Protection des systèmes d’information critiques, divergences des approches sécuritaires, complexités techniques et organisationnelles, « best practices », partenariats public-privé…

Arnaud Garrigues (CIDRIS Cyberwarfare) et Charles Bwele (Électrosphère) échangent leurs points de vue.

Charles Bwele : Les technologies de l’information et de la communication ont radicalement modifié les interactions entre les gouvernements et les industries. Quand l’internet n’était qu’une discrète application militaire et scientifique, la notion de sécurité informatique n’était qu’une niche réservée à quelques spécialistes. En Europe plus qu’en Amérique du nord, les infrastructures vitales comme l’approvisionnement en électricité, en eau, en gaz et en carburants étaient gérées essentiellement par des entreprises publiques. Si la question cybersécuritaire avait jailli à cette époque, les choses auraient été beaucoup plus simples. Or, aujourd’hui, les infrastructures vitales d’un état-nation sont gérées par soit par des entreprises mixtes, soit par des sociétés réellement internationalisées. La preuve par EDF qui opère dans plusieurs pays européens ou par ses homologues nord-américains aux actionnariats diversifiés. Dès lors, comment distinguer nettement les réseaux informatiques publics de ceux privés et définir clairement leurs périmètres de sécurité ?

Arnaud Garrigues : L’analyse qui nous est proposée ici est tout à fait juste. J’ajouterais que pour moi, le problème est en fait double : il est à la fois technique mais également organisationnel comme souvent dans les problèmes de sécurité. Si j’assume ici cette position « Sécurité des Systèmes d’Informations », c’est que je pense qu’elle apporte le cadre nécessaire à la définition des politiques et procédures nécessaires à la hausse du niveau de sécurité, bien que la SSI doive encore s’adapter aux spécificités des métiers de l’industrie critique ou vitale. Le premier problème est d’abord technique : il se caractère par une interconnexion grandissante et non maitrisée des réseaux bureautiques et industriels à des fins pratiques. Alors que les premières conception respectaient une véritable isolation physique, « l’intrusion de matériels sur étagère » et les très grandes facilités d’interconnexions ont conduit des systèmes aux caractéristiques très différentes à échanger.

Un exemple est la réaction de Siemens après les révélations sur les capacités inédites du ver Stuxnet : « ne changez pas de mot de passe par défaut ! »… Réaction incroyable dans la SSI bureautique mais plus que justifiée dans le monde industriel. Le second problème est organisationnel : aucun acteur ne peut seul résoudre les problèmes actuels : cela nécessite une coopération poussée sous un format éventuellement renouvelé que l’on pourrait appeler « Partenariat Public Privé ». Donc, oui, pour moi, les gouvernements ont vocation à être un des acteurs de ces partenariats visant à protéger les SI critiques.

Charles Bwele : Tu insistes à juste titre sur les profondes différences de métiers, d’organisations et d’approches entre les SSI et les industries critiques. Ces dernières baignent dans un environnement technologique aussi complexe que changeant. C’est le cas de l’industrie des SCADA, ces architectures informatiques et télécoms permettant de piloter les infrastructures vitales. Les technologies sans fil sont plus légion qu’autrefois, il y a de plus en plus d’externalisations et d’alliances stratégiques entre divers fournisseurs de solutions SCADA, des technologies obsolètes coexistent avec des technologies dernier cri, des applications résidentes avec des applications ad hoc, le plus souvent pour combler un manque technique ou une faille critique, le tout sous la pression constante de l’innovation. Cette imbrication de facteurs produit effectivement des SCADA plus ouverts, plus efficaces, plus interconnectés et de facto plus vulnérables et parfois trop complexes. En outre, on entend régulièrement dire que les SCADA ne sont guère connectés à l’internet. En réalité, beaucoup de SCADA sont connectés en interne à des routeurs qui, eux, sont ouvertement connectés à l’internet grâce à des protocoles spécifiques aux SCADA mais pas nécéssairement sécurisés.

Peut-être que des partenariats public-privé forceraient ou inciteraient l’industrie des SCADA à adopter des best practices, pour peu que cela ait un sens dans le monde industriel comme c’est le cas dans le monde des SSI. Ces partenariats devraient inclure les industries de la cybersécurité qui attirent et conservent les meilleurs cerveaux en la matière, et bien entendu, les états qui disposent souvent mais pas toujours de procédés cybersécuritaires plus poussées que les best practices.

