lundi 10 août 2015

Paru dans Les Echos, le 10 aout 2015.



Chacun se fait à l’idée d’être cambriolé une fois dans sa vie. Beaucoup ont déjà été atteint par un virus informatique. Mais qui accepterait qu’une centrale nucléaire soit piratée, ou que l’on prenne le contrôle à distance de sa voiture au milieu de l’autoroute ? Et pourtant, plusieurs millions de véhicules devront être rappelés suite au piratage à distance d’une voiture par deux hackers en juillet dernier. En 2013, c’est la compagnie pétrolière Aramco qui a été la cible du virus Shamoon. En 2010, le virus Stuxnet s’attaquait à des centrifugeuses nucléaires.

Alors que l’industrie se numérise, les données industrielles deviennent un actif à préserver. Le savoir-faire prend la forme d’algorithmes, plus faciles à copier que ne l’est l’expérience d’un ingénieur. Pourtant, le niveau de prévention des risques de sécurité informatique industriel reste loin de celui atteint, par exemple, pour les risques sanitaires. Le moindre restaurant est soumis à des normes précises de propreté alors que beaucoup d’installations industrielles reposent encore sur des équipements inadaptés ou anciens (par exemple, des routeurs dépassés dont les failles sont connues), et les tests d’intrusion informatique sur sites industriels découvrent encore des vulnérabilités dans la majorité des cas. Et quand ces menaces sont prises en compte, les réponses qui y sont apportées sont souvent inadaptées. Beaucoup se contentent de renforcer un maillon de la chaîne de sécurité en négligeant des maillons plus vulnérables – à commencer par les utilisateurs. Or le virus Stuxnet s’est propagé via des clefs USB autant que par internet. De même, le risque d’intrusion par une puissance étrangère pousse beaucoup d’entreprises à se concentrer sur le choix d’un cloud « national » plutôt qu’à un audit fin des moyens permettant de réellement sécuriser leurs données. Or stocker à l’étranger des données correctement cryptées (par exemple, avec une double clef dont une n’est pas partagée avec l’hébergeur) présente peu de risques. Inversement, un cloud national situé en fin de ligne d’une chaîne mal sécurisée n’est rien de plus qu’une ligne Maginot virtuelle.

La sécurité industrielle a ses spécificités. Les données qui y circulent y sont souvent plus homogènes, ce qui rend plus facile la détection automatique de séquences pouvant révéler une intrusion. La valeur intrinsèque des données est souvent plus faible que pour les données de consommation : un bon échantillon de données suffit souvent à cerner les caractéristiques physiques d’un équipement, alors que les mégadonnées de la grande consommation visent à l’exhaustivité pour cerner le comportement du client qui présentera plus de diversité que des équipements sortis d’une même chaîne. Enfin les domaines industriels sont variés – de la centrale nucléaire au stimulateur cardiaque - et souvent basés sur des développements spécifiques : l’ex-salarié qui en connait les détails sera une menace  plus probable que l’étudiant hacker.

Malgré ces spécificités, les principes de sécurité qui ont fait leur preuve s’appliquent dans l’industrie. D’abord, le fait de prendre la sécurité au sérieux : les méthodes « naïves » (comme la sécurité par l’obscurité, supposant que des machines au fonctionnement peu documenté sont plus sûres) sont peu efficaces, alors qu’il existe de nombreux standards ou équipements qui garantissent immédiatement le meilleur niveau de sécurité. Ensuite, la nécessité d’une vision « holistique » de la sécurité pour colmater tous les points de la chaîne de vulnérabilité, machines et individus. Enfin, l’importance de proportionner les moyens de sécurité aux risques, alors que le sous-investissement (des sites critiques vulnérables) cohabite souvent avec le surinvestissement (par exemple, un cloud privé coûteux et peu sécurisé plutôt qu’un cloud public crypté).

En sécurité industrielle comme ailleurs, il est facile de voir la cause des problèmes à l’étranger et le repli national comme solution. La vérité, c’est que la situation est généralement inverse : la menace vient le plus souvent de plus près – concurrents proches ou ex-salariés – et alors les solutions les plus efficaces sont celles qui ont passé avec succès l’examen d’une large communauté mondiale d’utilisateurs et de chercheurs.

Vincent Champain



2 commentaires:

  1. C'est assez étonnant de lire qu'il existe une "approche industrielle" de la sécurité... qui plus est avec le sous entendu dès le titre qu'elle est meilleure (que quoi?)...
    Rien que le terme SCADA, système industriel par excellence, suffit à hérisser le poil de tout spécialiste en SSI. C'est bien souvent le pire du pire dans ce domaine, la compilation complète de tout ce qu'il ne faut pas faire : pas de mise à jour possible, code impossible à auditer (quand il est disponible), connexion à l'Internet non filtré, désactivation des sécurités des OS, non installation d'anti-virus, pas de politique de sécurité, pas de plan de reprise, etc...
    Voila donc pour le mythe. La sécurité est un processus à long terme qui est fondamentalement opposé à la vision industrielle aux bénéfices à court terme.
    Quand au cloud, si on a des données vraiment importantes on ne les met pas sur Internet, que ce soit un cloud national ou étranger. Ce n'est pas qu'un problème de confidentialité, c'est aussi de la disponibilité.

    RépondreSupprimer
  2. Derrière le terme d'approche industrielle, c'est l'idée de regarder l'ensemble du process, et pas de mettre des rustines sur certains points en laissant les autres béants. Pour le cloud ca dépend des facteurs de charge ou de l'infrastructure - si elles sont générées par des milliers de machines réparties un peu partout...

    RépondreSupprimer