FR3030832A1 - Composant informatique de securite, a espace de stockage controle - Google Patents

Composant informatique de securite, a espace de stockage controle Download PDF

Info

Publication number
FR3030832A1
FR3030832A1 FR1462973A FR1462973A FR3030832A1 FR 3030832 A1 FR3030832 A1 FR 3030832A1 FR 1462973 A FR1462973 A FR 1462973A FR 1462973 A FR1462973 A FR 1462973A FR 3030832 A1 FR3030832 A1 FR 3030832A1
Authority
FR
France
Prior art keywords
computer
data
entity
communication interface
memory space
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1462973A
Other languages
English (en)
Other versions
FR3030832B1 (fr
Inventor
Pierre Nguyen
Pascal Sitbon
Arnaud Tarrago
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electricite de France SA
Original Assignee
Electricite de France SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electricite de France SA filed Critical Electricite de France SA
Priority to FR1462973A priority Critical patent/FR3030832B1/fr
Publication of FR3030832A1 publication Critical patent/FR3030832A1/fr
Application granted granted Critical
Publication of FR3030832B1 publication Critical patent/FR3030832B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

L'invention concerne un composant informatique de sécurité (CS), destiné à être connecté à une entité informatique (SI) comportant une interface de communication (Eth ; USB) avec au moins un système de gestion informatique (SIEM). Il comporte en particulier : - un espace mémoire sécurisé, de stockage de données d'état de l'entité informatique, destinées à être communiquées à partir de l'interface de communication, et - un module de contrôle d'accès à l'espace mémoire sécurisé pour contrôler toute commande en écriture issue de l'interface de communication.

Description

Composant informatique de sécurité, à espace de stockage contrôlé La présente invention concerne un composant informatique de sécurité.
La sécurité des infrastructures critiques utilisant des systèmes de contrôle industriels (par exemple les industries électriques, pétrolières, chimiques et pharmaceutiques, les réseaux de transports, etc.) s'impose comme une priorité essentielle et le plus souvent réglementaire. D'une part, l'évolution des technologies amène les systèmes de pilotage des installations à s'ouvrir aux réseaux extérieurs, augmentant leur exposition aux risques d'attaque. Conçus à l'origine pour fonctionner de manière isolée, ces systèmes sont connectés de plus en plus souvent avec des systèmes d'information d'entreprise, distants. D'autre part, les composants techniques utilisés dans les systèmes de contrôle industriel sont en général en retard par rapport à l'état de l'art de la sécurité. Ils utilisent des technologies hétérogènes et vieillissantes (matériel et logiciel), ou ont évolué au cours du temps sans avoir été conçus initialement pour résister à des attaques. Pour mettre en place une sécurisation répondant aux exigences réglementaires et des guides de sécurisation, la réponse est généralement de segmenter les réseaux industriels, avec un découpage en domaines, de niveaux de sécurité différents. C'est sur ce principe que s'appuient les mesures techniques de protection : pare-feu, équipements de sécurité, durcissement de la configuration des automates et des ordinateurs.
Au-delà des mesures de protection, les mesures de mitigation permettent de limiter les impacts d'un incident de sécurité. On prévoit alors des routines de sauvegarde et de reprise sur incident. On prévoit aussi des routines d'audit du système avec préservation de l'historique des évènements et des changements de configuration du système, permettant de déterminer la cause et la portée d'un incident.
Les mesures techniques de mitigation posent des problèmes de mise en place et d'exploitation. La remonté d'informations telles que des alertes, des mises en surveillance, des fichiers d'historique des évènements (ou logs), nécessite : - la mise en place d'architectures complexes, de type « architecture coupe-feu », - de faire communiquer et de relier en réseau des équipements, par exemple un ensemble de postes à un système de gestion informatique d'entreprise (ce qui ajoute un mode commun d'attaque), - d'ajouter des éléments logiciels permettant à l'intégralité du système une communication en réseau.
Pour le traitement des historiques d'évènements, le comparatif des configurations informatiques, le comparatif des éléments logiciels de fonctionnement, ou encore pour une réinstallation conforme à une image disque d'origine ou d'évolution (un contenu à un instant donné du disque dur d'une entité informatique tel qu'un poste informatique d'une entreprise), nécessite la mise en place : - d'une architecture de sauvegarde centralisée pouvant exposer les informations à des tiers éventuellement malveillants, - de procédures d'exploitation complexes en termes de validation avec un retour arrière à une configuration antérieure difficile, souvent à l'aide de contenus mémoires de clefs USB apportant aussi des problèmes de sécurité. La présente invention vient améliorer la situation. Elle vise à cet effet un composant informatique de sécurité, destiné à être connecté à une entité informatique comportant une interface de communication avec au moins un système de gestion informatique. En particulier, le composant informatique comporte au moins : - un espace mémoire sécurisé, de stockage de données d'état de l'entité informatique, destinées à être communiquées à partir de l'interface de communication, et - un module de contrôle d'accès à l'espace mémoire sécurisé pour contrôler toute commande en écriture issue de l'interface de communication.
Ainsi, dans le cas d'une entité informatique à sécuriser, son interface de communication (par exemple via un réseau, de type Ethernet, ou locale, via un port USB par exemple) peut être connectée à un système de gestion informatique mettant en oeuvre par exemple une gestion des évènements et des informations de sécurité (ou « STEM» pour « Security information and event management » en anglais). Il n'est pas souhaité que ce système de gestion informatique ait accès à d'autres données que celles concernant un état de l'entité informatique (par exemple un historique des évènements survenus, une version en cours de la configuration générale, ou des applications ou des fichiers de l'entité informatique, ou autres). Le composant au sens de l'invention comporte à cet effet un espace mémoire permettant le stockage de telles données issues de l'entité informatique à sécuriser mais interdisant (ou limitant par un contrôle strict) la modification de ces données ou le stockage de données lorsqu'elles sont issues de l'interface de communication, et notamment du système de gestion informatique. Ainsi, le stockage de données dans cet espace mémoire ne s'effectue globalement (sauf quelques exceptions présentées plus loin) que dans un sens unique : de l'entité informatique et vers le système de gestion, et non en sens inverse. Cet espace mémoire est appelé plus loin, à cet égard, « espace disque diode ». Dans une forme de réalisation optionnelle, le composant de sécurité comporte un module d'analyse de ces données d'état, pour communiquer un résultat d'analyse au système de gestion informatique. Dans une variante de réalisation, on peut prévoir d'envoyer ces données d'état pour les faire analyser auprès du système de gestion distant. Dans un exemple de réalisation, les données d'état précitées comportent au moins un fichier de données d'historique d'évènements survenus dans l'entité informatique (appelé fichier de « logs »), ces données étant issues de l'entité informatique. Dans une telle réalisation, le module de contrôle d'accès peut inhiber toute commande de modification et/ou effacement de ce fichier, reçue depuis l'interface de communication.
Toutefois, il peut autoriser une écriture de données issues de l'entité informatique, pour ajouter par exemple des lignes au fichier de logs en mode dit « append ».
Dans une forme de réalisation, le composant informatique comporte un module de surveillance des données stockées dans l'espace mémoire sécurisé, pour appliquer un contrôle de version de ces données.
Dans une telle réalisation, l'espace mémoire sécurisé peut par exemple stocker au moins des données de fichiers (notamment de configuration) de l'entité informatique et/ou des données d'applications exécutées par l'entité informatique. Le module de surveillance précité définit alors un indice de version de ces fichiers et/ou applications, et stocke des données d'indice de version dans l'espace de stockage sécurisé.
