L’Anssi insiste sur ses inquiétudes pour les Scada
Lors de son discours prononcé en ouverture des Assises de la Sécurité qui se déroulent actuellement à Monaco, Patrick Pailloux, directeur général de l’Anssi, a exprimé à nouveau ses inquiétudes quant à la sécurité des systèmes informatiques industriels.
Il faudra du temps et les rappels seront probablement nombreux et réguliers. Déjà, en juin 2012, l’Agence Nationale pour la Sécurité des Systèmes d’information (Anssi) publiait ses recommandations pour la sécurisation des systèmes informatiques industriels, les fameux Scada. Quelques mois plus tard, Patrick Pailloux exprimait à nouveau son inquiétude. Et il ne semble pas avoir trouvé en l’espace d’un an sujet à être rassuré.
Pour lui, les Scada «sont désormais les systèmes nerveux de nos Nations. [...] notre survie, au sens étroit du terme, dépend parfois du bon fonctionnement de ces systèmes : équipements médicaux, transports aérien et ferroviaire, production et distribution d’énergie, transport de l’eau, etc ». Là, longtemps fermés et déconnectés du monde ouvert d’Internet, ces scada «sont en train de migrer à grande vitesse vers l’IP, de s’intégrer dans les systèmes d’information de l’entreprise, voire d’être connectés à Internet ».
Et là, la sécurité lui apparaît largement négligée. Des épisodes comme Stuxnet n’ont pas manqué de lui donner raison. Pour lui, si la sureté des Scada est bien traitée - «la défense contre les défaillances» -, ce n’est pas le cas de leur sécurité, «la défense contre les actions malveillantes ». Concrètement, leur sécurité passe par «le chiffrement des échanges, l’authentification forte», des émetteurs et des récepteurs d’ordre et de données de fonctionnement : «faites donc le tour de vos installations industrielles et regardez combien de communications entre des capteurs et des automates sont chiffrées et fortement authentifiées...», lance Patrick Pailloux aux RSSI présents dans la salle. Pour lui, il apparaît donc «essentiel» que «les équipementiers qui fournissent des systèmes industriels introduisent des dispositifs de sécurité», ce qui est, selon lui, «encore trop rarement le cas ».
Mais s’il faut «agir et agir vite», le directeur de l’Anssi paraît confronté à une grande inertie. Pour ce qui est de l’hygiène informatique, c’est un travail de sensibilisation et «il y en a pour dix ans ». Pour les Scada, l’agence semble décidée à ne pas laisser passer le temps et Patrick Pailloux mentionne un groupe de travail dédié à la définition de normes pour leur sécurité. Et d’assurer que les fournisseurs concernés, «oui, ils nous écoutent ». Pour faire passer son message, l’Anssi a d’ailleurs déployé des systèmes de test pour montrer les risques d’attaques aux fournisseurs de Scada concernés.
Mais pour la sécurisation des systèmes d’information des opérateurs d’importance vitale, pas question d’attendre. Selon Patrick Pailloux, c’est une question «de semestres» assure-t-il, rappelant que la loi de programmation militaire en cours de débat prévoit des dispositions contraignantes en la matière, pour ces opérateurs.