Le parc nucléaire national (ici la centrale de Cruas-Meysse) occupe sans doute la première place dans la liste des sites d’importance vitale de l’Anssi.

L’informatique est omniprésente dans les réseaux de distribution électrique, d’eau ou de gaz, les trains, les avions… autant d’infrastructures stratégiques qui peuvent être l’objet d’attaques et qu’il faut protéger d’urgence.

Novembre 2010. Les centrifugeuses du complexe nucléaire iranien de Bouchehr se dérèglent subitement pour une raison inconnue des techniciens. Ces machines, utilisées pour l’enrichissement de l’uranium, sont détruites. Le programme nucléaire iranien vient de subir un sérieux revers. Pour la première fois de l’Histoire, un ver informatique (Stuxnet) vient de détruire une installation industrielle. Ce petit programme, placé sur une clé USB, est venu infecter les ordinateurs du centre de recherche puis, le jour venu, prendre le contrôle des centrifugeuses, fournies par Siemens. Le ver a tout simplement pris le contrôle de ces équipements en utilisant le login et mot de passe par défaut du constructeur. La menace d’attaque d’une installation industrielle par un virus informatique, jusque-là théorique, est devenue réalité. On apprendra plus tard que l’opération avait été lancée par les États-Unis et que le ver, qui a infecté 45 000 ordinateurs dans le monde, est directement issu des laboratoires de cyberguerre israéliens.

Au-delà d’une usine, que ce soit les réseaux de distribution d’électricité, de gaz, d’eau, les lignes de train, de métro, les équipements aéroportuaires, nul n’est désormais à l’abri d’une attaque téléguidée par un gouvernement étranger, une organisation terroriste ou un groupe mafieux à des fins de chantage.

Trois ans après Stuxnet, la menace reste toujours aussi réelle. S’il y a bien eu prise de conscience des industriels et de leurs fournisseurs d’équipements, la sécurisation des infrastructures et de leurs systèmes Scada (système de supervision contrôle/commande) est loin encore d’être assurée. Mis sur la sellette lors de l’affaire Stuxnet, Siemens a dû revoir son approche quant à la sécurisation de ses équipements industriels : « Il y a un avant et un après Stuxnet, reconnaît Jean-Christophe Mathieu, responsable des produits et solutions de sécurité pour l’industrie de Siemens. Tous nos process ont été adaptés, que ce soit en termes de développement, mais aussi tout au long du cycle de vie de nos produits et solutions. Aujourd’hui, dès leur conception, l’ensemble des produits du secteur industrie tendent vers ce que l’on appelle du “Secure by design”. Illustration de l’approche, le nouvel automate S7-1500, qui inclut nativement de nombreux mécanismes de sécurité. Mais ce n’est qu’un premier pas, nous poursuivons nos efforts dans ce domaine. »

Toujours dans le but de doter les opérateurs d’infrastructures et les industriels d’équipements sécurisés, son rival Schneider Electric vient de s’allier au géant de la sécurité Thales. « C’est le premier accord de ce type entre deux acteurs de ces domaines », explique Etienne Semichon, directeur grands comptes et défense chez Schneider Electric. « L’accord porte sur les systèmes de gestion d’énergie, le contrôle/commande industriel, la gestion technique des grands bâtiments et enfin les datacenters informatiques. On ne peut pas sécuriser un système électrique de la même manière que des serveurs de gestion : les actions sont gérées à la milliseconde et l’insertion d’un firewall peut rendre inopérant le process industriel lui-même. »

Les éditeurs entrent sur le marché
Ces spécificités n’empêchent pas les éditeurs venus de l’informatique de gestion de lorgner ce nouveau marché pour eux. L’éditeur d’antivirus Kaspersky prépare une offre pour les industriels alors que RSA, la division sécurité d’EMC, propose déjà depuis quelques années un logiciel de sécurité aux industriels : « Il y a trois ans, nous avons acquis une société qui développait un logiciel de capture et d’analyse des flux réseau, NetWitness, explique Philippe Fauchay, directeur RSA France. L’application est capable d’analyser le trafic réseau Web pour y déceler des comportements suspects et, parmi les protocoles que l’on est capable d’analyser, on a aussi Scada. On peut ainsi détecter que tel ou tel ordinateur dans l’entreprise a tenté de se connecter à plusieurs reprises à un automate par exemple, en utilisant les login et mot de passe par défaut de la machine. » Renommé RSA Security Analytics, ce logiciel est proposé aux entreprises de distribution d’énergie pour sécuriser les flux issus des compteurs intelligents, entre autres applications.

