Le grand écart
Le grand écart entre le niveau de la menace et les mesures de protection mises en place sur les infrastructures critiques françaises a-t’il une chance de se réduire en 2015 ?
Plusieurs éléments permettent de l’espérer : la révélation en 2014 d’attaques d’ampleur y compris sur SI industriels, les avancées du programme de sécurité des SCADA de l’ANSSI, et… l’arrivée de produits de sécurité dédiés (prouvant qu’il y a un marché !)
Le grand écart entre bruit médiatique et budgets
Avant de jeter un œil aux différents éléments mentionnés, rappelons qu’un autre grand écart existe : celui entre le bruit médiatique consacré aux cyber-attaques (Heartbleed, Shellshock, Sony…), et celui des budgets pour les empêcher.
Passons sur l’exemple caricatural de Sony, déjà pris en flagrant délit de manque de sécurité en 2011, qui visiblement n’a pas fait les efforts nécessaires, comme l’a dévoilé un audit, et voyons ce qui se passe en France. Depuis Stuxnet (il y a 5 ans déjà), on pourrait imaginer que les industries opérant des procédés critiques ont fait des études et investi un minimum pour les sécuriser, pour protéger leur investissement mais aussi les populations dans le cas des usines classées Seveso niveau haut par exemple.
Malheureusement, une présentation récente au CLUSIF nous montre que seuls quelques grands groupes industriels français ont un réel programme de sécurisation : la très grande majorité des infrastructures critiques et des usines chimiques, (entre autres), n’ont pas mené de programme significatif (voir la planche dans cet article, les supports complets sont réservés aux membres CLUSIF).
Des menaces croissantes et avérées aident à la prise de conscience
Il y a de bonnes excuses pour ne pas dépenser de l’argent sur un sujet « qui ne rapporte rien », particulièrement en ces temps de disette, mais on ne pourra plus nier la réalité de la menace sur les SI industriels, grâce aux diverses révélations de 2014, notamment :
- le malware Havex, sans doute d’origine russe, visant à la collecte de données de SI industriels, étape nécessaire à la préparation d’une attaque. Pour un malware trouvé, combien d’autres sont en activité ? La NSA fait pareil sans aucun doute, mais se fait moins facilement prendre, quand les USA ne sont pas obligé de révéler eux-même qu’ils sont à l’origine des attaques, comme cela a été le cas en 2012 pour Stuxnet, et en 2014 pour justifier d’avoir pointé du doigt la Corée du Nord dans l’attaque visant Sony ;
- le BSI allemand (équivalent de notre ANSSI) a révélé dans son rapport (en allemand) l’existence d’une attaque délibérée et réussie dans une usine sidérurgique allemande, ayant causé de gros dégâts, du fait de la corruption de systèmes de contrôle-commande (résumé en anglais) :
- moins étayé quoique relayé par l’ANSSI, une explosion d’un pipeline en Turquie serait le fait d’une cyber-attaque bien conçue : désactivation des systèmes d’alerte avant augmentation de la pression jusqu’à l’incident :
Les exigences arrivent en France pour les OIV
Suite à la publication par l’ANSSI d’une méthode de classification des SI industriels, accompagnée de recommandations et directives, un travail a été réalisé courant 2014 avec plusieurs OIV industriels « pilotes », pour valider la méthode et préparer des décrets d’application pour rendre obligatoire la mise en œuvre de mesures de sécurité. Des retours ont été faits à l’ANSSI, qui a démarré des ateliers avec les différents ministères de tutelle et les OIV concernés.
Des déclinaisons adaptées à chaque secteur et les arrêtés ministériels correspondants sont annoncés pour le premier semestre 2015 : même si le travail restant à faire reste important, comme l’ont montré les efforts nécessaires au sein des pilotes, on devrait enclencher une dynamique et notamment permettre la provision des budgets correspondant pour l’exercice 2016, sachant qu’un certain nombre d’OIV, et pas seulement les pilotes, commencent les études en ce début 2015 : ouf !
Il y a cependant encore des trous dans la raquette : de très nombreuses usines Seveso ne sont pas OIV, et ne seront a priori pas concernées (sauf à titre de recommandation…) par les exigences de l’ANSSI. Il n’y a toujours aucune norme ou exigence de cybersécurité pour ces installations, uniquement des obligations (via DREAL au moins) de sûreté industrielle (sécurité fonctionnelle notamment). Le niveau de prise de conscience des enjeux de cybersécurité, et de la vulnérabilité de ces installations, reste très faible chez nombre des exploitants, sans parler des acteurs de la maintenance qui en général n’ont jamais entendu parler de Stuxnet.
Des produits sont annoncés !
Preuve qu’il y a un marché, des fournisseurs proposent des offres dédiées à la sécurité industrielle, que ce soient les acteurs habituels de la sécurité qui commencent à supporter des protocoles industriels dans leurs pare-feux NG (next generation), ou des produits vraiment dédiés provenant d’acteurs historiques de l’industrie : les biens connus Tofino, mais aussi Norman, Wurldtech, NextNine et même une start-up lyonnaise créée en 2015, par les anciens d’Arkoon : Sentryo. Pour en avoir un aperçu (sauf les derniers nés !) je vous invite à consulter le livre « Cybersécurité des installations industrielles : défendre ses systèmes numériques », qui va bientôt paraître aux éditions Cepadues, et dont un chapitre est consacré à cette offre nouvelle.
