Thomas Houdy, du Cert Lexsi, publie un billet très synthétique sur la sécurité industrielle et ses méthodes. Article raisonné et raisonnable traitant de deux réalités : la vulnérabilité endémique des systèmes de contrôle de processus particulièrement depuis leur « windowisation » intensive et l’augmentation des fameuses APT, opération d’espionnage industriel systématique visant toute infrastructure possédant une fenêtre sur Internet. Problème que l’entreprise Lexsi entend bien résoudre d’une manière ou d’une autre en commençant par un diagnostic rapide en 10 points, diagnostic qui reprend les fondamentaux de la sécurité périmétrique physique autant que virtuelle. Le passage le plus intéressant du billet de Thomas Houdy est bien celui qui décrit la tour de babel qu’est une entreprise de production : électroniciens, automaticiens, informaticiens, chimistes, qualiticiens… tout le monde a son mot à dire, dans un langage qui lui est propre, avec des notions de sécurité ou des nécessités de liberté d’action parfois totalement incompatibles d’un corps de métier à l’autre.
S’ajoute également à ce tableau les composantes stratégiques, celles imposées par la Direction Générale ou, plus simplement, par la Direction Financière. Directives que l’on résume généralement par « faites mieux, mais pour moins cher ».
Un ancien spécialiste du contrôle de processus passé analyste expert au sein de Verizon nous confiait « Nous travaillions sur des automates si anciens qu’ils n’étaient plus maintenus par leurs constructeurs. Il m’est arrivé d’aller chercher des pièces détachées sur eBay. Ce qui tient du miracle, c’est que certaines entreprises US continuent de fonctionner, car même en écartant les risques Internet (pirates, hacktivistes, APT etc.), les risques de pannes et d’accidents s’accroissent de jour en jour ».
Risque d’autant plus importants que les budgets alloués à la sécurité ne peuvent trop impacter ceux destinés à la modernisation des infrastructures. Même certaines mesures de protection du périmètre physique sont littéralement abandonnées, ce qui permet parfois à certains militants écologistes d’aller poser des banderoles sans trop de risques sur les cheminées de quelques centrales nucléaires Françaises. De là à estimer qu’il est totalement saugrenu de craindre une cyber-attaque, bien plus coûteuse que l’envoi physique d’un militant-saboteur, il n’y a qu’un pas. Les vieilles méthodes n’ont pas été détrônées par l’informatique, l’informatique et ses risques associés n’ont fait qu’attirer sur eux l’éclairage des médias. Et, en matière de sécurité, on surestime toujours les risques que l’on connaît, on sous-estime souvent ceux que l’on a connu et oublié. La revanche de la pince-coupante contre le virus de 4ième génération ?
Pas du tout !, entend-on clamer de l’autre côté de l’Atlantique. Le terroriste ou l’espion logiciel reste de loin le plus efficace. La preuve, il ne cesse de se moderniser, estime John Mello dans les colonnes de CSO. Les outils utilisés dans les APT intègrent de plus en plus de routines et de tests capables de détecter la présence de honeypot et de machines virtuelles piège, et les concepteurs/utilisateurs de ces mêmes outils deviennent de plus en plus furtifs, discrets, dans le but de demeurer le plus longtemps possible au cœur des machines compromises et ainsi récupérer des documents stratégiques sur de très longues périodes.
Un tout autre article de Network World montre un aspect bien moins subtil et tout aussi efficace du monde du hacking Scada : les campagnes de phishing ciblées visant les sociétés spécialisées dans le domaine de l’énergie seraient en augmentation. Le DHS lance d’ailleurs ces jours-ci une campagne d’information, nous apprend Jaikumar Vijayan, campagne incitant les cadres et employés de ces entreprises à ne pas mélanger activités privées sur les réseaux sociaux et travail quotidien sur les systèmes de l’entreprise. Bref, le « double coup Facebook de l’Elysée » sert de leçon aux DSI de l’industrie US.