En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
  • Site internet de réservation pour un hôtel
    < 3 000 €
    > En savoir plus
  • Création d'un site de réservation pour un garage automobile
    < 2000 €
    > En savoir plus
  • Développement d'un logiciel MES pour la 1ère entreprise de l'industrie pharmaceutique en France
    > 50 000 €
    > En savoir plus
Universign_simplifiez process couts_leaderboard

Centrales nuclaires, usines : la vérité sur les menaces des systèmes Industriels

Universign_maitrisez risques signature elec_pave

Par Laurent Hausermann, Directeur Associé de Sentryo 

Derrière le terme générique de “systèmes industriels” se cache une multitude d’environnements, parfois méconnus. Tous présentent une caractéristique commune : ils sont désormais vulnérables aux cyberattaques.

Ces menaces sont-elles aussiSentryo-Laurent Hausermann importantes que les films de cinéma – Hacker – ou les jeux vidéos – WatchDogs – voudraient nous le faire croire ? Tour d’horizon de l’état des menaces qui pèsent sur le monde réel.

“Système Industriel” éveille dans notre inconscient collectif les images du film de Chaplin, les Temps Modernes : des ouvriers à la chaîne, exécutant des tâches répétitives et produisant des pièces mécaniques. En réalité, cette image surannée est totalement fausse. D’abord, parce que les usines modernes sont largement automatisées ; elles évoluent vers un usage massif du numérique. Ensuite, parce que la majorité des services dont nous bénéficions en tant que citoyens sont des systèmes industriels.

Nucléaire, électricité, transports, datacenters

La production et la distribution d’énergie, qu’elle soit nucléaire, éolienne ou hydroélectrique, ou le raffinage et la distribution d’hydrocarbure, sont des systèmes industriels. Mais nos transports publics, les bâtiments intelligents à énergie positive ou encore les datacenters et leurs climatisations essentielles, et donc toujours disponibles, sont aussi des systèmes industriels. Cette expression doit être comprise avec un spectre large: “tout ce qui interagit avec le monde réel”. C’est pourquoi, dans la littérature, l’expression Cyber Physical System est souvent employée.

Un ensemble de réseaux interconnectés, composés d’objets intelligents

Le bon fonctionnement de ces systèmes industriels est assuré par des réseaux sur lesquels on trouve une multitude de composants. Ces automates, instruments, calculateurs ou encore stations de supervision sont de plus en plus intelligents. A titre d’exemple, les derniers débit-mètre — équipements permettant de contrôler le débit d’un fluide dans un process — sont équipés d’une carte électronique faisant tourner Linux et possédant même un serveur web où l’on peut configurer et superviser le composant.

Quand on sait qu’il existe des centaines, voire des milliers, de ces équipements, on touche du doigt l’idée de l’Internet Industriel : un ensemble de réseaux interconnectés, composés d’objets intelligents, de Cyber Physical Systems. L’objectif de ces réseaux, à la différence des réseaux “informatiques” dont l’objet est de traiter de l’information, est de piloter et contrôler un processus physique (contrôle / commande). C’est pourquoi, même s’ils emploient pour partie des technologies identiques, les priorités en terme de protection sont elles très différentes. Chaque partie est animée par un logiciel. Ainsi, l’ensemble de ces objets comportent-ils des failles, des vulnérabilités apportées par ces logiciels.

Ces menaces sont-elles illusoires ? Relèvent-elles uniquement des films hollywoodien à succès ? Dans Hacker, le dernier film de Micheal Mann, la centrale nucléaire de Chai Wan, à Hong Kong, a été piratée et l’insécurité informatique mondiale conduit à l’écroulement des marchés.

Malheureusement, si le piratage total d’une centrale nucléaire relève encore de la fiction, de nombreux exemples réels et concrets nous montrent la réalité de ces menaces.

Le 2ème port européen victime d’une cyber attaque

En 2011, le port d’Anvers a été la cible cyber-attaque d’envergure par une organisation mafieuse de trafic de drogue. Les trafiquants ont recruté des pirates afin de pénétrer les systèmes informatiques qui contrôlent le mouvement et l’emplacement des conteneurs maritimes. Ils cachaient leur butin au départ et, grâce aux pirates, envoyaient des chauffeurs, armés de mitrailleuses, récupérer leur chargement avant que les dockers du port ne les aient débarqués et ouverts. Leurs gains étaient confortables, la police belge a saisi deux tonnes de cocaïne et d’héroïne et une valise bourrée de 1,7 million $.

