Le CEA a mis en place différentes méthodes afin de réduire les risques de cyberattaques. Explications avec Patrick Baldit, responsable du Service des Technologies de l’Information et de la Communication au centre de Cadarache du CEA.
SecuriteOff : Dans le domaine industriel, l’apparition de Stuxnet en 2010 a révélé que les automates pouvaient être des cibles de pirates. Quelles mesures le CEA a-t-il prises ?
Patrick Baldit : Stuxnet a démontré que les systèmes n’étaient pas tombés en panne, mais avaient été leurrés. Il peut exister des attaques informatiques dont l’objectif n’est pas uniquement de casser l’outil de production ou de l’arrêter, mais potentiellement de modifier son fonctionnement. C’est un point très important que tous les industriels doivent prendre en compte.
Le reverse engineering du code de Stuxnet a permis de déterminer les failles et les systèmes visés (Le type d’automates SIEMENS visés et le process de chargement de firmware par exemple).
Nous avons réalisé un inventaire de tous les systèmes industriels présents sur le site de Cadarache. Cela correspond à tous les automates avec une supervision de production. Cet inventaire nous a permis d’établir une liste détaillée et documentée de ces systèmes, (Contrôle commande, vannes motorisées, téléalarme, capteurs de température, chauffage, etc..).
L’étape suivante a consisté à étudier leur fonctionnement pour les catégoriser. Nous avons ensuite défini quels étaient les dénominateurs communs et quelles modifications d’infrastructures ou pas, nous allions mettre en place.
Par ailleurs, au niveau des automates, nous avons normalisé nos standards de contrôle commande sur la base d’automates commerciaux ainsi qu’au niveau de la supervision industrielle (qui permet à un opérateur de gérer un procédé, Ndlr) en minimisant notamment le nombre de références commerciales.
SecuriteOff : Avec un parc aussi homogène, vous ne facilitez pas la tâche des attaquants ?
P.B : Au contraire ! Avec un parc industriel très hétérogène, vous augmentez la surface d’attaque en matière de Cybersécurité. Faisons un parallèle avec le monde de l’IT : si vous n’avez que des postes de travail sous Windows 7, vous connaissez très bien ce système d’exploitation et vous savez comment le sécuriser. Si, par contre, votre parc informatique comprend des postes de travail fonctionnant sous MacOs, GNU/Linux, Windows XP…, vous n’avez pas forcément les compétences pour tout maitriser et donc tout sécuriser correctement.
Pour revenir à notre parc et notre volonté d’homogénéiser les systèmes industriels, l’idée de départ était de réduire leurs coûts de conception et d’évolution, car les déploiements sont plus rapides si ceux-ci s’appuient sur des référentiels documentaires et informatiques maitrisés (blocs unitaires qualifiés). Cette uniformisation a eu pour conséquence de réduire la surface d’attaque informatique, car nous sommes dans une logique d’analyse des flux informatiques échangés entre la supervision et les automates afin de déterminer ceux qui sont légitimes et ceux qui ne le sont pas. Or pour le savoir, il faut parfaitement connaître ses systèmes de supervision et son réseau.
SecuriteOff : Quelles autres mesures ont été retenues par le CEA ?
P.B : Nous avons mis en place une plate-forme de Cybersécurité des systèmes industriels. Elle nous permet de tester « aux limites » (jouer de vraies attaques, Ndlr) nos systèmes industriels, et également de qualifier sur le plan Cyber, nos infrastructures informatiques industrielles, mais dans un environnement virtuel.
Cette plate-forme nous permet de tester des systèmes de protection et différents scenarii d’attaques, comme par exemple d’évaluer les solutions technologiques répondant au scénario d’un individu ayant franchi toutes les barrières physiques de protection et ayant accès à un point du réseau informatique industriel.
Enfin, nous sommes également en train de faire évoluer notre plate-forme avec des barrières logiques en profondeur (à l’image de la défense en profondeur au niveau physique), car nous devons prendre en compte le cas des clés USB intégrant des codes malveillants qui potentiellement pourraient être introduites sciemment ou non par des personnels internes ou externes.
SecuriteOff : Que préconisez-vous étant donné que la supervision n’est pas la panacée ?