En complément ou en variante, ces données d'état comportent des données conformes à un contenu courant de disque dur que comporte l'entité informatique (contenu appelé « image disque » du disque dur de l'entité informatique). L'espace mémoire sécurisé stocke une version originelle sécurisée du contenu de disque dur, et le module de surveillance applique une comparaison du contenu courant avec la version originelle. Dans un cas tel qu'une détection de corruption de données de l'entité informatique (faisant par exemple suite à une analyse des données d'état précitées), le module de contrôle d'accès peut autoriser exceptionnellement une commande en écriture dans l'espace 20 mémoire sécurisé de données de remplacement des données corrompues. Ces données de remplacement peuvent être reçues du système de gestion informatique via l'interface de communication précitée. Dans une telle réalisation, on prévoit avantageusement que le composant informatique 25 comporte en outre un organe de commande manuelle à disposition d'un utilisateur (personne physique), de sorte que l'autorisation de commande en écriture de données de remplacement dans l'espace mémoire sécurisé soit conditionnée par un actionnement de l'organe de commande par un utilisateur en tant que personne physique (par exemple un administrateur informatique, ou une personne hiérarchiquement habilitée). 30 De façon générale, on peut prévoir que le composant informatique comporte en outre un module de sécurité agencé pour chiffrer et/ou signer des données à stocker dans l'espace mémoire sécurisé, au moins avant une communication de ces données au système de gestion informatique. Dans une forme de réalisation, le composant informatique selon l'invention peut être combiné à un autre composant de sécurité, tel que celui décrit dans le document W02012/089983 (pour le contrôle des échanges notamment avec les ports USB de l'entité informatique). A cet effet, le composant informatique comporte, dans cette forme de réalisation, des moyens de connexion, d'une part, à l'entité informatique et, d'autre part, à un dispositif de contrôle d'accès au composant informatique, ce dispositif de contrôle d'accès comprenant : - au moins un port multifonctions apte à être connecté à l'interface de communication de l'entité informatique (par l'intermédiaire du composant informatique), - une interface d'accès au composant informatique, et - des moyens de gestion d'accès connectés entre le port multifonctions et l'interface d'accès, et configurés physiquement pour autoriser un accès à l'interface d'accès au moyen d'un périphérique connecté au port multifonctions seulement si ledit périphérique appartient à une catégorie de périphériques associée spécifiquement et de façon permanente au port multifonctions auquel il est connecté, un périphérique relié à l'interface de communication de l'entité informatique étant identifié comme appartenant à ladite catégorie. On comprendra ainsi que dans une telle réalisation : - le système de gestion informatique est relié par exemple à un réseau, - l'entité informatique comporte une interface de communication qui dans cet exemple est une carte réseau, - dans un exemple de réalisation possible, le composant de l'invention peut venir s'enficher sur la carte réseau de l'entité informatique ou même remplacer la carte réseau physique de l'entité informatique et intégrer des fonctionnalités de communication afin de communiquer avec le système de gestion informatique, et - le dispositif de contrôle d'accès (au sens du document W02012/089983 par exemple), vient s'enficher alors sur le composant de l'invention, et accueille en outre par exemple la fiche d'un câble de connexion au réseau précité (par exemple une fiche RJ45 pour une connexion Ethernet).
Cette réalisation permet avantageusement de sécuriser les communications qui peuvent être issues du réseau, notamment si on n'a pas autorisé l'entité informatique à communiquer via son interface de communication. Ainsi, dans le seul cas où il est autorisé une communication avec le système de gestion informatique, on peut piloter exceptionnellement le dispositif de contrôle d'accès pour autoriser la communication via son interface réseau. En variante d'utiliser une interface réseau via le port Ethernet pour une communication avec le système de gestion informatique, il est possible aussi d'utiliser un ou plusieurs ports USB de l'entité informatique, sur lequel se connectent le dispositif de contrôle d'accès (au sens du document W02012/089983) et le composant de sécurité de l'invention, afin de pouvoir échanger des informations avec le système de gestion informatique en procédant à des échanges de fichiers.
On comprendra alors que les termes « contrôler toute commande en écriture issue de l'interface de communication» visent le fait de contrôler toute commande en écriture issue de l'extérieur à l'entité informatique à protéger, les termes « interface de communication» étant à interpréter au sens large et englobant par exemple un routeur du réseau, connecté à la fiche Ethernet (RJ45) précitée, ou la fiche Ethernet elle-même, ou encore la carte réseau de l'entité informatique, ou tout autre organe de connexion intermédiaire relié à l'entité informatique, ou encore tout port USB ou port d'un bus informatique (tel qu'un port PCI ou PCI Express), ou autre de l'entité informatique, ou plus généralement encore : tout moyen de communication de l'entité informatique avec un environnement extérieur.
La présente invention vise aussi un procédé mis en oeuvre par des moyens informatiques (tels que le composant informatique de l'invention), pour sécuriser une entité informatique comportant une interface de communication avec au moins un système de gestion informatique. Le procédé de l'invention comporte alors les étapes : - stocker, dans un espace mémoire sécurisé, des données d'état de l'entité informatique, destinées à être communiquées à partir de l'interface de communication, et - contrôler l'accès à l'espace mémoire sécurisé pour contrôler toute commande en écriture issue de l'interface de communication (en mettant en oeuvre typiquement le module de de contrôle d'accès précité).
