Ingénierie de la cybersécurité dans les infrastructures critiques américaines

Pour mieux protéger les infrastructures critiques aux États-Unis contre les cyberattaques, l’administration Biden appelle les organisations à intégrer des défenses dans la conception des systèmes et à ne pas se fier uniquement aux protections informatiques. Cet article explique les concepts de “cyber-informed engineering” et les illustre par des exemples tirés du secteur de l’eau.

Dans son Stratégie nationale de cybersécurité publié le 2 mars, l’administration Biden appelle à des changements majeurs dans la façon dont les États-Unis accordent la priorité à la sécurité des systèmes logiciels utilisés dans les infrastructures critiques. Il reconnaît que l’approche de facto – jusqu’à présent essentiellement “laisser l’acheteur se méfier” – laisse les entités les moins capables d’évaluer ou de défendre les logiciels vulnérables responsables des impacts des faiblesses conçues tandis que les fabricants de la technologie n’assument aucune responsabilité. La stratégie recommande une approche de sécurité dès la conception qui consiste à rendre les éditeurs de logiciels responsables du respect d’un “devoir de diligence” envers les consommateurs et à ce que les systèmes soient conçus pour “échouer en toute sécurité et se rétablir rapidement”.

Pour les infrastructures énergétiques, la stratégie appelle à la mise en place d’un “Stratégie nationale d’ingénierie cyber-informée” pour obtenir des protections de cybersécurité nettement plus efficaces. Cet article fournit un aperçu de haut niveau de ce que cela implique.

Les ingénieurs qui construisent nos systèmes d’infrastructure complexes s’appuient sur des normes et des procédures strictes pour garantir des niveaux élevés de sécurité et de fiabilité. Cependant, la plupart de ces procédures ont été développées bien avant l’avènement de la cybersécurité moderne et ne guident pas encore les ingénieurs pour qu’ils prennent en compte les cybermenaces, et encore moins pour concevoir des défenses de cybersécurité dans ces systèmes.

Grâce à son initiative d’ingénierie cyber-informée, le Bureau de la cybersécurité, de la sécurité énergétique et des interventions d’urgence (CESER) du ministère de l’Énergie cherche à remédier à cela. Avec l’aide des Laboratoires nationaux, le CESER s’est engagé dans un effort pour former les ingénieurs à la conception de systèmes permettant de supprimer les possibilités et d’atténuer les impacts des cyberattaques.

Au début de la phase de conception du système, les ingénieurs peuvent identifier les fonctions critiques du système et déterminer comment les concevoir de manière à limiter les impacts de la perturbation ou de l’utilisation abusive du numérique. Combinée à une stratégie de sécurité informatique robuste, une telle ingénierie cyber-informée offre la possibilité de protéger les systèmes beaucoup plus efficacement que la sécurité informatique seule ne le peut.

Le laboratoire national de l’Idaho a été le pionnier du développement de concepts d’ingénierie cyber-informés et travaille avec CESER pour éduquer d’autres acteurs de l’industrie, du milieu universitaire et du gouvernement sur la manière d’appliquer ces concepts aux défis du monde réel. Dans cet article, nous allons décrire certains des principes de base et illustrer comment ils sont mis en pratique à travers un récit fictif d’un service d’eau municipal.

Conception axée sur les conséquences

La tâche la plus importante de toute organisation est de s’assurer que ses fonctions les plus critiques ne sont jamais interrompues. Les ingénieurs sont formés pour concevoir des systèmes résilients, en utilisant des techniques spécifiques pour identifier et prévenir les modes de défaillance traditionnels. Cependant, cela ne protégera pas un système contre une cyberattaque sophistiquée. En effet, les adversaires profitent souvent de la fonctionnalité innée d’un système pour le faire fonctionner de manière indésirable, par exemple en faisant déborder un réservoir ou en mettant sous ou hors tension à plusieurs reprises pour endommager des actifs critiques et perturber les opérations.

Dans la pratique de l’ingénierie cyber-informée, la première étape des ingénieurs consiste à identifier les fonctions et les sous-systèmes associés susceptibles d’entraîner des conséquences catastrophiques s’ils sont mal utilisés par un adversaire intelligent. Ensuite, comme nous le décrirons ci-dessous, ils peuvent identifier des méthodes pour prévenir une attaque, arrêter les conséquences négatives ou limiter leur impact.

Par exemple, supposons qu’un service d’eau municipal envisage un nouveau service basé sur le cloud pour surveiller et contrôler (c’est-à-dire démarrer et arrêter) une station de pompage distante critique. La technologie cloud rendrait les opérations beaucoup plus efficaces et permettrait d’économiser une main-d’œuvre importante. Dans un examen cyber-informé de la conception, les membres de l’équipe de conception ont été invités à imaginer les pires conséquences d’une attaque. Ils ont identifié un scénario dans lequel un attaquant pourrait pénétrer dans le service cloud et l’utiliser pour contrôler à distance des pompes, affectant éventuellement la fiabilité du débit ou la sécurité de l’approvisionnement en eau. Les dirigeants du service public ont estimé qu’il s’agissait d’un risque trop élevé et, par conséquent, ont retardé les plans d’acquisition des capacités basées sur le cloud jusqu’à ce que l’équipe puisse trouver un moyen de réduire ce risque à près de zéro.

