Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Systèmes industriels et sécurité de l’information : vers un dialogue pour mieux protéger les systèmes industriels

décembre 2014 par Marc Jacob

Pour sa dernière conférence de l’année 2014, le CLUSIF avait choisi de traiter de la sécurité des systèmes industriels. Pour cela, le CLUSIF a fait appel à des experts du domaine : Stéphane Meynet de l’ANSSI, Gérôme Billois, animateur du Groupe de travail SCADA, un RSSI d’une grande entreprise d’importance vitale, Thierry Cornude chez Euriware et Hervé Schauer d’HSC. Pour l’ensemble de nos intervenants si le dialogue s’est établi entre informaticiens et responsable de la sécurité des sites industriels, le chemin sera encore long pour améliorer le niveau de sécurité des systèmes industriels.

Lazaro Pejsachowic

En introduction Lazaro Pejsachowic, le président du CLUSIF a expliqué que les SCADA ont des impacts bien plus importants que l’on veut bien le voir dans la presse. En effet, ces équipements existent depuis très longtemps, mais depuis un certain nombre d’années il y a un changement de dimension au niveau des menaces. En effet, les attaques sur les SCADA permet de faire du cyber-terrorisme et peut amener des périls de tout autre dimension avec même des conséquences au niveau politique, humain... Puis il a laissé la parole à Stéphane Meynet du SGDSN-ANSSI.

Stéphane Meynet du SGDSN-ANSSI

Stéphane Meynet a rappelé que les systèmes industriels sont présents partout dans la société ce sont tous les systèmes qui pilotent des systèmes industriels dans les transports, l’énergie, l’agro-alimentaire.... Au niveau de l’ANSSI, le début du projet de la Cybersecurité pour les systèmes industriel a commencé en 2010. Depuis cette date, l’écosystème qui gravite autour des systèmes industriels a commencé à prendre conscience de l’importance de la Cyber-sécurité.
La menace aujourd’hui est présente mais est d’un niveau étatique et on ne sait pas quand elle va frapper. Les dangers sur les réseaux industriels vont de la destruction d’installation jusqu’à la prise de contrôle d’installation afin de montrer la vulnérabilité des systèmes. Du fait de cette prise de conscience des offreurs de services sont présents sur ce marché. Au niveau de l’ANSSI une approche simple et pragmatique a été mise en œuvre. Ainsi un groupe de travail a été constitué et un guide des bonnes pratiques a été publié. Puis, un second guide a été publié avec entre autre le concourt du CLUSIF pour aider les entreprises à obtenir un label. Ce guide a eu un tel succès qu’il a été traduit en anglais. Parmi les préconisations de ce guide, on peut noter l’homologation de sécurité qui prend en compte une analyse de risque, avec implantation de mesures correctives. L’ANSSI souhaite aussi qualifier des produits industriels et des prestataires intégrateurs et personnels de maintenance. Il reste aujourd’hui pour 2015 à avoir une approche globale des risques pour intégrer la Cyber-sécurité dans les autres analyses de risque telle la sécurité de fonctionnement. Le second objectif est de porter ce travail au niveau européen.

Gérôme Billois

Gérôme Billois, animateur du Groupe de travail SCADA du CLUSIF a relaté les résultats de son Groupe de travail réalisés en collaboration avec un grand nombre d’entreprises comme Trend Micro, Alcatel Lucent, Conix.... Le groupe s’est penché au départ 53 documents de références pour le domaine industriel en provenance de différentes sources pour au final en retenir 20.

L’étude de ces documents a montré qu’il y avait une très grande diversité de documents qui vont de quelques pages jusqu’à plus de mille pages. Il y a une grande différence entre les documents comme par exemple ceux de l’ENISA jusqu’à celui de l’IEC qui rentre dans les détails des protocoles de communication. Ces documents sont faits pour des populations différentes de la SSI à ceux qui font la maintenance des systèmes industriels. Il ressort de ce panorama que certains sont incontournables comme celui de l’ANSSI « maîtriser les systèmes industriels », ou celui du DHS-CSSP Recommanded Practices.
Selon Gérôme Billois, dans cette course aux documents, une norme centrale émerge qui est reconnu par la plupart des acteurs. En conséquence, on constate un besoin de montrer en maturité.

