Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La résilience nécessite des équipes motivées et bien formées

février 2016 par Marc Jacob

La première conférence de l’année 2016 avait pour titre « De l’appréhension du Cyber Risk à la résilience : les enjeux de la supply chaîne 4.0 ». Elle a été animée par Alain Establier rédacteur en chef de Security Défense Business Review qui avait réuni Adote Chilloh, adjoint DSI responsable Sécurité et responsable production à la BNF, Philippe Laflandre, VP Heard of consulting & public Affairs, AIrbus Defence & Space Cybersecurity, Jean-Christophe Mathieu, Product & Solution Security Officer, division Digital Factory chez Siemens et Pierre Maillet, directeur de sites industriels chez SNCF Réseau. Pour nos experts, assurer la résilience nécessite des équipes motivées et bien formées.

Philippe Laflandre a dressé un panorama de la menace. Pour lui elle est intense protéiforme mais s’appuie sur des grands types d’attaques qui sont toujours les mêmes : le DDoS afin de bloquer les réseaux, les tentatives de nuisance comme les cas en Iran ou en Arabie Saoudite, les ranmsowares et enfin les APT afin de voler des données... Pour ce dernier les cas se multiplient, comme par exemple ce qui s’est passé en Ukraine en décembre dernier par l’exploitation d’un virus datant de 2005 qui a permis la prise en main du système pour rendre inopérant tous les automates permettant de relance la production électrique. En 2011, lors du salon d’Hanovre sur la supply chaîne il n’y avait aucun exposant du monde cyber. Aujourd’hui il y a une prise de conscience des menaces et on commence à remédier à cette situation qui est inquiétante. En effet, les systèmes industriels sont souvent antiques, certains ont été mis en service au milieu des années 70, avec des OS propriétaires. En fait, le tissu industriel n’est pas bien préparé aux attaques qu’ils subissent sur leurs systèmes. Par contre, les ICS en nouvelles générations prennent en compte la sécurité.

Jean-Christophe Mathieu considère cela ne fais que 5 ans que les automaticiens ont pris conscience des problèmes de Cybersécurité. Selon lui, ils comptent sur les spécialistes de la sécurité pour améliorer cette situation. L’arrivée du réseau dans le monde des automaticiens est une révolution ce qui pose des problèmes multiples : compréhension, usages...

Quant à Adote Chilloh, il explique que la BNF avait été conçue dès son origine sur le principe de l’informatisation et de l’industrialisation avec des systèmes de contrôle d’accès logique et physique. La problématique pour la BNF est de protéger les données mais aussi de les faire évoluer en fonction des nouvelles technologies en particulier au niveau des supports de conservation dans le temps. De plus la BNF doit collecter, conserver et diffuser les données. Bien-sûr, elle est attaquée très régulièrement comme toute entreprise qui a pignon sur rue. Dans la chaîne de conservation des données tout est dupliqué et subi des contrôles d’intégrité.

Pierre Maillet explique que les SI servent trois fonctions pour les chantiers ferroviaires dont il a la responsabilité : la GPAO des sites, la gestion de la logistique des sites dont il est responsable et il sert à faire les systèmes de prévision, incluant les transports. Lui aussi rencontre régulièrement des attaques informatiques, par contre à ce jour et depuis les 7 dernières années n’ont pas engendré d’arrêt de la production. Les seules pannes qu’il ait rencontrées sont intervenues du fait des migrations, ou des changements internes. Pour lui, le patron informatique doit plutôt donner à ses équipes de la flexibilité tout en assurant de la sécurité. Au niveau de la digitalisation, il est important que les équipes gardent leur flexibilité. Pour lui, il faut que les ingénieurs se servent des nouvelles technologies comme les objets connectés, le cloud.... pour trouver des innovations, mais tout en conservant un bon niveau de sécurité… Un équilibre somme toute pas si évidant à trouver !

La conscience de l’importance de la sécurité est présente chez les dirigeants, moins chez les opérationnels

Philippe Laflandre a félicité les initiatives de l’ANSSI en matière d’amélioration du niveau de sécurité général grâce entre autre à la LPM, mais aussi pour sa stratégie de travail avec les OIV. Pour Jean-Christophe Mathieu il y a certes une prise de consciences des dirigeants mais pas encore des opérationnels. Il a cité le cas d’une usine classée Seveso qui s’est arrêtée suite au lancement d’un film sur le PC qui gérait la ligne de production de produit chimique dangereux le jour de l’an... Philippe Mathieu rappelle que les automates industriels fonctionnent pour certains depuis les années 70/80 sans jamais de panne. Donc, au niveau sûreté de fonctionnement, ces systèmes n’ont rien à envier aux autres domaines. Par contre, il a insisté sur l’importance du travail avec la sécurité informatique. Pour Adote Chilloh, les plus grandes pannes intervenus sont provenues de problèmes de câblages par exemple. Philippe Laflandre donne l’exemple de Boost Aerospace un consortium dans lequel on trouve Thales, Safran, AIrbus qui est une place de marché pour trouver des composants pour les industriels de l’aéronautique. C’est Airbus Defence qui assure la sécurité de cette place de marché. Les RSSI de l’ensemble des parties prenantes ont travaillé ensemble pour sécuriser cette plateforme en donnant des accès aux donneurs d’ordre et à leurs sous-traitants.

La résilience est une affaire de flexibilité, de budget et d’implication des équipes

La résilience a été abordée par Pierre Maillet qui a expliqué que son fonctionnement dépend de la flexibilité, des budgets, mais aussi de la volonté des collaborateurs et leurs passions pour leur entreprise. Pour Adote Chilloh la résilience est la clé de son projet. Par contre, elle a doublé le coût du projet. Elle nécessite aussi d’avoir une équipe bien formée et qui croit dans le projet. Philippe Laflandre rappelle qu’il faut prévoir plutôt que subir. Il a citer le cas de TV5 Monde, en expliquant qu’il faut des équipes compétentes et motivées pour assurer cette résilience.

faire travail les équipes IT et d’automaticiens nécessite du pragmatisme

En conclusion Adote Chilloh considère que pour faire communiquer les services il faut beaucoup de pragmatisme. Effectivement, reprend Jean-Christophe Mathieu, on s’aperçoit qu’avec un peu de pragmatisme et de formation des opérateurs plus quelques remèdes de grand-mère il est possible de sécuriser les systèmes. Il faut aussi que la direction générale s’implique afin que le dialogue s’instaure. Philippe Laflandre estime, pour sa part, qu’il faut mesurer les risques en incluant tous les services y compris celui de la finance et en les faisant travailler sur des scénarios afin de déterminer un plan. Pour Pierre Maillet la chance sourit à ceux qui sont préparés... Il faut donc se préparer aux scénarios d’attaques.




Voir les articles précédents

    

Voir les articles suivants