Adrien Daste - DCNS
Comment Naval Group fait sa révolution de la cybersécurité
Construire des systèmes hétérogènes complexes et très exigeants en tenant compte en profondeur des besoins de sécurité informatique nécessite une stratégie de grande ampleur. Mais le marché doit encore murir pour répondre à la demande.
C’est un témoignage éclairant, et probablement lourd d’enseignements pour beaucoup, qu’a livré Jean-Michel Orosco, vice-président sénior de Naval Group (ex-DCNS) en charge de la cybersécurité, fin janvier dernier, à l’occasion du FIC. Car au-delà des spécificités du domaine d’activité du groupe qu’il représente, c’est sur l’ensemble des défis de la sécurité des systèmes industriels informatisés que porte son propos. L’ambition de Naval Group, telle que la résume Jean-Michel Orosco, consiste à « fournir des navires sûrs et résilients » à ses clients. Et ce n’est pas une mince affaire.
Un environnement hautement hétérogène
Les navires modernes embarquent énormément d’informatique – « de moins en moins de tôle, et de plus en plus de soft » – dont il faut assurer fiabilité et sécurité tout au long du cycle de vie du bâtiment. Il faut bien sûr compter avec le système de combat des navires militaires, mais aussi ceux de communication et « l’ensemble des systèmes liés à la plateforme », à savoir ceux qui permettent la gestion de la propulsion, de l’énergie ou encore de la conduire. Et ces derniers représentent rien moins que 70 % de l’effort complet de cybersécurité.
Jean-Michel Orosco souligne la complexité de la tâche : « un navire, c’est un million de pièces de nomenclature. Un système de combat de frégate de dernière génération, c’est 26 millions de lignes de code temps réel ». En tout, il faut compter, pour cet exemple, quelques 2 000 applications, plusieurs centaines de calculateurs ou encore autant de systèmes de type ICS/Scada affectés à la gestion de la plateforme. Et cela ne s’arrête pas là. Il faut aussi prendre en compte les contraintes d’interconnexion avec tout « le système de systèmes collaboratif et temps réel » dans lequel un navire militaire doit s’inscrire, « au sein d’une force navale ».
Des contraintes spécifiques
Mais pour une entreprise telle que Naval Group, il faut voir encore plus loin, en comptant les systèmes industriels liés à la production et la maintenance – ils sont 1 400 au sein du groupe –, ainsi que les plateformes de développement, d’intégration, d’infrastructure portuaire, etc.
Mais puisque l’on parle de cycle de vie, il faut tenir compte du temps en opération. Et là, le monde du naval, et tout particulièrement celui de la défense, est marqué par des équipages réduits, n’intégrant pas de spécialistes de la cybersécurité, et par « la possibilité d’un isolement total, sans support extérieur sur ces sujets ».
Dès lors, souligne Jean-Michel Orosco, il est nécessaire « de fournir des systèmes autonomes et opérables par des non spécialistes, pour assurer la sécurité et la résilience des produits ».
Pour cela, la politique de cybersécurité ne doit pas s’appliquer uniquement au à Naval Group lui-même, mais également à l’ensemble de ses partenaires et fournisseur, à toute sa chaîne logistique. Et c’est à cela qu’il travaille d’arrache-pied.
Une approche de bout en bout
Jean-Michel Orosco ne cache pas une certaine satisfaction quant aux avancées sur le terrain de la compréhension des objectifs et des priorités : « cela peut paraître mineur, mais sensibiliser l’ensemble des parties prenantes est tout sauf évident ».
Pour ses fournisseurs, justement, Naval Group s’est lancé dans un travail d’évaluation et de certification sur la base de référentiels spécifiques établis avec ses partenaires, ses clients et les autorités publiques, « pour les produits intégrés les plus critiques ». Ce n’est pas un luxe : pour certains fournisseurs PME ou ETI, « on part d’assez bas ». L’accompagnement est dès lors indispensable.
En interne, les équipes sont accompagnées pour « systématiser la couche cyber dans nos offres et mieux la valoriser auprès des clients ». Une gouvernance spécifique au sujet a également été mise en place, de même qu’une structure dédiée à la cybersécurité des équipements industriels du groupe.
Mais dans la pratique, Jean-Michel Orosco ne peut s’empêcher de constater des manques, sources de frustration, dans le marché. Sans vouloir jeter la pierre à qui que ce soit, il juge qu’un dialogue plus étroit est probablement nécessaire, entre offreurs et prescripteurs, de même qu’une expression plus audible de certains besoins.
Des progrès nécessaires
L’une de ses frustrations touche au manque de prise en compte native de la sécurité dans les produits ICS/Scada : « notre besoin est de disposer d’équipements industriels nativement sécurisés ou aptes à l’être facilement » avec, par exemple, la production de journaux d’activité ou la présence de mécanismes de contrôle d’intégrité, sans oublier la capacité à s’intégrer dans un écosystème de sécurité plus large.
Et il y a bien sûr la question de la maintenance, avec l’implémentation de processus de gestion de correctifs « plus agiles qu’aujourd’hui… quand ils existent ». Las, relève Jean-Michel Orosco, une large part de l’offre ICS/Scada repose encore sur « de vieilles conceptions ».
Et certains produits modernes ne manquent de réserver des surprises pas forcément bienvenues : « nous avons trouvé un serveur Web sur un moteur dans un système. Ce n’est pas forcément là qu’on serait allé le chercher naturellement ».
Mais le besoin de dialogue va plus loin. Même s’il reconnaît que ce n’est pas trivial, Jean-Michel Orosco relève avoir besoin de fournisseurs capables de comprendre et de montrer comment leur offre « s’intègre harmonieusement et de manière cohérente à notre architecture de sécurité ». Autrement dit, aller plus loin que simplement pousser un produit ou une solution.