Thales et Schneider Electric : un accord pour sécuriser les opérateurs d' importance vitale (OIV) sous SCADA

 

Thales et Schneider Electric : un accord pour sécuriser les opérateurs d' importance vitale (OIV) sous SCADA

Que se passerait-il si demain un gouvernement se trouvait victime d'un cyber-chantage suite à la pénétration ou la menace d'un cyber-missile sur une centrale nucléaire via des cyber-mercenaires payés par un autre Etat ?

 

Le 2 octobre, à l'occasion des Assises de la sécurité qui se tiennent à Monaco jusqu'au 4 octobre 2013, Thales et Schneider Electric annoncent le deploiement de services communs pour protéger les systèmes industriels. Ces systèmes sont au nombre de cinq : télésurveillance est acquisition de données, (SCADA Supervisory control and data acquisition), gestion de l'énergie, contrôle machines et processus, gestion technique du bâtiment et gestion des infrastructures de centres de données. Ces services communs proposé par les deux industriels français seront destinés aux Opérateurs d'importance vitale (OIV) acteurs identifiés par le Code de la Défense ainsi qu'aux clients industriels et de défense. Dans un premier temps, seules les entreprises françaises se verront proposer ces services. On pense à certaines unités de « production » propres aux industriels tels que AREVA, EDF de stransporteurs de type SNCF, AIR FRANCE ou bien encore des Ministère comme celui de la Défense... Cet accord intervient alors que l'actualité politique met en lumière l'indispensable nécessité de « cyber-sécuriser » les OIV alors que ces derneirs étaient largement prévenus depuis des années des vulnérabilités importntes de leurs ystèmes industriels notamment. Pourquoi maintenant alors ? Pour quatre raisons expliquent Thomas Hutin de chez Thales et Etienne Semichon pour Schneider Electric. La première c'est que les OIV sont identifiés politiquement et surveillés au niveau de leur sécurité par plusieurs administration dont l'ANSSI (cf Encadré). La deuxième raison de ce rapprochement s'explique par la montée croissante des interconnexions des systèmes industriels et de gestion des automatismes et processus via Internet, ce qui suppose davantage d'exposition aux risques que lorsque ces derniers demeuraient autonomes. La troisième raison et d'ordre technique et économique. Afin de limiter les coûts, la plupart de ces systèmes industriels migrent vers le protocle IP utilisé depuis plus de 50 ans dans les systemes informatiques de « gestion » via la pile de protocoles TCP/IP. Du coup, les cyber-assaillants se retrouvent en terrain connu pour exploite via des vulnérabilités et au moyen de cyber-attaques ciblées les systèmes propres aux Centrales nucléaires, opérateurs de transports, centrales énergétiques... Enfin, la quatrième raison tient a un mot : Stuxnet, le fameux cyber-missile qui piloté par une ou plusieurs puissances hostiles à l'Iran a attaqué en 2011 une usine d'enrichissement d'uranium en modifiant les « codes numériques » des process qui géraient les centrifugeuses. Nous entrons là a une autre niveau, celui de la cyber-défense du cyber-espace. Un sixième continent qui s'avère éminemment stratégique. Que se passerait-il si demain un gouvernement se trouvait victime d'un cyber-chantage suite à la pénétration ou la menace d'une cybermissile sur une centrale nucléaire via des cyber-mercenaires payés par un autre Etat ? Vouloir sécuriser les « systèmes et automatismes industriels » c'est bien. Restent les obstacles. Au sein des entreprises, automaticiens et informaticiens se parlent guère s'ils se parlent. De culture différente, ils sont surtout des contraintes autres. L'automaticien est responsable de la production industrielle via les systèmes qu'il supervise. Ces derniers jusqu'ici, restaient relativement à l'abri de cyber-attaques. Les automaticiens ne possèdent donc pas la culture sécurité des DSI / RSSI. Les cycles de vies et la complexité des systèmes SCADA n'ont rien en commun avec ceux des systèmes d'informations gérés par le DSI. Pourtant, automaticiens et informaticiens, à l'image de Thales et Schneider Electric vont devoir s'entendre et collaborer. La sécurité face aux Cyber-Risques le demande, le cadre réglementaire se resserre et les sanctions peuvent bientôt pleuvoir. A tel point qu'aux US, ce sont les cyber-assureurs qqui réglent la note : amende, pertes d'explotation, faris de eRéputation, pertes d'activités.... lorsque ces ssystèmes sont visctimes de leurs « vulnérabilités ». En europe, le rôle croissant joué par les cyber-assureurs va jouer en faveur de ce rapprochement.

Jean Philippe Bichard

 http://cyberisques.com/fr/mots-cles-1/459-assises-de-la-securite-2015-quelques-tendances-pas-toujours-evoquees

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

Protection des systèmes SCADA : l'ANSSI suit le dossier de très près

 

Patrick Pailloux, directeur de de l'ANSSI ne cache pas à l'occasion de confidences faites aux Assises de la sécurité à Monaco sur l'évolution des cyber-risques sur les systèmes industriels de type SCADA « qu'il y a du travail et qu'il va falloir se retrousser les manches ». L'ANSSI a recensé une centaine d'opérateurs d'importance vitale dans 12 secteurs spécifiques (transports, aéronautiques,  banque, télécom, énergie, santé, ...). L'ANSSI a créé un groupe de travail avec les industriels « cyber-défense » afin d'analyser et recenser les vulnérabilités. Ce recenseement sera publié via des recommandations d'ici fin 2013. Ce travail se situe en complément de la loi de programmation militaire qui a suivi la publication du Livre Blanc sur la défense. Actuellement en débat au Sénat, cette loi précise dans son article 15  « des obligations que le Premier Ministre peut imposer aux opérateurs d'importance vitale en matière de sécurisation de leur réseau, de qualification de leurs systèmes de détection, d'information sur les attaques qu'ils peuvent subir et de soumission à des contrôles. ». Patrick Pailloux a précisé que le traitement se fera secteur par secteur, « certains sont plus délicats, d'autres vont plus vite comme les télécoms où la régulation est plus en avance notamment sur l'obligation d'information en cas de problème de sécurité ». Il rappelle que cette question de sécurité des systèmes industriels est une priorité nationale. Les cyber-assureurs l'ont déjà identifié depuis longtemps aux Etats-Unis.

JPB

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires