NOTE: Cet article ne concerne pas uniquement les organisations qui ont déjà été piratées... La norme IEC 62443 est une norme générique reconnue comme applicable dans des secteurs critiques tels que la fabrication, l'énergie, le transport, les soins de santé et bien d'autres.
Cet article est le deuxième épisode d'une série de 8, couvrant les principales pratiques à mettre en œuvre par toute organisation visant à répondre à l'état de l'art en matière de cybersécurité pour les systèmes de contrôle industriels et d'automatisation. Basé sur une approche pragmatique, cet article vous guide sur la façon de gérer la définition des exigences liées à un cycle de développement sécurisé (IEC 62443-4-1) au sein de vos processus organisationnels actuels.
Pour développer systématiquement des produits sûrs, il faut mettre l'accent sur la sécurité tout au long du cycle de vie des logiciels, de sorte que les résultats soient sûrs dès la conception. Ainsi, chaque phase d'un cycle de vie logiciel commun doit être renforcée par des pratiques de sécurité. Cela conduit à un cycle de développement sécurisé, comme illustré ci-dessous. Dans ce deuxième épisode, nous nous concentrerons sur les bonnes pratiques requises pour construire un système sécurisé dès le début, le processus de conception sécurisé .
L'expression " sécurité dès la conception" décrit les pratiques utilisées pour garantir qu'un produit est sécurisé et respecte les principes de défense en profondeur dès le début de la phase de conception. Les processus requis pour une conception sécurisée doivent être appliqués à toutes les étapes de la conception du produit, de la conception conceptuelle à la conception détaillée, et à tous les niveaux de la conception du produit, de l'architecture globale à la conception des composants individuels.
Quatre points principaux sont abordés pour la conception sécurisée dans la partie standard 62443-4-1. Ces points sont décrits ci-dessous.
Premièrement, une documentation de conception sécurisée est nécessaire pour garantir que la sécurité de l'accès aux biens est traitée de manière exhaustive du point de vue des interfaces externes et internes du produit par lesquelles des attaques peuvent être menées. Ce processus signifie que les interfaces du produit sont identifiées et caractérisées par les interactions qui ont lieu sur elles (par exemple, les flux de données et de contrôle), les mécanismes de sécurité conçus pour les protéger et les actifs qui peuvent être compromis s'ils ne sont pas protégés de manière adéquate. Le fait de considérer les interfaces dans le cadre fourni par le contexte de sécurité du produit permet à la conception sécurisée de se concentrer sur l'environnement spécifique dans lequel le produit est censé fonctionner, y compris les protections offertes par le contexte de sécurité du produit et les vulnérabilités qui en découlent. Un exemple est présenté ci-dessous. Il convient de répondre à la même question pour chaque interface selon une approche systématique :
Deuxièmement, la conception de la défense en profondeur est nécessaire. Ce principe consiste à fournir plusieurs couches de sécurité pour contrecarrer les menaces de sécurité. Chaque couche d'une stratégie de défense en profondeur est conçue pour protéger les actifs contre les attaques dans le cas où toutes les autres couches ont été compromises. Un processus doit être employé pour mettre en œuvre ces multiples couches de défense en utilisant une approche basée sur les risques et sur le modèle de menace.
Par exemple, la pile TCP/IP pourrait vérifier l'absence de paquets invalides, un serveur HTTP pourrait authentifier les entrées, puis une autre couche pourrait valider que les entrées et les journaux d'audit sont produits pour les changements administratifs. Chaque couche fournit un mécanisme de défense supplémentaire, a une responsabilité et permet de réduire la surface d'attaque de la couche suivante. Chaque couche suppose que la couche qui la précède peut être compromise. La figure suivante présente cette approche à plus grande échelle.
Troisièmement, une revue de la conception de la sécurité est nécessaire pour s'assurer que la conception sécurisée répond aux exigences et aux menaces définies pour le produit, et que les meilleures pratiques de conception ont été suivies (voir le dernier sujet). Tous les problèmes de sécurité découverts doivent être documentés et suivis. La mise en place de ce processus signifie que chaque version de la conception est examinée afin de déterminer :
- si les exigences en matière de sécurité des produits n'ont pas été correctement prises en compte par la stratégie de défense en profondeur
- s'il existe des vecteurs de menace (chemins à suivre par les menaces) qui contournent la stratégie de défense en profondeur ou qui sont capables de la violer.
Dans les deux cas, le modèle de menace doit être mis à jour pour refléter les problèmes de sécurité découverts à la suite du processus d'examen.
En quatrième et dernier point, les meilleures pratiques de conception sécurisée sont nécessaires pour garantir que des conseils sont fournis aux développeurs afin de les aider à éviter les pièges courants pendant la conception qui pourraient entraîner des problèmes de sécurité ultérieurs. L'existence de ce processus signifie que le fournisseur du produit dispose d'une liste de meilleures pratiques de sécurité qu'il tient à jour et suit pendant le développement de la conception sécurisée du produit. Ces meilleures pratiques doivent être basées sur les meilleures pratiques de sécurité communément acceptées dans l'industrie pour le type de produit développé. Il appartient entièrement au fournisseur de déterminer les pratiques qu'il considère comme les plus appropriées pour ses pratiques de conception. Ces pratiques sont mises à jour en fonction des changements survenus dans l'industrie et de l'application des leçons apprises par le fournisseur du produit.
Exemples de bonnes pratiques ci-dessous :
- le moindre privilège (n'accorder que les privilèges nécessaires aux utilisateurs/logiciels pour effectuer les opérations prévues) ;
- en utilisant, dans la mesure du possible, des composants/conceptions sécurisés éprouvés ;
- économie de mécanisme (recherche de conceptions simples) ;
- en utilisant des modèles de conception sécurisés ;
- la réduction de la surface d'attaque ;
- documenter toutes les limites de la confiance dans le cadre de la conception ;
- retirer les ports de débogage, les en-têtes et les traces des cartes de circuits imprimés utilisées pendant le développement du matériel de production ou documenter leur présence et la nécessité de les protéger contre tout accès non autorisé.
Même si la conformité à la norme 62443 n'est pas un objectif ultime, le processus de conception sécurisée doit être considéré comme la base à mettre en œuvre et à gérer par l'organisation qui développe un produit sécurisé.
Si vous avez des questions sur les processus de conception sécurisée et/ou les critères de certification, n'hésitez pas à contacter notre spécialiste de la cybersécurité : Kilian Marty