Le procédé peut comporter en outre une étape de surveillance des données une fois stockées dans l'espace mémoire sécurisé, pour contrôler une version de ces données (en mettant en oeuvre typiquement le module de surveillance précité). Le procédé peut comporter en outre une opération de chiffrement et signature des données stockées dans l'espace mémoire sécurisé au moins avant une communication de ces données au système de gestion informatique (en mettant en oeuvre typiquement le module de sécurité précité). La présente invention vise aussi un programme informatique comportant des instructions pour la mise en oeuvre de ce procédé, lorsque ce programme est exécuté par un processeur (typiquement un processeur du composant informatique de l'invention). 15 D'autres avantages et caractéristiques de l'invention apparaîtront à la lecture de la description détaillant ci-après des exemples de réalisation de l'invention, et à l'examen des dessins annexés sur lesquels : - la figure 1 illustre un contexte possible d'utilisation d'un composant informatique au sens de l'invention, 20 - la figure 2 illustre les moyens structurels du composant, selon un exemple de réalisation, - la figure 3 illustre les moyens fonctionnels du composant, selon un exemple de réalisation, - la figure 4 illustre les moyens fonctionnels d'un dispositif de contrôle d'accès à 25 l'interface de communication de l'entité informatique, selon le document W02012/089983, dans un exemple de réalisation, - la figure 5 illustre les principales étapes d'un exemple de procédé au sens de l'invention, pouvant correspondre à l'ordinogramme de l'algorithme général du programme informatique selon une forme de réalisation de l'invention, 30 - la figure 6 illustre schématiquement les différents flux de données et traitements réalisés dans le composant de sécurité, à titre d'exemple, - la figure 7 illustre un exemple d'architecture générale mettant en oeuvre plusieurs composants de sécurité. 10 En référence à la figure 1, on prévoit au sens de l'invention, notamment pour la surveillance et la gestion post-incident d'une entité informatique critique à protéger tel qu'un poste informatique SI pour le pilotage d'une installation industrielle, un composant informatique de sécurité CS qui se connecte par exemple à un port USB, ou directement à une interface de communication du poste SI (telle qu'une carte réseau Eth), ou encore au bus informatique de ce poste SI (tel qu'un port PCI ou PCI Express). La carte réseau Eth permet au poste informatique de se connecter via un réseau RES à un système de gestion informatique (référencé SIEM sur la figure 1) mettant en oeuvre par exemple un contrôle de versions de fichiers et/ou d'applications, d'historique des évènements, etc., du poste informatique SI. Par exemple, le système de gestion peut exécuter typiquement des applications logicielles pour une gestion des évènements et des informations de sécurité (ou « SIEM » pour « Security Information and Event Management » en anglais). Dans une variante de réalisation, le système de gestion peut être embarqué simplement dans une clé USB qui, lorsqu'elle est connectée au poste informatique SI, auto-exécute les applications logicielles SIEM de gestion. Au sens de l'invention, on interface alors le composant informatique de sécurité CS entre le poste informatique à protéger SI et le système de gestion SIEM.
Ce composant informatique CS comporte un espace de stockage ESD, sécurisé en mode « diode » : le stockage est protégé contre toute modification en provenance du système industriel SI de sorte que ce système SI ne peut écrire qu'en des endroits autorisés du disque de stockage ESD (dans un sens unidirectionnel), sans possibilité de modification non contrôlée (archivage sécurisé, fichier d'historique d'évènements (logs), configuration de sûreté, etc.). Les fonctionnalités de diode de cet espace de stockage assurent qu'en aucun cas une attaque n'est en mesure de « remonter » sur le système industriel SI. Il est donc possible d'y stocker des données d'état (par exemple relatives à des évènements survenus dans le système SI, ou des données de configuration de l'entité informatique SI à un instant donné). On obtient ainsi ces données (d'événements notamment), après consolidation locale sur le composant de sécurité CS, sans exposer l'entité informatique critique SI. On se réfère maintenant à la figure 2, sur laquelle on a représenté les éléments physiques du composant de sécurité CS. Dans un exemple de réalisation, ce composant de sécurité se présente sous la forme d'une clé USB avec une coque renfermant typiquement des circuits imprimés correspondant à un processeur PROC et une unité mémoire incluant l'espace de stockage protégé ESD, précité, ainsi qu'une mémoire de travail pour stocker temporairement des données à traiter et une mémoire non-volatile stockant les codes d'instructions du programme informatique au sens de l'invention. Le composant de sécurité a donc un processeur indépendant lui permettant de communiquer avec le poste informatique SI, pour récupérer les données du poste SI (telles que les versions de fichiers et/ou applications, les fichiers de logs, l'image disque du poste SI, etc.) et traiter ces données, notamment en les stockant sur l'espace mémoire protégé ESD et en contrôlant l'accès à cet espace ESD. Le composant de sécurité CS comporte en outre des connexions, par exemple USB, typiquement de type mâle PU1 pour se connecter au poste informatique SI, et femelle PU2 pour s'interfacer en outre avec un dispositif de contrôle d'accès CTLU, du type décrit dans 15 le document W02012/089983, comme on le verra plus loin en référence aux figures 3 et 4. Le composant de sécurité CS comporte en outre un organe de commande manuelle ORG, à disposition d'un utilisateur, pour basculer : - d'un mode de fonctionnement « normal », interdisant toute écriture dans l'espace 20 ESD depuis l'extérieur au poste SI et notamment depuis le système SIEM, - à un mode de fonctionnement « exceptionnel », autorisant un accès à l'espace ESD depuis l'extérieur, et en particulier depuis le système SIEM, pour recevoir dans l'espace ESD des données de remplacement de données corrompues dans le poste SI (par exemple pour un retour à une image disque antérieure, correspondant à une 25 version stable de l'entité informatique SI). Cet organe ORG peut par exemple se présenter comme une serrure physique pouvant accueillir une clé physique à disposition d'un utilisateur tel qu'un administrateur informatique. L'organe ORG agit comme un interrupteur dans un circuit (non représenté) relié au processeur PROC pour désactiver le contrôle d'accès à l'espace de stockage diode 30 ESD, autorisant ainsi cette « diode » à fonctionner exceptionnellement en sens inverse. On se réfère maintenant à la figure 3 sur laquelle on a représenté les éléments fonctionnels du composant de sécurité CS. L'espace de stockage diode ESD reçoit de l'entité informatique SI des données à stocker via un port connecté à la fiche PUl. Ces données sont des données d'état de l'entité informatique SI (telles qu'un fichier de logs, des données de versions de fichiers ou d'applications ou d'image disque, etc.). A cet effet, l'entité informatique SI elle-même peut être programmée pour communiquer ces données au composant de sécurité CS pour qu'elles soient stockées dans l'espace ESD. En variante, le processeur du composant de sécurité peut interroger régulièrement l'entité informatique SI pour récupérer ces données. On prévoit à cet effet un module logiciel REC dans le composant de sécurité (figure 3) pour récupérer régulièrement ces données à stocker dans l'espace ESD (via sa connexion PU1 au poste SI). Une fois ces données stockées, le module de contrôle d'accès MCA inhibe toute commande d'écriture ou de modification du contenu de l'espace ESD, issue de l'extérieur à l'entité informatique SI, et notamment de son interface de communication