Dans un climat exacerbé par les tensions politiques internationales et les
risques liés au terrorisme, la sécurité des infrastructures critiques des
pays est naturellement un sujet de préoccupation.
Le sujet a été remis au gout du jour en 2007, avec notamment
la communication par la CIA de cyber-attaques dirigées contre des systèmes
de gestion de l'énergie de plusieurs états. Le Club de la Sécurité
Informatique Français (Clusif) s'est penché à son tour sur cette problématique
au travers d'une conférence consacrée à la sécurité des systèmes SCADA (Supervisory
Control And Data Acquisition), et notamment à ceux de l'électricité et de
l'eau en France.
 |
|
|
Prise de contrôle de la signalisation des trains en
Pologne
|
|
Ces systèmes informatiques sont exploités pour piloter, réguler, acheminer
des fluides ou des informations de contrôle ou de signalisation. Les SCADA se
retrouvent donc notamment dans les secteurs de la production, du transport et
de la distribution énergétique, le traitement de l'eau et sa distribution, ou
encore les systèmes d'oléoducs et de gazoducs. Dans une acceptation plus large,
ils englobent aussi l'informatique industrielle des entreprises, parmi lesquelles
figurent donc des PME.
Or, ces systèmes, pensés pour être robustes aux défaillances et non aux
malveillances, se sont progressivement ouverts aux technologies IP et interconnectés
avec le reste du réseau des entreprises. "Il n'est donc pas rare encore que
la supervision des environnements SCADA ne soit pas dans le spectre de la
sécurité des systèmes d'information, mais confiée uniquement à un responsable
de production", rappelle le président du Clusif, Pascal Lointier.
| Des cas multiples de pannes et aussi de malveillances
|
Les impacts pour l'entreprise liés à une défaillance ou une malveillance
sont pourtant souvent conséquents : dommages corporels, coût financier,
pollution, engagement de la responsabilité civile vis-à-vis de tiers, préjudice
d'image et de notoriété, etc.
Plusieurs événements ayant trait à ces risques ont été recensés, majoritairement
aux Etats-Unis :
» Le ver Slammer pénètre un site nucléaire dans
l'Ohio (2003)
» Une erreur de commande conduit à une contamination
accidentelle des eaux d'une ville dans le Michigan faisant des dizaines de victimes
(2007)
» Des salariés prennent le contrôle du système
de signalisation des feux en Californie provoquant de graves perturbations (2007)
» Un administrateur réseau d'un système d'approvisionnement
en eau se rend coupable de sabotage en Californie (2007 et 2000 en Australie)
» Un jeune polonais grâce à une prise de contrôle
provoque le déraillement de quatre wagons (2008)
Les cas sont multiples, même si nombre d'entre eux ne visent pas directement
une infrastructure, comme c'est le cas pour la propagation de vers (Slammer,
SoBig, Zotob). Toutefois, ces systèmes d'information peuvent aussi être exploités
pour des actes de malveillance. La sécurité des infrastructures SCADA passe
donc par la prise en compte des risques liés au facteur humain. Ces risques
semblent donc militer en faveur d'un englobement de cette informatique industrielle
dans la sécurité des SI.
