Acteurs de l’énergie, du transport, des télécommunications ou encore de la santé, ils sont environ 200 en France à détenir le statut d’Opérateur d’importance vitale, ou OIV. Ces organisations dont l’activité est considérée comme critique pour l’économie du pays, sa capacité à se défendre ou la santé de ses citoyens, sont parmi les principales préoccupations de l’Anssi (Agence nationale pour la sécurité des systèmes d’information). Au fil des années, ces organisations, comme toutes les entreprises, sont devenues de plus en plus dépendantes de leur système informatique. Mais elles sont surtout de plus en plus connectées.
Fonctionnant auparavant en architecture fermée, les systèmes SCADA (Supervisory Control And Data Acquisition) utilisés pour piloter à distance les installations techniques sont aujourd’hui de plus en plus connectés à internet, et donc vulnérables à de nombreuses menaces. Deux exemples récents viennent renforcer ces inquiétudes. En décembre dernier, lors du Chaos Communications Congress de Hambourg, trois chercheurs russes spécialistes de la sécurité des systèmes industriels ont dévoilé les vulnérabilités des systèmes d’aiguillage et de prévention des collisions utilisés dans les chemins de fer. Plus grave encore, un virus informatique serait lié à l’important coupure d’électricité qui a touché 700 000 foyers ukrainiens en fin d’année dernière.
Le danger est donc bien réel. Mais les mesures préconisées par l’Anssi peuvent aider à réduire le risque au maximum.
Les rôles de chacun doivent être clairement établis. Une chaîne de responsabilité doit être mise en place et couvrir l’ensemble des systèmes industriels. Pour les organisations les plus sensibles, l’identité et les coordonnées du responsable de cette chaîne doivent être communiquées à l’autorité de cyberdéfense.
L’analyse de risque constitue le cœur des mesures organisationnelles. Elle est le point de départ de toute démarche de cybersécurité et beaucoup d’autres mesures vont dépendre directement de celle-ci. Les systèmes doivent faire l’objet d’une analyse méthodique et revue régulièrement en collaboration avec un prestataire labellisé.
Une cartographie complète offre une connaissance fine du système et de son environnement. Cela permet d’évaluer rapidement l’impact d’une vulnérabilité découverte dans un produit, de mesurer l’étendue d’une compromission et de résoudre les incidents plus rapidement.
La formation des intervenants est indispensable pour assurer la cybersécurité. La formation devra contenir les éléments de sensibilisation aux risques induits par les technologies informatiques ainsi qu’une présentation de la PSSI (Politique de sécurité du système d’information). Elle devra être formalisée et reconnue par l’entité responsable.
Les audits permettent de vérifier, avant la mise en service, puis régulièrement lors du cycle de vie, le niveau effectif de cybersécurité. L’audit doit intégrer les fournisseurs (équipementiers, intégrateurs, etc.). et porter sur les aspects techniques mais aussi organisationnels. Des tests d’intrusion sont également à prévoir.
La veille permet de se tenir informé du niveau de la menace et des vulnérabilités. La veille va concerner à la fois les produits utilisés, pour effectuer les mises à jour en cas de découverte de faille critique, mais aussi l’évolution des techniques d’attaque.
Les plans de continuité d’activité (PCA) et de reprise d’activité (PRA) doivent répondre à l’ensemble des scénarios d’incident entraînant un arrêt ou une dégradation du service, tels qu’ils ont été identifiés dans l’analyse de risque.
Il peut être nécessaire de mettre en place des procédures d’intervention rapide pour réagir plus efficacement à un incident. L’accès à certains systèmes peut par exemple être temporairement ouvert. Le principe est semblable à celui d’une procédure incendie durant laquelle les portes normalement sous contrôle d’accès s’ouvrent automatiquement. Ces modes d’urgence doivent être particulièrement bien encadrés pour qu’ils ne constituent pas une vulnérabilité exploitable.
Un processus d’alerte et de gestion de crise permet de mettre en place les procédures de réaction aux scénarios d’incident qui ont été identifiés à l’aide de l’analyse de risque.
Les réseaux doivent restés cloisonnés autant que possible. Les interconnexions sont une source de vulnérabilités et il est notamment nécessaire de considérer soigneusement les risques avant d’interconnecter un réseau industriel avec un réseau public.
Des procédures claires et des moyens de protection doivent être mis en place pour encadrer les opérations de télédiagnostic, télémaintenance et télégestion. Elles ne doivent en revanche pas être autorisées pour les sites les plus sensibles.
La mise en place de moyens de surveillance et de détection d’intrusion augmente la visibilité sur le système industriel concerné et augmente la vitesse de réaction en cas d’attaque. Ces outils doivent être complétés par des solutions de centralisation et d’analyse afin de traiter les événements collectés.
Vous pensiez votre PC totalement déconnecté du réseau à l’abri des pirates ? Pourtant son…
Vous pensiez l’impression 3D cantonnée à quelques prototypes en plastique ? En l’espace de quelques…
Tout arrêt de la production informatique ou toute panne sur les postes de travail peuvent…
Laisser son poste de travail librement accessible quand on quitte son bureau peut avoir des…
Les intérêts des interfaces tactiles ne se limitent pas aux petits écrans des smartphones. Sur…
Utilisées dans l’automobile ou l’architecture pour faciliter la conception d’un véhicule ou d’un bâtiment, les…