Schneider Electric, tout comme Siemens, proposent des offres sécurisées aux industriels et opérateurs lorsque ceux-ci vont mettre en place une ligne TGV ou déployer une chaîne de montage dans une usine. Authentification forte des opérateurs des équipements, chiffrement des données échangées, coupe-feu, logiciels de détection d’intrusion, les recettes techniques sont maintenant connues, mais le problème le plus aigu est sans contexte le parc existant. Aucun industriel ne peut se permettre de renouveler l’ensemble de ses équipements pour disposer d’outils de production plus sûrs. « Nous n’en sommes qu’au début, confie Jean-Christophe Mathieu de Siemens. Dans l’industrie, les cycles de vie sont de l’ordre de quinze à vingt ans, voire de trente à quarante ans dans certains cas, alors que dans l’informatique, on travaille sur des cycles beaucoup plus courts. De ce fait, il n’est pas possible que, trois ans après Stuxnet, toutes les installations industrielles soient sécurisées. Il a fallu réagir à Stuxnet, cela a été la première phase. »

L’Etat s’apprête à légiférer
Lors des Assises de la sécurité 2013, Patrick Pailloux, l’ancien directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), a rappelé l’importance, pour le pays, de sécuriser ses grandes infrastructures. L’Anssi avait déjà publié un Guide d’hygiène informatique * à l’usage des entreprises, ainsi qu’un guide relatif à la sécurisation des systèmes industriels **. Après avoir conseillé les entreprises, elle va maintenant se montrer plus coercitive.

L’Agence, qui conseille directement le Premier ministre sur le plan de la sécurité informatique, devrait faire passer une nouvelle réglementation à l’occasion de la loi de programmation militaire, qui doit être adoptée en décembre. Les entreprises devront sécuriser leurs installations en fonction des règles imposées par la prochaine loi. L’Anssi aura le droit d’auditer ou de faire auditer leurs installations, et les opérateurs d’installations, typiquement EDF, la SNCF ou GDF Suez devront signaler à l’Anssi toute attaque sur leurs installations. Une démarche comparable à celle du Department of Homeland Security américain, qui a mis en place un système déclaratif pour seize secteurs industriels : l’ICSCert (Industrial Control Systems – Cyber Emergency Response Team).

Plus d’une centaine d’OIV
Même citer qui sera touché par cette réglementation en cours de rédaction est difficile : la liste des installations concernées est secrète pour ne pas attirer l’attention d’éventuels agresseurs. Patrick Pailloux a évoqué un peu plus d’une centaine d’OIV (opérateurs d’importance vitale) identifiés dans le pays, des installations dépendant d’une douzaine de secteurs d’activité. On imagine que les centrales nucléaires sont au premier rang des sites à protéger, mais, avec l’essor de l’Internet des Objets, la liste des cibles potentielles ne pourra que s’allonger dans les années à venir. Même l’inoffensif compteur EDF peut potentiellement devenir l’objet d’une attaque à partir du moment où il est remplacé par le compteur intelligent Linky, donc disposant d’un processeur et connecté à un réseau. Et les exemples de ce type peuvent être déclinés presque à l’infini : compteurs d’eau, feux de signalisation routiers, panneaux d’affichage public, systèmes de signalisation ferroviaire…

Logiciels embarqués, cibles privilégiées
Si les installations au sol doivent être durcies pour résister aux menaces d’intrusion, c’est tout autant le cas des logiciels embarqués. Trains, métros automatiques, avions, voitures, plus aucun moyen de transport ne pourrait aujourd’hui fonctionner sans ses ordinateurs embarqués. Dans une voiture moderne, on ne trouve pas moins de 100 millions de lignes de codes, que ce soit dans l’ordinateur de bord, le calculateur du moteur, le système de freinage ABS, le système vidéo embarqué, ou encore dans le système de télédiagnostic pour les plus luxueuses d’entre elles. Et qui dit logiciels, dit failles de sécurité potentielles car les équipements embarqués communiquent entre eux via un réseau local spécialisé.

