Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Les infrastructures vitales des États-Unis ne seraient pas assez protégées

Une puissante armée d'un côté, quelques pirates organisés de l'autre
Internet 4 min
Les infrastructures vitales des États-Unis ne seraient pas assez protégées
Crédits : Vertigo3d/iStock

Pour l’ancien directeur de la NSA, l’ensemble des sociétés énergétiques américaines n’est tout simplement pas prêt à une cyberattaque massive. Il a récemment évoqué un véritable scénario catastrophe où les États-Unis seraient privés d’énergie, si des pirates suffisamment organisés mettaient à exécution un tel projet.

« Nous ne sommes pas préparés pour ça »

En France, on définit par OIV, ou Opérateur d'importance vitale, toutes les entreprises dont les activités ont notamment trait « à la production et la distribution de biens ou de services indispensables » ou encore qui satisfont « des besoins essentiels pour la vie des populations ». Les sociétés impliquées dans l’énergie font partie des OIV, et ont des obligations sur la défense numérique en général, plus spécifiquement tout ce qui pourrait provenir d’Internet.

Aux États-Unis, chaque entreprise est relativement libre de procéder à ses propres préparatifs sur ce terrain. C’est ce qui inquiétait récemment Keith Alexander, l’ancien directeur de la NSA (National Security Agency). Il visait en particulier l’ensemble des sociétés s’appuyant sur des systèmes SCADA (Supervisory Control And Data Acquisition), autrement dit des infrastructures de contrôle et de gestion des données sur de larges échelles.

Alexander s’inquiète particulièrement des sociétés impliquées dans la production d’énergie. Selon lui, elles ne sont tout simplement pas prêtes pour des attaques d’envergure, faisant peser le risque de plusieurs menaces synchronisées et donc simultanées sur plusieurs d’entre elles. Lors de l’évènement IHS CERAWeek de la semaine dernière, il a ainsi déclaré : « Le plus grand risque serait une attaque catastrophique contre l’infrastructure énergétique. Nous ne sommes pas préparés pour ça », comme le rapporte The Telegraph.

Des systèmes SCADA trop souvent protégés par une simple obscurité

Réseau électrique, centrales au pétrole ou au charbon, raffineries et autres structures ne fonctionneraient plus, plongeant les États-Unis dans le noir. Une panne qui serait d’autant plus durable que les équipements seraient bloqués ou endommagés par des éléments informatiques laissés en place par les pirates dans de multiples systèmes. Il n’y aurait alors pas de relais et d’équipements de secours.

Pour l’ancien responsable, cinq pays ont actuellement les connaissances et la force de frappe nécessaires pour de telles attaques : les États-Unis eux-mêmes, le Royaume-Uni, la Russie, Israël et l’Iran. On notera l’absence manifeste de la Chine dans cette liste, alors même que le pays a « officialisé » récemment l’existence de ses propres hackers dans un rapport de l’armée. L’actuel patron de la NSA, Mike Rogers, n’oublie pas la Chine, puisqu’il avait déclaré l’année dernière que le pays avait le pouvoir de lancer des attaques violentes contre les infrastructures d’eau et d’énergie.

De telles entreprises pourraient-elles vraiment être touchées ? Pour Lars Thoresen, directeur de la sécurité chez NTT Com Security, cela ne fait aucun doute. Durant la même conférence, il a ainsi indiqué que le monde avait changé : là où la sécurité par l’obscurité et l’absence de raccordement à Internet pouvaient suffire, les menaces et les nécessités ont évolué. Il pointe à son tour un retard dans les mesures adoptées et le manque de méthodologie des développeurs. Il rappelle notamment comment Daech a déjà réussi à prendre le contrôle de systèmes SCADA, notamment en Iraq, montrant que les installations distantes peuvent être des cibles de choix. « Pour résumer, le monde dans lequel les systèmes SCADA opèrent a changé, et les systèmes ont été, d’après notre expérience, lents à réagir » ajoute-t-il auprès d’Infosecurity.

