Le directeur de l’agence nationale de la sécurité des systèmes informatique s (ANSSI) Patrick Pailloux, veut protéger les systèmes critiques.
La 13e édition des Assises de la Sécurité et des systèmes d’information, le rendez-vous des professionnels et des experts informatiques a eu droit à l’intervention annuelle de celui que les experts nomment souvent « notre père fouettard », Patrick Pailloux, le directeur de la plus haute autorité dans ce domaine en France, l’Anssi. Si l’année passée, à ces mêmes assises à Monaco, Patrick Pailloux s’était fait le chantre d’un refus ouvert des mobiles et autres tablettes dans le cadre du BYOD sans sécurité, quitte à passer pour un affreux rétrograde, cette année c’était autour des systèmes industriels, les SCADA, d’être sur la sellette. « Le chemin est encore très long » concernant l’application des règles basiques d’hygiène informatique » a-t-il précisé d’emblée.
Les mesures préconisées par le gouvernement pour les entreprises et les administrations françaises vont bien prendre dix ans pour s’installer selon lui : « J’ai l’habitude de dire que nos sociétés dépendent de l’informatique et des communications électroniques pour vivre. Que ces technologies sont désormais les systèmes nerveux de nos nations. Que notre survie, au sens étroit du terme, dépend parfois du bon fonctionnement des systèmes d’information : équipements médicaux, transports aérien et ferroviaire, production et distribution d’énergie, transport de l’eau, etc. Les systèmes industriels, les systèmes de contrôle-commande, les SCADA, sont en train de migrer à grande vitesse vers l’IP, de s’intégrer dans les systèmes d’information de l’entreprise, voire d’être connectés à Internet, sans que l’on se soit véritablement préoccupé de leur sécurité. Je dis bien de leur sécurité ».
Au-delà de l’habituelle mis en garde face aux armées d’hackers qui passent leur temps à harceler les grandes entreprises françaises, Patrick Pailloux s’est fait plus pédagogue. Etablissant un distinguo entre sureté des systèmes et sécurité, il rappelait comment les centrifugeuses Siemens vendues aux iraniens et sensées leur ouvrir la porte à l’arme atomique avaient été mises hors service par le vers stuxnet.Un logiciel qui selon la presse anglo-saxonne aurait été concocté par les services israéliens, connus pour leur savoir faire en sécurité.
« J’entends par « sécurité » la défense contre les actions malveillantes et par « sûreté » la défense contre les défaillances. Dans les dispositifs de sûreté, il y a des capteurs de mesures. Si un capteur déraille ou tombe en panne, le dispositif se considère en danger et peut s’arrêter. Oui, mais si un attaquant est présent sur le réseau (IP la plupart du temps, quand ce n’est pas Internet tout simplement), qu’il intercepte le paquet, remplace la valeur numérique du capteur par une autre, eh bien le dispositif de sûreté va le croire !
On sait bien ici, entre experts de la sécurité, comment résoudre cette question : chiffrement des échanges, authentification forte…
Faites donc le tour de vos installations industrielles et regardez combien de communications entre des capteurs et des automates sont chiffrées et fortement authentifiées… Tout cela pour vous dire que la séparation entre sécurité et sûreté n’est pas aussi simple qu’il y parait au premier abord.
Il est donc essentiel – vraiment important – que dans ce domaine, on se retrousse les manches et on agisse. Il faut que les équipementiers qui fournissent des systèmes industriels introduisent des dispositifs de sécurité et, croyez-moi, c’est encore trop rarement le cas. Il faut agir et agir vite » (ci-contre le site nucléaire de Fukushima au Japon)
L’ANSSI a constitué un groupe de travail avec les représentants des industriels du domaine afin de définir, d’ici la fin de cette année, un ensemble de règles de sécurité. Les industriels qui utilisent des machines et autres robots doivent recenser d’ici la fin du mois d’octobre leurs systèmes critiques, analysent leur sécurité, prennent les mesures conservatoires indispensables comme par exemple déconnecter d’Internet une installation.
Un projet de loi est en route pour imposer aux entreprises des mesures via la loi de programmation militaire des mesures drastiques. On peut relever dans son article 15, la traduction législative du libre blanc publié fin avril. On peut y lire : « S’agissant des activités d’importance vitale pour le fonctionnement normal de la Nation, l’État fixera, par un dispositif législatif et réglementaire approprié, les standards de sécurité à respecter à l’égard de la menace informatique et veillera à ce que les opérateurs prennent les mesures nécessaires pour détecter et traiter tout incident informatique touchant leurs systèmes sensibles. Ce dispositif précisera les droits et devoirs des acteurs publics et privés, notamment en matière d’audit, de cartographie de leurs systèmes d’information, de notification des incidents…
Présent sur le site du sénat (http://www.senat.fr/dossier-legislatif/pjl12-822.html), ce texte sera surement remanié plusieurs fois y compris devant l’assemblée avant d’imposer de véritables mesures aux entreprises.
C’est l’État qui va réguler la sécurité des systèmes d’information critiques des opérateurs d’importance vitale (ci-contre l’entrée principale du sénat ou le texte de loi sera révisé).
Pour Patrick Pailloux, la cible est précise : « Il s’agit des opérateurs d’importance vitale, un peu plus d’une centaine pour ceux qui sont privés, dans 12 secteurs d’activité ; les systèmes critiques de ces opérateurs. Tout ceci, notamment les règles contraignantes, sera discuté, secteur par secteur, pour identifier avec les industriels compétents les mesures à prendre. On imagine assez bien que l’on n’appliquera pas les mêmes règles à une centrale nucléaire qu’à un opérateur de communications électroniques : l’un peut être isolé d’Internet, l’autre c’est « plus difficile ».
Dans certains cas, l’État pourra imposer d’installer des sondes de détection fournies et opérées par des opérateurs de confiance labellisés.
Il s’agit là de mesures préventives. En cas d’attaque importante en cours contre ces systèmes, l’État aura la possibilité d’imposer des mesures aux opérateurs. »
Bref le Président de la République qui avait annoncé le 12 septembre dernier que, parmi les 34 plans de reconquête pour dessiner la France industrielle de demain, un plan était consacré à la cybersécurité, défendra ce projet de loi. L’enjeu de défense nationale ne devrait pas à priori créer de conflits avec l’opposition et la loi pourrait être adoptée dés le printemps 2014. Rappelons que l’agence de sécurité, l’ANSSI, est rattachée au Secrétariat Général de la Défense et de la Sécurité nationale qui elle-même est un service du Premier ministre.
_________(photo en une, l’usine AZF de Toulouse après son explosion)