L'ANSSI tire la sonnette d'alarme sur la sécurité des systèmes industriels

L'ANSSI tire la sonnette d'alarme sur la sécurité des systèmes industriels A l'occasion des Assises de la Sécurité, Patrick Pailloux a indiqué la création d'un groupe de travail visant à définir les règles de sécurité à mettre en place au sein des systèmes de contrôle-commande industriels.

Lors de la première journée des Assises de la Sécurité qui se tiennent en ce moment à Monaco, Patrick Pailloux, directeur général de l'Agence nationale de la Sécurité des Systèmes d'Information (ANSSI), a tiré la sonnette d'alarme sur le défaut de sécurité des systèmes industriels critiques de type SCADA.

"Faites donc le tour de vos installations industrielles et regardez combien de communications entre des capteurs et automates sont chiffrées et fortement authentifiées", a lancé Patrick Pailloux à l'attention des RSSI. Soulignant la migration à grande vitesse des systèmes de contrôle-commande vers la technologie IP et le manque de vigilance des entreprises envers les dispositifs de sûreté mis en place, le directeur général de l'ANSSI les a enjoint à effectuer plusieurs actions.

Parmi elles, recenser leurs systèmes critiques, lancer des analyses de sécurité, prendre des mesures conservatoires allant jusqu'à la coupure Internet d'une installation, et mettre en place un plan de sécurisation. "Il faut que les équipementiers qui fournissent des systèmes industriels introduisent également des dispositifs alors que cela est rarement le cas", a fait savoir Patrick Pailloux. 

Vers une régulation très probable de la sécurité des SI critiques

À ce titre, l'ANSSI a constitué un groupe de travail avec les représentants des industriels du domaine afin de définir, d'ici la fin de cette année, un ensemble de règles de sécurité qui devront être mises en place au sein des systèmes de contrôle-commande industriels.

Patrick Pailloux a également rappelé les propositions du gouvernement en matière de protection des systèmes critiques. Ces propositions, déjà détaillées dans le Livre blanc sur la défense et la sécurité nationale publié le 29 avril dernier, sont actuellement étudiées par le Sénat. L'Etat devrait ainsi, en cas de vote définitif, être en mesure de réguler la sécurité des SI critiques des "opérateurs d'importance vitale" en ayant notamment la possibilité de fixer les règles de sécurité à appliquer impérativement, auditer ou faire auditer par des prestataires les systèmes labellisés et contraindre les opérateurs à signaler à l'ANSSI tout incident informatique affectant leur fonctionnement.