Toujours très attendu, le discours d'ouverture de Patrick Pailloux, directeur général de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) a été moins brutal que l'année dernière avec les DSI et RSSI présents. Il a même commencé par les remercier d'avoir pris conscience des problèmes notamment à travers le guide d'hygiène publiée par l'ANSSI. Certes, il a réitéré son opposition au BYOD en soulignant « ce n'est pas à un employé de dicter sa loi dans l'entreprise », mais devant la multiplication des terminaux personnels, il laisse le soin aux entreprises de mettre en place des solutions de sécurisation.

Des inquiétudes sur la sécurité systèmes industriels


Mais le grand sujet de cette année, c'est la sécurité des systèmes industriels ou SCADA.  Ces derniers gèrent des systèmes de production de plusieurs entreprises et notamment de celles qui détiennent des infrastructures d'importance vitale. « Ces systèmes de commande et de contrôle bascule dans le monde de l'IP, ils se connectent sur le web avec tout ce que cela implique », précise Patrick Pailloux. Il a fortement insisté sur « la différence entre la sûreté de ces systèmes qui contrôlent les défaillances et la sécurité qui prévient les malveillances » et de citer l'exemple des capteurs qui peuvent avoir des problèmes et, là on est dans la réparation, alors qu'une modification des paquets n'entraine pas de dysfonctionnement technique mais constitue une atteinte à l'intégrité du système. « Plus le temps passe et plus nous sommes inquiets.

La menace peut venir de partout : des Etats mais aussi d'équipes très réduites. Il suffit de dix personnes avec dix ordinateurs pour créer une petite armée ». Un constat confirmé par les experts en sécurité. Pour Laurent Heslault, directeur des stratégies de sécurité chez Symantec, « Les pirates réalisent de la R&D sur les SCADA au point de trouver  sur des sites warez des logiciels de pilotage de système Siemens ou Schneider ». Des outils de recensement des adresses IP sont déjà disponibles sur le net comme Shodan HQ. Isabelle Dumont, directrice marketing de la division industrie de Palo Alto Networks, a également souligné que « les systèmes SCADA ne sont pas gérés par les divisions IT, mais par des divisions métiers qui visent la haute disponibilité plutôt que la sécurité ».

Une volonté politique affirmée


Et ce dialogue va être nécessaire dans les mois à venir, le DG de l'ANSSI ne cache pas « qu'il y a du travail et qu'il va falloir se retrousser les manches ». En premier lieu, l'agence a créé un groupe de travail avec les équipementiers pour analyser et recenser les vulnérabilités. Ce travail devrait donner lieu à des recommandations d'ici à la fin de l'année. Il est aussi aidé par la loi de programmation militaire qui a suivi le Livre Blanc sur la défense. Cette loi actuellement en débat au Sénat précise dans son article 15  « des obligations que le Premier Ministre peut imposer aux opérateurs d'importance vitale en matière de sécurisation de leur réseau, de qualification de leurs systèmes de détection, d'information sur les attaques qu'ils peuvent subir et de soumission à des contrôles. »

L'ANSSI a recensé une centaine d'opérateurs d'importance vitale dans 12 secteurs spécifiques (transports, aéronautiques,  banque, télécom, énergie, santé, ...). Patrick Pailloux a précisé que le traitement se fera secteur par secteur, « certains sont plus délicats, d'autres vont plus vite comme les télécoms où la régulation est plus en avance notamment sur l'obligation d'information en cas de problème de sécurité ». Il rappelle que cette question de sécurité des systèmes industriels est une priorité nationale, « un Etat doit se préoccuper de cette question sinon ce n'est plus un Etat. Il doit protéger les citoyens », conclut le dirigeant.