Actualité web & High tech sur Usine Digitale

FIC 2016 : DCNS adopte une démarche security by design et sensibilise ses équipes

|
Twitter Facebook Linkedin Google + Email
×

On sait les systèmes industriels de plus en plus visés par les cyberattaques, mais elles ne menacent pas que les usines ou les smart grids. L'expert en systèmes navals DCNS a expliqué au FIC 2016 comment il fait face aux menaces pesant sur ses navires (civils et militaires), et comment il envisage la cybersécurité du bateau du futur.

FIC 2016 : DCNS adopte une démarche security by design et sensibilise ses équipes
Patrick Hebrard posant devant le stand DCNS au FIC 2016. © Julien Bergounhoux

Le français DCNS, leader mondial des systèmes navals, est présent pour la première fois au FIC 2016, à Lille, avec une démonstration mettant en scène une attaque contre un bâtiment de la Marine nationale. "La cybersécurité est une priorité nationale, nous la déclinons donc à tous nos produits et services", commente sobrement Patrick Hebrard, titulaire de la chaire cyber école navale. "Cela va des navires eux-mêmes (civils et militaires) aux infrastructures portuaires et même jusqu'aux énergies maritimes."

 

DCNS est loin de son coeur de métier avec la cybersécurité, et se cantonne globalement à son rôle d'intégrateur systémier. Elle ne prend pourtant pas la question à la légère. "La cybersécurité est pour nous un métier d'avenir, et nous y faisons de la sensibilisation sur tous nos sites," explique Patrick Hebrard. Preuve de cette montée en puissance, l'arrivée d'un directeur de la cybersécurité, Jean-Michel Orozco, annoncée le jour-même.

 

Protéger des systèmes très spécialisés

La sensibilisation se fait par des cours de 2 heures sur les systèmes Scada qu'utilisent les bateaux. Ils incluent des travaux pratiques avec maquettes de navires et drones pour simuler les appontages, issus du Cyberlaboratoire naval (une plate-forme de démonstration, d'innovation et de développement). Ils sont similaire à la démonstration présentée au forum, qui montre aux visiteurs comment un attaquant peut prendre le contrôle d'un système Scada (en l'occurrence une tourelle équipée de canons), et comment les contre-mesures mises en place par DCNS permettent de contrer ces attaques.

 

Deux types d'attaques sont mises en scène. La première est simple, et est déjouée par un pare-feu acheté sur étagère auprès d'un prestataire américain. La deuxième est une APT, une attaque complexe et persistante qui a très bien étudié le système. "Contre ce genre d'attaque, les systèmes classiques sont peu efficaces, explique Patric Hebrard. La seule parade consiste à détecter les signaux faibles qui caractérisent la préparation d'une attaque avant qu'elle ne se déroule. Pour ces cas-là, on développe des solutions de cyberdéfense métier."

 

Cela inclut par exemple la détection de commandes habituellement non utilisées dans les automatismes, qui indiquent une prise de contrôle externe. Patrick Hebrard reste évasif lorsqu'on lui demande si de telles attaques ont déjà eu lieu, se contentant d'expliquer que "toutes les forces sont attaquées."

 

L'épineuse question de la souveraineté

Côté opérationnel, DCNS se porte garant du "maintien des conditions de sécurité" des navires, un fonctionnement similaire au maintien des conditions opérationnelles (MCO) classiques pour les bateaux. Cela implique par exemple d'installer des correctifs de sécurité aux logiciels de bord.

 

Malgré l'emphase placée sur la souveraineté par le gouvernement, DCNS admet volontiers ne pas développer ses propres solutions informatiques. "Nous utilisons des solutions commerciales, nous n'innovons pas à ce niveau," reconnaît Patrick Hebrard. Les fournisseurs sont français, comme Thales, Cassidian ou la PME lyonnaise Sentryo, mais aussi européens ou américains. Ainsi, comme ceux de l'US Navy et de la Royal Navy, les bâtiments militaires français tournent sous Windows XP. Les fournisseurs sont simplement choisis en fonction du cahier des charges... et de la nature des contrats (pour éviter de froisser un acheteur en embarquant des solutions provenant d'un pays avec lequel il a des tensions).

 

Tourné vers le futur

"Un bateau doit durer trente ans. L'échelle de temps n'est pas la même que sur le numérique. Il faut anticiper les évolutions, il faut du modulaire qui puisse s'adapter," explique Patrick Hebrard. Les mentalités ont aussi évolué. "Certains de nos clients se sentent moins concernés que d'autres par ces cybermenaces, mais pour nous ils le sont tous".

 

Le groupe de travail de DCNS sur le bateau du futur intègre la cybersécurité dès le début du projet. "Il y a 5 ans on disait encore 's'ils sont attaqués, qu'est-ce qu'on fait ?' Aujourd'hui on conçoit en sachant qu'ils seront attaqués quoi qu'il arrive, donc on essaie de mitiger les attaques, de durer plus longtemps. On est dans une démarche de security by design."

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale