Avec la digitalisation tous azimuts, les sites industriels –
spécialement ceux qui relèvent de l’importance vitale – sont
exposés aux attaques des hackers et d’une nouvelle catégorie de
criminels, les maîtres-chanteurs. Une attaque peut aller jusqu’à
la destruction physique d’équipements voire, la création d’un
préjudice humain. Il est temps de prendre la mesure du risque.
Le printemps 2017 a été riche de
rebondissements en matière de sécurité
informatique. A seulement quelques
semaines d’intervalles entre mai et juin dernier,
deux tentatives d’extorsion de fonds ont été
entreprises à grande échelle en se servant de
virus chiffrant les données stockées sur les
machines infectées.
L’aspect quelque peu puéril de la démarche qui
guide les auteurs de ransomwares – s’acquitter
d’une somme donnée pour obtenir un code
de déblocage – en a fait sourire plus d’un…
à l’exception évidemment, des personnes
directement touchées.
A y réfléchir de plus près, ces malversations
se révèlent nettement plus inquiétantes
qu’il n’y paraît. On peut en effet, douter de la
réalité des intentions affichées par le ou les
auteurs de ces opérations. S’il s’agissait de faire
fortune, le fiasco est patent mais si les auteurs
cherchaient à mesurer l’efficacité des méthodes
de dissémination utilisées, le succès est en
revanche, total.
Pour mesurer la réalité d’une menace, il convient
de s’interroger sur la nature et la portée des
dégâts qu’elle est en mesure d’achever. On
peut évidemment craindre la pagaille qui peut
résulter de la déconnexion d’un système de
gestion mais une telle panne peut être corrigée
en réinitialisant la machine fautive avant de
réinstaller une sauvegarde de sa configuration
opérationnelle. Tout va – presque – pour le
mieux dans le meilleur des mondes du côté des
services informatiques généraux.
Où ? Quand ? Comment ?
La situation n’est évidemment pas comparable
si l’on porte le fer à l’intérieur d’un système
d’information industriel, a fortiori s’il appartient
à un opérateur d’importance vitale (OIV).
Un incident quand bien même serait-il de
courte durée, qui va toucher des équipements
opérationnels (vannes, refroidisseurs, pompes,
compresseurs, moteurs, régulateurs, etc.)
peut aller jusqu’à endommager ces derniers,
faire peser un risque sur les opérateurs, sur les
populations alentour, sur l’environnement…
Depuis de nombreuses années, le Club de la
sécurité de l’information français (Clusif) favorise
les échanges d’idées et les retours d’expériences
à travers des groupes et des espaces de travail,
des publications ou encore, des conférences
thématiques. L’un des points forts de
l’association est précisément que les réflexions
menées sur la cybersécurité s’élaborent au sein
de groupes de travail spécialisés.
Par exemple, le groupe Scada créé en 2013,
réunit des acteurs de la sécurité informatique
du monde industriel comme des RSSI, des
architectes, des éditeurs de logiciels et des
consultants. Les objectifs du groupe sont
d’échanger sur les pratiques en matière
de cybersécurité des systèmes industriels,
d’analyser les tendances actuelles et les
évolutions réglementaires.
En 2016, le groupe s’est penché sur les
enseignements à tirer des cas d’incidents et
d’attaques survenus sur des systèmes industriels
avec des conséquences plus ou moins graves
selon les sites visés. Au printemps dernier, une
synthèse de ce travail a été rédigée sous la
forme d’une collection de fiches décrivant des
attaques et des incidents réels survenus sur des
équipements ou des installations situés un peu
partout dans le monde.
Nous avons retenus les cas les plus
emblématiques qui vont bien sûr, interpeller
les RSSI mais aussi, tous les intervenants
opérationnels comme les techniciens de
maintenance, les intégrateurs, les chefs
d’exploitation et bien sûr, les automaticiens.