Sécurité des systèmes industriels : où en est-on ?

En 2014, deux virus, Havex et Blacken, développés pour l’espionnage industriel et le détournement de données, avaient également beaucoup fait parler d’eux.

Ces systèmes dont l’ouverture et la sécurité n’ont pas été pensées lors de leur création, sont des proies aisées pour les cybercriminels, car ils leur ouvrent de nombreuses perspectives en matière de vol de données stratégiques et sensibles, de sabotage industriel, etc.

Face à ce besoin urgent de sécurité, le marché de la protection de ces systèmes industriels est en pleine croissance : selon Markets and Markets, le taux de croissance annuel moyen de la protection des infrastructures critiques est estimé à 9.69 % entre 2014 et 2019.

La sécurité des systèmes industriels (SCADA, ICS) a connu un véritable essor suite à l’affaire Stuxnet. Pour rappel, Stuxnet est un virus découvert en juin 2010, ayant pour objectif d’espionner les systèmes d’information et de reprogrammer certains API (automates programmables industriels) produits par Siemens. Ces derniers sont utilisés notamment dans des centrales nucléaires, la distribution d’eau ou encore les centrales hydro-électriques. Stuxnet aurait infecté plus de 40.000 IPs uniques dans plus de 115 pays. Le graphique ci-dessous permet d’observer qu’environ 60 % des attaques sont à destination de l’IRAN. Selon le livre Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power du journaliste du New York Times David E. Sanger, cette opération nommée « Olympic Games » aurait été commanditée par le gouvernement Bush en coopération avec l’unité 8200 de l’armée de défense d’Israël, dans l’objectif de retarder le programme nucléaire iranien.

(((IMG7957)))

L’affaire Stuxnet a éclairé de nombreuses entreprises sur l’urgence de mettre en place de la sécurité au sein de leur infrastructure industrielle. Et les chiffres montrent bien l’augmentation de ces intrusions : les attaques SCADA ont augmenté de 91.676 en janvier 2012 à 675.186 en janvier 2014 selon le rapport annuel des menaces de sécurité de DELL de 2015. Le nombre de ces attaques continuera d’augmenter dans les prochaines années.

La sécurité industrielle est assez différente des autres secteurs : ce sont rarement des systèmes standards, chaque système ICS étant différent par son environnement. Il n’y a donc pas de réponse clés en main à la sécurisation de ces systèmes d’informations. La demande de plus en plus importante de ces sociétés a poussé la création de produits et services de sécurité spécialisés dans le domaine industriel. La France compte déjà quelques start-up et PME proposant des technologies de pointe en la matière.

(((IMG7958)))

Comme le montre le graphique ci-dessus, plus de 25% des attaques réalisées sur les systèmes ICS utilisent des vulnérabilités par dépassement de tampon (buffer overflow). Ce chiffre peut s’expliquer par les mises à niveau des automates, complexes à réaliser à cause d’une production que l’on ne peut pas arrêter ou à un veto des directeurs de production par peur des impacts opérationnels de ces mises à jour sur le fonctionnement des automates. C’est ainsi que l’on observe un développement important des produits de sécurité « passifs » tels que les sondes d’analyse de trafic ou du cloisonnement réseau nouvelle génération. L’objectif est de ne pas agir directement sur ces équipements industriels, mais de mettre en place une surveillance et une protection en amont.

De même, l’Agence Nationale des Sécurité des Systèmes d’Information (ANSSI) est de plus en active sur ces sujets : dès 2012, elle publiait un « Guide de la sécurité industrielle ». Elle a publié en juillet 2015 des profils de protection pour les équipements et logiciels les plus courants dans les systèmes industriels, produits par le groupe de travail sur la cybersécurité des systèmes industriels de l’ANSSI, qui rassemble éditeurs, industriels et représentants étatiques. Prochainement, un référentiel pour une qualification des prestataires de services en intégration et en maintenance de systèmes industriels sera diffusé. L’objectif est de pouvoir qualifier les compétences des personnes travaillant sur ces sujets industriels, comme c’est le cas actuellement pour les PASSI (Prestataires d’Audit de Sécurité des SI).

L’évolution de notre monde numérique, comme le développement des villes et véhicules connectés, ou des réseaux communiquant (smartgrid) montrent que les systèmes ICS vont devenir de plus en plus présents dans notre quotidien. Il est donc important de prendre en main le problème de la sécurité de ces équipements au plus vite et d’encourager le développement de ces produits de sécurité sur les systèmes industriels.