes pratiques
• L'intégration avec la sûreté industrielle
• La sécurité organisationnelle des réseaux industriels

Exemples de travaux pratiques (à titre indicatif)

• Installation d'un IDS et création de règles dédiées aux ICS
• Configuration d'un Honeypot
• Conception théorique d'une architecture sécurisée sur la base d'un schéma infrastructurel standard