Provoquée par une cyberattaque, une panne de courant a privé 700 000 foyers ukrainiens d’électricité à la veille de Noël. Comment mettre les infrastructures critiques à l’abri du risque IT.
Acteurs de l’énergie, du transport, des télécommunications ou encore de la santé, ils sont environ 200 en France à détenir le statut d’Opérateur d’importance vitale, ou OIV. Ces organisations dont l’activité est considérée comme critique pour l’économie du pays, sa capacité à se défendre ou la santé de ses citoyens, sont parmi les principales préoccupations de l’Anssi (Agence nationale pour la sécurité des systèmes d’information). Au fil des années, ces organisations, comme toutes les entreprises, sont devenues de plus en plus dépendantes de leur système informatique. Mais elles sont surtout de plus en plus connectées.
Fonctionnant auparavant en architecture fermée, les systèmes SCADA (Supervisory Control And Data Acquisition) utilisés pour piloter à distance les installations techniques sont aujourd’hui de plus en plus connectés à internet, et donc vulnérables à de nombreuses menaces. Deux exemples récents viennent renforcer ces inquiétudes. En décembre dernier, lors du Chaos Communications Congress de Hambourg, trois chercheurs russes spécialistes de la sécurité des systèmes industriels ont dévoilé les vulnérabilités des systèmes d’aiguillage et de prévention des collisions utilisés dans les chemins de fer. Plus grave encore, un virus informatique serait lié à l’important coupure d’électricité qui a touché 700 000 foyers ukrainiens en fin d’année dernière.
Les 12 travaux des SCADA
Le danger est donc bien réel. Mais les mesures préconisées par l’Anssi peuvent aider à réduire le risque au maximum.
Rôles et responsabilités
Les rôles de chacun doivent être clairement établis. Une chaîne de responsabilité doit être mise en place et couvrir l’ensemble des systèmes industriels. Pour les organisations les plus sensibles, l’identité et les coordonnées du responsable de cette chaîne doivent être communiquées à l’autorité de cyberdéfense.
Analyse de risque
L’analyse de risque constitue le cœur des mesures organisationnelles. Elle est le point de départ de toute démarche de cybersécurité et beaucoup d’autres mesures vont dépendre directement de celle-ci. Les systèmes doivent faire l’objet d’une analyse méthodique et revue régulièrement en collaboration avec un prestataire labellisé.
Cartographie
Une cartographie complète offre une connaissance fine du système et de son environnement. Cela permet d’évaluer rapidement l’impact d’une vulnérabilité découverte dans un produit, de mesurer l’étendue d’une compromission et de résoudre les incidents plus rapidement.
Formation
La formation des intervenants est indispensable pour assurer la cybersécurité. La formation devra contenir les éléments de sensibilisation aux risques induits par les technologies informatiques ainsi qu’une présentation de la PSSI (Politique de sécurité du système d’information). Elle devra être formalisée et reconnue par l’entité responsable.
Audits
Les audits permettent de vérifier, avant la mise en service, puis régulièrement lors du cycle de vie, le niveau effectif de cybersécurité. L’audit doit intégrer les fournisseurs (équipementiers, intégrateurs, etc.). et porter sur les aspects techniques mais aussi organisationnels. Des tests d’intrusion sont également à prévoir.
Veille
La veille permet de se tenir informé du niveau de la menace et des vulnérabilités. La veille va concerner à la fois les produits utilisés, pour effectuer les mises à jour en cas de découverte de faille critique, mais aussi l’évolution des techniques d’attaque.
Reprise et continuité
Les plans de continuité d’activité (PCA) et de reprise d’activité (PRA) doivent répondre à l’ensemble des scénarios d’incident entraînant un arrêt ou une dégradation du service, tels qu’ils ont été identifiés dans l’analyse de risque.
Modes dʼurgence
Il peut être nécessaire de mettre en place des procédures d’intervention rapide pour réagir plus efficacement à un incident. L’accès à certains systèmes peut par exemple être temporairement ouvert. Le principe est semblable à celui d’une procédure incendie durant laquelle les portes normalement sous contrôle d’accès s’ouvrent automatiquement. Ces modes d’urgence doivent être particulièrement bien encadrés pour qu’ils ne constituent pas une vulnérabilité exploitable.
Alerte et gestion de crise
Un processus d’alerte et de gestion de crise permet de mettre en place les procédures de réaction aux scénarios d’incident qui ont été identifiés à l’aide de l’analyse de risque.
Interconnexions réseau
Les réseaux doivent restés cloisonnés autant que possible. Les interconnexions sont une source de vulnérabilités et il est notamment nécessaire de considérer soigneusement les risques avant d’interconnecter un réseau industriel avec un réseau public.
Télédiagnostic, télémaintenance et télégestion
Des procédures claires et des moyens de protection doivent être mis en place pour encadrer les opérations de télédiagnostic, télémaintenance et télégestion. Elles ne doivent en revanche pas être autorisées pour les sites les plus sensibles.
Surveillance et détection
La mise en place de moyens de surveillance et de détection d’intrusion augmente la visibilité sur le système industriel concerné et augmente la vitesse de réaction en cas d’attaque. Ces outils doivent être complétés par des solutions de centralisation et d’analyse afin de traiter les événements collectés.