Impossible d’échapper aux débats sur la sécurité des réseaux SCADA ces temps-ci ! Le sujet était d’ailleurs à l’honneur lors de la matinée récemment organisée par notre confrère CNIS Mag. Une table ronde, animée par votre serviteur, y réunissait notamment un collège d’experts ès SCADA tous prêts à débattre du sujet.

Mais quel débat peut-on avoir au sujet de ces réseaux de télésurveillance et d’acquisition de données, vitaux dans le monde industriel ? Finie l’époque où personne dans la galaxie IT ne connaissait le terme. Grâce à quelques attaques bien médiatisées, dont l’incontournable Stuxnet, les SCADA seraient même presque devenus à la mode ! L’importance de ces réseaux de contrôle industriels que l’on connecte désormais volontiers (ou accidentellement) à Internet n’est donc plus matière à débat.

Consensus numéro un : tout le monde est d’accord pour dire que les réseaux SCADA sont critiques.

Un débat sur leur sécurité, alors ? Hélas même avec la pire des mauvaises foi il serait difficile de soutenir la thèse que l’univers SCADA est bien protégé. Les solutions en place le sont souvent depuis de nombreuses années et fonctionnent sur des systèmes conçus parfois sans aucune intention sécuritaire, en tout cas jamais patchés et parfois même dépourvus d’un mécanisme d’authentification digne de ce nom (autre époque, autre univers, autre moeurs…)

Consensus numéro deux : tout le monde est d’accord pour dire que le niveau de maturité des SCADA en terme de sécurité est très bas.

Un débat sur leur mise en oeuvre par les industriels qui opèrent du SCADA, peut-être ? Après tout bien que les solutions elles-mêmes (les RTU / PLC qui contrôlent physiquement les automates ou les logiciels d’interface) soient peu sécurisées, leur opération sur un réseau industriel clairement distinct du réseau bureautique traditionnel devrait limiter les risques, non ? C’est vrai en théorie mais en pratique de nombreux réseaux industriels SCADA se retrouvent au contact d’un réseau bureautique connecté, lui, à Internet. C’est par exemple le cas des sociétés qui produisent et vendent de l’électricité : leur plate-forme de courtage sur Internet doit être au courant (appréciez le jeu de mot) de la production électrique en temps réel. D’autres rapports mentionnent également des systèmes industriels dont la synchronisation de l’heure se faisait via le protocole NTP sur un serveur à l’autre bout d’Internet. Sans parler des ordinateurs portables connectés pour la maintenance ou des logiciels d’analyse et de data mining qui doivent être à cheval sur les deux réseaux.

Consensus numéro trois : tout le monde est d’accord pour dire qu’un réseau SCADA restera difficilement parfaitement isolé d’Internet.

Difficile, donc, de débattre de SCADA sans tomber immédiatement d’accord !

Pour autant les spécialistes invités, dont deux experts du monde médical (car il n’y a pas que l’industrie qui opère du SCADA, les hôpitaux et laboratoires d’analyses médicales aussi !) ont permis de bien saisir toute l’importance du problème : récemment missionné par un fabricant d’outils SCADA pour du conseil sécurité dans le cadre d’un produit en cours d’élaboration, Edouard Jeanson (Sogeti) a ainsi expliqué avoir d’abord consacré plusieurs mois à expliquer aux équipes de développement l’intérêt de faire de la sécurité !

Plus optimiste, Mylène Jarossay, RSSI de l’Institut Curie, estime quant à elle que tout n’est pas perdu : l’affaire Stuxnet a offert aux SCADA une publicité bienvenue et aura réveillé les consciences. Non pas, bien entendu, que le sujet était ignoré des services de l’Etat ou des spécialistes… mais le passage au 20h et sur CNN de Stuxnet aura peut-être motivé certains fournisseurs à renforcer la sécurité de leurs produits. Toutefois, fait remarquer Mylène Jarossay, pour réellement faire avancer les choses il faudrait que les utilisateurs de systèmes SCADA s’unissent afin de rédiger un cahier des charges prenant en compte la sécurité, et menacent de ne plus acheter de solutions faisant l’impasse sur le domaine.

Mais bien entendu, avec des cycles de développement et de vie de plusieurs dizaines d’années l’affaire est loin d’être gagnée ! Un participant issu du monde industriel nous a même avoué, en apparté, bien rire lorsqu’il entend le monde sécuritaire fustiger les automates sous Windows 98 : lui-même en exploite encore sous Windows 3.11…