La Loi de Programmation Militaire (LPM) n’a pas que des impacts chez les Opérateurs d’Importance Vitale (OIV), elle en a aussi chez leurs fournisseurs. Les systèmes acquis par les OIV, et intégrés dans le Système d’Information d’Importance Vitale (SIIV) se doivent de respecter la LPM. Cette qualification « LPM » impose aux fournisseurs d’intégrer au sein de leurs systèmes, mais aussi de leur entreprise de nouvelles activités.
Intégration de nouvelles technologies
Pour obtenir la qualification « LPM », un système doit intégrer désormais les fonctions suivantes :
- Identification / Authentification nominative
- Gestion de profils et de droits (RBAC)
- Remontée d’événements de sécurité
- Supervision
- Durcissement
Certains systèmes sont basés, au moins en partie, sur des équipements électroniques ; par exemple les équipements qui composent un réseau de télécommunication mobile, ou une solution de pilotage d’un réseau électrique. Il n’est plus rare de voir que certains constructeurs n’hésitent pas à mettre en avant les avantages « cyber » de ces équipements. Ces équipements embarquent alors les technologies suivantes :
* SNMP pour la supervision de l’équipement. Le protocole SNMP V3 sera préféré au SNMP V 2c.
- La version 3 embarque des options de sécurité très intéressantes comme :
- Une identification et une authentification
- Du contrôle d’intégrité. Il est dommage que le protocole de calcul d’intégrité retenu par le groupe de travail ne soit pas SHA-256.
- Du chiffrement
Bien que la partie Request (requête initiée par la console de supervision vers l’équipement), et la partie Trap (Information envoyée par l’équipement vers la console de supervision suite à un franchissement de seuil) soient définies dans la Version 3 du protocole SNMP, aucun système que j’ai pu croiser n’a implémenté le protocole SNMP V3 pour la partie trap. La partie trap repose alors sur la version 2c.
Le SNMP V2c n’embarque qu’une seule propriété de sécurité : La communauté.
Le SNMP V1 est à bannir, la version de ce protocole n’étant pas du tout sécurisé.
Bon à savoir, le protocole SNMP embarque des fonctions de téléchargement de configuration.
- Syslog pour la remontée des événements de sécurité vers le collecteur central
- Du NTP pour la gestion du temps. Le successeur du protocole NTP sera le NTS. Il deviendra le standard une fois disponible.
- Radius pour l’Identification / Authentification nominative. L’équipement peut alors dialoguer avec un annuaire X500 (type Active Directory), soit directement avec l’annuaire, soit via un Proxy Radius. Le Proxy Radius se révèle être efficace dans les cas suivants :
Je cherche à protéger mon équipement. Je le localise dans la zone privée. La zone privée ne peut pas communiquer directement avec la zone publique. La communication ne peut se faire qu’à travers un équipement de la Zone Démilitarisée (DMZ). Le Proxy Radius, hébergé en DMZ, effectue une rupture protocolaire.
Mon équipement sait dialoguer en Radius, mais mon annuaire X500 ne dialogue qu’en Kerberos (par exemple). Le Proxy Radius sert alors de passerelle .
Radius embarque aussi la gestion de profils (RBAC), les droits étant gérés directement dans l’équipement.
Patrick Quintreau-Belleux, Directeur de projets – ITS Group