Les spécialistes se veulent rassurants : il est certes possible de pirater les systèmes par ce réseau, mais pour y parvenir, il faut pouvoir y connecter physiquement un PC via les connecteurs dédiés à la maintenance. Une affirmation qui se révèle de moins en moins vraie puisque, plus encore que les systèmes industriels, les véhicules sont de plus en plus connectés : partage de connexion 4G chez Audi, applications de télédiagnostic, de navigation et de géolocalisation, les voitures ont de plus en plus une carte SIM qui les expose aux attaques extérieures. En 2011, deux chercheurs américains ont malmené un véhicule de série. Ils sont parvenus à prendre le contrôle de l’ordinateur de bord via le système de téléphonie main libre Bluetooth (lire encadré).

L’aéronautique, où la sûreté des systèmes est plus critique encore, a abordé plus tôt la problématique de la fiabilité de ses applications. Les logiciels développés pour faire voler l’Airbus A380, le Boeing 787 tout comme le Rafale, s’appuient sur le générateur de code Scade du français Esterel Technologies afin d’obtenir une fiabilité totale : « Le fait que le code que l’on génère soit sûr fait qu’il est aussi difficilement attaquable, commente Eric Bantégnie, PDG d’Esterel Technologies. Notre code est garanti, de manière purement mathématique, comme étant sûr. En revanche, la problématique d’accès dépend du système d’exploitation sur lequel l’application sera déployée. » Cette sécurisation des systèmes d’exploitation devient de plus en plus critique en aéronautique d’autant que, la puissance des processeurs augmentant, il est possible de faire fonctionner de plus en plus de systèmes de l’avion sur un même calculateur, alors que jusqu’à présent on séparait physiquement chaque système pour des raisons de sécurité. Pour alléger les avions de dernière génération comme les Boeing 787 et Airbus A350, on limite le nombre d’ordinateurs de bord et surtout les câblages réseaux. Cela implique de faire fonctionner plusieurs applications sur un même ordinateur. Pour Olivier Charrier, ingénieur principal chez Wind River, éditeur de systèmes d’exploitation embarqués, cette nouvelle approche n’est pas synonyme de risque accru : « Dans ces systèmes, chaque application est strictement isolée de toutes les autres et son périmètre d’utilisation est strictement défini. Dès que l’une d’elles franchit l’un de ses paramètres de fonctionnement, le calculateur est placé dans un mode sécurité. »

Si le secteur s’affirme confiant dans les systèmes mis en place, un consultant en sécurité allemand, Hugo Teso, a récemment dévoilé une application Android (PlaneSploit) capable, selon son auteur, d’injecter de faux messages du contrôle aérien dans le système de vol de l’appareil… A l’heure où le nombre d’objets connecté va exploser, la lutte entre pirates et experts de la sécurité informatique ne fait que commencer.

* Guide d’hygiène informatique
** Guide sur la sécurisation des systèmes industriels

Patrick Pailloux, lors des Assises de la sécurité 2013 L’avis de… Patrick Pailloux, ancien directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi) « Nos sociétés dépendent de l’informatique et des communications électroniques pour vivre. Ce sont les systèmes nerveux de nos nations. Notre survie, au sens étroit du terme, dépend parfois du bon fonctionnement des systèmes d’information : équipements médicaux, transports aérien et ferroviaire, production et distribution d’énergie, transport de l’eau, etc. Les systèmes industriels ou de contrôle/commande – les Scada – puisque c’est de cela dont il s’agit, sont en train de migrer à grande vitesse vers l’IP, de s’intégrer dans les systèmes d’information de l’entreprise, voire d’être connectés à Internet, sans que l’on se soit véritablement préoccupé de leur sécurité. […] Il faut que les équipementiers, qui fournissent des systèmes industriels, introduisent des dispositifs de sécurité et, croyez-moi, c’est encore trop rarement le cas. A ce titre, l’Anssi a constitué un groupe de travail avec les représentants du domaine afin de définir, d’ici à la fin de l’année, un ensemble de règles de sécurité qui devra être mis en place au sein des systèmes de contrôle/commande industriels. »

Photos : Yelkrokoyade – DG Consultants – D.R.

Lire aussi : « Cyberdéfense – Trois questions à… Vincent Marfaing, Thales« 

Cet article est extrait du n°6 d’Alliancy, le mag – Découvrir l’intégralité du magazine