Même si elle avait été alertée de la disparition de quelques conteneurs, la police belge a pu interpeller les trafiquants uniquement à cause d’une guerre des gangs sanglante. Sans cela, le hack du système industriel du port n’aurait jamais été découvert.

Un oléoduc victime d’une cyber explosion

Majoritairement détenue par BP, l’oléoduc Bakou-Tbilissi-Ceyhan a été construit pour être l’un des plus sûrs au monde. Ce pipeline géant est équipé de centaines de capteurs et de caméras pour surveiller les 1 800 kilomètres. Ces systèmes de sûreté n’ont pas permis d’éviter une explosion, projetant des flammes de 50 mètres de haut et stoppant l’exploitation du pipeline durant 3 semaines.

La communication autour de l’incident a été chaotique. Le gouvernement turc parle d’un accident mais les séparatistes kurdes ont revendiqué une cyberattaque. Les cyber-attaquants ont pris le contrôle du réseau de contrôle commande. Ils ont volontairement leurré les systèmes d’alarmes, coupé les communications externes et augmenté la pression de façon considérable au sein de l’installation. Voilà pourquoi l’explosion n’a pu être identifiée et pourquoi elle a causé autant de dommages matériels.

Si l’incident a été rendu public il y a quelques mois, les faits remontent à 2008.

Sortir de la posture du déni

Face à ces menaces avérées, les responsables d’installations industrielles doivent changer de comportement. Aujourd’hui, ils sont dans la posture du déni : “mon réseau est fermé, rien ne peut m’arriver”. Face à une nouvelle classe de menaces qui nécessite des investissements conséquents, c’est un mécanisme de défense naturel. Cette attitude empêche de démarrer les premiers projets de cybersécurité nécessaires. Plus encore, elle met en danger la sécurité des usagers et en péril la propriété intellectuelle de leurs entreprises.

Les directions générales et leur unité opérationnels se doivent donc de penser rapidement à la cybersécurité de l’ensemble de leur systèmes industriels, qu’il s’agisse de leur outils de production mais aussi de leur infrastructures (bâtiments, datacenter, gestion d’énergie) ou leur produit (conteneurs maritimes, voitures connectés, systèmes embarqués en général).

L’arrivée sur le marché de solutions innovantes, conçues par des startups, devrait permettre d’ouvrir les esprits. Une évolution vers une approche plus pragmatique est attendue, centrée d’abord sur la cartographie des flux du systèmes, l’inventaire détaillé et ainsi, la compréhension des  dépendances et des faiblesses résiduelles. C’est le point de départ à une gestion pérenne de la cybersécurité des systèmes industriels.

Sources :

 Films

Port Antwerp

Pipeline Turquie

Auteur : Jean Kaminsky

Centrales nuclaires, usines : la vérité sur les menaces des systèmes Industriels
Notez cet article

Laisser un commentaire

Gestion des Identités et des Accès : conférence 7 décembre

Journée de conférence et d’échanges sur les nouvelles tendances IAM/IAG/DAG. Un florilège de sessions enrichissantes, animées par les plus grands experts Témoignage Client d’un très large déploiement IAM La Gestion des Identités et des Accès dans le Cloud etc - Hotel Peninsula, Paris.

Info et inscription

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Amazon : Bruxelle veut mettre au pas le géant américain - 250 M € à rembourser

    Bruxelles inflige aujourd'hui une amende de plusieurs centaines de millions d'euros à Amazon, alors que…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • RGPD : à huit mois de la date-butoir, tirez-vous le meilleur parti des atouts déjà en votre possession ?

    Alors que l’échéance de mai 2018 approche à grands pas pour leur mise en conformité avec…

    > En savoir plus...
Etudes/Enquêtes
  • Budgets IT EMEA en 2018 : +4,9% selon Gartner

    A l’occasion de son symposium annuel, qui s’est terminé aujourd’hui, 9 novembre à Barcelone, Gartner…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Global Knowledge_Docker_Skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Livre blanc « Digital Needs Trust " : pour construire ensemble un écosystème digital européen…

    > Voir le livre
  • Les bonnes pratiques pour implémenter une solution de personnalisation

    > Voir le livre
Global Knowledge_Docker_Skycraper