Contrôles techniques

Lorsque les conséquences à fort impact d’une cyberattaque potentielle sont identifiées lors de la phase de conception, les ingénieurs ont le pouvoir d’ajuster les paramètres physiques du système en réponse. Ils peuvent sélectionner des technologies dont les fonctionnalités présentent moins de risques en cas d’utilisation abusive. Ils peuvent modifier le fonctionnement des processus ou ajuster les capacités et les tolérances pour réduire les dommages que les conséquences négatives peuvent causer. Ils peuvent également introduire des validations et des contrôles supplémentaires pour garantir les résultats attendus.

Étant donné que ces protections peuvent incorporer des barrières physiques ou d’autres éléments dans un processus industriel, elles offrent une protection supplémentaire contre les cyberattaques lorsqu’elles sont utilisées avec des technologies de cyberdéfense traditionnelles. Ils peuvent intégrer des protections qui contrecarrent les avenues et limitent les conséquences des attaques.

Les membres de l’équipe de conception de l’utilitaire ont examiné les fonctionnalités des pompes à eau auxquelles un attaquant pourrait être en mesure d’accéder via le service basé sur le cloud. Ils ont identifié que la pire conséquence serait qu’un attaquant démarre et arrête les pompes à distance trop rapidement. Ils ont déterminé que l’installation d’un relais temporisé analogique de 50 $ dans le contrôleur de la pompe ralentirait les commandes de démarrage et d’arrêt à distance, ce qui empêcherait un attaquant ayant obtenu un accès à distance d’endommager le système. Le service public a choisi d’intégrer cette protection et a procédé à l’achat de la technologie cloud économique.

Défense active

Lorsqu’un système d’infrastructure est attaqué par un adversaire, les opérateurs du système et les spécialistes des technologies de l’information doivent travailler ensemble pour assurer le fonctionnement continu des fonctions critiques du système et, en même temps, défendre le système contre l’attaque. À moins que ces actions ne soient planifiées, documentées et pratiquées à l’avance, ce processus peut être au mieux inefficace ou au pire totalement inefficace lorsqu’une attaque se produit.

En conséquence, l’ingénierie cyber-informée demande aux ingénieurs de planifier des approches de réponse qui permettent au système global de continuer à fonctionner, mais peut-être pas à son plein niveau, même lorsque des éléments ou fonctionnalités critiques sont mis hors service. Ils font équipe avec des spécialistes des technologies de l’information pour élaborer des stratégies d’intervention au fur et à mesure que le système est conçu, développé, testé et exploité. Ils effectuent régulièrement des exercices pour mettre en pratique les procédures d’intervention documentées et mesurer leur efficacité. Plutôt que d’être passifs en cas de cyberattaque, les ingénieurs et les opérateurs deviennent une partie active de l’équipe d’intervention.

La plupart des services d’eau municipaux s’appuient sur un système automatisé de contrôle et d’acquisition de données (SCADA) pour contrôler leurs fonctions opérationnelles. Ce système a une programmation qui maximise l’efficience et l’efficacité du système d’eau et supervise les opérations du système bien mieux que n’importe quel humain. Les équipes d’ingénierie et d’exploitation formées aux concepts d’ingénierie cyber-informés de base élaborent des procédures à suivre en cas d’attaques sur leurs systèmes SCADA et mènent des exercices réguliers avec leurs équipes informatiques, d’ingénierie et d’exploitation, simulant des scénarios où l’automatisation est indisponible ou peu fiable. Des exercices réguliers permettent au personnel d’exploitation de développer les compétences requises pour faire fonctionner les systèmes d’eau manuellement, si nécessaire, afin de maintenir un service sûr et fiable aux clients.

Les propriétaires d’énergie, d’eau et d’autres systèmes d’infrastructures critiques doivent être constamment prêts à faire face aux cyberattaques qui violent leurs défenses électroniques externes. L’ajout de mesures défensives axées sur l’ingénierie améliore leur capacité à résister et à prévenir les conséquences catastrophiques des cyberattaques. La stratégie nationale d’ingénierie cyber-informée donne les moyens de former les ingénieurs, de développer des outils et d’appliquer ces méthodes de cyberdéfense aux infrastructures actuelles et futures. En identifiant les conséquences catastrophiques possibles des cyberattaques avant qu’elles ne se produisent et en éliminant la capacité des adversaires à obtenir les résultats négatifs qu’ils prévoient, nous pouvons améliorer considérablement la cyberdéfense des infrastructures qui remplissent certaines des fonctions les plus critiques du pays.