L'organisation, la clé de la sécurité des Scada pour le CEA à Cadarache
Interrogé par la rédaction à l’occasion de la dernière édition des Assises de la Sécurité, début octobre, à Monaco, Patrick Baldit, DSI du centre de Cadarache du CEA insiste sur le volet organisationnel de la sécurisation des systèmes Scada.
C’est une organisation quelque peu avant-gardiste dont profite le centre de Cadarache du CEA (Commissariat à l'énergie atomique) pour la gestion de son informatique. De fait, la DSI ne se contente pas de couvrir les aspects classiques des systèmes d’information. Patrick Baldit, à sa tête, explique ainsi piloter quatre laboratoires. Les trois premiers touchent à des domaines classiques : réseaux et télécommunications, infrastructure serveurs, centres de calcul et postes de travail, et enfin développement, maintenance applicative et veille technologique. Le quatrième, également rattaché directement à la DSI, concerne la télésurveillance et les systèmes de contrôle commande. L’informatique industrielle, donc, avec les systèmes Scada. « Nous sommes organisés ainsi depuis une dizaine d’année. Et lorsqu’il y a des problèmes d’arbitrage, c’est moi qui tranche », explique Patrick Baldit. Et si force est de constater que « la culture est très différente entre ceux qui viennent de l’automatisme et ceux qui viennent de l’informatique », cette organisation lui a permis « de bien avancer en matière de sécurité. Et lorsque j’observe les débats actuels sur la protection des Scada, je me sens conforté dans mon organisation ». Une organisation qui a permis de dépasser les questions de cultures et de profils. Parce que les automates programmables ont évolué, se dotant de cartes réseaux : « perplexes initialement, les experts de l’automatisme ont pu aisément se rapprocher de leurs collègues du réseau. Et si, pour nous, cela n’a pas toujours été simple, j’imagine que cela doit être difficile lorsque l’on est organisé différemment. »
Une approche consolidée de la sécurité
La même logique s’étend déjà à la sécurité : « depuis deux ans, à l’intérieur de notre DSI, nous avons monté une équipe cyber-sécurité, avec un expert dans chaque thématique. » Mais Patrick Baldit envisage d’aller plus loin, dès le début 2014, pour composer une équipe cybersécurité autonome, « compte tenu de l’ampleur que prend le sujet. La sécurité devient le donneur d’ordre des métiers de l’IT. Avant, on leur demandait simplement de prendre en compte le sujet. Désormais, nous devons d’abord faire de la sécurité, applicative, réseau et infrastructure. C’est un changement récent, mais si on ne le fait pas, on ne peut pas résister ». Mais ce ne sera pas facile : Patrick Baldit cherche des profils très spécifiques, capables d’aborder tant les problématiques réseaux qu’infrastructure - « pas très faciles à trouver ».
Des fournisseurs pas encore complètement mûrs
Mais la maturité des fournisseurs semble aussi poser question. Si les spécialistes des systèmes Scada collaborent au groupe de travail de l’Anssi (Agence nationale de la sécurité des systèmes d'information) sur le terrain, « il faut encore passer la barrière de l’avant-vente » pour aborder des interlocuteurs compétents et concernés par la question de la sécurité. « Et nous avons des installations nucléaires. On ne peut pas se permettre d’avoir un incident parce qu’une ventilation tombe en panne à cause d’un attaquant! »
Et ceux qui viennent de l’informatique ne sont pas forcément infaillibles. « En début d’année, nous avons eu un incident avec un prestataire pour la tierce maintenance applicative. Il devait mettre à jour le firmware d’un automate, sur le réseau industriel, isolé du réseau bureautique. Las, il l’a téléchargé sur un PC vérolé, et installé à partir d’une clé USB qui a infecté l’ordinateur du réseau utilisé pour l’application de la mise à jour. » Un incident qui ne va pas sans rappeler la manière dont Stuxnet s’est initialement propagé dans l’usine de Natanz, en Iran.
Alors pour éviter cela, la DSI met en place de nouveaux processus, sensibilise et montre la réalité de certains incidents : « c’est indispensable. Il est essentiel de se donner les moyens de traduire de manière opérationnelle le plan de sécurité du système d’information. Si on ne le fait pas, il ne sert à rien de l’écrire. » Par exemple, les données à diffusion restreinte sont chiffrées avec les outils de Prim’X, retenus pour leurs fonctionnalités et leur facilité de mise en oeuvre, avec ZoneCentral dans un premier temps, pour les dossiers et fichiers partagés, puis ZonePoint, pour le partage de documents avec les partenaires. Mais pas question de déployer des outils sans l'organisation adaptée pour garantir leur utilisation : pour s’assurer que les outils sont bien utilisés, les équipes de Patrick Baldit ont mis en place des workflows et intégré la supervision du chiffrement à l’outil d’IAM (Identity Access Management) de la DSI.