P.B : Pour protéger, il faut également détecter, L’essentiel reste toujours la supervision du réseau industriel. Les contraintes se situent au niveau des protocoles utilisés qui ne sont pas connus à l’inverse de l’IP classique du monde bureautique. Il s’agit souvent de protocoles industriels dédiés et propriétaires. Il faut donc décortiquer les trames réseaux pour les comprendre et mettre en place des sondes informatiques réseau, non intrusives, qui sont également capables de remonter des informations (par exemple, la version d’un firmware d’automates) que nous pourrons corréler sur un SIEM (Security Information Event Management). L’enjeu est d’être capable d’interpréter ces signaux en plaçant des sondes avec de « l’intelligence » afin de filtrer les remontées d’informations, ainsi que des diodes réseau (autre problématique importante à prendre en compte en matière de Cyber supervision).
C’est la raison pour laquelle nous avons pour objectif de disposer à terme d’une supervision Cyber dédiée aux systèmes industriels (SOC : Security Operating Center) qui disposera notamment d’une base de données des failles de sécurité (issues de CERT – Computer Emergency Response Team). Nous pourrons ainsi mettre en place une politique de patch management industrielle à l’image de ce qui est déjà fait sur le réseau bureautique.
SecuriteOff : Étant donné votre statut, le CEA a une politique de sécurité très élevée.
P.B : Dans le nucléaire et au CEA en particulier, nous avons une forte culture de sûreté et de sécurité. Ces deux composantes sont essentielles à la crédibilité du nucléaire et sont régulièrement vérifiées par l’ASN (l’Autorité de sûreté nucléaire assure, au nom de l’État, le contrôle de la sûreté nucléaire et de la radioprotection en France, Ndlr) qui audite l’état de nos systèmes de protection vis-à-vis de scenarii de type séismes, malveillances, vol de matière nucléaire….
En ce qui concerne la cybersécurité de systèmes industriels, l’ANSSI a récemment édité des guides techniques avec le concours d’experts, dont le CEA. Un an et demi après le vote de la loi de programmation militaire, un décret renforçant les obligations des opérateurs d’importance vitale (OIV) (énergie, banques, télécoms, etc.) a été publié en mars 2015. Les OIV devront notamment se mettre en conformité et démontrer la performance des mesures mises en place par des audits réalisés par l’ANSSI, ou par des prestataires labellisés par l’ANSSI.
Après la parution de ce décret, il parait logique que les autorités de sûreté nucléaire nous demandent le même degré de vigilance que nous avons aujourd’hui sur la protection physique, dans le domaine informatique. Le CEA a anticipé cette problématique et a déjà mis en œuvre des compétences et des expertises pointues dans ces domaines pour répondre aux nouvelles exigences en matière de Cybersécurité qui sont évoquées à travers ces décrets.
SecuriteOff : Au final les évolutions technologiques induisent elles des changements organisationnels et des évolutions de compétences
P.B : Au CEA, nous sommes dans la même logique que pour l’IT. Les métiers de l’automatisme ont évolué avec les technologies employées. Si la sûreté et la sécurité traditionnelle du monde industriel fait appel à des notions liées à la sûreté de fonctionnement (SDF), ou l’analyse des modes de défaillance, de leurs effets et de leur criticité (AMDEC), l’arrivée de la Cybersécurité induit un changement de paradigme. Ce n’est pas parce qu’un système est « sûr » et qu’il fonctionne depuis 30 ans sans soucis qu’il est pour autant « sécurisé ». Il est essentiel de mettre en place des équipes pluridisciplinaires : informaticiens spécialisés (réseaux, systèmes d’exploitation, applicatifs…), automaticiens (compétents sur une technologie de supervision et sur certains types d’automates)… Ce type d’organisation est très important, car des systèmes industriels au sens large (ICS : Industrial Control Systems) sont encore livrés avec des failles, non pas de conception, mais de configuration. Or aujourd’hui, il existe une volonté par les acteurs industriels de vouloir tout connecter entre autres pour des raisons de coûts (un maintenancier pour limiter les frais de déplacement, un opérateur pour pouvoir superviser à distance le fonctionnement de la production…). Une véritable analyse de risque doit être effectuée pour catégoriser les systèmes. Cette mode du tout connecté amplifie les risques de pénétration et de cyberattaque. C’est ce qui s’est passé en 2014 avec l’attaque dont a été victime la chaine de magasins américaine Target. Les pirates sont passés par le système informatique de climatisation des magasins qui était maintenu par un contrat externe et ouvert sur internet pour des raisons de maintenance. En utilisant cet accès, les attaquants ont pu prendre la main sur le SI industriel de la climatisation pour ensuite accéder au SI d’entreprise de Target dont la configuration de la protection réseau était visiblement défaillante.