A l’instar de la vie quotidienne et du monde de l’entreprise, les nouvelles technologies se sont très fortement développées ces dernières années au sein du secteur de l’industrie. Aujourd’hui, les réseaux de distribution électriques sont devenus « intelligents » (Smart Grids) car connectés en réseau. En plein développement, ils sont de plus en plus nombreux à alimenter les infrastructures publiques tels que les oléoducs, les centrales électriques, ou encore les barrages.
Mais qui dit réseau dit risques de cyber-attaques. Et, contrairement aux idées reçues, celles-ci sont d’ores et déjà une réalité. Depuis les années 80, ces infrastructures ont été la cible des hackers, malfaiteurs, voire de certains gouvernements, avec plus ou moins de succès. Mais en 2010, le ver baptisé Stuxnet qui avait pour cible les centrifugeuses iraniennes d’enrichissement d’uranium, a représenté un tournant en matière de cyber-attaque car spécialement conçu pour s’emparer d’un système industriel déterminé.
Plus récemment en décembre 2013, la compagnie électrique ukrainienne Kyivoblenergo a été victime d’une attaque sophistiquée qui a entrainé une coupure de courant plongeant près de 700 000 habitants dans le noir. Il s’agissait là d’une première menace contre un service public, conçue pour altérer la distribution d’électricité.
Cette attaque a permis de mettre en exergue les 5 fausses croyances concernant la sécurité des Smart Grids à savoir :
Les systèmes industriels sont des circuits fermés. L’industrie de l’électricité repose sur un écosystème très complexe composé de divers acteurs allant des producteurs aux consommateurs, et connectés les uns aux autres. De plus et de par leur nature, les Smart Grids jouissent d’une connectivité très développée. Même si des pare-feu sont le plus souvent utilisés pour les protéger des intrusions visant les systèmes critiques, ils peuvent être contournés, comme ce fut le cas de la centrale électrique Davis-Besse4 en 2003. En utilisant l’identifiant d’un des employés intérimaires de la centrale, un hacker a pu pénétrer le réseau et y introduire un malware qui aurait dû être normalement stoppé par leur pare-feu.
En outre, la protection d’un tel environnement ne se limite pas aux connexions internet.
Les différents terminaux portables (clés USB, smartphones, ordinateurs etc..), doivent être également pris en compte. Tous ces appareils pourraient être utilisés pour introduire des malwares et autres menaces pouvant porter atteinte à la sécurité.
Ça n’intéresse personne d’attaquer ce type de systèmes. La majorité de hackers portent leur dévolu sur des entités dont l’attaque pourra leur être profitable financièrement, et très peu se risqueraient à causer des dommages physiques à des individus ou à des infrastructures. Cependant, nous vivons à une époque où malfaiteurs, employés mécontents, organisations terroristes, et même certains États, voient tout l’intérêt qu’il peut y avoir à attaquer nos infrastructures clés. C’est pourquoi ces attaques se sont multipliées. Leur nombre devrait encore augmenter au fur et à mesure que nos adversaires deviennent plus habiles et nos systèmes plus ouverts.
Les services énergétiques ont recours à des protocoles / systèmes peu répandus. Même si cela a pu être le cas par le passé, les services publics d’aujourd’hui reposent sur une multitude de technologies très courantes. Des protocoles de communication aux systèmes d’exploitation tels que Microsoft ou Linux, en passant par les des bases de données partagées, ils se sont tournés vers des outils logiciels et des équipements plus courants et moins onéreux, leur permettant de rationaliser leurs coûts.
Malheureusement, ces systèmes sont bien connus des pirates informatiques, et représentent une porte d’entrée idéale.
L’ingénierie sociale n’est pas un problème. Même si le grand public est de plus en plus sensible à cette problématique, et que le personnel des services publics est formé à ce type de menaces, l’ingénierie sociale reste non négligeable. Il suffit qu’un employé non averti clique sur un mauvais lien, ou ouvre la mauvaise pièce jointe pour introduire un malware dans le système. Ce fut d’ailleurs le mode opératoire de l’attaque de la centrale Kyivoblenergo.
C’est crypté donc c’est protégé. Le chiffrement et la cryptographie sont des outils essentiels à la protection des données permettant de veiller à leur sécurité, à leur intégrité et leur non-répudiation. La cryptographie permet de sécuriser les données via une clé chiffrée qui est ensuite utilisée pour signer, chiffrer, déchiffrer, etc. Cela signifie qu’il est primordial de s’assurer du niveau de sécurité qu’elles proposent. Si elles sont vulnérables, elles pourront être utilisées soit pour déchiffrer des données sensibles, soit pour rendre digne de confiance un logiciel malveillant.
____________
Philippe Carrère est Directeur de la protection des données et de l’identité, Europe du Sud, Gemalto