Site Institutionnel - Blog , Uncategorized

Nouveau guide de classification des actifs industriels publié par l'ANSSI

Tue, 15 Apr 2025 07:49:18 +0200

📢 L'Agence nationale de la sécurité des systèmes d'information (ANSSI) vient de publier la nouvelle version de son guide de classification cyber des actifs industriels.

💡 Conséquence pour les organisations qui ont mis en œuvre la version précédente de la méthode de classification : des ajustements importants au niveau de la forme sont à prévoir, notamment avec la prise en compte de la nouvelle définition d'une classe cyber et de la notion de surclassement de certains systèmes.

Remarques générales :

1️⃣ Par rapport à la version précédente : ce guide détaille un peu plus le contexte de la menace cyber en environnement industriel = objectif sensibilisation (c'est important).

2️⃣ La méthode de classification est aligné, modulo quelques ajustements, à EBIOS-RM.

3️⃣ D’un point de vue lexical, l’utilisation des termes OT, informatique industriel, systèmes industriels et systèmes d’information industriels mérite encore d’être uniformisé dans le document.

Évolutions majeures et quelques points de réflexion :

🔶 La notion de classe se focalise sur l'impact uniquement. Dans la version précédente, la classe était issue de l'impact et de la vraisemblance. La vraisemblance est maintenant intégrée dans les scénarios stratégiques de la méthode EBIOS RM. La définition d'une classe est la suivante : "Une classe de cybersécurité est définie en fonction de la gravité des conséquences pour la Nation selon les impacts sur la population, l’économie et l’environnement."

A ce titre, il est donc possible de disposer de deux niveaux de classification d'un site : une classification dans le contexte de l'organisation et une classification au sens réglementaire. En effet, la compromission d'un site peut être catastrophique pour une organisation… mais pas forcément pour la Nation (Se pose la question de l'inverse :-))

😍 L’échelle d’impact est positionnée sur 4 niveaux : "La décision d’avoir un nombre pair de niveaux de gravité oblige à prendre position et évite le piège de la « zone refuge » d’indécision, au milieu."

🔶 La classe peut être relatif à un site ou à des composantes d'un site : le niveau de granularité du découpage est une conséquence des objectifs de l'étude… sachant que pour les gros sites, un découpage fin permet d'exclure des systèmes non-critiques de l'étude.

🔶 Il y a désormais 4 classes au lieu de trois : 1 = impact faible, 2 = impact modéré, 3 = impact fort, 4 = impact catastrophique… qui n'ont aucun lien avec niveaux de sécurité (SL) de l'IEC 62443.

Au regard de la définition proposée par l'ANSSI, ne pourrait-on pas pousser la réflexion en termes de réglementation : classe 4 = SIIV, classe 3 = NIS2 Entité Essentiel, classe 2 = NIS2 Entité Importante, classe 1 = pas de réglementation !

🔶 Section intéressante qui donnera le ton de la stratégie de sécurisation : "Les mesures des classes 1 ou 2 mettent l’accent sur la résilience, c’est-à-dire la capacité à surmonter une panne ou une cyberattaque, à restaurer et à redémarrer l’installation ; tandis que celles des classes 3 ou 4 mettent l’accent sur la nécessité de survivre à une attaque pour les systèmes les plus critiques."

... le terme survivre est probablement à comprendre "protéger".

🔶 L'introduction de notion de zones (au sens IEC 62443) : "ensemble d’actifs logiques ou physiques qui représentent la division d’un système à l’étude". Une installation industrielle peut donc être constituée de plusieurs zones… comme de plusieurs systèmes.

Un point qui nécessitera probable un ajustement : dans le chapitre "4.1.2 Définition des classes de cybersécurité" la classe est relatif à un système alors que dans le reste du document la notion de zone est utilisée dans la classification, notamment au sens IEC 62443.

Le chapitre 4.1.2 devra sûrement être ajusté pour intégrer la notion de zone et, ainsi, éviter toute incompréhension.

🔶 La notion de surclassement en conséquence des interdépendances. À ce titre, une zone de classe 2 avec une dépendance qui n'est pas "sécurisée" avec une zone de classe 3, verra sa classification passée à 3 ! (Alignement avec l'IEC 62443).

🔶 Ce document fait référence à un autre document structurant "Le guide des mesures détaillées" qui sera publié en 2025. Ce guide est sensé contenir les exigences détaillées pour chaque classe... en espérant qu’il ne sortira pas trop tard !

