Scada : les électriciens britanniques privés d’assurance
Les assureurs britanniques refusent d’assurer les producteurs d’électricité locaux faute d’une sécurité informatique suffisante.
C’est le signe d’une situation pour le moins préoccupante. Selon la BBC, les courtiers en assurance de la Lloyd’s ont constaté une « augmentation considérable » des demandes de couverture du risque informatique par les producteurs d’électricité de Grande-Bretagne. Mais en vain, faute de protections appropriées. Des « vétérans » de l’industrie énergétique cités par nos confrères expliquent ne pas être surpris.
Plus que couvrir le risque de fuites de données, les énergéticiens britanniques chercheraient désormais des couvertures à « plusieurs millions de livres » pour se protéger du risque de perte de leurs réseaux et systèmes informatiques en cas d’attaque d’envergure. Mais l’évaluation des protections en place aurait conduit majoritairement à des résultats désastreux. L’un des courtiers cités par nos confrères explique ainsi ne pas vouloir que « l’assurance se substitue à la sécurité ». Et d’estimer que l’explosion de la demande s’explique tant par l’augmentation des menaces que par celle de l’ouverture des systèmes concernés, notamment pour permettre la gestion à distance des infrastructures.
Les systèmes informatiques de contrôle industriel (Scada) sont au coeur de nombreuses préoccupations. Patrick Pailloux, ancien directeur de l’Agence nationale pour la sécurité des systèmes d’information, avait exprimé de nouveau ses inquiétudes à l’occasion de la dernière édition des Assises de la Sécurité, à Monaco, en octobre 2013. Et tant en France qu’aux Etats-Unis, les pouvoirs publics se sont saisis du sujet et tentent d’avancer.
Toutefois, il faut composer avec des systèmes vieillissants, au cycle de vie long, très long, voire trop long, comme le relevait Christophe Long, RSSI Groupe adjoint de GDF Suez, lors d’un atelier organisé aux Assises de la Sécurité.
Lors d’un récent entretien avec la rédaction, Art Coviello, président exécutif de RSA, se voulait toutefois optimiste, expliquant que, selon lui, sécuriser les Scada est possible, en leur appliquant les mêmes principes de protection qu’à tout système ouvert sur le monde IP.
Recueilli à l’automne dernier, le témoignage de Patrick Baldit, à la DSI du centre de Cadarache du CEA, va dans ce sens et souligne l’importance de l’organisation dans la sécurité de ses systèmes industriels.