Pensez vous que :
Les attaques courantes sur la bureautique sont impossibles sur l’informatique industrielle ?
Faux : l’une et l’autre utilisent les mêmes produits et les mêmes protocoles, elles présentent donc le même genre de vulnérabilité ! C’est ainsi par exemple qu’en janvier 2003 le ver Slammer s’est introduit dans les ordinateurs de commande de la centrale nucléaire américaine Davis Besse par une connexion non sécurisée
avec le réseau bureautique. Actuellement se répand le virus Stuxnet, spécialement conçu pour attaquer les systèmes industriels.
Votre système n’intéresse pas les pirates qui prolifèrent sur internet ?
Faux : ces pirates sont en permanence à l’affut des systèmes vulnérables et les détectent pour les attaquer dès que possible.
Vos réseaux d’informatique industrielle sont bien protégés ?
Attention : les accès Wifi ne sont pas toujours tous recensés et sécurisés ; les ordinateurs portables et PDA qui se connectent occasionnellement au système de contrôle des processus, les clés USB qui y sont parfois introduites peuvent introduire un code malveillant qui n’est pas immédiatement détectable. Les disques durs des systèmes lorsqu’ils sont mis au rebut peuvent être récupérés.
Aucune attaque interne n’est à craindre ?
Faux : les employés peuvent causer des dommages importants s’ils sont mal formés, inconscients ou négligents. Des employés mécontents ou soumis à des pressions externes peuvent aussi commettre des malveillances.
Les systèmes de commande et de contrôle des outils industriels s’appuient maintenant largement sur les mêmes produits que l’informatique générale : systèmes d’exploitation, bases de données, protocoles de transmission : ces produits comportent des vulnérabilités, régulièrement exploitées par les attaquants. De plus en plus les réseaux industriels comportent des liaisons sans fil et sont connectés à l’informatique de gestion et à travers elle à l’Internet : tout ceci ouvre de nouveaux points d’entrée pour des attaques de nature diverses (espionnage, piratage, sabotage, voire terrorisme…).
Comment se protéger ?
La protection de l’informatique industrielle doit s’inscrire dans le cadre de la politique de protection du patrimoine de l’entreprise, de ses employés et de son environnement. Elle implique donc une analyse des risques pesant sur l’ensemble des activités de l’entreprise, une prise de conscience de tous les responsables et leur implication, ainsi que la sensibilisation de tous les employés. Comme dans toute démarche de sécurisation, il faut donc :
- analyser les enjeux;
- identifier les points sensibles et les systèmes qui doivent être protégés (pour leur confidentialité, la disponibilité de processus, l’intégrité de paramètres techniques…);
- identifier les menaces et évaluer les vulnérabilités;
- déterminer une architecture de sécurité adaptée aux risques;
- prévoir les mesures d’accompagnement de sécurité physique des locaux, du personnel, des procédures…
- faire le bilan des risques résiduels.
- Il faut également développer des procédures d’alerte et d’intervention en cas d’incident, sensibiliser et former le personnel, analyser les risques induits par les sous-traitants, les partenaires, les clients, les fournisseurs…
Jean-François PACAULT, ingénieur général de l’armement, Chef du Service de la sécurité des technologies de l’information et de la communication rataché au Ministère de l’Économie, de l’Industrie et de l’Emploi.
