Cercle Européen de la Sécurité et des Systèmes d'Informations

Avis d'expert, Tanguy de Coatpont, Directeur Général, Kaspersky Lab France

Publié le

L'électricité, l'eau, les transports, la communication, la sécurité, sont les piliers de notre économie et de nos vies quotidiennes. Des cibles stratégiques qui nécessitent une protection coordonnée contre des risques de piratages numériques sans cesse renouvelés.

De l’utilité d’une politique commune pour la protection de nos infrastructures critiques

Comme pour un corps humain et ses fonctions premières, privez un pays de ses infrastructures critiques et c’est un environnement vital qui s’effondre : notre capacité à nous déplacer librement, à communiquer, à nous éclairer, à nous nourrir, à nous laver, à nous soigner, à être protégés, à consommer et à disposer de notre argent.

Ce monde de facilités connait aujourd’hui une fulgurante transformation numérique, et ses infrastructures critiques doivent faire face à un risque permanent : les cyberattaques. Des attaques inévitables, menées par des groupes de pirates informatiques, à la solde ou non d’un Etat, capables avec leurs virus de gripper en quelques heures tout un pan de notre société.

En Ukraine, plusieurs milliers de personnes se souviennent encore de cette nuit du 23 décembre 2015 passée sans électricité. Des pirates s’attaquent à plusieurs points de production. Résultat : plusieurs heures à la bougie et du matériel de centrales électriques détérioré, à l’aide notamment du virus Black Energy.

Et ce virus n’est pas une exception ! Le plus emblématique reste certainement Stuxnet. Supposément déployé par les services secrets américains et israéliens, il a permis d’endommager des centrifugeuses de recherche nucléaire en Iran, entre 2008 et 2010.  Pas d’impact réel ici sur la vie des Iraniens, mais la démonstration qu’un virus informatique, purement immatériel, est en mesure d’infliger des dégâts matériels majeurs à une infrastructure critique.

Des systèmes informatiques obsolescents

Et s’il fallait convaincre de la réalité de la menace qui plane sur les infrastructures critiques, citons aussi cette action menée en 2015 aux Etats-Unis contre une station d’épuration. Des visiteurs se sont introduits dans le réseau administratif du site puis ont « joué » avec le système opérationnel de traitement de l’eau. Heureusement, sans conséquence grave pour la population. Pour cette fois !

Cette dernière affaire a permis de mettre en évidence l’un des talons d’Achille des infrastructures critiques : l’obsolescence des systèmes informatiques. Comme pour cette station d’épuration, bien d’autres sites fonctionnent en utilisant des versions de logiciels antédiluviennes.

L’aéroport d’Orly en a fait les frais en novembre 2015, durant ce que l’on nous a présenté comme une panne du service météo. Il tournait avec le système d’exploitation Windows 3.1, sorti en 1992 et dont les mises à jour de sécurité n’étaient plus assurées depuis… 2001.

Ce qui peut paraître ici comme une négligence est le corollaire de deux obstacles majeurs : le coût et l’obligation d’assurer un service continu. Faire évoluer régulièrement les SCADA, ces ensembles de logiciels qui permettent de piloter et de suivre le fonctionnement d’un site de production ou d’un réseau de transports par exemple, nécessite un budget qui dépend lourdement de la complexité et l’ancienneté des structures. Budget qui n’est pas toujours perçu comme une première urgence face à un risque de piratage jugé peu probable. Jusqu’au jour où…

L’autre frein à la mise à jour des systèmes tient à l’impérative nécessité de fournir un service sans interruption. C’est le cas de la fourniture d’électricité et de la distribution d’eau potable, assurées en continu auprès de la population. La protection des SCADA contre les nouveaux outils de piratage requiert un minimum de planification et des procédures qui représentent autant d’obstacles à une mise à jour aussi régulière et rapide que l’inventivité des pirates.

Des OIV tenus de suivre les bonnes pratiques

Et comme toujours avec la sécurité informatique, les comportements des utilisateurs sont aussi à suivre de près. Dans le cadre d’une activité normale, il ne faudrait jamais badiner avec la sécurité informatique. Pour les infrastructures critiques, c’est la prudence exemplaire qui prévaut. Comme ne pas ramasser une clé USB n’importe où, pour l’utiliser ensuite sur le réseau informatique du site de production.

En France, c’est l’une des instructions élémentaires rappelées aux OIV, ces Opérateurs d’Importance Vitale officiellement identifiés par l’Etat, mais soigneusement cachés du grand public. Les OIV sont étroitement liés à la sécurité et l’intégrité des infrastructures critiques définies par arrêté depuis 2006.

Des « secteurs étatiques » (ministères, armée, justice, espace et recherche) jusqu’aux « secteurs de la vie économique et sociale de la nation » (énergie, communication, transports, finance, industrie), en passant par les « secteurs de la protection des citoyens » (santé, alimentation et gestion de l’eau), on ne dénombre pas moins de 12 Secteurs d’Activités d’Importance Vitale (SAIV). Classification qui correspond peu ou prou à celle définie par Bruxelles à l’échelle européenne.

L’ANSSI, l’Agence Nationale de Sécurité des Systèmes Informatiques, a elle pour mission de veiller à l’application par les OIV des bonnes pratiques définies, elles aussi, par arrêtés sectoriels en 2016. Parmi elles, le contrôle des accès aux réseaux informatiques des infrastructures critiques, la séparation des réseaux, les restrictions d’accès à Internet ou encore l’homologation des mesures de sécurité mises en place.

Faire front commun

Malheureusement, l’ensemble des mesures édictées constitue un boulevard de bonnes intentions qu’il est difficile de vérifier. Le manque de moyens humains et  de temps ne permettent pas aujourd’hui à l’ANSSI d’assurer pleinement son homologation autrement qu’en s’appuyant sur des prestataires d’audit assermentés et en mettant les OIV face à leurs responsabilités.

Pour se rassurer, on pourra se dire que les obligations réglementaires permettent d’éveiller les consciences. Mais hélas, ça ne suffit pas ! Entre les directives françaises, celles de nos voisins européens, et celles de la Communauté européenne, il y a urgence désormais à mettre en place une stratégie politique de lutte et de protection contre les cyberattaques. Une sorte de front commun !

Car si la France, sans cocorico excessif, est plutôt à la pointe sur le sujet, d’autres pays frontaliers n’en sont pas au même stade. Or, dans notre monde hyper connecté, un seul maillon faible dans la ligne de défense, et c’est l’ensemble qui s’en trouve menacé.

Dernière publication

Olivier LIGNEUL, membre du comité de pilotage apporte un éclairage sur le couple IOT/Blockchain.

Lire