Quels sont le but et l’objet de la cybersécurité industrielle (à quoi ça sert ?)
Comment la discipline se positionne-t’elle par rapport à la sécurité fonctionnelle ?
Quelles différences / points communs avec la sécurité des systèmes d’information ?
A un moment où l’on recherche des consultants en « cybersécurité industrielle », et où les industriels, dans les domaines exposés au moins, commencent à affecter des budgets au sujet, il semble qu’il est temps de tenter une définition !
A l’ère du Cloud, de l’argent dématérialisé, des réseaux sociaux en lignes, il est amusant de voir que le meilleur moyen d’intrusion reste… le social engineering.
C’est amusant, parce que cette technique a reçu une forte publicité avec l’arrestation de Kevin Mitnick. Une technique qu’il a peaufinée depuis l’age de 12 ans, en … 1975. Et puis elle est tombée en désuétude. Même si, de temps en temps, un expert en sécurité nous rappelle comme il est facile de se faire passer pour quelqu’un que l’on n’est pas.
Cette fois, c’est le journaliste du magazine web Wired.com qui nous offre, avec beaucoup d’humilité, le récit complet de la destruction de l’ensemble de sa vie numérique: iPhone, iPad, MacBook, GooglePlus, … tous ont été vidés en l’espace de quelques minutes. Y compris les photos des premiers pas de sa fille. Y compris les sauvegardes soigneusement effectuées quotidiennement. Y compris les archives dans le « iCloud ». Lire la suite »
Suite aux révélations concernant les sources et objectifs des cyberattaques les plus élaborées (Stuxnet, PoisonIvy, Night Dragon, DuQu, Flame et j’en oublie), il est étonnant que certaines bonnes questions ne soient pas posées dans les medias.
Dans ce billet, je passe en revue cinq questions qui m’ont effectivement été posées, et dont les réponses peuvent être gênantes, justifiant leur manque de médiatisation ?
Lire la suite »
Il était annoncé, donc attendu, et il est arrivé avec l’été : un guide de l’ANSSI intitulé « Maîtriser la SSI pour les systèmes industriels », accompagné d’un « Cas pratique ».
Sa seule existence est déjà utile pour « officialiser » le sujet, voyons en détail ce qu’il contient et comment l’utiliser au mieux.
Autrefois, la meilleure façon d’attraper un virus informatique était d’utiliser une disquette ou une clé USB infectée. Puis ce fut les emails, avec des pièces jointes contenant un code malveillant.
De nos jours, les sites web sont devenus l’un des principaux vecteurs d’infection. C’est en effet un moyen bien pratique : il suffit d’infecter un seul site web pour pouvoir atteindre l’ensemble de ses visiteurs. Alors, pour qui sait infecter des centaines de sites, c’est le « jackpot » !
Les vulnérabilités touchant les automates et les SCADAs sont à présent bien connues, et de nouvelles failles continuent d’être régulièrement rendues publiques(voir le précédent article à ce sujet).
Un certain nombre de fabricants d’automates et d’éditeurs ont commencé à publier des patchs pour corriger ces failles. On savait déjà que les industriels avaient du mal à mettre leurs systèmes à jour du fait de la nécessité d’arrêter la production et à cause du risque que cela ne « fonctionne plus comme avant ». Mais il y a pire…
C’est presque le calme plat depuis 2 mois et les révélations du symposium S4… du moins en apparence. En réalité, toutes les personnes avec des compétences à la fois en sécurité et en systèmes industriels sont très occupées à gérer la situation qu’elles ont engendrée : la prise de conscience, et donc l’inquiétude, sur le niveau de sécurité des installations industrielles.
Comme les autres « auteurs de blog », j’ai donc eu très peu de temps pour sortir le nez du guidon. Mais il y a déjà quelques retours d’expérience intéressants, avec des responsables de SI industriels qui ont essuyé les plâtres. Il est temps de partager constats et quelques conseils pour ceux qui n’ont pas encore été pris dans la tourmente !
Le symposium S4, qui a eu lieu fin janvier à Miami, marque une nouvelle étape dans l’odyssée de Charybde à Scylla de la cybersécurité industrielle. Comme après la conférence « Black Hat » de l’été 2011, les informations présentées obligent à repenser – à nouveau – la sécurité des installations.
Le point clé de ce symposium est que la génération actuelle d’automates industriels présente des failles béantes de sécurité, tous constructeurs confondus. Ces failles sont très difficiles à colmater car liées au design, mais sont très faciles à exploiter par des logiciels malveillants ou des pirates.
L’article présente une synthèse des principales conférences de ce symposium, et en tire les conséquences pour les fournisseurs et les industriels.
Ce n’est pas un souhait, mais un constat : tout porte à croire qu’en 2012, les hackers vont pouvoir s’en donner à cœur joie sur les systèmes d’information industriels.
Voici les deux raisons qui m’amènent à ce constat, et autant faire ce peu, quelques idées pour tenter d’y remédier !
Le blog de Ralph Langer reçoit relativement peu de mises à jour de son auteur, connu comme étant l’expert incontesté de Stuxnet, mais à chaque fois c’est bien intéressant !
Ses deux derniers articles relatent un fait qui a peut-être contribué à la préparation du l’attaque présumée contre les sites iraniens, mais, au-delà, devraient interpeler tous les professionnels en charge de la protection de l’information. Lire la suite »