Close
  • Français
  • English

04/01/2013La cybersécurité des systèmes industriels : le challenge de ce début de millénaire ? [Par Stéphane Meynet, ANSSI]

Qu’ils soient connectés à Internet ou non, les systèmes industriels (SCADA, PLC, GPAO, etc.), les systèmes tertiaires (« Intelligent Building Systems » et GTB) sont aujourd’hui vulnérables aux attaques informatiques, dont le nombre a explosé ces dernières années.

Les systèmes d’information traditionnels (systèmes de gestion notamment) ne sont en effet plus les seuls concernés par la « cybermenace ». Stuxnet a mis en évidence que des attaques sophistiquées et ciblées sur des systèmes industriels pouvaient constituer une arme extrêmement puissante, capable de détruire physiquement des installations. D’autres incidents, moins médiatisés, avaient révélé dès le début des années 2000 que les installations industrielles pouvaient être victimes d’attaques informatiques et ceci pour des motivations très variées (espionnage, vengeance, idéologie, etc.).

Si, comme le suppose la presse américaine[1], Stuxnet est le fruit d’organisations étatiques disposant de moyens importants, une majorité des menaces pesant sur les systèmes industriels relève d’un niveau bien moins sophistiqué. Pour autant, nos systèmes restent vulnérables face à elles. De nombreuses installations industrielles sont encore aujourd’hui vulnérables à des codes malveillants apparus il y a plusieurs années[2] et pour lesquels l’antidote est bien connu mais toujours pas appliqué.

Des vulnérabilités « historiques »

De multiples raisons peuvent expliquer que nos installations industrielles mais aussi tertiaires présentent un faible niveau de sécurité. Tout d’abord, la Sécurité des Systèmes d’Information (SSI) ou cybersécurité fut longtemps le sujet des « informaticiens » et peu celui des « automaticiens » et, plus largement, des personnes en charge des installations industrielles. Combien d’entreprises peuvent se vanter aujourd’hui d’avoir intégré la cybersécurité des systèmes industriels parmi leurs préoccupations majeures ? Combien l’ont intégrée dans le schéma de gouvernance de la sécurité du système d’information de leurs entreprises ?

D’autres facteurs, liés à la culture des intervenants, à la méconnaissance du problème ou à des croyances erronées, comme celles indiquées dans le guide sur la cybersécurité des systèmes industriels publié par l’ANSSI[3], peuvent expliquer que nos installations industrielles sont aujourd’hui vulnérables.

Une prise de conscience tardive et encore insuffisante des acteurs du domaine

Parmi ses nombreuses missions, l’ANSSI tente de sensibiliser les acteurs du monde industriel, utilisateurs finaux, intégrateurs, équipementiers ou encore cabinets de conseil, à la réalité de la cybersécurité et à la nécessité vitale de traiter ce sujet. Dans cet esprit, le guide sur la cybersécurité des systèmes industriels[4], publié en juin dernier, auquel ont contribué plusieurs industriels et ministères, montre que le sujet est important et qu’une prise de conscience émerge progressivement. Mais il reste encore un long chemin pour sensibiliser toutes les parties prenantes et améliorer le niveau de sécurité des installations.

L’offre de produits et de services dans le domaine de la sécurité des systèmes d’information reste encore faible. Le « plug and play »[5] est encore aujourd’hui un argument commercial fort et une demande de nombreux clients car tout est mis en œuvre pour simplifier le travail des intégrateurs et des utilisateurs. Ce concept, fort louable, a souvent conduit les équipementiers à proposer par défauts des configurations laxistes, les exposant fortement aux attaques informatiques (protocoles vulnérables, services Web non sécurisés, mots de passe codés en dur, etc.).

Peu importe diront certains, les systèmes industriels n’ont pas vocation à être connectés vers le monde extérieur : ils sont isolés. Ce mythe, comme bien d’autres, constitue à lui seul la première vulnérabilité. « Isolés » signifierait que les systèmes ne communiquent jamais avec le monde extérieur, n’échangent aucune donnée, que ce soit par un réseau ou des supports amovibles. Les systèmes isolés n’existent plus !

Parallèlement à cela, les publications de vulnérabilités sur Internet ainsi que les outils pour les exploiter dits « kits d’exploitation » progressent rapidement. Cela montre la motivation et l’intérêt soudain pour ces systèmes d’une catégorie d’attaquants ou de chercheurs de vulnérabilités.

De nombreuses interrogations

Si aujourd’hui chacun parvient, non sans mal, à dresser un constat et établir un diagnostic du niveau de sécurité de ses installations, une question revient systématiquement : comment faire pour améliorer le niveau de sécurité des installations dans le contexte si particulier des systèmes industriels, où la sûreté de fonctionnement[6] est omniprésente et où la gestion de l’obsolescence et la pérennité des installations sont déjà complexes à gérer?

Le projet d’amélioration de la cybersécurité, car il s’agit bien d’un projet à part entière, demande des efforts, dans un contexte économique souvent peu favorable. Pourtant, les bénéfices d’un tel projet peuvent s’avérer bien supérieurs à ce que l’on pourrait imaginer en premier lieu. La cybersécurité pourrait-elle être une source d’efficacité et de gain de productivité ? Il s’agit d’une opportunité sans précédent qui nous oblige à revoir notre mode de travail, notre façon de concevoir les installations et la gestion de leur cycle de vie.

Une réponse collective et individuelle

La réponse à la question de l’amélioration de la cybersécurité est avant tout collective. Chacun des acteurs de l’écosystème doit s’améliorer et « monter en compétence » dans ce domaine.

