vendredi 15 décembre 2017

Accueil du site > Informatique > Sécurité Informatique > Les infrastructures critiques des états vulnérables ?

Les infrastructures critiques des états vulnérables ?

Christophe Auffray, JDN Solutions

samedi 16 février 2008, sélectionné par Spyworld

logo

L’actualité questionne la sécurité des systèmes SCADA de transport, d’approvisionnement en eau ou en énergie. RSSI et responsables de production doivent se rapprocher pour une prise en compte des risques.

La sécurité des systèmes SCADA (Supervisory Control And Data Acquisition) utilisés pour piloter, réguler, acheminer des fluides ou des informations de contrôle ou de signalisation suscite de vives interrogations. Exploités notamment pour l’approvisionnement en eau, le transport ferroviaire, le nucléaire ou encore l’acheminement de gaz ou de pétrole, ces infrastructures sensibles font l’objet de scénarios catastrophes.

Les récentes déclarations des services de renseignements américains, la CIA, au sujet de cyber-attaques contre des systèmes de gestion de l’énergie de plusieurs pays ont ravivé les inquiétudes. Toutefois, hormis évoquer ces attaques, aucunes précisions n’ont été apportées par la CIA, ce qui ne manque pas de laisser circonspects plusieurs experts en sécurité, dont Bruce Schneier.

"Je suis plus qu’un peu sceptique. Il y a des risques sérieux concernant les systèmes SCADA - Ganesh Devarajan a fait la démonstration de vecteurs potentiels d’attaque à DefCon -, mais à ce point, je pense qu’il s’agit plus une future menace que d’un danger immédiat. La CIA ne nous indique rien de la façon dont les attaques se sont produites. Étaient-elles dirigées contre des systèmes SCADA ? Étaient-elles contre de simples ordinateurs, peut-être des machines Windows ? Nous n’avons aucune idée", réagit Bruce Schneier sur son site Internet.

Pour Pascal Lointier, président du Clusif, qui mène actuellement une réflexion sur la sécurité des systèmes SCADA, "l’intérêt sur le sujet tient bien plus à d’autres actualités comme les expériences reprises par CNN et les actions d’un hacker belge dans le transport ferroviaire, plutôt qu’à des assertions comme celles de la CIA".

Un opérateur de l’acheminement d’eau inculpé pour piratage

En effet, selon CNN, un scénario d’attaque informatique sur un générateur électrique a été conduit au laboratoire du département de l’énergie de l’état de l’Idaho. Une vidéo est actuellement disponible. Les chercheurs ont pu s’introduire sur cette réplique d’un système de contrôle d’une centrale électrique et provoquer un grave dysfonctionnement, puis une panne. D’après la sécurité nationale (DHS), ces tests ont permis d’identifier les changements à entreprendre dans les logiciels et matériels informatiques des centrales.

En Californie, un opérateur de l’acheminement d’eau du Tehama Colusa Canal Authority a été inculpé pour avoir installé illégalement du code sur le système SCADA dont il avait la charge. En 2000, un cas analogue s’était produit en Australie à Nambour, au Maroochy Water Services. Un homme, après avoir accédé à l’infrastructure SCADA, avait pu déverser les eaux d’égouts dans les canalisations d’eau et cours à proximité.

Plus récemment, c’est un adolescent de 14 ans qui a défrayé la chronique en concevant une télécommande capable de contrôler les aiguillages de la ville de Lodz en Pologne où il réside. Pour cela, le jeune garçon, connu pour sa passion de l’électronique, a modifié une simple télécommande de télévision. Par écrit, il avait noté les jonctions à modifier et les différents signaux pour chacune.

Néanmoins, ces incidents restent rares. "Il ne faut pas parler d’une exposition gravissime, mais il faut cependant se poser une question : les systèmes SCADA sont-ils bien en conformité par rapport aux attentes de sécurité ?", questionne Pascal Lointier.

Un decret français relatif à la sécurité des activités d’importance vitale

Mais la nature de ces infrastructures informatiques, pour lesquelles la sécurité a rarement été prise en compte en amont, nécessite une approche spécifique. L’exploitation temps réel complexifie notamment le déploiement des correctifs. En outre, les responsables de production dans des secteurs comme celui de l’énergie sont principalement sensibilisés aux risques environnementaux (accidents, etc.) et très rarement à des actes de malveillance informatique.

La sécurité des systèmes SCADA passe donc à la fois par une évaluation des risques, rationnelle, c’est-à-dire sans catastrophisme, mais aussi par la sensibilisation des personnels de production. Cela implique au préalable d’amener responsables sécurité et directions de la production à dialoguer pour une implication de salariés pas toujours conscients des risques potentiels.

L’état français a d’ores et déjà engagé des travaux et présenté un décret relatif à la sécurité des activités d’importance vitale. Ces dispositions visent pour les opérateurs majeurs (publics ou privés dont les installations sont les plus sensibles pour la défense de la Nation et la sécurité de l’État) à élaborer des plans de sécurité couvrant leurs activités, puis des plans particuliers de protection de chacun de leurs points d’importance vitale.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :