A Davos, les dirigeants de la planète avertis contre les faiblesses des systèmes Scada
Une étude menée par l'éditeur McAfee et le think tank américain CSIS met en garde contre les lacunes de sécurité des systèmes Scada, conçus pour le pilotage d'infrastructures industrielles ou de réseaux électriques, et utilisés dans nombre d'infrastructures critiques. Un message transmis au gotha mondial réuni au sommet de Davos, qui devrait raviver les inquiétudes des Etats quelques jours après la révélation d'attaques ciblant les entreprises américaines.
Coup de froid sur Davos, où se tient le sommet économique mondial. Alors que plusieurs affaires récentes (piratage de Google notamment, vol d'informations chez trois compagnies pétrolières américaines) ont rappelé aux dirigeants l'acuité de la question, l'éditeur McAfee associé au think tank conservateur américain CSIS (Center for Strategic and International Studies) sort un rapport inquiétant sur la fiabilité des systèmes Scada (Supervisory Control And Data Acquisition, utilisés pour le pilotage d'infrastructures industrielles ou de réseaux électriques, de distribution d'eau, etc.). Dévoilé à l'occasion du sommet économique mondial qui se tient en ce moment en Suisse, ce rapport, basé sur les réponses de 600 responsables informatiques ou de la sécurité travaillant pour des entreprises concernées, montre que ces systèmes ont besoin d'un renforcement de leur niveau de protection. Rappelons, qu'en avril dernier, les systèmes de commande et de pilotage des infrastructures de la grille d'approvisionnement électrique américaine avaient été infiltrés par des pirates. Le gouvernement américain avait alors mis en cause la responsabilité des gouvernements russes et chinois.
France : le gouvernement impose un chek-up |
En France, l'Agence nationale de la sécurité des systèmes d'information (Anssi) tente de juguler les menaces nées des failles des systèmes Scada, en pilotant la mise en place des DNS (directives nationales de sécurité). La démarche, initiée en 2006, consiste à identifier les secteurs critiques pour le fonctionnement du pays, puis, pour chacun, à donner des consignes de sécurité à des opérateurs, publics ou privés, vus comme essentiels et chargés de les mettre en œuvre,. Le plan intègre la plupart du temps un volet système d'information. Dans ce cadre où 241 organisations ont été identifiées par le gouvernement et se voient dans dans l'obligation de mettre en place les DNS, les systèmes de type Scada font évidemment l'objet d'une surveillance particulière. |
Selon le dernier rapport de McAfee (In the Crossfire: Critical Infrastructure in the Age of Cyber War) présenté par le CSIS, dans les pays développés, ces infrastructures sont largement connectées à Internet, mettant les systèmes de pilotage Scada sous la menace constante de cyber-attaques. L'étude montre que, chez les deux-tiers des responsables interrogés (76 %), ces systèmes sont connectés à des réseaux IP ou directement à Internet. Dans la moitié de ces cas, les responsables interrogés soulignent que ce lien pose des questions en matière de sécurité, et que ces questions ne sont aujourd'hui pas réglées.
En 2010, une attaque ayant des conséquences perceptibles pour 4 RSSI sur 10
De facto, les attaques, utilisant différentes méthodes et provenant d'individus ou de groupes organisés, sont aujourd'hui banales pour les systèmes Scada. Ces assauts emploient des méthodes similaires à celles exploitées pour cibler les administrations américaines ou de grandes entreprises. "Je décrirai le niveau de préparation (des entreprises exploitant un Scada, ndlr) comme imparfait et parfois vraiment inconsistant", explique Stewart Baker, un ancien du Department of Homeland Security et de la NSA qui a dirigé l'équipe de recherche du CSIS. "Les mesures de sécurité basiques ne sont toujours pas largement adoptées".
Lors d'une conférence de presse, Stewart Baker a laissé entendre que le problème de la sécurité des infrastructures Scada allait croissant. 40 % des personnes interrogées dans l'étude s'attendent à un incident majeur - une attaque avec des conséquences perceptibles - dans l'année qui vient. Elles sont 80 % à redouter ce type d'incident dans les 5 prochaines années.
Déni de service : en moyenne 6 M$ par jour
La sophistication des attaques est variable. 90 % des responsables IT interrogés expliquent que l'emploi de malware s'avère être la technique la plus fréquemment employée, mais 70 % d'entre eux font état d'attaques variées, incluant le déni de service (DoS), le hameçonnage (phishing) et les fuites de données par les employés. 57 % des entreprises ont aussi eu affaire à des attaques ciblant le DNS et, à peine moins, à des tentatives d'intrusion par injection SQL, un mode opératoire dans lequel les assaillants tentent d'accéder aux systèmes critiques d'une entreprise via son site Web. "Ces résultats sont troublants, mais pas réellement surprenants", commente Adam Rice, responsable de la sécurité de la première société de télécommunications indienne, Tata Communications. "Chacun est marqué par la dernière attaque en date et nous réagissons toujours à la dernière menace connue".
Les attaques DoS à grande échelle, conçues pour interrompre les opérations d'une cible en saturant tous les systèmes reposant sur la connexion au réseau (email, téléphone, etc.), sont moins fréquentes, mais constituent également une menace non négligeable. 29 % des responsables IT interrogés admettent que leurs implantations subissent plusieurs attaques DoS à grande échelle chaque mois ! Un fléau notamment pour le secteur pétrolier et gazier, le plus fréquemment ciblé. Les coûts associés aux interruptions de service qui en résultent dépassent 6 millions de dollars par jour tous secteurs confondus, selon le CSIS.
Des réunions avec le FBI et le Homeland Security... sans résultat
Le rapport suggère, pour les Etats-Unis, une meilleure collaboration entre secteurs public et privé. Un point qu'étudie le législateur outre-Atlantique, selon Asha Matthew, du comité du Sénat américain sur le Homeland Security et les affaires intérieures : "nous savons que 85 % de nos infrastructures critiques sont contrôlées par des entreprises privées. Sans partenariat avec elles, il sera très difficile au gouvernement fédéral de parvenir au moindre résultat". Et, selon Adam Rice, de Tata Communications (qui possède cinq sociétés aux Etats-Unis), on est encore loin du compte. Les réunions qu'il a organisées avec le FBI et le Department of Homeland Security n'ayant débouché sur aucun résultat concret, ni permis de faire ressortir aucune information pratique.
Par Robert Westervelt et Reynald Fléchaux