Il manque toujours une vraie politique centralisée

Il faudrait donc une vraie politique fédérale imprimée par le gouvernement, un référentiel de sécurité, des ressources et un entrainement spécifique pour les développeurs qui gèrent ces problématiques dans les entreprises concernées. C’est l’avis de John Shaw, de chez Sophos,qui souligne un point crucial : garder une sécurité élevée signifie des changements réguliers et des mises à jour, alors que les systèmes critiques ne doivent être dérangés que le moins possible. Actuellement, cela se traduit par de nombreuses machines non mises à jour et qui peuvent représenter un danger beaucoup plus important si des pirates y accèdent, d’une manière ou d’une autre. La solution ? Tout verrouiller, mettre en place des listes blanches, former les ingénieurs, analyser la sécurité existante (audits) et toujours scanner les fichiers, la mémoire, les zones de stockage et ainsi de suite.

Globalement, les remarques des intervenants soulèvent une nouvelle réalité : les guerres peuvent être menées dans l’ombre, sans aucun blessé, avec pourtant des dégâts conséquents. L’interconnexion des réseaux, qui a tant facilité le travail des agences de renseignement, permet la circulation de menaces auxquelles seule une sécurité dédiée peut opposer une résistance. Le danger souligné par Keith Alexander se résume assez simplement : un pays peut avoir une puissante armée et être mis à genoux si une petite équipe de dix personnes suffit à saboter ses infrastructures vitales.

26 commentaires
Avatar de vizir67 Abonné
Avatar de vizir67vizir67- 28/04/15 à 15:10:32

"heureusement" qu'en France on est "au dessus de tout ça :langue:  :mdr2:  !!!

Avatar de francois-battail INpactien
Avatar de francois-battailfrancois-battail- 28/04/15 à 15:21:38

La France ne figure pas parmi la liste des pays susceptibles d'avoir cette force de frappe :craint:, pourtant on a la #FrenchTech :francais:

Avatar de pirtal INpactien
Avatar de pirtalpirtal- 28/04/15 à 15:24:08

Oui enfin l’Allemagne non plus par exemple. 
Le côté "On cite les copains, le Royaume-Uni, et les gens qui font peur mais qui en réalité ont pas tant que ça les moyens, l'Iran" est un peu ridicule. 
Et très peu crédible. 

Avatar de AltreX Abonné
Avatar de AltreXAltreX- 28/04/15 à 15:26:05

Ne t'inquiète pas, si il y a une attaque d'envergure mondial les OIV français seront parmi les dernier à tomber.
La politique de sécurité des OIV en France est assez rigoureuse.

Avatar de francois-battail INpactien
Avatar de francois-battailfrancois-battail- 28/04/15 à 15:29:51

AltreX a écrit :

La politique de sécurité des OIV en France est assez rigoureuse. 

Genre TV5 & co ?

Avatar de Origami Abonné
Avatar de OrigamiOrigami- 28/04/15 à 15:32:54

Oui il y a un mec dans la salle serveur prêt à débrancher les rj45 des serveurs de prod. :langue:

Avatar de eliumnick INpactien
Avatar de eliumnickeliumnick- 28/04/15 à 15:33:03

AltreX a écrit :

Ne t'inquiète pas, si il y a une attaque d'envergure mondial les OIV français seront parmi les dernier à tomber.
La politique de sécurité des OIV en France est assez rigoureuse.

Dernier à tomber pake dernier à être attaqué ? ^^ :francais:

Avatar de francois-battail INpactien
Avatar de francois-battailfrancois-battail- 28/04/15 à 15:35:21

Merci, ça me rassure et puis j'imagine aussi qu'ils achètent un firewall neuf tous les mois, ça c'est :yes:

Avatar de le podoclaste INpactien
Avatar de le podoclastele podoclaste- 28/04/15 à 15:35:46

Chais pas, tu mettrais  TV5 Monde en Opérateur d'Importance Vitale, toi ?

Édité par le podoclaste le 28/04/2015 à 15:37
Avatar de francois-battail INpactien
Avatar de francois-battailfrancois-battail- 28/04/15 à 15:39:11

J'ai pas la télé donc... mais c'est ce que le ministre de l'intérieur a vendu pour justifier en partie son projet de loi sur le renseignement ; je reprends donc l'argument (et rigole doucement).

Il n'est plus possible de commenter cette actualité.
Page 1 / 3