S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Les infrastructures critiques sous la pression de l’ANSSI

Depuis les Assises de la sécurité de Monaco

Les opérateurs d’infrastructures critiques (centrales nucléaires, télécommunications, transports, finance, etc. ) seront bientôt sous de nouvelles contraintes suite à un projet de loi présenté cet été. Aux Assises de la sécurité de Monaco, l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) a mis l’accent sur ce sujet prochainement examiné au Sénat.

pailloux anssi

 

En 2011, aux Assises de la sécurité de Monaco, Patrick Pailloux, directeur général de l’ANSSI, interpellait les professionnels des systèmes d’information sur l’importance des règles « d’hygiène informatique élémentaire ». Deux ans plus tard, au même endroit, le même personnage estime que les acteurs se sont maintenant appropriés le concept, concédant que « l’actualité récente a probablement plus fait pour convaincre les récalcitrants que les discours enflammés du directeur de l’ANSSI ».

 

Pour l’avenir, l’institution place désormais toute son attention sur les SCADA, les Supervisory Control And Data Acquisition (système de contrôle commande), les systèmes industriels manipulés par les opérateurs d’infrastructures critiques.

« Un effort important pour les années à venir »

Ce sujet « va exiger un effort très important pour les années à venir » table Patrick Pailloux. « Ces technologies sont le système nerveux de nos nations. Notre survie, au sens étroit du terme, dépend parfois du bon fonctionnement des systèmes d’information : équipements médicaux, transport aérien et ferroviaire, production et distribution d’énergie, transport de l’eau, etc. Or, justement, ces systèmes de contrôle-commande sont en train de migrer à grande vitesse vers l’IP voire d’être connectés à internet sans qu’on se soit préoccupé de leur sécurité », c'est-à-dire de leur défense contre les actions malveillantes.

 

Comment ? L’ANSSI a constitué un groupe de travail avec les représentants des industriels afin de définir d’ici la fin de l’année un ensemble de règles de sécurité qui devra être mis en place au sein des SCADA. « Le groupe de travail avec les industriels du secteur devra déboucher d’ici la fin de l’année sur une première série de recommandations. Je ne sais pas encore si on les rendra publiques ou pas » a-t-il déclaré.

 

« Faites donc le tour de vos installations industrielles et regardez combien de communications entre des capteurs et des automates sont chiffrées et fortement authentifiées » adresse-t-il à la salle, pleine de professionnels du secteur. « Il faut que les industriels qui utilisent des machines et autres robots recensent leurs systèmes critiques, analysent leur sécurité, prennent les mesures conservatoires indispensables » demande Pailloux, tout en notant que trop souvent des installations sont connectées à Internet et donc ouvertes aux menaces. Quelles menaces ? Pailloux identifie le vol de données ou encore le sabotage. « Ces attaques sont aujourd’hui à la portée de tous. Prenez 10 personnes avec 10 ordinateurs, vous avez déjà une petite cyber-armée. Se doter de capacités offensives dans le cyberespace, ce n’est pas compliqué ».

La loi de programmation militaire et les nouveaux pouvoirs de l’ANSSI

En avril 2013, le livre blanc sur la défense et la sécurité nationale mettait lui aussi l’accent sur ces opérateurs vitaux (centrales nucléaires, finance, télécommunications, transports, etc.) « Le développement rapide des infrastructures numériques ne s’est pas toujours accompagné d’un effort parallèle de protection, de sorte que les agressions de nature cybernétique sont relativement faciles à mettre en œuvre et peu coûteuses. Leur furtivité complique l’identification de leurs auteurs, qui peuvent être aussi bien étatiques que non-étatiques ».

 

Ce même texte annonçait que l’État allait bientôt fixer « par un dispositif législatif et réglementaire approprié, les standards de sécurité à respecter à l’égard de la menace informatique », tout en permettant à l’ANSSI d’agir en cas de crise grave. Ce véhicule législatif est celui de la loi de programmation militaire enregistrée cet été au Sénat. « La loi de programmation militaire devra être votée à la fin 2013 ou au début 2014 » a affirmé Patrick Pailloux.

 

L’article 15 du texte donne au pouvoir exécutif la possibilité d’imposer aux OIV (opérateurs d'importance vitale) des obligations en matière « de sécurisation de leur réseau, de qualification de leurs systèmes de détection, d'information sur les attaques qu'ils peuvent subir et de soumission à des contrôles ». Ces OIV sont des acteurs dont l'atteinte à la sécurité ou au fonctionnement du système « risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ».

 

Avec ce texte qui sera examiné sous peu au Sénat, l’État fixera donc des règles en collaboration étroite avec l’ANSSI, règles que les OIV seront tenus d’appliquer, à leur frais. Les sociétés mauvaises élèves seront susceptibles de se voir infligées une sanction pouvant aller jusqu'à 750 000 euros d’amende.

 

À Monaco, Pailloux indique que ces règles seront discutées secteur par secteur. « On n’applique pas les mêmes règles à une centrale nucléaire qu’à un opérateur de communications électroniques ».

Mouvement européen

Ce mouvement n’est cependant pas que franco-français, puisque bien souvent ces opérateurs ont une présence internationale. Pailloux a du coup rappelé qu’en février 2013, un projet de directive a été dévoilé à Bruxelles. Ce texte comprend justement des dispositions relatives aux opérateurs d'infrastructures critiques, lesquels devront suivre des règles de sécurité précises tout en étant obligés de signaler aux autorités les incidents de sécurité significatifs touchant à leurs services essentiels. Des dispositions similaires sont prévues en France par la loi de programmation militaire.