Voici le lien vers la publication : https://cyber.gouv.fr/publications/la-cybersecurite-des-systemes-industriels?s=09

Get Started Now

Bilan des Known Exploited Vulnerabilities du mois de décembre 2024

Sun, 26 Jan 2025 21:22:54 +0100

En décembre 2024, l’agence de cybersécurité américaine (CISA) a ajouté 16 vulnérabilités, identifiées comme activement exploitées dans la cadre de cyberattaques, dans sa liste des Known Exploited Vulnerabilities (KEV), le nombre de KEV est en légère baisse par rapport au mois précédent (-6).
La tendance générale sur les 12 derniers mois est la hausse.

À date, 1239 KEV sont référencées.

L'objectif de cette liste est de permettre aux organisations de prioriser leurs actions de patching. Afin de se rendre compte de l'importance des nouvelles entrées dans cette liste : toutes les agences de l’administration américaine doivent corriger ces vulnérabilités dans les 21 jours qui suivent l'ajout dans la liste !

KEV exploitées par un ransomware :
2 x Cleo Multiple Products (CVE-2024-50623, CVE-2024-55956)
1 x Zyxel Multiple Firewalls (CVE-2024-11667)
1 x CyberPersons CyberPanel (CVE-2024-51378)

Liste des autres KEV :
2 x Reolink Multiple IP Cameras (CVE-2019-11001), RLC-410W IP Camera (CVE-2021-40407)
2 x NUUO NVRmini Devices (CVE-2018-14933, NVRmini2 Devices (CVE-2022-23227)
2 x Microsoft Windows (CVE-2024-35250, CVE-2024-49138)
1 x ProjectSend ProjectSend (CVE-2024-11680)
1 x Palo Alto Networks PAN-OS (CVE-2024-3393)
1 x North Grid Proself (CVE-2023-45727)
1 x BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) (CVE-2024-12356)
1 x Adobe ColdFusion (CVE-2024-20767)
1 x Acclaim Systems USAHERDS (CVE-2021-44207)

Bilan des Known Exploited Vulnerabilities du mois de novembre 2024

Wed, 04 Dec 2024 08:17:00 +0100

⚠️ En novembre 2024, l’agence de cybersécurité américaine (CISA) a ajouté 22 vulnérabilités identifiées comme activement exploitées par les adversaires dans sa liste des Known Exploited Vulnerabilities (KEV), le nombre de KEV est en légère hausse par rapport au mois précédent (+5).

La tendance générale sur les 12 derniers mois est la hausse.

À date, 1223 KEV sont référencées.

🎆 L'objectif de cette liste est de permettre aux organisations de prioriser leurs actions de patching. Afin de se rendre compte de l'importance des nouvelles entrées dans cette liste : toutes les agences de l’administration américaine doivent corriger ces vulnérabilités dans les 21 jours qui suivent l'ajout dans la liste !

☣️ KEV exploitées par un ransomware :

1 x Array Networks AG/vxAG ArrayOS (CVE-2023-28461)

🔥 Liste des autres KEV :

5 x Palo Alto Networks Expedition (CVE-2024-9465, CVE-2024-9463, CVE-2024-5910), PAN-OS( CVE-2024-9474, CVE-2024-0012)

2 x VMware vCenter Server (CVE-2024-38813, CVE-2024-38812)

2 x PTZOptics PT30X-SDI/NDI Cameras (CVE-2024-8957, CVE-2024-8956)

2 x Microsoft Windows (CVE-2024-49039, CVE-2024-43451)

2 x Apple Multiple Products (CVE-2024-44309, CVE-2024-44308)

1 x Progress Kemp LoadMaster (CVE-2024-1212)

1 x Oracle Agile Product Lifecycle Management (PLM) (CVE-2024-21287)

1 x Nostromo nhttpd (CVE-2019-16278)

1 x Metabase Metabase (CVE-2021-41277)

1 x CyberPersons CyberPanel (CVE-2024-51567)

1 x Cisco Adaptive Security Appliance (ASA) (CVE-2014-2120)

1 x Atlassian Jira Server and Data Center (CVE-2021-26086)

1 x Android Framework (CVE-2024-43093)

Bilan des Known Exploited Vulnerabilities du mois d'octobre 2024

Sun, 24 Nov 2024 19:10:35 +0100

⚠️ En octobre 2024, l’agence de cybersécurité américaine (CISA) a ajouté 17 vulnérabilités identifiées comme activement exploitées par les adversaires dans sa liste des Known Exploited Vulnerabilities (KEV), le nombre de KEV est en légère hausse par rapport au mois précédent (-8).

