Cybersécurité des installations industrielles: défendre ses systèmes numériques

Article réservé aux abonnés

Paru en juillet, l’ouvrage « Cybersécurité des installations industrielles: défendre ses systèmes numériques » concerne toutes les sortes d’installations industrielles « fixes »: réseaux énergétiques, ferroviaires, usines de production de biens ou d’énergies, système de gestion technique des grands ouvrages comme les ports ou les aéroports. Il ne traite pas des installations mobiles et de leurs systèmes embarqués à bord des navires, des automobiles ou des avions. « Si (ces derniers) partagent nombre de caractéristiques avec les systèmes dont il est question dans cet ouvrage, ils n’y font cependant pas l’objet d’un traitement particulier », préviennent les auteurs. Ceux-ci sont tous directement impliqués dans la cybersécurité chez Airbus, ANSSI (Agence nationale pour la sécurité des systèmes informatiques), Areva, DGA ministère de la Défense, EDF, Schneider Electric ou Siemens. Si cet ouvrage de référence s’adresse à un lectorat « multiple » (ingénieurs, élèves ingénieurs, professionnels de la cybersécurité), il est toutefois destiné à un public disposant d’un certain niveau de connaissances.

Certaines installations mobiles peuvent cependant être assimilées à des installations fixes dont certains éléments sont physiquement éloignés les uns des autres et utilisent des réseaux sans fil pour communiquer. La sécurisation des réseaux industriels dits « étendus » (distants les uns des autres) fait l’objet d’un chapitre complet; le « sans-fil » ajoutant une vulnérabilité supplémentaire. Un navire s’assimile assez bien à un réseau industriel dont certains éléments peuvent communiquer « sans fil » avec d’autres réseaux, par nature éloignés. Si en plus ces éléments utilisent la solution plus économique qui est le protocole IP, « vecteur de cyberattaque mieux connu que les protocoles industriels », les vulnérabilités s’en trouveront augmentées.

Les mythes de la protection industrielle

Le premier chapitre tente de démonter les « mythes » qui ont empêché le secteur industriel de réellement prendre en compte le risque de cyberattaque.

Première croyance: personne ne s’attaque aux systèmes numériques industriels. Depuis l’attaque de la station d’épuration de Marooshy Shire en Australie par un ancien employé mécontent d’un sous-traitant, cette certitude n’est plus de mise. Plusieurs centaines de milliers de litres d’eau usée se sont retrouvées dans la nature. Les auteurs citent d’autres exemples, mais le plus utile à la prise de conscience du secteur industriel a été le vers Stuxnet. Véritable acte de « sabotage », ce programme a complètement perturbé le fonctionnement des centrifugeuses utilisées par l’Iran pour enrichir l’uranium.

Deuxième mythe: les systèmes numériques industriels sont « isolés »: l’attaque de Stuxnet a montré la faiblesse de croyance. Il faut cependant bien distinguer l’isolation complète d’un système qui n’a jamais existé et « l’absence de connexion réseau permanente ». Celle-ci était de mise il y a quelques années. Mais cela n’empêchait pas des connexions « temporaires » par PC de maintenance, par exemple. En outre, « aujourd’hui, il devient de plus en plus rare de trouver des systèmes numériques industriels ne communiquant pas par réseau, par des passerelles et dispositifs de sécurité (dans les bons cas) vers des systèmes de gestion ». Dès 2003, le vers Slammer (taule, prison) trouve son chemin vers un système de supervision d’une centrale nucléaire américaine à l’arrêt par une liaison de maintenance. Une clé USB a, en 2012, infecté les systèmes de contrôle de la turbine d’une centrale électrique américaine.

Troisième mythe, « les protocoles et les systèmes industriels sont incompréhensibles pour les tiers ». Pas de chance, les technologies utilisées actuellement dans les environnements industriels sont désormais « largement » issues du monde internet. De nombreux systèmes de contrôle « tournent » sur Windows ou Linux.

D’autres croyances sont ainsi mises à mal pour inviter le secteur industriel à prendre en compte l’étendue du problème. Les auteurs ne citent cependant pas le seul exemple portuaire connu de prise de contrôle malveillant à Anvers. Son système d’informations de place portuaire avait été infiltré pour permettre de faire « disparaître » des conteneurs contenant de la drogue, après leur débarquement.

L’histoire remonte aux années 1930

Le non-spécialiste trouvera son compte dans « l’histoire de la malveillance par vecteur numérique ».

Les dangers des prétendues « nouvelles » technologies de l’information et de la communication ont une lointaine origine. Dès 1939, J. Von Neumann, un des pères fondateurs de la cybernétique, souligne la « possibilité pour un programme de prendre le contrôle d’un autre programme ». Dès les années 1960, avec le programme Core War, la plupart des mécanismes viraux et antiviraux connus aujourd’hui font leur apparition: la destruction, la furtivité, l’injection de codes, l’arrêt de processus, entre autres, sont à peu près maîtrisés. En 1971, le programme Creeper (liane, plante grimpante) devient le premier vers « gentil » de l’histoire. Sur les écrans des systèmes infectés s’affiche alors « I’m the creeper: catch me if you can ». Rien d’autre. En 1982, un étudiant de 15 ans écrit le premier code viral qui affiche un poème sur l’écran, expliquant son procédé d’autoréplication. Quatre ans plus tard, deux frères développement un autre code, « Brain » qui se propage via les disquettes 5’1/4. D’autres virus sont développés plus par jeu que par volonté de porter atteinte aux systèmes. La réparation et/ou le nettoyage de ces derniers coûte cependant quelques millions de dollars à chaque fois: 8 M$ du fait de l’IBM Chrismas Tree, 15 M$ avec Morris Worm (1988). C’est dans les années 2000 que les motivations changent et que la malveillance fait son apparition. Le livre consacre plusieurs pages aux différentes boîtes à outils disponibles pour perturber ou infiltrer un système, voire en soutirer des informations sensibles. Le développement de l’usage d’internet par des systèmes professionnels facilitant grandement la tâche des hackers dont le profil a, lui aussi, évolué. Ces « passionnés d’élégance technique » dont l’honnêteté intellectuelle est une valeur centrale, ont disparu.

« Cybersécurité des installations industrielles: défendre ses systèmes numériques » est paru chez Cépaduès Éditions, 111, rue Nicolas Vauquelin, 31100 Toulouse.

Tél.: 05 61 40 57 36

Web: www.cepadues.com

(ISBN 978-2-36493-168-8)

Politique & réglementation

Règlementation

Boutique
Div qui contient le message d'alerte
Se connecter

Identifiez-vous

Champ obligatoire Mot de passe obligatoire
Mot de passe oublié

Vous êtes abonné, mais vous n'avez pas vos identifiants pour le site ?

Contactez le service client abonnements@info6tm.com - 01.40.05.23.15