Un grand écart qui risque de persister
Il y a donc de l’espoir : on pourrait en 2015 voir apparaître des mesures de sécurité dans l’industrie, sachant qu’il faudra des années pour arriver à un niveau satisfaisant vu le niveau de menace actuel.
On peut tout de même craindre que cela traine encore, peut-être jusqu’à ce que des incidents sur le sol français obligent à réagir. La connaissance par les dirigeants du niveau de risque de leurs installations reste médiocre : l’information que l’on trouve dans la presse n’aide pas à bien comprendre le niveau de risque, et les RSSI, d’ailleurs pas forcément en charge du SI industriel, ont rarement une influence suffisante.
Enfin, les attaques du type Sony, Stuxnet ou Shamoon donnent l’impression que le niveau de menace est tellement élevé (comment lutter contre la NSA ?) que ce n’est même pas la peine de commencer à faire des efforts. Il est bon de rappeler que des mesures de sécurité relativement accessibles auraient permis d’empêcher Stuxnet (détection du trafic réseau suspect, persistant pendant des mois), Aramco et Qatargas (patch des systèmes, anti-virus à jour), et probablement l’attaque de 2014 en Allemagne (sécurisation des échanges entre le SI de gestion et le SI industriel).
Selon les entreprises la réponse aux menaces de securite en informatique est plus ou moins mesurée.C’est aussi une question de budget pour avoir une bonne protection.
Bonjour, je ne partage pas votre avis sur la relative accessibilité des solutions d’analyse de trafic réseau et de cloisonnement industriel bureautique.
Qui est censé surveiller le traffic réseau ? Les opérationnels sur site ? Ils en sont bien incapables. Alors on transfère tout ça au SOC ? Comment ? En interconnectant le SI industriel au SI de gestion ? Ah, je sais, on va mettre une diode. Par ailleurs, en quoi le traffic réseau était-il suspect ?
De même, la segmentation des réseaux de gestion et des réseaux industriels n’est pas simple. L’air gap n’est souvent pas pensable car des besoins d’échange d’information existent. Comment traiter le problème des médias amovibles ? Quelles solutions commerciales sont actuellement déployées ?
Je pense qu’il faut avoir une vision plus réelle de la complexité et des coûts de sécurisation que vous mentionnez; je partage néanmoins votre avis sur leur nécessité.
Merci Arnaud de ce commentaire (j’en profite pour vous féliciter pour l’article sur javasnoop dans le MISC 77 !). Je suis peut-être un peu optimiste dans ma conclusion de l’article (il faut bien l’être un peu !).
Il me semble cependant que nous sommes plutôt d’accord, notamment sur l’air-gap (1). La sécurisation des échanges entre le SI industriel et le SI de gestion est douloureuse, difficile, mais se fait – en ce moment même au sein des grands industriels qui ont démarré le sujet depuis quelques années (ce qui confirme la difficulté à le faire).
Et oui a priori pour une surveillance utile : il faut remonter les logs et alertes de sécurité au SOC de l’entreprise – et en effet il y a un manque de maturité pour l’instant sur ce qu’il faut surveiller dans le SI indus, et pour déterminer ce qui est suspect, vu qu’en général personne ne sait vraiment ce qui est « normal » (j’exagère un peu, mais c’est toute une affaire déjà de savoir à quoi correspondent les flux qu’on y trouve).
(1) voir les deux premiers points de l’article http://securid.novaclic.com/cyber-securite-industrielle/quelques-sujets-de-debat.html
Merci pour cet article qui décrit bien l’état du monde cyber-industriel de la France, et donne un peu d’espoir…
Il faut cependant bien distinguer 2 types de menaces :
- Intelligence économique : vouloir voler de l’information sensible (secret de fabrication, plans, couts réel, carnet d’adresse des fournisseurs…) ou rendre indisponible un SI pendant une période critique d’activité
- Actes de malveillance : vouloir nuire au fonctionnement d’un SI jusqu’à détruire l’outil de production (numérique ou physique)
Si par abus de confiance, nous autres français, nous négligeons la menace de l’intelligence économique, il ne faut pas cependant en oublier l’autre, qui peut être menée pour des raisons diverses (challenge, attaques à l’aveugle, terrorisme…)
On nous parle beaucoup de la NSA, mais pour la majeure partie de nos industries je ne pense pas qu’il s’agisse d’une menace à risque (ou du moins seulement pour la partie intelligence économique de certaines) et qui comme tu le dis « comment lutter contre la NSA ? » avec tous les systèmes conçus aux USA…
Il faut avant tout sensibiliser et apporter une certaine pédagogie sur l’autre type de menace, celle qui sera la plus destructrice pour l’industrie et qui ne nécessite pas des coûts d’investissement si élevés pour sécuriser un minimum.