Memo CERTitude

LPM, IDS, Sondes, Intrusion, Exploitation, Alertes, Mesures techniques, Responsabilité, Criticité, Risques, Analyse, Qualification, Sécurité numérique, ANSSI, SIEM, SOC, Architecture, Supervision, Évènements, Réaction, ...

Détection d'intrusion (IDS)
Objectifs Principes Obligations Solutions Événements Exploitation Références

Objectifs

La détection d'intrusion (IDS) participe au dispositif global de la sécurité numérique et à son volet réaction.

• La détection au plus tôt des incidents de sécurité potentiels permet de les traiter avant qu’ils ne provoquent des impacts importants, voire des catastrophes. Le principe est le même que celui de la lutte contre l’incendie : plus le départ de feu est détecté tôt, plus les équipes d’intervention peuvent agir rapidement pour limiter les conséquences.
• La détection joue également un rôle important sur le plan de la qualité et de la traçabilité. Elle permet de détecter des anomalies potentielles survenant à la suite d'un bug ou d'une erreur de programmation des systèmes et contribue à tracer les modifications légitimes ou non apportées aux systèmes.
• La fonction de "surveillance" des installations contribue enfin à éduquer les personnes intervenant sur les systèmes aux bonnes pratiques de sécurité numérique.

Principes

Un système de détection d'intrusion peut s'appliquer à des machines (Host) ou à des réseaux (Network).
Ce mémo se concentre sur la détection d'intrusion des réseaux. Contrairement aux dispositifs de protection tels que ceux mis en place pour protéger les interconnexions réseau, la détection d'intrusion ne bloque pas les flux et donc s'avère être un dispositif précieux pour certains types de systèmes présentant, par exemple, des contraintes fortes en terme de disponibilité et d'intégrité.

La détection s'effectue en 4 phases :

• Capture des flux (sonde)
• Analyse des flux
• Génération des évènements
• Traitement des évènements

Le déploiement d'un système de détection s'appuie sur les principes suivants :

• Définir une stratégie de détection :
  • Pourquoi déployer un système de détection ?
  • Quels évènements rechercher ?
  • Comment et où centraliser la remontée des évènements ?
  • Qui exploite les évènements ?
  • Qui porte la responsabilité de la solution ?
  • Etc.
• Cartographier les systèmes pour définir le positionnement des sondes de détection
• Déployer et configurer les sondes
• Tester la détection d’évènements
• Tester la réaction des équipes et les procédures de traitement des alertes

Obligations

• Le déploiement d'un système de détection "réseau" est une obligation pour les OIV dans le cadre des mesures de sécurité imposées par l’article 22 de la LPM de 2014-2019.
• Les arrêtés sectoriels, comme par exemple celui du secteur d'activité d'importance vitale, « Gestion de l'eau », précisent que : « L'opérateur d'importance vitale met en œuvre, en application de l'article R. 1332-41-3 du code de la défense, un système de détection qualifié de type « sonde d'analyse de fichiers et de protocoles ». Les sondes d'analyse de fichiers et de protocoles analysent les flux de données transitant par ces sondes afin de rechercher des événements susceptibles d'affecter la sécurité des systèmes d'information d'importance vitale (SIIV). Elles sont positionnées de manière à pouvoir analyser l'ensemble des flux échangés entre les SIIV et les systèmes d'information tiers à ceux de l'opérateur»

Solutions

L'objectif n'est pas de lister les différentes solutions de détection existantes sur le marché mais d'apporter un éclairage sur les options pour positionner les sondes :

Solution 1 :"au plus loin" des systèmes à protéger

• Avantages :
• Limite potentiellement le nombre de sondes. Les sondes sont généralement positionnées en premier lieu sur les interconnexions avec le monde extérieur (les "points de sortie vers Internet").
• Détecte au plus tôt des menaces génériques avant qu'elles ne pénètrent sur les systèmes de l'organisation.
• Inconvénients :
• Ne permet pas de détecter des menaces « internes », introduites depuis un point du réseau ou un équipement interne à l'organisation.
• Ne traite pas le cas des systèmes non connectés à des systèmes tiers ou des systèmes comme les systèmes industriels « simplement » connectés à des réseaux bureautiques. Or le risque d’attaque est majeur dans ce type de configuration.

Solution 2 : "au plus près" des systèmes à protéger

• Avantages :
• Détecte plus finement et plus simplement les tentatives d’intrusion. Pour les systèmes industriels, par exemple, quelques règles simples permettent de détecter des tentatives de modification des systèmes industriels (scénario Stuxnet).
• Ne nécessite pas de marqueurs techniques spécifiques.
• Inconvénients :
• Nécessite potentiellement plus de sondes pour couvrir le périmètre sous détection.
• Demande de bien connaître la cartographie de ses systèmes pour positionner les sondes aux endroits pertinents.

Évènements à détecter

Cas d'application d'un système numérique de type "système industriel".

Dans le cas des systèmes industriels, le positionnement des sondes "au plus près" permet de limiter les évènements à détecter aux fonctions « systèmes » des équipements.

• Pour un automate programmable industriel :
  • changement de configuration
  • mise à l’heure
  • lecture de programme ou de blocs programme
  • écriture de programme ou de blocs programme
  • tentative d'accès à la CPU pour certains automates
  • utilisation de vulnérabilités connues (ex : mot de passe codés en dur)
  • ...
• L’analyse peut être complétée par la détection de trames ne comportant pas de fonctions "systèmes" mais non légitimes pour les besoins fonctionnels du système. Par exemple, il peut être judicieux de détecter des trames d’écriture de variables depuis des postes qui ne sont censés que lire des données du système industriel
• il est possible d’aller plus loin dans l’analyse mais il est recommander de se limiter, dans un premier temps, à la détection d’évènements simples comme ceux indiqués précédemment.

Exploitation

La question fondamentale à se poser est : qui exploite (traite) les évènements générés par les sondes et comment ? Bien loin des considérations techniques, la gouvernance est un fois de plus, un facteur clé.

Cela suppose de :

• Définir où doivent être remontées ces informations  Dans un SOC ? dans la salle de contrôle où se trouvent les SCADA lorsqu'il s'agit de systèmes industriels ? Dans les deux ?
• Mettre en place des procédures d’exploitation et définir des rôles précis : définir une gouvernance
• Pouvoir tester la remontée d'évènements signalant un incident de sécurité potentiel

Références

• Guide sur la cybersécurité des systèmes industriels de l'ANSSI
• La cybersécurité des installations industrielles - Défendre ses systèmes numériques
• Article Conférence C&ESAR
• Suricata

Septembre 2018

Les Mémos CERTitude NUMERIQUE abordent en quelques mots des thèmes de la sécurité numérique.
Ils ne remplacent en aucune manière les textes réglementaires, guides et référentiels publiés par les autorités nationales et européennes.
N’hésitez pas à faire part de vos commentaires en nous contactant.