Eth (ou d'un port USB). Le composant de sécurité CS peut optionnellement comporter en outre un module logiciel d'analyse ANA de ces données (fichier de logs, versions de fichiers ou d'applications, image disque, etc.). Ce module ANA analyse en local, sur le composant de sécurité CS, les données précitées, vérifie leur non corruption ou évolution de version, ou autres, et transmet ensuite un compte-rendu d'analyse à destination du système de gestion SIEM. Dans une variante toutefois, on peut prévoir un module alternatif qui ne sert qu'à gérer la communication des données stockées dans l'espace ESD à destination du système SIEM. A cet effet, on peut prévoir un module de sécurité CHS apte à chiffrer et signer les données destinées au système de gestion SIEM (par exemple à l'aide d'une clé publique et éventuellement une clé privée). Dans la réalisation où l'on utilise un module d'analyse ANA en local, on peut prévoir bien entendu de chiffrer et signer le compte-rendu d'analyse destiné au système de gestion SIEM. Dans l'une quelconque de ces réalisations, le module de contrôle d'accès MCA veille à ce qu'aucune écriture ou modification de données ne soit effectuée dans l'espace mémoire ESD si elle est initiée depuis l'environnement extérieur à l'entité informatique SI (via un port USB, ou via le bus de communication tel que PCI ou PCI Express, ou plus généralement via une interface de communication quelconque).
On peut prévoir en outre, dans le composant de sécurité CS, un module de surveillance de versions SURV des données, et notamment de fichiers, ou image disque, qui sont stockées auprès de l'espace ESD. On peut prévoir à cet effet une analyse de versions avec l'affectation d'un indice de version IND par le module de surveillance SURV des données stockées dans l'espace ESD. On prévoit en outre l'organe de commande ORG pour éventuellement laisser des données 5 de remplacement RPL écraser des données corrompues de l'espace de stockage ESD (tout ou partie des données de cet espace). Enfin, le moyen de connexion PU2 du composant de sécurité peut accueillir une fiche Ethernet mâle pour une connexion au réseau ou une fiche mâle USB, notamment pour une 10 connexion au système de gestion STEM. Dans une variante plus sophistiquée, elle accueille la fiche INT d'un dispositif de contrôle d'accès CTLU au sens du document W02012/089983. En référence à la figure 4, ce dispositif de contrôle d'accès CTLU comporte : 15 - un port multifonctions U relié, en service, à l'interface de communication Eth de l'entité informatique SI (par l'intermédiaire du composant informatique CS comme illustré sur la figure 4), - une interface d'accès INT au composant informatique CS (comme par exemple une fiche Ethernet ou USB ou autre), et 20 - par exemple un processeur et une mémoire de travail formant des moyens de gestion d'accès Macc connectés entre le port multifonctions U et l'interface d'accès INT. Ces moyens de gestion d'accès Macc sont configurés physiquement (typiquement à l'aide d'un circuit physique) pour autoriser un accès à l'interface d'accès INT au moyen d'un 25 périphérique COM (ou plusieurs périphériques COM, COM', etc.) connecté au port multifonctions U seulement si ce périphérique COM appartient à une catégorie de périphériques associée spécifiquement et de façon permanente au port multifonctions U auquel il est connecté. 30 Typiquement ici, un périphérique COM destiné à être relié à l'interface de communication Eth de l'entité informatique SI, d'une part, et à un routeur de réseau, d'autre part, est identifié comme appartenant à cette catégorie autorisée, pour permettre bien entendu une communication avec le système de gestion SIEM. Néanmoins, un tel dispositif de contrôle d'accès CTLU vient assurer une sécurité avantageuse, en rendant inactive une connexion non autorisée à un périphérique donné (par exemple COM'), telle que par exemple une connexion à une clé USB (introduite par erreur par exemple).
De son côté, le composant de sécurité CS, interfacé entre l'entité informatique SI et le dispositif de contrôle d'accès CTLU, vient apporter encore une sécurité supplémentaire en empêchant notamment toute écriture de l'extérieur (côté réseau) sur l'espace mémoire protégé ESD.
Ainsi, le composant de sécurité assure une surveillance et une analyse des événements survenus dans l'entité informatique SI avec une possibilité de retour à une version antérieure sécurisée (à l'aide de l'organe ORG). Il fournit alors à l'entité informatique un espace de stockage sécurisé en mode « diode ». Il peut embarquer ou s'associer à un dispositif ayant, comme on l'a vu en référence à la figure 4, des fonctionnalités du type présenté dans le document W02012/089983. Ce stockage dans le disque ESD est protégé contre toute modification en provenance de l'extérieur à l'entité informatique SI. De façon générale, les propriétés de l'association entre le composant de sécurité CS et l'entité informatique SI sont notamment que : - il ne peut être écrit qu'aux endroits autorisés de l'espace ESD sans possibilité de modification au moins de l'extérieur (archivage sécurisé, logs, configuration de sûreté) ; - l'analyse d'événements permet de remonter des événements après consolidation locale sans exposer l'entité informatique (ces événements peuvent avoir pour origine des événements systèmes, des comportements anormaux, ou des écarts suite à une comparaison avec un état de référence de l'entité SI et son état en cours) ; - le composant de sécurité peut également fournir un retour en arrière sécurisé : sur action physique sur l'organe ORG (par exemple un élément physique comme une clé, actionnée par un opérateur de sécurité), on peut permettre à l'entité informatique de booter sur le contenu de l'espace mémoire ESD et forcer ainsi sa réinstallation avec une image dite « de référence » (normative ou de repli) en quelques minutes, sans intervention complexe. Comme illustré sur la figure 6, ces images de référence sont stockées dans la zone « espace disque diode » ESD. Ces images sont non modifiables par le côté exposé depuis le système de gestion informatique STEM. Il s'agit d'un fonctionnement de type diode avec contrôle des sens de lecture/écriture comme indiqué sur la figure 6. L'organe de commande ORG peut aussi permettre de contrôler l'utilisation/remplacement des fichiers de configuration notamment. Plusieurs images et plusieurs niveaux de surveillance peuvent être accessibles via cet organe. On peut en outre créer des images instantanées (ou « snapshots ») de l'entité informatique, pour un retour en arrière sans avoir recours à un système centralisé, ou pour des problématiques d'analyse du système (du type « analyse forensique »). Sur la figure 6, la référence : - SI correspond à l'entité informatique à protéger, - LOGS correspond au dépôt de fichiers de logs dans l'espace disque diode ESD, par exemple en mode « append », - FICH correspond à des données de fichiers du système (incluant par exemple des