Le cabinet Lloyd’s a confié à la BBC (http://www.bbc.com/news/technology-26358042) que des fournisseurs d’énergie se voient refuser une assurance pour couvrir le risque de cyber-attaques car leur système de défense est considéré comme trop vulnérable.
L’assurance liée aux cyber-risques étant prévue pour aider les entreprises à reconstruire leurs réseaux, en cas d’endommagement par une cyber-attaque. Les assureurs, quant à eux, examinent les différentes mesures mises en place par les entreprises pour écarter les pirates, comment elles s’assurent de la mise à jour logicielle et comment elles supervisent leurs réseaux.
Malheureusement, après de tels contrôles, la majorité des demandes de souscription d’assurance ont été rejetées car le niveau de cyberdéfense a été jugé insuffisant (selon le cabinet Lloyds).
La plupart des entreprises aux infrastructures critiques prennent pourtant la cybersécurité au sérieux et disposent de départements dédiés pour protéger les deux infrastructures clés : le data center (serveurs) et le réseau local (postes de travail). Alors pourquoi ces entreprises ne passent pas ces tests avec succès?
Bien que ces systèmes soient essentiels pour supporter l’activité de l’entreprise ; il existe également un « 3ème réseau » : le réseau de contrôle des processus, qui nécessite le même niveau d’attention.
Souvent désignés comme les réseaux SCADA (Supervisory Control and Data Acquisition) en raison de leur association avec les procédés industriels, ces réseaux relient les équipements plutôt que les ordinateurs et supportent les systèmes plutôt que les personnes. Dans des secteurs tels que les services publics, le transport, la logistique, l’industrie ou la santé, ces réseaux sont essentiels pour le fonctionnement de l’entreprise.
Dans les services publics, ils sont si importants qu’ils sont considérés comme faisant partie de l’infrastructure critique nationale. En logistique, ils permettent d’acheminer des millions de colis par jour. Dans d’autres secteurs, ce réseau opère en coulisse, assure l’accès aux bâtiments, contrôle les systèmes de chauffage et de ventilation, des ascenseurs et de la climatisation du data center.
Pourtant, les réseaux SCADA sont les réseaux les moins protégés de tous et désormais, ils sont la cible des cybercriminels. Si ces derniers y ont accès, les conséquences pour les entreprises, leurs clients, voire la population en général, pourraient être extrêmement dommageables.
Pourquoi ces réseaux sont si vulnérables ?
– Ces réseaux sont pour la plupart construits pour durer 30 ans. Un grand nombre est en place depuis 10 ou 20 ans. A cette époque, ni l’ouverture des réseaux à l’internet, ni le Cyber-risque associé n’avaient été intégrés au projet.
– Ces réseaux sont prévus pour ne pas subir de modifications et une simple procédure de patching peut souvent s’avérer inadaptée et impossible.
– Les réseaux sont plus connectés que jamais et les données se multiplient afin que les entreprises puissent en tirer avantage (Big Data, pilotage de la production en fonction de la demande en temps réel, assujettissement à des mesures externes).
– Les réseaux de contrôle des processus sont souvent, à tort, considérés comme intrinsèquement sûrs car historiquement isolés.
– Le réseau SCADA est souvent « invisible » et vu comme un outil de production et ne bénéficie pas de suffisamment d’attention et d’investissement, comparé aux autres réseaux.
– Dans beaucoup d’entreprises, une équipe différente gère le réseau de contrôle des processus alors que le service informatique gère les autres réseaux. Cela peut engendrer des priorités et procédés divergents, notamment sur le thème de la gestion des risques informatiques.
Compte tenu de cette organisation, les entreprises doivent changer leur état d’esprit en matière de sécurité informatique afin de tenir compte des besoins spécifiques et des priorités des ingénieurs de contrôle des processus chargés de la gestion du réseau SCADA. Tout d’abord, les outils de sécurité ne doivent pas interférer avec les processus en boucle fermée, ce qui pourrait constituer un risque pour le contrôler. D’autre part, il faut garder en tête que la disponibilité / le temps de réponse est l’objectif le plus important de ce réseau. Troisièmement, les politiques de changement régulier de mot de passe pourraient mettre en danger une usine, verrouiller un système. Enfin, les outils de cybersécurité qui nécessitent un accès direct à Internet ne sont pas viables – de nombreux réseaux de contrôle sont sécurisés par des parefeu ou même isolés d’Internet.
D’une manière générale, il est important que les fournisseurs d’énergie et autres infrastructures critiques, reconnaissent que la cybersécurité est l’une de leurs priorités. Le paysage de la cybersécurité a changé et désormais les entreprises font face à des attaques de groupes professionnels bien organisés et bien équipés. Il s’agit d’une activité criminelle sérieuse, dont les conséquences peuvent être graves pour leur activité et pour la population – et les cyberdéfenseurs doivent être tout aussi professionnels que les hackers.
========
Cyrille Badeau est Directeur Europe du Sud, Sourcefire, une filiale de Cisco
puis