Philippe Bernard (RSSI - MBDA) "Il est presque impossible de se protéger contre des attaques comme Stuxnet"
Protection des systèmes Scada, prévention contre la fuite de données très sensibles, contre les logiciels espions... Les défis de la sécurité IT du vendeur de missiles sont aussi complexes que nombreux.
JDN Solutions. MBDA est l'un des plus gros producteurs de missiles au monde. Comment protégez-vous vos systèmes critiques, et notamment les Scada ? Sont-ils reliés à Internet ?
Philippe Bernard. Nos systèmes Scada ne sont pas directement reliés à Internet, mais ils appartiennent à un réseau sécurisé qui peut, lui, être connecté à Internet. Plusieurs filtres et pare-feu font office de protection pour nos systèmes Scada au sein de ce réseau sécurisé.
Des authentifications sont nécessaires pour sortir de ce réseau, et personne ne doit pouvoir y rentrer depuis l'extérieur. Dans ce réseau sécurisé, la navigation Internet est également évidemment très restrictive, en termes de volume de débit et de destination.
Quelle est votre politique de sécurité pour les clés USB et autres supports amovibles ? Les interdisez-vous dans ces réseaux très protégés ?
L'usage des clés USB est autorisé, mais se fait sous le contrôle d'un logiciel de protection de périphériques. Au sein de nos réseaux les plus critiques, qui restent isolés, et où l'on se doit de tout maîtriser, tous les supports amovibles sont interdits sauf ceux que l'on autorise : nous fonctionnons donc via le système de liste blanche.
Sur le reste du système, moins critique, l'utilisation d'une clé se fera sous le contrôle de l'utilisateur, qui devra confirmer la connexion de la clé sur le système. Il doit en avoir bien conscience. Nous avons également interdit l'Autorun sur les clés USB.
Nous mettons à disposition des utilisateurs les clés USB à utiliser, qui sont bien évidement chiffrées.
"Notre sécurité ne peut être parfaite"
Le scénario Stuxnet qui s'est déroulé dans les centrales nucléaires en Iran n'est donc pas envisageable chez vous ?
Nos protections et nos procédures limiteraient la probabilité d'occurrence d'un tel scénario chez nous. L'attaque a été extrêmement sophistiquée, extrêmement bien préparée et ciblée sur un type de matériel. Dans l'absolu, il est très difficile de se protéger totalement de ce type d'attaque dans un environnement qui permette encore aux utilisateurs du système d'information d'échanger des données.
Que vous inspirent les récents piratages chez Areva ou Safran. Est-ce que cela a changé vos pratiques ?
Ces actualités m'ont inspiré beaucoup de compassion pour nos confrères. Cela nous a également poussés à resserrer certains boulons, déjà en place. Par exemple, nous avons encore plus limité le nombre d'administrateurs système et règlementé l'utilisation de ces droits. Nous avons également vérifier nos règles sur, entre autres, nos pare-feu Netasq, afin que nos paramétrages limitent les risques de fuites d'informations similaires à celles qu'ont subies Areva, ou Bercy.
Enfin, cela nous a incités à intensifier les campagnes de sensibilisation de nos utilisateurs, pour les avertir que ce type d'attaques était désormais bien réel. Prouver aux utilisateurs qu'il ne s'agit plus de paranoïa leur permet de bien prendre conscience des risques, ce qui est le plus important.
Certains fournisseurs ou même clients prétendent avoir mis en place des solutions leur permettant de pouvoir faire face à des exploitations de faille de type 0 day. C'est votre cas ?
Aucun système n'est sûr à 100%. Pour l'attaquant, tout est une question de moyens et de temps. C'est du moins ainsi que j'envisage la sécurité. Nous devons aussi trouver des infrastructures et des processus de sécurité en adéquation avec les attentes et besoins du business de la société. Nous ne devons pas les bloquer.
En outre, si notre sécurité ne peut être parfaite au niveau des outils, il faut insister sur le rôle que les utilisateurs jouent dans la sécurité : en appliquant les bonnes pratiques et en nous faisant notamment remonter les incidents, ils peuvent nous être très utiles. Nous avons récemment mis en place un SOC [Security Operation Center, centre de supervision et d'administration de la sécurité NDLR]. Ce SOC a comme objectif de s'adapter à l'évolution des menaces.
Avez-vous réussi à mettre en place les délicates solutions de prévention de perte de données (DLP), pour empêcher la fuite d'informations sensibles ? Ces solutions sont parfois assimilées à de véritables usines à gaz...
C'est vrai. Ce sont des solutions qui demandent beaucoup d'énergie. Je pense que nous ne sommes pas encore tout à fait matures pour déployer une telle solution. En outre, mettre en place une solution de DLP est lourd et demande de la part des utilisateurs beaucoup d'investissement, en termes de temps notamment, ce qui n'est pas souhaitable en ce moment.
La sécurité informatique a beaucoup changé ces dernières années. Nous sommes passés du paradigme "château fort" à celui d' "aéroport" , soit un espace sécurisé et surveillé où la circulation se fait en fonction de l'identité dans les zones sécurisées.
"Les serveurs virtualisés peuvent être plus sécurisés que des serveurs physiques"
Quelle est votre politique en matière de Cloud Computing ?
Cela fait presque dix ans que nous utilisons ce qui peut être aujourd'hui appelé Cloud Computing privé : mais à l'époque, nous appelions cela intranet. Le marketing a appelé cela différemment aujourd'hui. Cela fait des années que nous sécurisons ces systèmes. Nos applications techniques et de gestion opèrent déjà dans ce que nous pourrions appeler un Cloud privé.
Aujourd'hui, une partie de nos serveurs sont virtualisés. La virtualisation permet de mettre rapidement en service un serveur, et de créer des environnements de test facilement.
Les bonnes pratiques de sécurité ont été appliquées et les risques résiduels liés à la virtualisation ont été acceptés. Avec des administrateurs bien formés à ces technologies, les serveurs virtualisés peuvent même être globalement plus sécurisés que des serveurs physiques.