Les équipementiers, souvent montrés du doigt à cause des nombreuses vulnérabilités présentes dans leurs produits, doivent relever le défi et proposer des produits plus fiables et plus sécurisés. S’il est vrai que le niveau de sécurité proposé par les équipements est faible, force est de constater que celui des architectures d’une majorité des installations l’est aussi.

Les intégrateurs et cabinets de conseil doivent donc désormais proposer des architectures et des services plus sécurisés prévoyant le Maintien en Condition de Sécurité (MCS). Sans MCS, le Maintien en Condition Opérationnelle (MCO) est impossible !

Mais la sécurité ne se résume pas « aux simples » choix de produits et à la définition d’architectures. Il s’agit d’un « procédé continu » débutant dès les phases de rédaction de cahiers des charges et qui se poursuit, après réception, tout au long de la vie des installations. Ce « procédé continu » implique de nombreux acteurs, des ingénieurs, des acheteurs, des dirigeants, des utilisateurs, etc. qu’il faut former et sensibiliser.

Les organismes de normalisation doivent également prendre en compte ce sujet et l’intégrer dans les normes métiers qui aujourd’hui se focalisent exclusivement sur la sûreté de fonctionnement. Il est impératif de comprendre que la sûreté de fonctionnement ne peut exister sans prise en compte de la cybersécurité. Bien que les approches soient différentes, ces deux sujets doivent converger et non s’opposer. Ils traitent au final l’ensemble des risques pesant sur les installations industrielles, que ce soit la défaillance ou la malveillance souvent complexes à caractériser et à modéliser.

La réponse à la question de l’amélioration de la cybersécurité est aussi individuelle. Il appartient aux propriétaires, et à eux seuls, d’établir un diagnostic du niveau de cybersécurité de leurs installations. Qui d’autre que le propriétaire d’une installation dispose de la connaissance nécessaire pour définir les impacts en cas de dysfonctionnements et d’attaques informatiques ? Qui d’autre peu évaluer ou faire évaluer le niveau de résistance des installations face aux menaces informatiques ? Enfin, seul le propriétaire peut décider des moyens à déployer pour faire face à ces menaces.

L’homologation des installations

Toutes les nouvelles installations industrielles et de gestion intelligente de bâtiment devraient faire l’objet d’une homologation, comme cela se pratique dans certains domaines lorsqu’il est question d’assurer la protection des biens et des personnes. Le principe d’une homologation consiste, après avoir analysé les risques, à s’assurer que les bonnes pratiques et les mesures spécifiques complémentaires pour réduire les risques ont bien été appliquées, que les risques résiduels sont clairement identifiés et pleinement acceptés, et que le « procédé continu » pour assurer le MCS est bien activé et les responsables bien identifiés.

Les bonnes pratiques : des mesures simples et rapides à appliquer

Les bonnes pratiques, les règles de base de l’hygiène informatique (comme celles proposées sur le site de l’ANSSI)[7] ne doivent pas être négligées. Une part importante des vulnérabilités constatées sur les installations résulte du manque d’application de bonnes pratiques élémentaires, souvent simples à mettre en œuvre, rapides et peu coûteuses.

Des normes, standards, guides et PSSI

Enfin, les guides et standards traitant de la cybersécurité des systèmes industriels foisonnent. Les lecteurs peuvent se sentir perdus parmi la multitude d’informations disponibles. Quels guides, quels normes ou standards faut-il adopter ? N’oublions pas que de tels documents, si utiles qu’ils puissent être, ne fournissent qu’une aide et des pistes de réflexion. Chacun doit se les approprier et les adapter à son propre contexte pour mener à bien son projet d’amélioration de la cybersécurité des systèmes industriels. Les systèmes industriels doivent aujourd’hui être complètement intégrés dans la Politique de Sécurité des Systèmes d’Information (PSSI)[8], au même titre que les systèmes d’information traditionnels.

La cybersécurité est sans aucun doute un des défis majeurs de ce début de millénaire, en particulier pour les systèmes industriels et tertiaires comme la gestion intelligente de bâtiment. Relever le défi demandera de changer quelques habitudes, voire de changer d’approche sur la cybersécurité pour l’intégrer dans le quotidien. Cela doit faire partie intégrante de la culture des entreprises au même titre que la sûreté de fonctionnement, la qualité ou la protection de l’environnement.

Tous ces sujets ont été traités au 5e Forum International de la Cybersécurité lors de l’atelier sur la cybercriminalité des systèmes industriels (lundi 28 janvier 2013 de 15h à 16h).

Par Stéphane Meynet, chargé de projet systèmes industriels de l’ANSSI

________

Sources :

[1] New York Times du 1er juin 2012.
[2] Conficker est un exemple de ces codes malveillants.
[3] http://www.ssi.gouv.fr/systemesindustriels
[4] Le guide est disponible librement en téléchargement à l’adresse suivante : http://www.ssi.gouv.fr/systemesindustriels
[5] Plug and Play :  « brancher et utiliser », concept provenant de l’informatique « grand public » permettant aux périphériques d’être reconnus automatiquement par le système d’exploitation d’un ordinateur, sans configuration spécifique et sans intervention de l’utilisateur.
[6] La sûreté de fonctionnement comprend deux aspects : assurer la protection des biens et des personnes mais aussi assurer la     disponibilité des installations
[7] http://www.ssi.gouv.fr/hygiene-informatique
[8] http://www.ssi.gouv.fr/pssi