paramètres de ces fichiers, une suite binaire, et/ou des indices de version de ces fichiers), - IMD correspond à des données d'une image disque, complète ou partielle, de l'entité informatique SI, - ANA correspond au module d'analyse précité, notamment pour une analyse et surveillance des logs (en laissant bien entendu le module de contrôle d'accès MCA actif pour détecter toute intrusion depuis l'extérieur en mode IDS pour «Intrusion Detection System »), - SURV correspond au module de surveillance précité, notamment pour un contrôle, avec analyse des versions des fichiers et/ou applications de l'entité informatique SI, et surveillance de ces versions, - COMP correspond à une comparaison avec l'image disque originelle de l'entité informatique, - ORG correspond à l'organe de commande permettant, suite à une action physique externe, de recevoir d'abord et gérer des versions sécurisées RPL (des paramètres de fichiers, ou de binaires, ou de patchs et/ou d'image disque) issues du système STEM, et de stocker les fichiers à jour avec un dernier indice de version (et éventuellement les données correspondantes de paramètres, de binaires, de patchs, et image disque compacte ou partielle de l'entité SI originelle ou mise à jour avec une version non corrompue). Ces données DAT sont stockées dans l'espace disque ESD en mode « lecture seule » (« read only »), - la ligne de séparation en traits pointillés SEP sépare l'espace ESD des modules de traitement propres au composant de sécurité CS, mais aussi un environnement « interne », isolé, non connecté (sauf autorisations particulières) et incluant l'entité informatique SI, d'un environnement « extérieur » comprenant notamment des périphériques USB, des connexions réseau Eth ou Wifi de tout type (gestion informatique, ou publique), ou encore un réseau cellulaire. Les flèches de gauche à droite (en trait plein) matérialisent le sens normal de circulation des données stockées dans l'espace diode ESD. Les flèches de droite à gauche (en traits pointillées) matérialisent le sens inverse, exceptionnel, sur commande de l'organe ORG. Bien entendu, il est prévu des moyens de sécurité permettant, de façon générale, de faire fonctionner le composant de sécurité en détectant toute intrusion (selon un mode IDS pour « Intrusion Detection System »), ce qui inclut des fonctionnalités de VPN, d'authentification, de vérification d'intégrité, etc., que peut mettre en oeuvre notamment le module de contrôle d'accès MCA. Comme on l'a vu précédemment, ce composant de sécurité peut embarquer sa propre connectivité (en réseau sans fil, ou filaire) ainsi que ses propres mécanismes internes (d'authentification, d'intégrité, de confidentialité) de communication avec le système de gestion informatique STEM. Il peut fonctionner à l'initiative de ce système STEM par interrogations (mode pull) ou par envoi de données au fil de l'eau (mode push).
Plusieurs modes opératoires sont possibles suivant les fonctionnalités du composant de sécurité, notamment : - le contrôle du sens de l'écriture (par exemple exporter des logs sans possibilité pour le système STEM de les modifier/effacer en mode « append »), - le contrôle d'une signature ou l'application d'une signature propre (par exemple pour exporter des logs/images du système/fichiers de configuration certifiés et assurer leur intégrité), ou le chiffrement/déchiffrement, en mettant en oeuvre le module CHS de la figure 3, - la vérification des données présentées.
Ces fonctionnalités sont définies par un besoin de sécurité qui peut être spécifique par type d'entité informatique à protéger et par cas d'usage. Par exemple, en référence maintenant à la figure 7, chaque composant de sécurité CS1, CS2, ..., connecté à une entité informatique respective, transmet vers le système de gestion SIEM des fichiers (logs, configurations, résultats d'analyses) issus des postes informatiques industriels SI1, 512, ... surveillés. Une image du système global que constituent ces postes peut ainsi être chiffrée et signée pour ensuite être vérifiée par le système de gestion et surveillance centralisée SIEM.
Ainsi, certains systèmes particulièrement critiques et qui le justifient peuvent être rapidement mis sous surveillance à partir d'un centre opérationnel de sécurité. Ce composant de sécurité peut éventuellement être mutualisé avec la surveillance du réseau d'informatique d'entreprise, souvent déjà en place dans des groupes industriels (utilisant des applications SIEM d'informatique de gestion). L'espace délimité par des traits pointillés et illustré par des hachures sur la figure 7 représente un « espace réseau » non sécurisé, souvent public, alors qu'à gauche de cet espace, les entités informatiques SI1, 512, ... sont isolées et non-connectées (sauf autorisations particulières).
On a représenté sur la figure 5 des exemples d'étapes d'un procédé selon l'invention, dans lequel, à l'étape Si, le composant de sécurité reçoit de l'entité informatique SI des données d'état. Ces données sont stockées ensuite, à l'étape S2, dans l'espace disque diode ESD, et on applique un contrôle d'accès à l'étape S3 à cet espace ESD afin d'inhiber toute écriture ou modification de ces données qui pourraient être commandées depuis l'extérieur (par exemple depuis un périphérique extérieur de l'entité informatique SI, telle que son interface de communication avec le système de gestion SIEM). Ces données peuvent être ensuite directement transmises en mode push ou pull au système de gestion SIEM, après avoir été chiffrées et signées à l'étape S6, ou, dans une réalisation plus sophistiquée, être analysées d'abord à l'étape S4 (avec par exemple une analyse des fichiers logs) et/ou surveillées à l'étape S5 (pour identifier par exemple une évolution de version de fichier et/ou d'application, d'image disque, ou autres). Dans cette réalisation, le résultat de ces analyses et/ou surveillances peut enfin être transmis au système SIEM après chiffrement/signature à l'étape S6.
Bien entendu, la présente invention ne se limite pas aux formes de réalisation décrites ci-avant à titre d'exemples ; elle s'étend à d'autres variantes. Par exemple, le composant informatique CS ne s'interface pas nécessairement, physiquement, entre le système de gestion SIEM et un périphérique relié à ce système de gestion. En effet, en référence à la figure 1, il est représenté une réalisation dans laquelle le composant de sécurité CS se branche sur le port USB de l'entité informatique SI et peut toutefois contrôler les données issues du/destinées au périphérique auquel est reliée la carte réseau Eth via laquelle l'entité informatique peut communiquer avec le système de gestion STEM. Par ailleurs, le composant de sécurité peut prendre la forme d'un équipement embarqué (carte interne d'un ordinateur, en étant connecté à un port local de bus interne de l'ordinateur) ou externe (connecté à un port local d'un ordinateur USB ou autre, comme décrit ci-avant dans les exemples de réalisation).