La tendance générale sur les 12 derniers mois reste stable.

À date, 1201 KEV sont référencées.

🎆 L'objectif de cette liste est de permettre aux organisations de prioriser leurs actions de patching. Afin de se rendre compte de l'importance des nouvelles entrées dans cette liste : toutes les agences de l’administration américaine doivent corriger ces vulnérabilités dans les 21 jours qui suivent l'ajout dans la liste !

☣️ KEV exploitées par un ransomware :
1 x Progress WhatsUp Gold CVE-2024-6670
1 x Linux Kernel CVE-2017-1000253

🔥 Liste des autres KEV :
5 x Microsoft Windows (CVE-2024-38014, CVE-2024-38217, CVE-2024-43461), SQL Server (CVE-2020-0618), Publisher (CVE-2024-38226)
4 x Adobe Flash Player (CVE-2013-0643, CVE-2013-0648, CVE-2014-0497, CVE-2014-0502)
3 x Ivanti Virtual Traffic Manager (CVE-2024-7593), Cloud Services Appliance (CSA)( CVE-2024-8963), Cloud Services Appliance (CVE-2024-8190)
3 x DrayTek VigorConnect (CVE-2021-20123, CVE-2021-20124), Multiple Vigor Routers (CVE-2020-15415)
2 x Oracle WebLogic Server (CVE-2020-14644), ADF Faces (CVE-2022-21445)
1 x SonicWall SonicOS (CVE-2024-40766)
1 x SAP Commerce Cloud (CVE-2019-0344)
1 x Kingsoft WPS Office (CVE-2024-7262)
1 x ImageMagick ImageMagick (CVE-2016-3714)
1 x D-Link DIR-820 Router (CVE-2023-25280)
1 x Apache HugeGraph-Server (CVE-2024-27348)

Bilan des Known Exploited Vulnerabilities du mois de septembre 2024

Tue, 08 Oct 2024 07:10:48 +0200

⚠️ En septembre 2024, l’agence de cybersécurité américaine (CISA) a ajouté 11 vulnérabilités identifiées comme activement exploitées par les adversaires dans sa liste des Known Exploited Vulnerabilities (KEV), le nombre de KEV est en légère hausse par rapport au mois précédent (-8).

La tendance générale sur les 12 derniers mois reste légèrement à la baisse.

À date, 1170 KEV sont référencées.

☣️ KEV exploitées par un ransomware :

1 x Linux Kernel (CVE-2017-1000253)

🔥 Liste des autres KEV :

4 x Microsoft Publisher (CVE-2024-38226), Windows (CVE-2024-38014, CVE-2024-38217, CVE-2024-43491)

2 x DrayTek VigorConnect (CVE-2021-20123, CVE-2021-20124)

1 x SonicWall SonicOS (CVE-2024-40766)

1 x Kingsoft WPS Office (CVE-2024-7262)

1 x Ivanti Cloud Services Appliance (CVE-2024-8190)

1 x ImageMagick ImageMagick (CVE-2016-3714)

Bilan des Known Exploited Vulnerabilities du mois d'août 2024

Tue, 10 Sep 2024 08:07:00 +0200

⚠️ En août 2024, l’agence de cybersécurté américaine (CISA) a ajouté 19 vulnérabilités identifiées comme activement exploitées par les adversaires dans sa liste des Known Exploited Vulnerabilities (KEV), le nombre de KEV est en augmentation par rapport au mois précédent (+5).

La tendance générale sur les 12 derniers mois reste à la baise.

À date, 2212 KEV sont référencées.

☣️ KEV exploitées par un ransomware :

- Jenkins : Jenkins Command Line Interface (CLI) (CVE-2024-23897)

🔥 Liste des autres KEV :

8 x Microsoft : Windows (CVE-2018-0824, CVE-2024-38106, CVE-2024-38107, CVE-2024-38178, CVE-2024-38193, CVE-2024-38213), Exchange Server (CVE-2021-31196), Project (CVE-2024-38189)

2 x Apache : OFBiz (CVE-2024-32113, CVE-2024-38856)

2 x Dahua : IP Camera Firmware (CVE-2021-33044, CVE-2021-33045)

2 x Google : Chromium V8 (CVE-2024-7965, CVE-2024-7971)

1 x Android : Kernel (CVE-2024-36971)

1 x Linux : Kernel (CVE-2022-0185)

1 x SolarWindsWeb Help Desk (CVE-2024-28986)

1 x Versa : Director (CVE-2024-39717)

Pourquoi parlons-nous d'installation industrielle chez Fortress Cybersecurity ?

