Le Club de la sécurité de l’information français, le Clusif, organisait le 18 décembre, place de la bourse, sa réunion de décembre.
Le sujet « comment rapprocher les systèmes industriels et la sécurité de l’information » mettait en avant une problématique récurrente depuis l’attaque des centrifugeuses iraniennes d’origine Siemens, dans l’optique de ralentir les développement d’armes atomiques, par le virus Stuxnet crée par la NSA, l’agence de sécurité des Etats-Unis.
Les systèmes industriels sont aujourd’hui gagnés par la transformation numérique et celle ci touche tous les métiers des grandes organisations. L’intégration des réseaux industriels dans l’informatique engendre de nouveaux risques qui méritent d’être pris en compte.
Lazaro Pejsachowicz, le président du Clusif, en introduction soulevait la problématique des enjeux du SCADA qui sont aussi ceux des menaces du cyberterrorisme. Si les attaques sur l’informatique classique peuvent engendrer des faillites, les attaques sur des centrales nucléaires ou des raffineries peuvent engendrer des dizaines, voir des centaines de morts. Plusieurs membres du Clusif sont ensuite venus étayer le propos en présentant une synthèse de leurs travaux sur les réseaux industriels.
L’avis de Anssi
Stéphane Meynet, le spécialiste de l’Anssi (Agence nationale de la sécurité des systèmes d’information) sur la sécurité des systèmes industriels rappelait que le travail le l’Anssi sur « les bonnes pratiques » avait débouché sur un guide qui lui même avait servi, avec l’aide du Clsuif, à créer un label pour les entreprises. Le livret ayant été traduit en anglais, on espère que l’analyse des risques menée par les grandes entreprises, les fournisseurs et l’état français, pourra servir aux autres pays de la communauté européenne. (ci-dessous une vue de la centrale atomique de Fukushima, dévastée dans un premier temps par un tsunami)
Rappelons à ce propos, que la loi européenne enfin va bientôt prendre en compte les OIV (organismes d’importance vitale), un peu à la manière de la loi française. Dans les études destinées aux décideurs européens, les remarques sur le manque de normalisation et de concertation étaient souvent soulignées. Mais l’environnement réglementaire et normatif reste très complexe et demeure en permanente évolution. Selon l’Anssi, à côté des standards généralistes déjà connus comme l’ISO 27001 ont déjà émergés plusieurs standards spécifiques aux réseaux industriels dont le CEI 62443, voire même à des métiers spécifiques comme ceux de l’industrie nucléaire (CEI 62645). Pas facile dans ces conditions, de ne pas créer des règles qui seront à revoir, du point de vue juridique, dés leurs mises en application ;
Un enjeu de sécurité civile
La prise en considération des réseaux Scada est essentielle, car les risques qui y sont associés doivent etre liés à la loi de modernisation de la sécurité civile du 13 août 2004. Celle ci a réorganisé les plans de secours existants, selon le principe général que lorsque l’organisation des secours revêt une ampleur ou une nature particulière, elle fait l’objet, dans chaque département, dans chaque zone de défense et en mer, d’un plan Orsec.
Gérôme Billois, l’animateur du groupe de travail SCADA au sein du Clusif rappelait que son groupe avait travaillé sur plus de 53 documents de référence et que son groupe s’était limité aux vingt dossiers les plus pertinents. Les références de ceux-ci sont disponibles d’ailleurs sur le site du Clusif. (https://www.clusif.asso.fr/)
Au travers d’une foultitude de références, une tendance générale émerge néanmoins. Pour les seuls systèmes industriels, Gérôme Billois faisait 5 recommandations aux responsables sécurités
1) Prendre en compte le vrai métier de l’industriel
2) Sensibiliser le comité de direction aux risques informatiques en mettant en avant les enjeux humains et environnementaux.
3) Proposer une politique de sécurité des systèmes industriels proche de celle de l’informatique
4) Décliner la politique du SI au niveau opérationnel pour l’industriel
5) Former et sensibiliser les équipes, intégrer la sécurité dans tous les projets
La sécurité sur le terrain
Philippe Jeannin de RTE – racontait ses retours d’expérience de l’alerte Stuxnet à RTE et l’importance de la gestion des équipements annexes utilisés par les nombreux intervenants sur les centrales nucléaires par exemple. La gestion de la GTC et des accès est essentielle et elles constituent un enjeu énorme pour RTE.
Thierry Cornu, d’Euriware faisait le point sur les pratiques et de la maturité des organisations, soulignant que la sécurisation des installations industrielles différait de celle des systèmes d’information d’entreprise parce que la nature des risques était différente. Les dysfonctionnements des systèmes de contrôle industriels ont des conséquences dans le monde physique ; alors que le risque d’espionnage représente la menace la plus élevée pour le SI, le sabotage est souvent la préoccupation principale dans les systèmes de contrôle industriels, celui-ci pouvant entraîner une interruption de la continuité de service (distribution d’eau, d’électricité), ou des dommages aux personnes ou sur l’environnement (nucléaire, SEVESO), ou à l’outil de production (Stuxnet).
Quid des Systèmes SCADA?
Pour nos lecteurs qui ne connaitraient pas les réseaux SCADA, rappelons qu’Ils ont été utilisés depuis les années 1960 et on fait depuis le plan Calcul, en particulier dans les centres des recherche atomiques, l’objet de précautions permanentes.
SCADA qui est l’acronyme de l’expression anglaise pour le contrôle et d’acquisition de données (supervisory control and data acquisition) est en fait le système pour la collecte et l’analyse des données en temps réel. Les systèmes SCADA sont par exemple utilisés pour surveiller et contrôler le fonctionnement d’une usine. Ils permettent aussi de contrôler les équipements dans des secteurs tels que les télécommunications, l’eau et le contrôle des déchets, l’électricité, pétrole et du gaz et le transport. Un système SCADA rassemble des informations, par exemple lorsque une fuite sur un gazoduc où a eu lieu, transfère les informations vers un site central, alerte la station d’administration que la fuite s’est produite. De ce fait, la réalisation d’analyses et de contrôle nécessaires, comme la détermination du niveau de gravité d’une fuite est critique, et afficher l’information d’une manière logique. Rappelons que es Outils de MES (manufacturing execution systems) qui permettent de nourrir en informations d’autres logiciels comme les logiciels de gestions (ERP )font aussi l’objet d’une protection extrême mais ils restent dans une logique informatique. Ces outils MES sont pas un simple lien entre l’ERP et le contrôle-commande, puisqu’il assure l’exécution des fabrications.
puis