Claims (15)

  1. REVENDICATIONS1. Composant informatique de sécurité (CS), destiné à être connecté à une entité informatique (SI) comportant une interface de communication (Eth ; USB) avec au moins un système de gestion informatique (SIEM), caractérisé en ce qu'il comporte : - un espace mémoire sécurisé, de stockage de données d'état de l'entité informatique, destinées à être communiquées à partir de l'interface de communication, et - un module de contrôle d'accès (MCA) à l'espace mémoire sécurisé pour contrôler toute commande en écriture issue de l'interface de communication.
  2. 2. Composant informatique selon la revendication 1, caractérisé en ce qu'il comporte un module d'analyse (ANA) desdites données d'état, pour communiquer un résultat d'analyse au système de gestion informatique.
  3. 3. Composant informatique selon l'une des revendications précédentes, caractérisé en ce que lesdites données d'état comportent au moins un fichier de données d'historique d'évènements survenus dans l'entité informatique, lesdites données étant issues de l'entité informatique.
  4. 4. Composant selon la revendication 3, caractérisé en ce que le module de contrôle d'accès (MCA) inhibe toute commande de modification et/ou effacement dudit fichier, reçue depuis l'interface de communication. 25
  5. 5. Composant informatique selon l'une des revendications précédentes, caractérisé en ce qu'il comporte un module de surveillance (SURV) des données stockées dans l'espace mémoire sécurisé, ledit module de surveillance appliquant un contrôle de version desdites données. 30
  6. 6. Composant informatique selon la revendication 5, caractérisé en ce que l'espace mémoire sécurisé stocke au moins des données de fichiers de l'entité informatique et/ou des données d'applications exécutées par l'entité informatique, et en ce que le module de 20surveillance définit un indice de version desdits fichiers et/ou applications, et stocke des données d'indice de version dans l'espace de stockage sécurisé.
  7. 7. Composant informatique selon l'une des revendications 5 et 6, caractérisé en ce que lesdites données d'état comportent des données conformes à un contenu courant de disque dur que comporte l'entité informatique, en ce que l'espace mémoire sécurisé stocke une version originelle sécurisée du contenu de disque dur, et en ce que le module de surveillance applique une comparaison du contenu courant avec la version originelle.
  8. 8. Composant informatique selon l'une des revendications précédentes, caractérisé en ce que, suite à une analyse desdites données d'état, en cas de détection d'une corruption de données de l'entité informatique, le module de contrôle d'accès autorise une commande en écriture dans l'espace mémoire sécurisé de données de remplacement des données corrompues.
  9. 9. Composant informatique selon la revendication 8, caractérisé en ce qu'il comporte en outre un organe de commande manuelle (ORG) à disposition d'un utilisateur, et en ce que l'autorisation de commande en écriture de données de remplacement dans l'espace mémoire sécurisé est conditionnée par un actionnement de l'organe de commande.
  10. 10. Composant informatique selon l'une des revendications précédentes, caractérisé en ce qu'il comporte un module de sécurité (CHS) agencé pour chiffrer et signer des données stockées dans l'espace mémoire sécurisé au moins avant une communication desdites données au système de gestion informatique (STEM).
  11. 11. Composant informatique selon l'une des revendications précédentes, caractérisé en ce qu'il comporte des moyens de connexion, d'une part, à l'entité informatique et, d'autre part, à un dispositif de contrôle d'accès à l'entité informatique, ce dispositif de contrôle d'accès comprenant : - au moins un port multifonctions apte à être connecté au moins à l'interface de communication de l'entité informatique, - une interface d'accès (INT) au composant informatique, et- des moyens de gestion d'accès (Macc) connectés entre le port multifonctions (U) et l'interface d'accès (INT), et configurés physiquement pour autoriser un accès à l'interface d'accès au moyen d'un périphérique (COM) connecté au port multifonctions (U) seulement si ledit périphérique appartient à une catégorie de périphériques associée spécifiquement et de façon permanente au port multifonctions (U) auquel il est connecté, un périphérique relié à l'interface de communication de l'entité informatique étant identifié comme appartenant à ladite catégorie.
  12. 12. Procédé mis en oeuvre par des moyens informatiques, pour sécuriser une entité 10 informatique (SI) comportant une interface de communication (Eth ; USB) avec au moins un système de gestion informatique (SIEM), caractérisé en ce qu'il comporte les étapes : - stocker, dans un espace mémoire sécurisé, des données d'état de l'entité informatique, destinées à être communiquées à partir de l'interface de communication, et - contrôler l'accès à l'espace mémoire sécurisé pour contrôler toute commande en écriture 15 issue de l'interface de communication.
  13. 13. Procédé selon la revendication 12, caractérisé en ce qu'il comporte en outre une étape de surveillance des données une fois stockées dans l'espace mémoire sécurisé, pour contrôler une version desdites données. 20
  14. 14. Procédé selon l'une des revendications 12 et 13, caractérisé en ce qu'il comporte en outre une opération de chiffrement et signature des données stockées dans l'espace mémoire sécurisé au moins avant une communication desdites données au système de gestion informatique (SIEM). 25
  15. 15. Programme informatique caractérisé en ce qu'il comporte des instructions pour la mise en oeuvre du procédé selon l'une des revendications 12 à 14, lorsque ce programme est exécuté par un processeur.
FR1462973A 2014-12-19 2014-12-19 Composant informatique de securite, a espace de stockage controle Active FR3030832B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1462973A FR3030832B1 (fr) 2014-12-19 2014-12-19 Composant informatique de securite, a espace de stockage controle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1462973A FR3030832B1 (fr) 2014-12-19 2014-12-19 Composant informatique de securite, a espace de stockage controle

