Monaco, le 2 octobre« Il y a quatre ans »…. Patrick Pailloux, patron de l’Anssi, ouvrait la séance plénière des Assises de la Sécurité de Monaco 2013 avec un vibrant rappel de son redoutable « Back to Basics ». Un plaidoyer pour un retour drastique aux fondamentaux de la sécurité informatique, une charge féroce contre la tendance générale à la course aux équipements, aux « solutions » magiques qui faisaient oublier les principes élémentaires du métier : la technologie est entachée de défauts intrinsèques que ne peux corriger la technologie elle-même. La vérité se situe du côté du respect des règles élémentaires de prudence et de la poursuite sans précipitation aux évolutions techniques. L’an passé, sur le même air et presque la même chanson, Patrick Pailloux entonnait un de profundis du Byod et des applications mobiles, toujours pour les mêmes raisons, entraînant toujours les mêmes réactions (généralement narquoises) des DSI.
Attitude dogmatique, vision de Haut Fonctionnaire ignorant du quotidien industriel… «à la lumière de la récente actualité, étais-je si alarmiste ? » demande en substance Pailloux. « Les évènements sont là pour prouver que les conseils de prudence étaient fondés ». Pailloux a le triomphe modeste, et enchaîne sur les « nouvelles catégories de risques » méritant toute l’attention de l’Anssi, à savoir les systèmes Scada. « Nouvelle catégorie » d’un point de vue purement politique, car cela fait tout de même 6 ou 7 ans que les DefCon, CanSec et autres HitB résonnent d’exploits glorieux contre les antiques Modbus, les antédiluviennes liaisons V24 dépourvues de la moindre couche de sécurité ou les automates programmables d’origine Allemande si prompts à s’ouvrir aux sollicitations d’un intrus distant. Remember Struxnet. Mais sera-ce possible ?
Faire des infrastructures Scada une priorité nationale est une course de fond. Plusieurs raisons à cela. En premier lieu, il est nécessaire que l’Anssi dispose d’une cartographie précise des infrastructures informatiques stratégiques. « Cet inventaire a été dressé peu de temps après les évènements du 11 septembre pour que l’on puisse compter sur un état des lieux précis des secteurs à risques » explique le patron de l’Anssi. Réseaux de communication et de transport, d’énergie, d’information, centres industriels et de production d’importance stratégique nationale… une telle liste est aussi insondable que le tonneau des Danaïdes, car que peut-on qualifier de rouage « stratégiquement important » ? La chose est entendue pour ce qui concerne le réseau routier, ferroviaire ou aérien, le transport des flux (eau, gaz, électricité, hydrocarbures), les usines pétrochimiques… mais combien de moyennes entreprises employant des produits chimiques dangereux ou œuvrant à un troisième ou quatrième niveau de sous-traitance dans le secteur de l’armement ou des transports risquent de passer en dessous des radars ? L’on pourrait également rappeler qu’une telle liste avait également été dressée peu de temps après la catastrophe de Seveso, qui n’avait accouché que sur un classement des risques industriels… on est loin des menaces d’espionnage informatique, de cyber-sabotage, d’attaque en déni de service tels que le redoute notre Anssi.
Malgré l’ampleur du travail, le message de l’Agence Nationale est simple. Il faut remettre à plat tout le Scada Français, vérifier notamment que les médias de communication entre automates programmables, capteurs et calculateurs de contrôle de processus soient sécurisés. « Dans ce domaine précis, explique Patrick Pailloux, il existe encore trop de composants tantôt pilotés à distance, tantôt utilisant des capteurs distants qui ne bénéficient d’aucun mécanisme de communication chiffré, d’aucun système d’authentification capable de prévenir d’une attaque MIM ou d’un mauvais retour de point de consigne. Tant que ces infrastructures industrielles vivaient en autarcie, la question de la sécurité se limitait aux contrôles rigoureux opérés par les techniciens qui en avaient la charge. Mais ce n’est plus le cas aujourd’hui, avec un protocole IP omniprésent, et parfois même le raccordement de ces réseaux industriels au réseau Internet public. Une « IPisation » et un recours fréquent à la supervision en mode distant dictés dans tous les cas par des considérations économiques a fragilisé le Scada français au-delà de l’admissible. L’informatique « Wintel » et l’électronique mobile ont souvent remplacé à faible coût des équipements « durcis » hors de prix mais très fiables. Une réduction des coûts qui a entraîné une augmentation des risques. « Il faut impérativement isoler les réseaux de contrôle de processus industriels de tout point de raccordement Internet » rappelle Patrick Pailloux. Que l’idée est séduisante, que les mises à jour deviennent difficiles …
Cette reprise en main rappelle celle des « CyberCzars » qui se sont succédés au sein du gouvernement fédéral US. Avec des résultats très variables compte tenu du capharnaüm provoqué par la vague de dérégulation des opérateurs de services aux USA (eau, électricité, téléphonie…). En Europe, bien que la libéralisation imposée par l’OMC ait eu tendance à fortement dégrader le niveau général d’évolution des infrastructures, la santé du tissu Scada semble moins critique. Reste que l’Anssi, en focalisant son attention sur les opérateurs télécom, des transports, de l’énergie, des industries lourdes, ne parvient toujours pas à quitter son costume de grand conseiller du CAC 40 et des grandes administrations. L’Agence Nationale, originellement constituée pour veiller au contrôle sanitaire de l’ensemble du tissu informatique Français, concentre ses efforts sur les joyaux économiques de l’Empire. Peu étonnant que, dans ces conditions, aucune collectivité locale de petite ou moyenne envergure ne considère l’Anssi autrement qu’un rouage essentiellement destiné aux Ministères et grandes entreprises ou que les moyennes entreprises ne prêtent que rarement attention à ses initiatives. Pour 80% (en volume) du parc informatique Français, l’affaire Snowden pose des questions auxquelles personne ne semble pouvoir répondre, ou alors seulement par le biais de brochures papier. Les grands suivent le guide, les autres lisent les dépliants.