Université Abdelmalek Essaadi
Ecole Nationale des Sciences appliquées Tanger
Résumé du rapport PFE
Filière : 3ème année cycle d’ingénieur - Génie des Systèmes de
Télécommunications et Réseaux (GSTR 3)
Sujet
Réalisation d'une démonstration d’une solution de
cybersécurité pour les environnements de technologie
opérationnelle
Réalisé par :
Amina BOULHIT
Fatima LAQBITI
Encadré par :
Mr. MOUSSAOUI Mohamed
Professeur à l’école national des sciences appliquées Tanger
Année Universitaire 2022 / 2023
Table des matières
INTRODUCTION.................................................................................................................. 3
Partie 1 : Description du travail réalisé ............................................................................... 3
Partie 2 : Description du travail réalisé ............................................................................... 3
Mise en place du scénario d’attaque : .......................................................................................... 5
Déploiement de la solution Fortinet : Investigation, détection de menace et remédiation ........... 6
Conclusion ......................................................................................................................... 7
INTRODUCTION
Le sujet de ce rapport est d’élaborer une démonstration sous forme de HOL de
l’efficacité des solutions Fortinet pour la protection d’un environnement
industriel (OT/ICS), et dérouler un scénario d’attaque réaliste qui pourrait se
produire dans ce domaine en simulant des opérations faites par des attaquants
dans le but de prendre le contrôle des équipements et d’infecter d’autres
composants.
Partie 1 : Description du travail réalisé
Dans le premier chapitre la présentation du contexte du projet et la
problématique associée ;
Commençant par la description de la technologie opérationnelle (Operational
Technology ou OT), qui fait référence aux systèmes informatiques qui
contrôlent les infrastructures industrielles et essentielles dans des secteurs
comme l’énergie, les services publics, la production et les transports.
Les conséquences d'attaques réussies sur ces services peuvent être lourdes et
aboutir à des dysfonctionnements majeurs ou pire des pertes en vies
humaines. Ce projet de stage permettra de comprendre les enjeux de la
cybersécurité dans un contexte industriel.
Par la suite, on a passé vers la planification du projet en le devisant en plusieurs
taches commençant par la recherche bibliographique j’jusqu’à la rédaction
finales du rapport.
Partie 2 : Description du travail réalisé
Dans cette partie, on a la présentation du travail réalisé et la descriptions des
outils utilisés, les configurations et les résultats du test.
Premièrement la recherche bibliographique sur la cybersécurité, le monde de
l’OT et les produits Fortinet. En suivant les formations NSE qui est un
programme créé par la Network Security Academy, fondée en 2016 par
Fortinet, et en utilisant des ateliers dans le domaine de l’OT avaient déjà été
réalisés par ce dernier.
Ensuite on a la conception et le développement de l’environnement de
démonstration.
Le but de cette partie et de crée un laboratoire de démonstration pour
permettre au client de Fortinet de se former et de s’entrainer sur les différents
aspects des technologies Fortinet.
Cette environnement respect l’évolutivité, la reproductibilité, et la portabilité.
Comme solution on a proposé celle du Jumeau numérique (digital twin). Qui
est une copie conforme d’un réseau physique mais en virtuel dans lequel on
peut simuler une attaque, observer le comportement de la copie virtuelle et
par la suite développer des solutions convenables qui peuvent être appliquer
ensuite sur l’environnement physique.
Pour la création de ce laboratoire ona choisit le logiciel OpenPLC.
Tout d’abord, l’installation des machines virtuelles dans FortiPoc (hyperviseur).
Résumées dans le tableau suivant.
Ces machines communiquent entre elles en utilisant le protocole Modbus qui
s’agit d’un protocole utilisé pour des réseaux d’automates programmables et
qui repose sur une architecture Maitre/Esclave.
Pour toutes les équipements installés on écrit des scripts Shell de postinstallation permettant d’automatiser des taches.
Ensuite une autre étape qui consiste à dresser la liste des cas d’usage possibles
et de définir celui qui sera scénarisé Hands-On-Lab. Et comme résultat on a
choisi l’usine de traitement des eaux. Qui est l’un des secteurs vitaux.
• Cahier de charge :
- Un réservoir contenant de l'eau et équipé d'un capteur de niveau bas
et d'un capteur de niveau haut.
- Trois boutons : start, stop et safety.
Réalisation de la programmation des boutons dans OpenPlc.
• Programmation de la logique du contrôleur :
- Langage choisit pour la programmation est le FBD.
- Dans openplc-editor on a définit les variable et écrit le programme
afin qu’il soit compilé et téléchargé au niveau du PLC.
• Simulation de l’usine de traitement des eaux en utilisant Factory IO et
ModbusPal.
Dans l’étape suivante on a passé à la conception et la réalisation de l’interface
Homme-machine qui est une partie importante de commande industriels, qui
permet de visualiser le fonctionnement d’un processus et de réaliser les actions
nécessaires à l'aide de ScadaBR.
Mise en place du scénario d’attaque :
Pour prouver l’efficacité du système réalisé contre les attaques DoS on a choisi
de focaliser sur les attaques d’injection. Son but et d’interrompre ou de perturber
les fonctionnalités du systèmes.
Comme scénario d’attaque : ouvrir la vanne de remplissage lorsque le capteur de
niveau haut est déjà atteint.
Les étapes de l’attaque :
- Effectuer une reconnaissance avec l’outil d’analyse réseau Nmap dans
le réseau de production.
- Exploiter la communication entre le maître et l'esclave en injectant de
fausses valeurs dans les registres de maintien (Holding Register) de
l'esclave.
- Au niveau de Metasploit, utiliser les outils fournis par le module
modbus-client.
L’attaque consiste à augmenter le volume maximale déjà défini .
Déploiement de la solution Fortinet : Investigation, détection de
menace et remédiation
Les solutions proposées :
- FortiGate (FGT): le pare-feu de nouvelle génération (NGFW)
- FortiAnalyzer (FAZ) : le collecteur et l’analyseur de logs des produits
Fortinet
- FortiSIEM (FSM) : la plateforme SIEM de gestion des incidents
• Installation et configuration de FortiGate :
FortiGate est un pare-feu de nouvelle génération (NGFW) capable d'identifier la
plupart des protocoles ICS et SCADA courants et d'observer passivement le
trafic réseau. Pour l’installer on a suivi les étape suivantes :
-
La segmentation du résau en temps réel
Configuration de la fonctionnalité Application Control
Test de fonctionnalité
configurer le FortiGate de sorte qu’il transfère les logs d’Application
control générés plus haut vers le FAZ.
• Installation et configuration de FortiAnalyser :
- Configuration pour recevoir les logs de FortiGate
- Configuration du Log Forwarding
- Test et résultat : FSM est enfin prêt à afficher les événements de type
Application Control créés par le FGT lorsqu'un trafic Modbus non
autorisé est effectué.
• Configuration de FortiSIEM (FSM) :
FortiSIEM est un équipement de gestion des événements et informations de
sécurité (SIEM). Il favorise ainsi le recueil et le traitement analytique unifiés des
données, à partir de différentes sources : logs, indicateurs de performances,
alertes de sécurité et modifications de la configuration.
Conclusion
la solution Fortinet proposée dans ce laboratoire est fonctionnelle et permet
de détecter et de bloquer l’attaque. De plus, cette solution composée d’une
FortiGate, d’un FortiAnalyzer et d’un FortiSIEM met en avant la Fortinet
Security Fabric (les produits qui communiquent entre eux pour une meilleure
visibilité et un meilleur contrôle).