Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

L’informatique industrielle, cette oubliée

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Si la sécurité de l’informatique de gestion est bien comprise, les réseaux et outils de production sont en revanche souvent les grands délaissés de la SSI. Manque d’outils, manque de visibilité et fabricants peu soucieux de la sécurité : les raisons d’un désamour.

FIC 2010, Lille. La conférence consacrée à la sécurité de l’informatique industrielle, « talon d’Achille de l’entreprise » aura permis de donner un coup de projecteur à un domaine souvent délaissé de la SSI. Pour l’ANSSI, venue présenter des retour d’audits de systèmes SCADA, le monde de l’informatique industrielle est à la fois similaire et très différent de l’informatique de production. Très similaire, parce que dans les plupart des cas problématiques notés par l’agence lors de ses audits, la cause était un le manque d’application des correctifs.

Mais très différent, surtout, parce qu’il peut-être beaucoup plus compliqué, voire impossible, d’appliquer les-dits correctifs. « Il s’agit parfois de matériels conçus pour fonctionner 24/24, dont le redémarrage est difficile. Et puis la sécurité a rarement été prise en compte à la conception de ces solutions, installées il y a plusieurs années et conçues pour fonctionner dix, quinze ou vingt ans », explique Victor Vuillard, Chef du bureau inspection à l’ANSSI. Et d’expliquer en outre que dans le monde de l’informatique industrielle, les consoles de gestion centralisées et les systèmes de distribution de correctifs sont encore des raffinements inconnus.

Ces systèmes, pourtant, migrent de plus en plus massivement vers des technologies « off-the-shelf » (Windows embarqué, notamment). De récentes infections d’outils improbables (automates industriels, distributeurs de billets, balances de pesée) auraient ainsi parfois permis à des responsables informatiques de découvrir qu’ils avaient du Windows là où ils ne le soupçonnaient pas.

« Côté réseau, ces solutions peuvent être connectées par radio, Wifi, voire DECT et il est donc difficile de protéger le périmètre : la sécurité doit-être au niveau de l’équipement final, ce qui n’est pas toujours possible car les équipementiers ne sont pas dans cette optique », poursuit Victor Vuillard.

C’est là qu’apparaît en effet le calvaire du responsable sécurité tenté de se pencher sur son réseau et ses outils de production : ces équipements ne pas toujours conçus pour assurer un niveau de sécurité décent (le support de mots de passe fort n’est pas toujours au rendez-vous), ni être administrés, voire encore moins mis à jour facilement. Et pour enfoncer le clou, l’un des participants nous confiait également en aparté son impuissance face à des solutions industrielles qui, pour fonctionner, exigent un accès ouvert en mode administrateur sans mot de passe sur un poste Windows.

Une fois cerné le problème, se pose la question du risque. Après tout, sans risque avéré, les équipements industriels peuvent bien rester sans protection, non ? Mais il y hélas là aussi de quoi dire. Et c’est Pascal Lointier, avec sa casquette de Président du CLUSIF, qui s’y collait. Il a démontré, à l’aide de quelques exemples d’attaques contre de tels équipements, que l’impact peut-être particulièrement sévère : destruction à distance de deux groupes électrogènes, prise de contrôle du système de ventilation d’un hôpital (avec à la clé l’évacuation du bâtiment si la ventilation venait à être coupée), prise de contrôle de feux de circulation à Los Angeles (quatre jours de panique), prise de contrôle du système de régulation du PH de l’eau potable publique (brûlures mineures)… les exemples ne sont donc pas isolés.

Dernier volet du problème, enfin, la réponse. Et c’est ici que la bât blesse. Pour l’ISA France, Jean-Pierre Hauet, est venu présenter un projet de norme de sécurité pour les SCADA (ANSI/ISA-99.02.01-2009, Security for Industrial Automation and Control Systems: Establishing an Industrial Automation and Control Systems Security Program). Mais si l’initiative est bonne, et qui plus est conduite sous de bons auspices, elle n’en parait pas moins un peu décalée par rapport au besoin primaire, qui demeure tout simplement de pouvoir déjà gérer ces systèmes. Et pour cause : lorsque Jean-Pierre Hauet parle de recenser les équipements critiques, de les rassembler par zone fonctionnelle et d’y mener une analyse de risque classique (impact, survenance…), c’est en fait ISO 27001 qui se apparaît en filigrane. Mais espérer appliquer l’équivalent d’un processus ISO 27001 à des équipements sur lesquels il n’y a que très peu de contrôle effectif demeure utopique, considérant que c’est déjà un projet peu trivial sur un SI parfaitement maîtrisé ! Certes, l’intervention de José Patrick Boe, Responsable sûreté de l’information, Michelin, a permis d’aborder quelques bonnes pratiques, notamment en terme d’architecture. Mais c’est encore loin d’une pratique formelle comme peut l’amener un processus ISO 27001 par exemple.

Loin de faire avancer le sujet, la conférence laissera, en définitive, plutôt un goût de « pas assez ». Mais elle aura eu le mérite de mettre mis l’accent sur l’informatique de production, souvent grande oubliée de la SSI. Oubliée, négligée, et pourtant, c’est bien elle qui peut – par ses défaillances – probablement nuire le plus directement à l’entreprise.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

3 réponses à L’informatique industrielle, cette oubliée

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.