Close
  • Français
  • English

04/07/2013Petit-déjeuner du 4 juillet : l’ANSSI aborde les enjeux sécurité du Cloud et des SCADAs

Le dernier Petit-déjeuner de l’Observatoire du FIC, réalisé avec le concours de l’ANSSI, a rassemblé plus d’une 60aine d’acteurs autour du thème suivant : « La cybersécurité des systèmes industriels et le cloud : comment faire face aux nouveaux risques ? ».

[box style=’download’] Les systèmes industriels sont aujourd’hui fortement informatisés et communiquent avec des systèmes tiers. Les objectifs recherchés étant la performance et l’optimisation des coûts, les industriels utilisent des technologies sans cesse plus innovantes. Il sera bientôt possible de piloter certaines installations depuis n’importe quel endroit du monde. Les technologies du cloud deviendront prépondérantes pour assurer ces nouvelles fonctionnalités. L’utilisation de ces technologies introduira de nouveaux risques susceptibles de provoquer des incidents lourds de conséquences. Quels sont ces risques ? Quelles recommandations (bonnes pratiques, méthodologie) peut-on formuler ? [/box]

Dans un premier temps,  Stéphane Meynet, Chef de projet des systèmes industriels à l’ANSSI, a présenté un environnement des systèmes industriels en pleine mutation. Les systèmes, de plus en plus automatisés, sont connectés à Internet (on parle alors de Full IP). Depuis leur informatisation à outrance lors des années 2000, le contexte a évolué et les SCADAs sont touchés par les problématiques actuelles : des réflexions seraient ainsi en cours sur l’éventualité de basculer en « Scada as a Service ». Les risques sont aujourd’hui sous-estimés, voire masqués et les incidents sont passés sous silence. Une situation qui pourrait, selon Stéphane Meynet, évoluer grâce à l’extension de l’obligation de notification d’incidents.

Hervé Putigny, Expert technique cloud à l’ANSSI, s’est ensuite attaché à décrire les risques liés à l’intégration croissante du Cloud computing et des systèmes industriels. Le Cloud a permis la mise à disposition de puissances de calcul et de stockage considérables. Potentialités mises à profit par les cybercriminels à travers la tendance du « Crime as a Service ». A cela, il faut ajouter les risques inhérents au Cloud computing : la localisation des données, la perte de maîtrise de son système d’information et la mutualisation des ressources.

Le constat est sans appel : les offres packagées ne sont pas adaptées aux besoins des professionnels. Mais loin d’être alarmiste, Hervé Putigny a tenu à ne pas diaboliser l’usage du cloud computing. Les utilisateurs se doivent simplement d’être vigilants quant aux clauses contractuelles les liant aux prestataires. De nombreux points peuvent en effet être anticipés dans les contrats (la sécurité des données, l’externalisation,  la migration des données…). Pour une meilleure sécurité, l’application des correctifs est quant à elle essentielle. De nombreuses installations seraient encore vulnérables à Conficker, virus datant de 2008.

Pour en savoir plus, le guide de maîtrise des risques de l’externalisation des SI : ssi.gouv.fr

Pour revivre le Petit-déjeuner du 4 juillet sur Twitter, retrouvez notre Storify et le hashtag :