de Vincent Champain
Chacun se fait à l’idée d’être cambriolé une fois dans sa vie. Beaucoup ont déjà été atteints par un virus informatique. Mais qui accepterait qu’une centrale nucléaire soit piratée ou que l’on prenne le contrôle à distance de sa voiture au milieu de l’autoroute ? Et pourtant, plusieurs millions de véhicules devront être rappelés à la suite du piratage à distance d’une voiture par deux hackers en juillet dernier. En 2013, c’est la compagnie pétrolière Aramco qui a été la cible du virus Shamoon. En 2010, le virus Stuxnet s’attaquait à des centrifugeuses nucléaires.
Alors que l’industrie se numérise, les données industrielles deviennent un actif à préserver. Le savoir-faire prend la forme d’algorithmes, plus faciles à copier que ne l’est l’expérience d’un ingénieur. Pourtant, le niveau de prévention des risques de sécurité informatique industriel reste loin de celui que m’on a atteint, par exemple, pour les risques sanitaires. Le moindre restaurant est soumis à des normes précises de propreté alors que beaucoup d’installations industrielles reposent encore sur des équipements inadaptés ou anciens (par exemple, des routeurs dépassés dont les failles sont connues), et les tests d’intrusion informatique sur sites industriels révèlent encore des vulnérabilités dans la majorité des cas. Et quand ces menaces sont prises en compte, les réponses qui y sont apportées sont souvent inadaptées. Beaucoup se contentent de renforcer un maillon de la chaîne de sécurité en négligeant des maillons plus vulnérables – à commencer par les utilisateurs. Or le virus Stuxnet s’est propagé via des clefs USB autant que par Internet. De même, le risque d’intrusion par une puissance étrangère pousse beaucoup d’entreprises à se concentrer sur le choix d’un cloud « national » plutôt qu’à un audit fin des moyens permettant de réellement sécuriser leurs données. Or stocker à l’étranger des données correctement cryptées (par exemple, avec une double clef dont une n’est pas partagée avec l’hébergeur) présente peu de risques. Inversement, un cloud national situé en fin de ligne d’une chaîne mal sécurisée n’est rien de plus qu’une ligne Maginot virtuelle.
La sécurité industrielle a ses spécificités. Les données qui y circulent y sont souvent plus homogènes, ce qui rend plus facile la détection automatique de séquences pouvant révéler une intrusion. La valeur intrinsèque des données est souvent plus faible que pour les données de consommation : un bon échantillon de données suffit souvent à cerner les caractéristiques physiques d’un équipement, alors que les mégadonnées de la grande consommation visent à l’exhaustivité pour cerner le comportement du client, qui présentera plus de diversité que des équipements sortis d’une même chaîne. Enfin les domaines industriels sont variés – de la centrale nucléaire au stimulateur cardiaque – et souvent basés sur des développements spécifiques : l’ex-salarié qui en connaît les détails sera une menace plus probable que l’étudiant hacker.
Malgré ces spécificités, les principes de sécurité qui ont fait leur preuve s’appliquent dans l’industrie. D’abord, le fait de prendre la sécurité au sérieux : les méthodes « naïves » (comme la sécurité par l’obscurité, supposant que des machines au fonctionnement peu documenté sont plus sûres) sont peu efficaces, alors qu’il existe de nombreux standards ou équipements qui garantissent immédiatement le meilleur niveau de sécurité. Ensuite, la nécessité d’une vision « holistique » de la sécurité pour colmater tous les points de la chaîne de vulnérabilité, machines et individus. Enfin, l’importance de proportionner les moyens de sécurité aux risques alors que le sous-investissement (des sites critiques vulnérables) cohabite souvent avec le surinvestissement (par exemple, un cloud privé coûteux et peu sécurisé plutôt qu’un cloud public crypté).
En sécurité industrielle comme ailleurs, il est facile de voir la cause des problèmes à l’étranger et le repli national comme solution. La vérité, c’est que la situation est généralement inverse : la menace vient le plus souvent de plus près – concurrents proches ou ex-salariés – et alors les solutions les plus efficaces sont celles qui ont passé avec succès l’examen d’une large communauté mondiale d’utilisateurs et de chercheurs.