Stuxnet met en lumière l’absence de culture de sécurité IT dans les SCADA

Pour Bernard Ourghanlian, directeur technique et sécurité de Microsoft France, Stuxnet est appelé à entraîner une véritable révolution culturelle chez des acteurs du logiciel pour SCADA (Supervisory Control And Data Acquisition ; télésurveillance et acquisition de données, systèmes particulièrement utilisées dans le monde industriel) tel que Siemens, dont les outils ont précisément été visés par le fameux ver. « L'irruption d'Internet dans le monde industriel est quelque chose de récent, qui s’est fait progressivement au cours des cinq dernières années. Longtemps, il y avait séparation des réseaux de contrôle des systèmes industriels et des réseaux ouverts mais, petit à petit, il a commencé à y avoir interpénétration des deux réseaux.» Et de souligner que Stuxnet n’est pas le premier logiciel malveillant à toucher des équipements industriels. Conficker, d’une certaine manière, aurait dû servir de signal d’alarme. «Avec conficker, on a eu un exemple de menace de nature industrielle : des équipements hospitaliers en France étaient en fait accessibles via Internet...»

Eugène Kaspersky, lors de son intervention aux Assises de la Sécurité, a appelé à la mise en place de réglementations sur la sécurité des systèmes IT industriels, avec responsabilisation des acteurs et pénalités en cas d’incident.

Et ont été infectés. «Le problème, dans l'état actuel des contrats qui lient l'hôpital et son fournisseur d’équipements, c’est que les personnels hospitaliers n'ont pas le droit d’appliquer des correctifs logiciels...» Un problème d’autant plus prégnant que, notamment pour des questions de coût, les auteurs des logiciels de ces équipements s’appuient désormais généralement sur des systèmes d’exploitation non durcis. Eugène Kaspersky, fondateur de l’éditeur du même nom, évoque d’autres exemples, à commencer par le crash du vol Spanair 5022, en août 2008 : «l’avion s’est écrasé en raison d’une défaillance des volets. Mais les ordinateurs, lors des tests au sol, n’ont pas rapporté cette défaillance... parce qu’ils étaient infectés.»

Une approche clé-en-main figée

Cyril Moneron, RSSI de Saint-Gobain, précise : «les éditeurs de solutions informatiques industrielles refusent de continuer de les supporter à partir du moment où l’on a modifié le système d’exploitation, ou on a appliqué des correctifs supplémentaires. Ils fournissent donc une solution, avec une configuration, et on ne peut pas y toucher. Si l’on commence à installer au dessus nos propres solutions ou à appliquer des correctifs, un certain nombre d’éditeurs nous disent "on ne vous supporte plus; si vous avez un souci, c’est votre problème". Cela montre bien qu’ils n’ont pas intégrer dans leur offre ces problématiques de mise à jour.» Heureusement, cela n’implique pas une approche totalement fermée : «ça, c’est le discours initial. Mais quand on leur montre ce que l’on va faire et quel est risque, sur certains sujets, ils finissent par accepter. Mais cela prend du temps et cela nécessite des compétences en local que l’on n’a pas forcément. Nous en opérateur central, on ne peut pas expliquer à 500 prestataires externes. Alors on se retrouve souvent avec des responsables locaux qui ne peuvent pas argumenter avec les prestataires. Et ce sont eux qui ont gain de cause. On se retrouve alors avec machines complètement obsolètes après 3 ou 4 ans.»

L’informatique s’immisce dans l’industrie

D’une certaine façon, ces spécialistes de l’informatique industrielle apparaissent dans une situation comparable à celle des spécialistes des télécoms lorsque l’informatique et le monde IP ont fait irruption dans leur univers. Pour Bernard Ourghanlian, il y a effectivement «un niveau à franchir pour que ces deux mondes se parlent. Les industriels doivent réaliser qu’ils sont de plus en plus dépendants de l’informatique et qu’il faut autoriser leurs clients à patcher.»  Cyril Moneron avance une explication. Selon lui, l’informatique «n’est pas le coeur de métier des industriels. Ils ont une logique de contrôle de processus, d’automaticiens, de production. La communication passe très bien avec les personnes de production et de la maintenance. Mais l’IT, ce n’est pas leur métier. On a aussi un effort d’éducation interne et externe à produire.»

La bonne nouvelle, c’est que le message commence à passer, selon le RSSI de Saint Gobain : «Siemens a commencé à intégrer la question des mises à jour dans sa réflexion. Mais ils sont encore sur des logiques de versions.» Las, en face, côté client, passer d’une version à l’autre implique des coûts : «les équipes de production n’ont pas forcément de valeur ajoutée à retirer de la mise à jour vers une nouvelle version. Et de préférer alors demeurer sur une version antérieure.» Bref, les éditeurs spécialisés dans l'informatique industrielle n’ont «pas encore intégré qu’après la livraison initiale du produit... l’environnement évolue.» Et que leurs outils devraient en faire autant.

En complément :

- Stuxnet peut ré-infecter les machines après nettoyage

- Stuxnet : l’Iran se pose en victime d’une «guerre électronique»

- Stephan Tanase, Kaspersky : Stuxnet marque l’avènement « d’une nouvelle forme de cybercriminalité »

- Le ver Stuxnet est-il la première cyber-arme ?