Publications (2)

Publication Number Publication Date
FR3030832A1 true FR3030832A1 (fr) 2016-06-24
FR3030832B1 FR3030832B1 (fr) 2016-12-16

Family

ID=52988213

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1462973A Active FR3030832B1 (fr) 2014-12-19 2014-12-19 Composant informatique de securite, a espace de stockage controle

Country Status (1)

Country Link
FR (1) FR3030832B1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019193557A1 (fr) 2018-04-05 2019-10-10 Braincube Dispositif et procédé de sécurisation et transfert de donnée de paramètres industriels entre un réseau industriel à sécuriser et une cible

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005121922A1 (fr) * 2004-06-07 2005-12-22 Universita' Degli Studi Di Udine Procede de stockage de documents electroniques d'une maniere non modifiable
US20110082966A1 (en) * 2009-10-02 2011-04-07 Yu Samuel Y Authentication and Securing of Write-Once, Read-Many (WORM) Memory Devices
FR2969788A1 (fr) * 2010-12-27 2012-06-29 Electricite De France Procede et dispositif de controle d'acces a un systeme informatique

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005121922A1 (fr) * 2004-06-07 2005-12-22 Universita' Degli Studi Di Udine Procede de stockage de documents electroniques d'une maniere non modifiable
US20110082966A1 (en) * 2009-10-02 2011-04-07 Yu Samuel Y Authentication and Securing of Write-Once, Read-Many (WORM) Memory Devices
FR2969788A1 (fr) * 2010-12-27 2012-06-29 Electricite De France Procede et dispositif de controle d'acces a un systeme informatique

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"Chapter 7: Establishing Secure Enclaves; Chapter 8: Exception, Anomaly, and Threat Detection; Chapter 9: Monitoring Enclaves ED - Eric D Knapp", 1 January 2011, INDUSTRIAL NETWORK SECURITY. SECURING CRITICAL INFRASTRUCTURE NETWORKS FOR SMART GRID, SCADA, AND OTHER INDURSTIAL CONTROL SYSTEMS, SYNGRESS, PAGE(S) 147 - 247, ISBN: 978-1-59749-645-2, XP002687973 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019193557A1 (fr) 2018-04-05 2019-10-10 Braincube Dispositif et procédé de sécurisation et transfert de donnée de paramètres industriels entre un réseau industriel à sécuriser et une cible

Also Published As

Publication number Publication date
FR3030832B1 (fr) 2016-12-16

Similar Documents

Publication Publication Date Title
US10834116B2 (en) Secure digital traffic analysis
EP2372974B1 (fr) Procédé de sécurisation de données et/ou des applications dans une architecture en nuage
US7793110B2 (en) Posture-based data protection
EP2659419B1 (fr) Procédé et dispositif de contrôle d'accès à un système informatique
FR2926692A1 (fr) Procedes et dispositifs pour ameliorer la fiabilite de communication entre un aeronef et un systeme distant
Eden et al. A forensic taxonomy of SCADA systems and approach to incident response
CN114080782B (zh) 阻止勒索软件或网络钓鱼攻击的方法及系统
EP3884405B1 (fr) Comptage sécurisé dans des réseaux informatiques en nuage
EP2077515B1 (fr) Dispositif, systèmes et procédé de démarrage sécurisé d'une installation informatique
WO2018202995A1 (fr) Périphérique portable de communication, système de protection d'un terminal portable et procédé de communication
FR3030832A1 (fr) Composant informatique de securite, a espace de stockage controle
US11770363B2 (en) Systems and methods for secure access smart hub for cyber-physical systems
EP2192515A2 (fr) Circuit électronique de sécurisation des échanges de données entre un poste informatique et un réseau
KR101552688B1 (ko) 엔드포인트 단의 사용자 정책 설정에 따른 데이터 보안 방법 및 시스템
Hurst et al. Critical infrastructure security: Cyber-threats, legacy systems and weakening segmentation
CN111327683B (zh) 加密信息提取方法、装置、计算机设备及可读存储介质
US11960368B1 (en) Computer-implemented system and method for recovering data in case of a computer network failure
US20220358219A1 (en) Secure cloud computing architecture and security method
EP3144841B1 (fr) Système, procédé et dispositif pour empêcher des cyber attaques
FR3017508A1 (fr) Systeme et procede d'echange de donnees
CN117235818A (zh) 基于固态硬盘的加密认证方法、装置、计算机设备及介质
EP1510904B1 (fr) Procédé et système d'évaluation du niveau de sécurité de fonctionnement d'un équipement électronique et d'accès conditionnel à des ressources
EP4206917A1 (fr) Procédé et système d'accès encadré d'au moins un opérateur externe à un ensemble d'opérations d'une infrastructure de calcul

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20160624

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 10