 

La mise en place de ce dispositif va néanmoins soulever des questions importantes, par exemple face à la question du recensement intégral de l’ensemble de ces opérateurs. Sur ce point, « Nous n’avons pas encore l’image complète des OIV » concède-t-il. Seront-ils cent, mille ou plus ?

 

Autre sujet : celui de la sous-traitance. « Pour les petites PME, c’est finalement plus simple de sécuriser un système informatique. Pour les grandes structures, c’est beaucoup plus compliqué et il faut en tout évidence s’adresser à des gens dont c’est le métier, d’où notre système de labellisation des acteurs du secteur ». À cet égard, Pailloux incitera les opérateurs à mettre au carré leurs appels d’offres, appels à projets, etc. « Il faut intégrer des exigences de sécurité, et il est possible d‘aller extrêmement loin. Il n’y a pas des limites à l’imagination. Imposez des règles et vérifiez-les » implore-t-il. Surtout, cette mise en conformité soulèvera des coûts pour des acteurs de taille plus modeste, que la loi leur demande d’assumer.

 

Quels montants ? «  On a fait des estimations qui ne sont pas forcément diaboliques. Ce ne sera pas forcément cher. Déjà, si on débranche d’internet ces systèmes SCADA, on aura significativement progressé. Et se débrancher d’Internet, cela coûte le prix des ciseaux ».

 

Marc Rees

Journaliste, rédacteur en chef

Google+

Publiée le 03/10/2013 à 08:31

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 11 commentaires

Avatar de CUlater INpactien
CUlater Le jeudi 3 octobre 2013 à 09:20:39
Inscrit le jeudi 17 juin 10 - 1808 commentaires
Et se débrancher d’Internet, cela coûte le prix des ciseaux
Ou simplement débrancher une prise C'te bourrin chez l'ANSSIooo.gif

Dommage que seuls les OIV aient une obligation légale de sécuriser leurs infras.
Le nombre d'indus utilisant des scadas est bien loin du nombre d'OIV
Avatar de cyrano2 INpactien
cyrano2 Le jeudi 3 octobre 2013 à 09:24:05
Inscrit le lundi 20 juillet 09 - 731 commentaires
"Et se débrancher d’Internet, cela coûte le prix des ciseaux ».

Et cela coute la perte d'efficacité de toutes les personnes derrières, ce qui n'est pas négligeable du tout.

Imaginez les codeurs qui voient leur code planté, mais qui ne peuvent plus mettre les erreurs dans google. Au lieu de passer 5 min pour comprendre une erreur, ils peuvent perdre bien plus de temps à aller à la pêche aux informations.
Avatar de Ricard INpactien
Ricard Le jeudi 3 octobre 2013 à 09:35:08
Inscrit le mercredi 12 avril 06 - 41709 commentaires
« l’actualité récente a probablement plus fait pour convaincre les récalcitrants que les discours enflammés du directeur de l’ANSSI »

Merci Snowden.
Avatar de Ricard INpactien
Ricard Le jeudi 3 octobre 2013 à 09:36:01
Inscrit le mercredi 12 avril 06 - 41709 commentaires
"Et se débrancher d’Internet, cela coûte le prix des ciseaux ».

Et cela coute la perte d'efficacité de toutes les personnes derrières, ce qui n'est pas négligeable du tout.

Imaginez les codeurs qui voient leur code planté, mais qui ne peuvent plus mettre les erreurs dans google. Au lieu de passer 5 min pour comprendre une erreur, ils peuvent perdre bien plus de temps à aller à la pêche aux informations.

Je crois que le but, c'est justement qu'ils ne mettent plus leur code sur Google.
Avatar de oufledingue INpactien
oufledingue Le jeudi 3 octobre 2013 à 09:55:53
Inscrit le lundi 12 mai 03 - 39 commentaires
Patrick pailloux est intelligent, très intelligent.
Ce qui est dommage, c'est que son discours très intelligible se voit nuancé par un ton desaprobateur qui ne peut fédérer
M. Pailloux, la sécurité informatique est bien évidemment un enjeu national. Mais il faut savoir rester dans l'analyse avec le recul et l'humilité qui vous sierait bien mieux, et non dans le constat ("je vous l avais dit, vous avez vu j avais raison") ou dans la vindicte.

Mais au delà de tout ça, vos idée sont justes sur la plupart des sujets. Mais il manque pour moi 2 sujets dans vos ateliers.
- le dimensionnement des concepts aux tailles des entreprises. je ne suis pas d'accord accord pour dire qu une par est plus facile à sécuriser qu'une grosse boîte. Les problèmes sont identiques mais des échelles d'effectif et de moyens différents.
- l'intégration du management dans le processus de définition des niveau de sécurité de l'entreprise : je pense que l'anssi via ses ateliers de travail devrait bûcher sur un cursus ou une boîte à outils afin d'aider les Dsi à vulgariser les notions de la SSI pour le management hors IT

Marc, si tu lis ce commentaire, je suis à Monaco, ça serait cool de pouvoir te voir en vrai :-)

Il y a 11 commentaires

;