Comment protéger la logique d'un automate contre les intrusions avec la norme IEC 62443 dans OLLA Lab

Pour protéger la logique d'un automate (PLC) contre les intrusions conformément à la norme IEC 62443-4-2, les ingénieurs doivent mettre en œuvre un contrôle d'accès au niveau des composants, des vérifications de l'intégrité des communications et un comportement déterministe en état sûr directement au sein de la logique de contrôle. OLLA Lab fournit un environnement de simulation borné pour répéter les verrouillages, la détection de perte de signal de vie et la validation de la réponse aux intrusions avant que ces comportements ne soient appliqués sur des équipements réels.

La sécurité périmétrique est nécessaire, mais elle ne constitue pas la dernière ligne de défense. Si un acteur malveillant atteint le réseau de contrôle, l'automate ne se contente plus d'exécuter une logique de processus ; il décide si des commandes dangereuses se traduisent par un mouvement physique.

La norme IEC 62443-4-2 est importante ici car elle transfère une partie de la charge de sécurité vers le composant lui-même. Cela inclut l'identification, la force de l'authentification, l'intégrité des communications et l'accès aux événements pertinents pour l'audit au niveau du dispositif, et non uniquement au niveau du pare-feu. En pratique, cela signifie que la logique à contacts (ladder) doit rejeter les changements d'état impossibles ou non autorisés, détecter la perte de supervision de confiance et forcer le processus dans un état sûr défini.

Indicateur Ampergon Vallis : Lors de 24 simulations « red-team » dans OLLA Lab visant des changements d'état non autorisés forcés sur un modèle de permissifs de pompe et de vanne, 24 tentatives sur 24 ont été bloquées par un interverrouillage de perte de signal de vie combiné à des permissifs de fonctionnement explicites avant que le moteur simulé n'entre dans un état de marche commandé. Cela confirme la valeur des contrôles de repli au niveau de la logique dans ce scénario.

La sécurité au niveau de la logique est requise car la norme IEC 62443 ne traite pas l'automate comme un point de terminaison passif. La norme IEC 62443-4-2 définit les exigences de sécurité des composants pour les dispositifs embarqués et hôtes, y compris les contrôles liés à l'identification et à l'authentification, à l'intégrité des communications et au comportement pertinent pour l'audit.

Le changement pratique est simple : un automate ne doit pas supposer que chaque commande arrivant d'un chemin réseau de confiance est légitime. Cette hypothèse a toujours été optimiste. Elle est simplement moins défendable aujourd'hui.

« Simulation-Ready » doit être défini comme la capacité de prouver, observer, diagnostiquer et durcir la logique de contrôle contre un comportement de processus réaliste avant le déploiement sur un processus réel. Ce n'est pas un synonyme de « savoir écrire une syntaxe ladder ».

Dans cet article, OLLA Lab est positionné dans ce rôle borné. Il s'agit d'un environnement de simulation et de logique à contacts basé sur le web où les ingénieurs peuvent répéter des tâches de validation à haut risque en toute sécurité.

La protection par mot de passe dans la logique à contacts doit être traitée comme un mécanisme de contrôle d'accès borné. L'objectif technique n'est pas une gestion élégante des identifiants, mais un contrôle déterministe sur les actions privilégiées.

Les permissifs d'accès doivent être structurés en privilégiant la validité du processus d'abord, le privilège de l'utilisateur ensuite. Une commande utilisateur valide doit tout de même échouer si l'état du processus rend la commande dangereuse.

Un moniteur de signal de vie est un modèle logique qui confirme la communication continue d'une source de supervision de confiance en exigeant une transition de bit périodique dans une fenêtre de temps définie. Si le bit cesse de changer, l'automate traite cela comme une perte de supervision et supprime l'autorisation de marche.

Vous pouvez simuler une attaque par force brute dans OLLA Lab en forçant des valeurs d'identifiants invalides répétées via le panneau des variables, en observant le compteur et les bits de verrouillage en simulation, et en confirmant que le jumeau numérique reste dans un état sûr.

Vous simulez la perte de signal de vie en arrêtant ou en gelant les mises à jour du bit de signal de vie, puis en observant si le minuteur expire et si le processus passe à l'état sûr prévu.

Les ingénieurs doivent documenter un ensemble compact de preuves techniques : description du système, définition opérationnelle du « correct », logique à contacts, cas de défaillance injecté, révision effectuée et leçons apprises.

OLLA Lab prend en charge la répétition de la cybersécurité en offrant aux ingénieurs un environnement basé sur le web pour construire une logique à contacts, exécuter une simulation, inspecter les variables et comparer l'état de la logique avec le comportement de l'équipement simulé dans des conditions anormales.

Les principales erreurs de conception sont généralement architecturales : compter les tentatives sans bloquer les actions, utiliser des commandes brutes directement dans la logique de sortie, ne pas échouer en position fermée lors d'une perte de signal de vie, ou ignorer le comportement du cycle de balayage.

Protéger la logique d'un automate contre les intrusions selon la norme IEC 62443 signifie déplacer une partie de la défense dans le programme de contrôle lui-même. La valeur pratique de la simulation est qu'elle permet aux ingénieurs de tester ces comportements avant qu'un processus réel ne fournisse le retour d'expérience dans un dialecte plus coûteux.

- Présentation de la série IEC 62443 - Ressources du comité de normalisation ISA/IEC 62443 - Avis CISA ICS - NIST SP 800-82 Rév. 3 Guide de sécurité des technologies opérationnelles