Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Systèmes SCADA : une sécurité en ligne de mire

avril 2012 par Emmanuelle Lamandé

Les systèmes SCADA attirent aujourd’hui toutes les convoitises malfaisantes. Tout le monde garde en mémoire les effets ravageurs de Stuxnet en 2010, mais ce cas médiatisé n’est pas isolé. La haute criticité des systèmes SCADA les place au cœur de tous les enjeux, ce qui ne les rend que plus vulnérables. Quel est le rôle du RSSI dans un tel contexte ? Quels sont ses moyens d’action ? Quatre d’entre eux ont accepté de partager leur expérience lors d’un débat du Cercle de la Sécurité, animé par Florence Puybareau, Journaliste.

Quelle place pour le RSSI dans ces environnements industriels ?

Les milieux IT industriels sont très différents des autres secteurs, explique Mahmoud Denfer, Group Information Security Officer chez Vallourec. Ils possèdent un vocabulaire et un environnement qui leur sont propres. Beaucoup de choses sont ainsi à découvrir pour le RSSI. Il a, de plus, un rôle multi-facettes et se doit d’être « caméléon ». Il doit sans cesse s’adapter et faire preuve d’une grande capacité d’écoute.

Gilles Berthelot, GS/DSI, RSSI, Réseau Ferré de France, rencontre le même style de problématique avec l’interconnexion du système SCADA au système IT. Auparavant, la partie IT était dissociée des réseaux SCADA, qui gèrent principalement la signalisation et les commandes centralisées du réseau. « Ce fut au départ un véritable choc des cultures, d’autant que la direction n’a pas forcément conscience des risques. Aujourd’hui, le lien se fait entre ces deux entités et nous essayons d’éduquer ces personnes à ces problématiques ».

La place du RSSI doit être proche des automaticiens, afin d’avoir une vision claire des sites qui sont sous sa responsabilité, complète Alexandre Fernandez-Toro, RSSI dans un groupe industriel. Il faut être à l’écoute des personnes travaillant autour de ces problématiques SCADA, établir un lien de proximité tout en douceur avec eux et essayer petit à petit d’obtenir leur confiance.

Les problématiques sont quelque peu différentes dans le monde de la santé, souligne Eric Grospeiller, FSSI du Ministère du Travail, de l’Emploi et de la Santé. Les systèmes sont aujourd’hui interconnectés et accessibles de l’extérieur, mais pour des raisons d’économie, les solutions déployées sont le plus souvent bas de gamme et de mauvaise qualité. Dans ce schéma, la problématique du RSSI est de conjuguer avec les équipements et outils imposés.

Par où commencer ? Quelles sont les priorités ?

Pour Alexandre Fernandez-Toro, la priorité est de sortir de la zone « d’humiliation », où l’on serait, en cas de problème, inexcusable ! Il s’agit donc de s’assurer du bon respect de certains fondamentaux, comme la gestion des droits, le cloisonnement du réseau industriel, la désactivation de certaines bornes Wifi… Une fois les priorités mises en œuvre, le reste se fait sur le long terme. Certaines mesures passent par le retrait de certaines fonctionnalités, ce qui n’est pas toujours facile à faire accepter aux automaticiens.

Mahmoud Denfer a, de son côté, commencé par l’angle organisationnel. Il a ainsi opté pour la nomination de « security officer » au sein même des équipes, qui servent donc d’intermédiaires, de type « Man-in-the-Middle ». « Puis, nous avons essayé de trouver une norme à laquelle nous rattacher. Nous avons ainsi créé une « Global Industrial Security Policy », qui représente notre fil d’Ariane tout au long du traitement des différentes problématiques sécurité ». Enfin, son équipe s’est attachée à la partie technique. Ils ont ainsi choisi de visiter plusieurs usines et procéder à des pentests afin de faire un état des lieux au plus près de la réalité. « Cette étape nous a permis de définir notre plan d’action sur 3 ans ».

