jirikaderabek - Fotolia
Scada : des pratiques qui ignorent la sécurité
Lexsi vient de publier un top 10 des défaillances dans la gestion de la sécurité des systèmes industriels, à partir de l’audit des infrastructures de 50 de ses clients. Effarant.
Les études se succèdent sur la sécurité des systèmes de contrôle industriel, les fameux Scada, dépeignant toutes une situation plus que préoccupante. Et le top 10 que vient de publier Lexsi n’échappe pas à la règle. Le cabinet l’a établi à partir d’audits, réalisés au cours des 4 dernières années, des infrastructures de 50 de ses clients. Et s’il précise que ceux-ci sont « notamment issus du CAC 40), on imagine sans peine que certains sont classés OIV, opérateur d’importance vitale.
Une hygiène élémentaire oubliée
Alors manifestement, pour assurer ne serait-ce qu’à minima la sécurité des infrastructures critiques en France, il y a beaucoup à faire. Et cela commence par protéger des systèmes d’exploitation et des firmwares « mis en danger du fait de [leur obsolescence] ou de l’absence de durcissement (mots de passe stockés de manière non sécurisée, privilèges administrateur en local, etc) ».
De quoi permettre à des attaquants de prendre la main sur les systèmes concernés et, derrière, de perturber leur fonctionnement. Et cela vaut aussi pour le quatrième du classement : « interface homme machine IHM) connectée en permanence avec un compte ‘admin’ par exemple, ou encore session Windows non verrouillée et IHM accessible (accès physique au poste de supervision ou par de la prise en main à distance) ».
Le huitième point du classement, la mauvaise gestion des mots de passe, ne fait pas mieux : « c’est à dire, des mots de passe trop faibles ou inexistants, ou encore l’usage d’identifiant par défaut user/user, winccd/winccpass, etc. » Un esprit railleur trouverait sans doute étonnant que ce point n’arrive qu’en 8e position dans le classement…
Mais c’est sûrement parce qu’il mieux avant, à commencer l’utilisation de protocoles non sécurisés, sans chiffrement. Et Lexsi ne parle pas là des protocoles utilisés entre composants de contrôle industriel, mais de systèmes IT avec, comme risque « déni/perturbation de service en modifiant des configurations réseau ».
Une culture de la sécurité inexistante
L’absence de système de gestion des informations et des événements de sécurité (SIEM), de prévention ou de détection d’intrusion (IPS/IDS), en 3e position, ne surprend hélas qu’assez peu. De même, le manque de culture de cybersécurité dans le monde industriel conduit tout naturellement au 5e point du classement : l’absence de veille de cybersécurité. Il en va de même pour 9e point du classement – l’absence de tests de sécurité pour les projets informatiques – et le 10e : des développements non sécurisés avec, par exemple, l’utilisation de mots de passe codés en dur comme on a pu le voir chez Siemens à l’occasion de Stuxnet.
Et l’on très tenté d’attribuer le 6e point du classement à l’illusion d’isolation physique des environnements industriels, le fameux airgap : l’absence d’antivirus actif et à jour sur les postes de travail et serveurs… « qui a engendré, pour 50 % des cas, la présence du ver Conficker sur des postes de supervision industrielle ».
Arrive en 7e position l’interconnexion non sécurisée entre système d’information et système industriel, sans mécanisme de diode donc, permettant à des attaquants de « rebondir dans le SI industriel à partir du SI de gestion ».