En conclusion de son intervention, il a cité 5 points clés pour effectuer une démarche de sécurisation des systèmes industriels :
1) assimiler le métier industriel
2) sensibiliser le comité de direction aux vulnérabilités informatiques induisant des risques en les traitant sous le mode des impacts humains, environnementaux, opérationnels, de la confidentialité....
3) proposer une politique de sécurité des systèmes informatique des systèmes industriels
4) décliner la PSS-SI au niveau opérationnel afin de trouver une chaîne fonctionnelle cyber-sécurité industrielle et mettre en place une instance de projet ou du programme.
5) maintenir sous-contrôle les cyber-risques : former sensibiliser les équipes, intégrer la sécurité dans les projets...
Ce cycle doit être ininterrompu dans le temps.

Retour d’expérience suite à Stuxnet

Puis un RSSI d’un OIV a proposé son retour d’expérience. Chez cet industriel un intérêt s’est porté sur la sécurité après Stuxnet. Après audit il a trouvé de très nombreux virus affectant 20% de son parc industriel. Ainsi des contre-mesures ont été prises et les audits se sont systématisés. Aujourd’hui, dans ces appels d’offre la notion de sécurité est prise en compte.

Thierry Cornude chez Euriware

Stuxnet cinq ans après ou en sommes-nous ?

Thierry Cornude chez Euriware a fait le point sur l’état des lieux depuis Stuxnet. Dans le temps, il constate que les chercheurs ont découvert d’autres virus conçus pour les SCADA. Depuis des secteurs industriels ont pris en compte ces risques et déployé des contre-mesures, en parallèle, des pirates ont mis en ligne des exploits facilitant par la même le développement de nouveaux virus spécialisés. En premier lieu, une gouvernance a été mise en place avec la désignation de responsables. Puis, il a fallu revoir les référentiels ou les procédures pour intégrer ces risques en fonction des métiers, des types de réglementation aux quelles l’entreprise est soumise. Par la suite, une planification et des budgets ont été débloqués et enfin le déploiement de mesures de protection a été opéré. En fonction des secteurs d’activité, ces différentes étapes sont plus ou moins longues. Thierry Cornude explique qu’entre le début de l’identification et le début du déploiement, il peut Se passer entre 8 et 9 mois. C’est en fait le nucléaire qui a débuté très rapidement des 2012 et les dernières entreprises ont commencé en 2014 comme par exemple celle du secteur de la chimie. Selon lui, la vitesse des déploiements est sans doute due à la volonté des autorités de tutelles, mais aussi à différents freins : le premier d’entre eux concerne les coûts, mais aussi les problèmes de facilité d’utilisation et de productivité. En outre il note des freins plutôt « psychologique » comme en premier lieu la difficulté à appréhender les risques, de trouver une gouvernance et enfin le fossé culturel.

Concernant la perception des risques par les opérateurs, si ces derniers ont conscience des risques viraux génériques pour l’avoir vécu à plusieurs reprises par contre ils ont du mal à appréhender la menace constituée par les virus ciblés. Bien sûr dans certains secteurs, comme le nucléaire, les industriels ont pris en compte ce type de risque. En revanche, pour les autres risques comme l’hacktivisme, ceux en provenance d’organisation criminelles… du fait de leur peu d’occurrences, ils sont mal pris en compte.

Pour la gouvernance le problème est de savoir où il faut mettre cette gouvernance entre la direction industrielle et la DSI. Depuis 2014 on voit dans les grands groupes la création de poste de RSSI industriels.

Selon lui, le fossé culturel les écarts en informatique et production existe et devrait se combler avec le temps à force de dialogue.

Lors du débat Stéphane Meynet a rappelé que dans les cahiers des charges fourni par les clients n’intègrent pas la sécurité. De ce fait, les équipementiers aujourd’hui encore ne traitent pas ce sujet. Un collaborateur de Siemens a expliqué que suite à Stuxnet des équipes sécurité ont été recrutées et un CERT a été créé.

Stéphane Meynet a expliqué que suite aux audits réalisés des virus ont toujours été trouvés. Ces découvertes ont conduit les industriels à installer des antivirus sans se poser la question de comment ses virus sont entrés même sur des systèmes non connectés. Selon tous les intervenants, il est donc nécessaire de mieux former tous les intervenants des sites industriels : employés, sous-traitants...
En conclusion, Lazaro Pejsachowic a insisté sur l’importance pour les fournisseurs d’automates de mettre l’analyse de risque au cœur de leur développement.

Sans vouloir jouer les Cassandre, force est de constater que le chemin sera encore long pour arriver à une amélioration de la sécurité des systèmes industriels. Il faut espérer que les pirates informatiques et toutes les organisations criminelles de tout crin s’intéressent à d’autres "espaces de jeu" en attendant que le niveau de protection ne s’élève...


Voir les articles précédents

    

Voir les articles suivants