L’autre information du discours de Patrick Pailloux à l’occasion des dernières Assises de la Sécurité, c’était l’inquiétude du gouvernement face à la vulnérabilité des systèmes informatiques industriels.

Certes rapidement occultée par le débat autour de la mobilité et du BYOD, cette partie n’en demeure pas moins essentielle. Patrick Pailloux ne propose sur ce volet aucune nouveauté, ni aucune annonce en primeur. Mais il rappelle que l’ANSSI a déjà publié un guide sur le sujet et qu’il serait dommage de passer à côté.

Le problème, toutefois, n’est pas ici : c’est surtout que l’informatique industrielle semble avoir du mal à sortir de l’âge de pierre, ce qui rend de toute manière inutile tout discours sur l’hygiène élémentaire !

« Le sujet (de la sécurité des SCADA, ndlr) nous inquiète énormément. Et l’exemple d’Aramco n’est pas là pour nous rassurer« , explique le Directeur Général de l’ANSSI. Et de poursuivre en précisant qu’un tel acte de sabotage est particulièrement simple à mener, largement plus facile qu’une opération d’espionnage de type APT.

Ses préconisations sont alors particulièrement claires :

• Les entreprises qui exploitent des systèmes informatiques industriels n’ont « pas le choix » (et il insiste !) : elles doivent vérifier l’isolation de ces réseaux vis-à-vis d’Internet et si celle-ci n’est pas parfaite, les déconnecter purement et simplement.
• Pour les éditeurs de solutions industrielles, il est « presque criminel » de ne pas respecter des règles élémentaires de sécurité dans leurs produits (placer des mots de passe par défaut en dur, par exemple).