Arnaud Garrigues : Tu as tout à fait raison ! On parle beaucoup de partenariat public-privé sans cependant lui donner un contenu opérationnel clair. Souvent, celui-ci parait se limiter à des demandes d’échanges d’informations institutionnalisées et accrues. Cependant, ne soyons pas trop négatif car la France a, depuis 1996 avec le décret SAIV, mis en place une politique proactive en la matière qui oblige les industriels des secteurs identifiés comme vitaux à développer de vrais politiques de sécurité. Les approches de l’Europ,e comme la directive Critical Information Infrastructure Protection de 2009, paraissent d’ailleurs largement s’en inspirer. On peut cependant lui trouver quelques limites : par exemple, le Livre Blanc de la Sécurité et de la Défense Nationale définit bel et bien Internet comme une de ces infrastructures. Pourtant, certains secteurs relatifs aux infrastructures d’Internet restent encore en dehors de ce cadre. De même, la physionomie de la menace nous apprend aujourd’hui deux choses : la première est que le poids de la menace interne sur les systèmes d’informations est majoritaire et la seconde, que la mouvance terroriste ne s’interdit absolument pas de viser de telles infrastructures. Des ouvrages comme « La guerre sans limites » nous informent également de l’intégration de ces cibles dans certaines doctrines militaires modernes. Cela donne donc également des pistes nouvelles de réflexion et d’adaptation qui pourraient concerner, par exemple les politiques de recrutement ou encore les audits et contrôles des mesures de sécurité…

En revanche, je pense que l’exemple américain du Cyber Command et de la NSA est plein d’enseignements. Cette entité stratégique a affirmé par voie de communiqué de presse, de déclaration de son commandant que sa mission serait la protection des réseaux militaires américains. On trouve cependant de nombreuses opinions doutant de cette capacité d’auto-limitation ou encore d’autres affirmant que les résultats mitigés du DHS, en matière de sécurité des SI, plaident pour une intervention plus poussée du Cyber Command et de la NSA dans la protection de l’ensemble des réseaux américains. Or, les réseaux militaires correspondent à des besoins, contraintes et spécifications bien particuliers. Je ne suis pas sur que les entités militaires d’un état soient les plus à même de protéger les réseaux informatiques industriels : c’est notamment une limite qui, je pense, devra demeurer.
En revanche, on notera que le militaire et le privé ne doivent absolument pas s’affranchir d’une coopération poussée, extensive et de confiance pour garantir aux militaires des produits d’un niveau de qualité et de sécurité adapté sachant qu’aujourd’hui, le militaire ne semble plus pouvoir s’assurer, dans le contexte de restriction budgétaire, de la conception totale de ses systèmes. Au contraire, cette forme de partenariat public-privé doit sans doute évoluer d’une relation client-fournisseur “classique” vers sans doute un autre mode, que je ne prétends pas savoir définir, permettant l’optimisation des systèmes.

Charles Bwele : DHS, NSA, Cyber Command… Trop souvent, l’approche militaire, notamment celle américaine, focalise essentiellement mais pas uniquement sur des scénarios de « Pearl Harbor électronique » contre des infrastructures vitales. L’approche industrielle privilégie d’abord et surtout le vol de propriété intellectuelle, le sabotage interne et les bogues en cascades inhérents à la complexité intrinsèque des SI critiques. D’une certaine façon, les gouvernements craignent surtout le cyberterrorisme alors que les industries sont plus angoissées par la cybercriminalité. Loin de moi tout idée visant à minimiser la probabilité d’un hacking d’une ou de plusieurs infrastructures vitales, le malware Stuxnet au Moyen-Orient et en Asie est passé par là.

Mais une complémentarité des approches entre gouvernements, armées, sociétés de cybersécurité et industries est vraiment indispensable. Les gouvernements et les armées pourraient, par exemple, financer ou subventionner la R&D en sécurité des SI critiques en général et des SCADA en particulier, R&D dont ils bénéficieraient amplement en retour, inciter voire imposer l’adoption de best practices et prêter assistance dans l’élaboration de solutions flexibles en cas de hacking. Les milieux industriels apprendraient à insérer leurs SI dans une stratégie de cybersécurité nationale, veilleraient à ce que leurs personnels et leurs directions générales, techniques, financières, R&D et même juridiques appréhendent tous les tenants et aboutissants de cette nécessité et forgent des best practices adéquates. Ainsi, le partenariat public-privé développerait une cybersécurité flexible et globale aussi prompte à affronter, dans la mesure du possible, un Ben Laden électronique ou un Al Capone numérique. Un peu caricatural, non ?

Arnaud Garrigues, CIDRIS Cyberwarfare et Charles Bwele, Électrosphère

Cet article est repris du site https://www.alliancegeostrategique.o...