Systèmes et données SCADA, talon d’Achille du SIH? Il existe des remèdes…

publié le 17 mai 2021

Dans un article paru sur le site DSIH, responsable de la sécurité des systèmes informatiques et DPO du CHU de Nantes, énumère une liste de bons conseils pour faire face aux vulnérabilités et possibles écueils de la gestion des systèmes SCADA (systèmes de contrôle et d’acquisition de données en temps réel). Il est estime en effet que “s’il subsiste toujours des fournisseurs en retard et des vulnérabilités inhérentes à ce type de produits, il existe [aussi] des dispositions pas toujours coûteuses ni complexes à déployer pour les sécuriser”.

Voici quelques-uns de ces conseils:
– pratiquer la segmentation en sous-réseaux: “chaque système Scada doit être déployé sur un VLAN dédié” ; attention toutefois à la complexité qu’implique la propagation d’un même VLAN sur plusieurs sites
– instaurer un “filtre” entre les VLAN Scada et le reste du LAN, via un pare-feu dédié, avec cartographie rigoureuse des flux et ports IP
– déployer des dispositifs d’analyse anti-virus, pour analyses les trames du VLAN Scada ; à faire opérer en mode analyse à la volée non bloquante
– élaborer une plan de mise à jour des équipements pour chaque VLAN, selon leurs contraintes spécifiques
– vérifier l’état de sécurité des équipements connectés au LAN en procédant régulièrement à un audit automatique, à l’aide d’un outil tel que Shodan qui vérifie systématiquement (les hackers s’en servent évidemment aussi…) s’il ne “traîne” pas de port ouvert sur un réseau ; ce moteur Shodan fonctionne simplement par envoi automatique de requêtes, en ciblant plus particulièrement les ports HTTP, FTP, SSH, Telnet, SNMP, SIP, RTSP…
– veiller à intégrer des dispositions standard de sécurité dans le document contractuel reprenant les clauses techniques particulières
– opérer en mode anticipation, “en allant voir les ingénieurs biomed, les experts sécurité, les services techniques avant que les ennuis n’arrivent… pour mieux les anticiper” – et en profiter pour former les acteurs métier (“un ingénieur biomed averti en vaut deux”).

Pour la totalité des conseils et leur justification, lire sur le site DSIH.fr.