Wed, 04 Sep 2024 22:00:23 +0200

Comme vous l'avez sûrement noté, chez Fortress Cybersecurity, nous utilisons le terme "installations industrielles" dans toutes nos communications. Dans cette publication, nous vous expliquons le pourquoi de ce positionnement.

En préambule, nous tenons à repositionner deux termes qui sont très souvent utilisés par abus de langage.

Le terme "Operational Technology" (OT) que nous considérons trop générique... comme l'est le terme "Digital". En fonction des organisations, le périmètre de responsabilité de l'équipe OT peut être différent. À ce titre, nous utilisons ce terme uniquement dans les contextes dans lesquels il est clairement défini et partagé.
Nous n'utilisons pas le terme SCADA pour désigner un système qui supervise et qui contrôle les procédés de production. Lorsque nous parlons de ce type de systèmes, nous utilisons le terme Industrial Automation Control System (IACS). En effet, le SCADA, acronyme de Supervisory Control and Data Acquisition, est une catégorie d'IACS au même titre que les Distributed Control Systems (DCS) qui sont une autre catégorie d'IACS.

Revenons maintenant sur le sujet de cette publication :

Nous utilisons le terme "installation industrielle", en anglais "industrial facility" afin de couvrir l'ensemble des composantes qui participent directement et indirectement à la production. En effet, nous considérons que l'efficacité d'un plan de protection contre la menace cyber est conditionnée par une gestion du risque cyber de bout-en-bout dans toutes les zones industrielles.

Sans cette approche de bout-en-bout, des "zones grises" seront engendrées et ne seront probablement pas intégrées au plan de protection. Ces zones grises peuvent être utilisées par les adversaires comme vecteur de compromission de la production. Les efforts et les coûts de protection engagés sur les autres zones industrielles seront donc anéantis.

En regardant le Purdue Enterprise Reference Architecture (PERA) : nous voyons bien qu'une usine ne se limite pas à un IACS.

Il existe de nombreuses composantes que nous désignons par "systèmes subsidiaires", positionnées dans le PERA au "Level 3 - Manufacturing Operations Systems". Ces systèmes ne sont pas critiques pour la supervision et le contrôle des procédés de production. Néanmoins, leur indisponibilité peut affecter et désorganiser les opérations et le fonctionnement d'un site industriel : incapacité à gérer les flux de production, pas d'opération de maintenance, perte de l'historisation des données de télémétrie qui peuvent affecter la qualité des biens produits, pas d'optimisation de la performance des équipements, etc.
Le système d'information de gestion, positionnée dans le PERA au "Level 4 - Business Logistics Systems", notamment la dépendance à l'ERP pour la gestion des plans de production (produit, planning et quantité à produire). La compromission d'un ERP, et d'une manière plus générale, le système d'information de gestion, peut affecter les opérations de l'usine, voire, dans le pire des cas, une propagation de cette compromission depuis le système d'information de gestion vers les zones industrielles.

Par ailleurs, il existe de nombreuses composantes à intégrer dans le plan de protection qui ne figurent pas dans le PERA :

Il y a des composantes de l'informatique de gestion telles que les PC, serveurs, stockage, etc. Ces composantes peuvent interagir avec les systèmes subsidiaires... et, malheureusement, dans certain cas, avec les IACS. Ne pas prendre en compte ces composantes de l'informatique de gestion ne permettra pas d'identifier et de sécuriser l'ensemble des interactions entre les différentes zones.
Des systèmes subsidiaires "cachés" tels que les PCs de laboratoire, les applications de gestion de l'énergie, le PC, au fond d'un garage, de gestion des clés électroniques des chariots élévateurs, etc.
Les services dans le Cloud qui sont, de plus en plus, utilisés dans les zones industrielles. Par exemple, l'IoT industriel (IIoT) est une combinaison de capteurs déployés sur un site industriel et du traitement dans le cloud des données de télémétrie collectées par les capteurs.

Pour finir, il est important de traiter les dépendances internes et externes. La compromission par une cyberattaque d'une dépendance peut affecter de manière plus au moins forte les zones industrielles : dans le meilleur des cas, les opérations de l'usine, voire, dans le pire des cas, une propagation de la cyberattaque vers d'autres usines :

Au sein d'un même site : par exemple les zones de stockage et la logistique où on y retrouve des systèmes probablement assez simples (PCs, tablettes, étiqueteuses, imprimantes, scanners de codes-barres, etc.).
Entre plusieurs sites : dans certains contextes industriels, certains sites peuvent alimenter en matière première ou en produits d'autres sites de la même organisation. Ils peuvent également être interconnectés directement ou via le système d'information de gestion.
Les fournisseurs externes en matière première ou encore pour la télémaintenance sur les équipements.