« Le monde médical est très différent », souligne Eric Grospeiller. Bien souvent, les produits n’ont pas de maintenance ; leur durée de vie fait qu’ils ne sont même plus supportés. Sans compter qu’ils ne peuvent pas être patchés. En effet, les produits médicaux sont conformes à certaines exigences à un instant T et devraient, en cas de patch, être « recertifiés » conformes. De plus, le délai d’intervention en cas d’infection virale est de la responsabilité du directeur d’établissement et varie donc d’un établissement à l’autre. « Nous avons vraiment besoin de réglementations et d’exigences en matière de sécurité dans les produits médicaux. En outre, les offreurs de solutions doivent proposer des garanties sur la durée ».

Quid de la formation et de la sensibilisation des collaborateurs ?

Les vidéos montrant les conséquences d’un virus ou autre attaque sont relativement significatives en la matière, constate Alexandre Fernandez-Toro. Les automaticiens et le top management sont souvent réfractaires au tout début, mais les démonstrations unitaires sur la prise de contrôle d’un réseau Wifi, d’un compte admin… viennent généralement à bout des plus récalcitrants. Une fois qu’ils ont compris, les automaticiens prennent en compte ces risques sur le long terme. Par contre, pour ce qui est du management, la sensibilisation doit être plus fréquente.

C’est tout une éducation à faire auprès des automaticiens, remarque Gilles Berthelot. « Il faut leur faire comprendre que le monde évolue, les risques aussi et les bonnes pratiques avec ! Nous devons leur faire découvrir les risques tels que nous pouvons les appréhender. Nous nous faisons accompagner par l’ANSSI dans notre démarche. Avoir le Visa de l’ANSSI est un plus et nous donne plus de crédibilité dans notre approche ».

Chez Vallourec, « nous poussons peu à peu les barrières des responsabilités », explique Mahmoud Denfer. « Nos intermédiaires nous aident beaucoup en ce sens. Ils dialoguent avec les équipes et poussent petit à petit les limites en leur donnant de nouveaux challenges. Ce schéma fonctionne grâce au bouche à oreille ne peut se faire que dans un climat de confiance ».

« Nous organisons également des sessions de formation et de sensibilisation » complète Eric Grospeiller. En la matière, la preuve par l’exemple fonctionne plutôt bien. On montre un exemple de piratage d’un appareil identique à un appareil médical. Toutefois, pour que la démarche soit efficiente, c’est tout une chaîne qu’il convient de former : dans l’entreprise, mais aussi dans les écoles (une formation au développement de code sécurisé pour les informaticiens, aux risques dans les écoles de management…).

Quelle attitude adopter vis-à-vis des fournisseurs ?

Si la solution de tel ou tel fournisseur est présente depuis un certain temps dans l’entreprise, il est généralement difficile de la faire évoluer, les fournisseurs étant assez réfractaires, remarque Mahmoud Denfer. « Nous sommes donc parfois contraints d’utiliser certains moyens de pression. La direction des achats est notre alliée en la matière. Nous pouvons plus facilement, avec elle, mettre en balance les aspects financiers et faire jouer la concurrence ».

Pour Gilles Berthelot, il faudrait déjà, dans un premier temps, découpler le cycle de vie du système informatique de celui du système industriel. Il faut qu’ils soient modulaires, car ils n’ont pas la même durée de vie. Nous ne devons plus être dans une logique « Vous changez tout ou rien ».

Quand un constructeur se trouve dans une position dominante, si on le lui impose pas une évolution, il ne le fera pas, constate Eric Grospeiller. Bientôt, nous pourrons leur sortir une législation non opposable. La pénalisation fera certainement évoluer les choses.

Enfin, il est essentiel de tester les solutions au travers de projets pilotes, d’exiger des obligations d’engagement, ainsi que la roadmap des fournisseurs, conclut Mahmoud Denfer.




Voir les articles précédents

    

Voir les articles suivants