Suez Eau France se blinde avec un bastion certifié par l'Anssi
Poussée par la réglementation, l’entreprise met en place le bastion de Wallix tout en retaillant son réseau. De quoi sécuriser l'administration de ses systèmes, et notamment les plus critiques, ceux relevant de l'opérationnel.
Suez Eau France gère la fourniture d’eau potable et l’assainissement pour de nombreuses collectivités. Soit une entreprise de 30 000 personnes en France environ. « Nous avons mis en place le bastion Wallix qui est qualifié par l’Anssi et cette qualification m’apporte une certaine garantie de sécurité, de qualité et de sérieux de l’éditeur. C’est un plus important », explique David Giorgis, Responsable de la Sécurité des systèmes d’information et Responsable des SI industriels de Suez Eau France. « Nous travaillons pour des collectivités, nous gagnons des contrats sur plusieurs années. Mais en matière de cybersécurité, nous partons avec une dette technologique assez importante ».
David GiorgisResponsable de la sécurité des systèmes d'information et responsables des SI industriels, Suez Eau France
De fait, historiquement, les usines étaient très fermées et très autonomes. Et si la culture de la sûreté était bien là, il est difficile d’en dire autant de celle de la cybersécurité. Pour autant, ces dernières années, les interconnexions se sont multipliées. La distribution d’eau potable engendre des contrôles à tous les niveaux du processus. Ce sont des systèmes ICS/Scada qui aident à cette supervision. Et il convient de concéder que pirater un automate n’est pas à la portée de n’importe qui, ne serait-ce que parce qu’il faut connaître le programme du robot. Ce qui ne signifie pas pour autant que l’on puisse considérer que le risque est inexistant.
Un chantier dans la durée
Le recours à un bastion s’est avéré indispensable pour cloisonner les systèmes d’administration : « par exemple, les outils de supervision Scada et de gestion des processus industriels fonctionnent sur des serveurs Windows. Nous avons mis en place des pare-feu, des commutateurs configurables et administrables à distance, etc. L’administration des systèmes est donc devenue plus complexe et il fallait isoler ces outils, pour éviter, par exemple, qu’une personne qui se connecte ne propage un virus si son poste de travail est infecté », décrit David Giorgis.
Le bastion permet d’autoriser des administrateurs IT à faire leur travail sur les serveurs, sur les équipements réseau, sur les équipements de sécurité, sur tous ces éléments d’une façon parfaitement sécurisée. La solution de Wallix permet également de gérer très facilement les droits des sous-traitants et de les contrôler. Par exemple, une personne issue en charge d’une tierce maintenance applicative n’aura le droit d’intervenir sur un processus de production que pendant une certaine durée, celle-ci étant fixée par un collaborateur en interne à Suez Eau France.
Le projet a été lancé il y a quelques années, et aujourd’hui l’infrastructure centrale a été déployée, sachant que Suez Eau France dispose d’un vaste réseau industriel, avec des centres de calcul spécialisés dans les processus industriels et complètement séparés de l’IT.
Les premières usines sont équipées du bastion de Walix et les autres vont suivre. « Nous devons négocier avec les collectivités. Il faut donc un peu de temps pour négocier les budgets et mettre en place les projets de sécurisation des usines », explique David Giorgis. D’ores et déjà, plusieurs stations d’eau potable sont homologuées. Les contrats sont signés avec la plupart des autres et la première station d’épuration va être homologuée très prochainement.
Des contraintes additionnelles avec la directive NIS
Le bastion de Wallix ne constitue qu’une partie de la sécurisation. La directive européenne NIS (Network and Information System Security) impose, aux opérateurs de services essentiels, de mettre en place une segmentation réseau, des équipements managés et sécurisés – avec annuaire sur l’ensemble des réseaux pour attribuer des droits suivant les utilisateurs et les comptes de service Scada dans les usines.
Dans le futur, Suez Eau France compte déployer la solution de Wallix pour les utilisateurs métiers intervenant sur les processus industriels. Ce qui nécessite un travail de longue haleine pour assurer l’adhésion des salariés concernés. Leur travail n’est pas réellement modifié, mais certains workflows seront altérés.
D’un point de vue géographique, les systèmes de distribution d’eau sont répartis sur de grandes surfaces territoriales. Ils sont reliés par un réseau privé, géré par Orange. La cybersécurité est assurée de manière centralisée pour toute la France, par un réseau WAN.
Des datacenters hébergent les outils métiers industriels, ainsi que toute la cybersécurité. À cela s’ajoutent des communications mobiles – qui aussi passent là aussi par un réseau privé – inaccessibles avec des cartes SIM grand public.
Et pas besoin d’attendre la 5G pour cela : « la 5G n’est pas essentielle pour nos installations, à part éventuellement pour la couverture géographique du réseau sur l’ensemble du territoire. Mais quand un château d’eau envoie son niveau de fonctionnement, c’est quelques octets, deux ou trois fois par jour. Nous avons besoin de réseaux de communication à faible débit, mais fiables », conclut David Giorgis.