En conclusion, lorsque vous engagez le plan de protection de votre installation industrielle :

Assurez-vous que l'ensemble des systèmes sont pris en compte.
Définissez bien le périmètre à adresser avec une analyse des risques cyber qui prend en compte les dépendances internes et externes.
...et surtout, établissez un vocabulaire commun avec l'ensemble des interlocuteurs et contributeurs de votre plan de protection, vous gagnerez beaucoup de temps.

Bilan des Known Exploited Vulnerabilities du mois de juillet 2024

Mon, 26 Aug 2024 09:55:22 +0200

⚠️ En juillet 2024, l’agence de cybersécurité américaine (CISA) a ajouté 8 vulnérabilités identifiées comme activement exploitées par les adversaires dans sa liste des Known Exploited Vulnerabilities (KEV), le nombre de KEV est relativement stable par rapport au mois précédent (-1).

La tendance générale sur les 12 derniers mois reste à la baisse.

À date, 1131 KEV sont référencées.

☣️ KEV exploitées par un ransomware :

- Aucun

🔥 Liste des autres KEV :

2 x Microsoft : Windows (CVE-2024-38112, CVE-2024-38080)

1 x Adobe : Commerce and Magento Open Source (CVE-2024-34102)

1 x Cisco : NX-OS (CVE-2024-20399)

1 x OSGeo : GeoServer (CVE-2024-36401)

1 x Rejetto : HTTP File Server (CVE-2024-23692)

1 x SolarWinds : Serv-U (CVE-2024-28995)

1 x VMware : vCenter Server (CVE-2022-22948)

Bilan des Known Exploited Vulnerabilities du mois de juin 2024

Tue, 02 Jul 2024 14:50:53 +0200

⚠️ En juin 2024, l’agence de cybersécurité américaine (CISA) a ajouté 9 vulnérabilités identifiées comme activement exploitées par les adversaires dans sa liste des Known Exploited Vulnerabilities (KEV), le nombre de KEV est une baisse par rapport au mois précédent (-5).

La tendance générale sur les 12 derniers mois reste à la baisse.

À date, 1126 KEV sont référencées.

☣️ KEV exploitées par un ransomware :

- PHP Group : PHP (CVE-2024-4577)

- Microsoft: Windows (CVE-2024-26169)

🔥 Liste des autres KEV :

1 x Android : Pixel (CVE-2024-32896)

1 x Arm : Mali GPU Kernel Driver (CVE-2024-4610)

1 x Geo : SolutionsGroupJAI-EXT (CVE-2022-24816)

1 x Linux : Kernel (CVE-2022-2586)

1 x Oracle : WebLogic Server (CVE-2017-3506)

1 x Progress : Telerik Report Server (CVE-2024-4358)

1 x Roundcube : Webmail (CVE-2020-13965)

Bilan des Known Exploited Vulnerabilities du mois de mai 2024

Wed, 05 Jun 2024 07:28:17 +0200

⚠️ En mai 2024, l’agence de cybersécurité américaine (CISA) a ajouté 14 vulnérabilités identifiées comme activement exploitées par les adversaires dans sa liste des Known Exploited Vulnerabilities (KEV), le nombre de KEV est en hausse par rapport au mois précédent (+4).

La tendance générale sur les 12 derniers mois reste à la baisse.

À date, 1117 KEV sont référencées.

☣️ KEV exploitées par un ransomware :

Aucune.

🔥 Liste des autres KEV :

4 x Google : Chromium V8 (CVE-2024-4947, CVE-2024-5274), Chromium Visuals (CVE-2024-4761), Chromium (CVE-2024-4671)

2 x Microsoft : Windows (CVE-2024-30040), DWM Core Library (CVE-2024-30051)

2 x D-Link : DIR-605 Router (CVE-2021-40655), DIR-600 Router (CVE-2014-100005)

1 x NextGen Healthcare : Mirth Connect (CVE-2023-43208)

1 x Linux : Kernel (CVE-2024-1086)

1 x Justice AV Solutions : Viewer (CVE-2024-4978)

1 x GitLab : GitLab CE/EE (CVE-2023-7028)

1 x Check Point : Quantum Security Gateways (CVE-2024-24919)

1 x Apache : Flink (CVE-2020-17519)