Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Transparence et Cybersécurité, l’Allemagne montre la voie

Cas d'école Selon Laurent Hausermann, directeur associé de Sentryo, la cybersécurité a pendant longtemps rimé avec secret et incidents gardés confidentiels. Aujourd'hui, les démocraties modernes et leurs grands leaders industriels ont une obligation de pédagogie et se doivent de détailler les attaques auxquelles ils font face, surtout lorsqu’il s’agit d’infrastructures critiques. C'est une condition sine qua non d'une prise de conscience généralisée en Europe. Un industriel allemand donne l'exemple.
Twitter Facebook Linkedin Flipboard Email
×

Transparence et Cybersécurité, l’Allemagne montre la voie
Transparence et Cybersécurité, l’Allemagne montre la voie © Igor Stevanovic

.Ceux qui ont déjà vécu une cyberattaque vous le diront, l'expérience n'est pas très agréable. Erreur humaine, défaillance technique, malveillance… les origines des cyberattaques sont multiples et le nombre de victime ne cesse d’augmenter.

 

Si les campagne de sensibilisation commencent à s'imposer dans nos médias – comme le montre la diffusion de séries télévisées comme “Mr Robot” ou encore les “Experts Cyber” - la grande majorité des attaques est – encore aujourd'hui - passée sous silence. Bien souvent, les chef d’entreprises redoutent que leurs témoignages impactent la crédibilité de leur organisation auprès de leurs clients et de leurs partenaires.

 

Pourtant, il n'est rien de plus instructif que le décryptage du déroulé d'une attaque : moyens d'action, origine de l'opération, conséquences, réponses à incident… autant d'informations précieuses pour ceux qui souhaitent comprendre les menaces. Quoi de mieux pour engager un projet de cybersécurité et convaincre sa direction qu’un exemple concret et documenté, comme le cas de l'attaque de Gundremmingen, dont les opérateurs ont communiqué sur la détection de malwares.

 

Gundremmingen – une centrale nucléaire prise pour cible

C'est par un communiqué officiel que les opérateurs de la centrale de Gundremmingen ont choisi de diffuser l'information : plusieurs malwares ont été détectés sur certains ordinateurs participant au système de manipulation de combustible nucléaire d’un des deux réacteurs.

 

Est-ce la potentielle gravité des conséquences de l'attaque qui a poussé les opérateurs à révéler leur découverte ? A priori, non ! Suite au communiqué, les informations liées à l'attaque se multiplient. Les malwares observés sont en réalité anciens et connus du monde informatique. Plusieurs journaux révèlent que les postes de contrôle de la centrale n’ont pas de connexion internet, disposent tous d’un logiciel antivirus et que les machines les plus sensibles, celles en contact direct avec des éléments radioactifs, ne sont pas pilotées par de l’informatique.

 

Comment cela a-t-il pu arriver ? Les malwares ont aussi été retrouvés sur plusieurs clés USB laissant penser qu’elles ont été le vecteur d’insertion dans le système informatique. Ce procédé n'a rien de surprenant ; ces menaces internes ont été identifiées par les puissances nucléaires.

 

Le 1er avril dernier – lors du Nuclear Security Summit 2016 organisé à Washigton – plusieurs pays, dont l'Allemagne, ont affirmé leur volonté de se protéger des risques informatiques internes et notamment des “insider threats” - ces personnes internes pouvant infecter les systèmes industriels sans éveiller les soupçons. Dans le cas présent, il ne semble pas s’agir d‘un acte malveillant mais plutôt d’un acte involontaire et accidentel mais cet exemple illustre bien le fait qu’Internet n’est plus le seul vecteur d’attaque pour les systèmes industriels.

 

Parmi les infections, 2 virus très connus ont été identifiés, W32.Ramnit datant de 2010 et Conficker de 2008 ; les deux proviennent du monde IT et ne présentent que peu de danger dans le contexte de la centrale.

Heureusement, aucun impact n'est à déplorer sur la centrale et - selon les opérateurs - le système affecté est non-critique : aucun impact physique n’aurait pu avoir lieu. L’incident est alors classé au plus bas niveau de criticité possible, à savoir, aucune atteinte au personnel, à l'environnement (rivières atmosphère etc.) et au système.

 

Un incident sans conséquence mais riche d'enseignements

L'incident soulève tout de même plusieurs interrogations : Comment des malwares si anciens ont-ils pu infecter une centrale nucléaire ? Qu'est ce que cela révèle du niveau de sécurité des infrastructures les plus critiques ?

 

Tout d'abord, le cas Gundremmingen révèle – s'il le fallait encore – que les systèmes informatiques déconnectés ne sont pas protégés des menaces. Les portes d'entrées se sont multipliées et la détection d'actes malveillants doit devenir systématique.

 

L'exemple est en réalité assez révélateur du niveau de sécurité dans l'industrie de manière générale. Pendant longtemps, les réseaux d'automates étaient cloisonnés et leur fonctionnement était largement inconnu, ce qui les protégeaient des cyberattaques. C'est parce que la menace est récente que le niveau de sécurité est si bas, d'où la possibilité, pour des attaquants, d'utiliser des outils anciens.

 

Là ou le monde informatique a parcouru du chemin – même s'il reste encore beaucoup à faire – le monde industriel n'en est qu'à ses débuts et ce même dans des infrastructures aussi critiques que les centrales nucléaires.

 

Chris Sistrunk, expert de la sécurité des systèmes de contrôle industriels (ICS), note d'ailleurs que si l'informatique des centrales et si vulnérable à de vieux malware, elle est certainement vulnérable aux attaques plus sophistiquées et ciblées.

 

Un événement qui ouvre la voie à plus de transparence ?

L'amélioration de la cybersécurité de nos industries passera aussi par un effort de transparence et de communication de la part de tous les acteurs de l'écosystème : industriels comme institutionnels. Ce type d'incident permet à la fois d'accompagner une nécessaire prise de conscience du risque tout en ouvrant le chemin vers une plus grande coopération entre les personnes concernées par la cybersécurité des infrastructures qu’ils soient publics ou privés.

 

Ce n'est d'ailleurs pas la première fois que l'Allemagne publie des analyses pour ce type d'incident : l'agence allemande BSI – qui est à l'Allemagne ce que l'ANSSI est pour la France – avait diffusé un rapport détaillé relatif à l'attaque d'une acierie. L'incident avait été autrement plus lourd de conséquences – plus d'informations ici.

 

En diffusant des informations relatives aux méthodes d'attaques, aux outils employés etc. les opérateurs de la centrale nucléaire ont transformé leur aventure malheureuse en un vecteur de formation et d'amélioration de la sécurité du monde nucléaire. Ils ont permis à des centaines de responsable sécurité de montrer autour d’eux que la menace est réelle. Ils se donnent en exemple pour évangéliser aux risques. Espérons que les opérateurs et autorités européennes emboîteront le pas et confirmerons la tendance.

 

 Par Laurent Hausermann, Directeur Associé de Sentryo 

Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale