Les systèmes de contrôle-commande industriels connaissent aujourd’hui deux évolutions majeures. Autrefois isolés et reposant sur des protocoles de communication spécifiques, ils adoptent aujourd’hui les technologies de l’Internet et sont de plus en plus connectés aux autres systèmes d’information de l’entreprise, parfois même directement à l’Internet. Dès lors, ils sont davantage exposés à la cybermenace. Or sur ces systèmes, qui régulent des infrastructures parfois vitales, les conséquences d’une attaque informatique sont potentiellement graves.
Face à ces risques, l’ANSSI a ouvert en 2011 une large concertation avec les ministères concernés et avec des industriels* qui a notamment abouti à la rédaction d’un guide sur la cybersécurité des systèmes industriels.
Ce guide pragmatique propose aux acteurs concernés une méthodologie simple et adaptée pour sécuriser leurs systèmes industriels, illustrée par des situations réelles.
Les recommandations du guide
- Verrouiller ou fermer les sessions lorsque vous quittez une station ou un écran tactile
- Ne pas « prêter » ses identifiant /mot de passe à ses collègues
- Ne pas connecter de clés USB, disques durs externes, téléphones portables ou autres périphériques sur les machines
- Utiliser les sas pour importer ou exporter des données depuis ou vers l’extérieur
- Ne pas sortir les consoles de programmation et de maintenance et ne pas les connecter sur d’autres réseaux que ceux des SCADA. Les stocker dans le centre d’exploitation Ne pas conserver
- de données sur les stations et consoles de programmation. Utiliser les espaces de stockages partagés prévus à cet effet
- Refermer à clé les armoires PLC, compartiments courants faibles et baies de brassage après les interventions
- Ne pas redémarrer un équipement défaillant (Station SCADA, OP, PLC…) sans l’intervention d’un spécialiste
- Ne pas connecter d’équipement non sûr sur le réseau SCADA
- Signaler toute situation anormale au responsable du centre d’exploitation.
En savoir plus :
- Consulter le guide sur La cybersécurité des systèmes industriels
- Cas pratique
Auteur : Agence nationale pour la sécurité des systèmes d’information (Anssi).
