Depuis plusieurs années, les équipements industriels sont gérés, voire télé-pilotés, par des réseaux informatiques. Les réseaux industriels sont maintenant interconnectés aux ERP et aux dashboards du top management. Cela est très pratique, mais lors de l’intégration de l’informatique dans ces systèmes, une question pourtant primordiale n’a pas été posée : qu’en est-il des risques encourus par les citoyens ?
On a exposé vers l’extérieur des systèmes qui étaient prévus pour être îlotés. Cela a eu pour effet de créer des brèches dans ces systèmes où la sécurité, à la conception, était faible.
Les SCADA (pour Supervisory Control and Data Acquisition : système de supervision industrielle qui traite en temps réel un grand nombre de mesures et contrôle les installations) ne vous sont peut-être pas familiers, mais ils sont pourtant présents dans de nombreuses industries : du scanner des hôpitaux aux centrales nucléaires en passant par les chaînes de production de nos médicaments. Imaginons qu’un groupe terroriste, voulant attaquer la France, profitait de la faiblesse de ces SCADA pour prendre le contrôle des centrales nucléaires du pays ?
Les fonctions vitales de l'Etat mises en question
Le risque est bien réel, puisque de nombreuses attaques sont déjà à déplorer : Marroshy Shire par laquelle plus d’un million de litres d’eaux usées a été rejeté dans la nature ; Stuxnet, le fameux ver utilisé pour ralentir un programme nucléaire et l’attaque par un étudiant du tramway de Lodz en Pologne, ayant provoqué le déraillement d’un des appareils : autant d’exemples d’atteinte à la sécurité des citoyens. Certains d’entre vous se souviennent peut-être aussi de l’équipe qui avait réussi à prendre le contrôle d’une centrale électrique américaine avec une facilité déconcertante.
Le législateur a donc réagi à ce risque. Pour les opérateurs d’importance vitale (entreprises ayant des activités liées aux besoins vitaux de la nation : eau potable, électricité, transports…) c’est l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) qui a légiféré, les obligeant à mettre en place une série de mesures.
Dorénavant, la loi exige que les opérateurs cartographient leurs réseaux industriels et leurs éventuelles connections avec l’extérieur. Ainsi, il sera ensuite possible de mesurer leur degré d’exposition aux risques et corriger les plus importants. Enfin, il est essentiel et urgent, pour chacun des opérateurs, de mettre en place une gouvernance de la sécurité dédiée aux réseaux industriels. C’est par une politique globale que l’ensemble des composantes des SI industriels pourra être mieux sécurisé et par conséquence les citoyens mieux protégés.