tiero - Fotolia

A Cadarache, le CEA sécurise ses SCADA avec Sentryo

Le site a choisi de miser sur la jeune pousse française pour le développement des sondes qui collecteront les données remontées à son futur centre de sécurité opérationnel dédiés à ses systèmes de contrôle industriels.

Sur son site de Cadarache, le CEA est en train de mettre en place un centre opérationnel de sécurité informatique, un SOC, dédié à ses systèmes de contrôle industriel. Dans entretien avec la rédaction à l’occasion des Assises de la Sécurité, Patrick Baldit, DSI du site, explique pourquoi avoir décidé de créer un SOC dédié à son informatique industrielle : « les flux d’information sont très différents de ceux que l’on trouve dans l’IT classique. Il est nécessaire de disposer d’outils de dissection des protocoles spécifiques [aux Scada] qui permettent de récupérer l’information pertinente ». Mais ce n’est pas tout : le contexte revêt une importance toute particulière : « ouvrir une vanne peut être tout à fait normal à une étape d’un processus industriel, mais complètement anormal à un autre moment. Il y a là une notion de gestion du temps associé aux actions que l’on ne trouve pas dans l’IT ».  Ce SOC spécifique doit donc entrer en production en 2017.

Un étroit partenariat

C’est dans ce cadre-là que Patrick Baldit et ses équipes se sont penchés sur les outils du jeune Français Sentryo, lauréat du prix de l’innovation de la 15e édition des Assises de la Sécurité, qui se déroule actuellement à Monaco.

Si, à l’automne 2013, le DSI du site de Cadarache soulignait l’importance de l’organisation dans la sécurité des Scada, il travaillait aussi en interne à développer des outils de cartographie de ses systèmes de contrôle industriel. Jusqu’à ce qu’il rencontre Sentryo, il y a un an et demi : « nous avons vite réalisé que nous avions les mêmes approches. Mais nous ne sommes pas des industriels du développement logiciel, contrairement à eux ». Et de souligner que Thierry Rouquet et Laurent Hausermann, co-fondateurs de Sentryo, sont tous deux des anciens d’Arkoon Network Security, racheté par Cassidian (devenu depuis Airbus Defense & Space) début 2013 : « ils ont l’habitude d’industrialiser des produits de sécurité ».

Dès lors, après la signature d’un accord de confidentialité, les équipes de Cadarache ont commencer à travailler avec Sentryo « à la définition d’un système de surveillance et d’une sonde. Ils ont pris en charge le développement, et nous les avons aidés à mettre cette sonde en situation, avec de vraies données et de vraies contraintes industrielles ».

Cette première étape a commencé début 2015 et s’est achevée dans le courant de l’été avec « la mise en œuvre d’une première version de sonde capable de faire la cartographie du réseau industriel et de détecter les automates présents, qui communique avec quoi, etc. », explique Patrick Baldit. Une seconde phase s’est depuis engagée, avec un « travail conjoint de recherche et développement centré sur l’analyse comportementale ».

Le déploiement des sondes dans les systèmes en production commence en ce mois d’octobre, avec un objectif : leur généralisation à l’ensemble du site de Cadarache débu 2016.

Des questions de sureté

Il y avait des alternatives – et l’on pense notamment à Check Point et à NexDefense, entre autres – mais dans un domaine comme le nucléaire, Patrick Baldit revendique une prudence extrême et « une appétence particulière pour les solutions franco-françaises ».

Et même une qualification par l’Anssi ne suffit pas à le rassurer : « rien ne garantit que l’appareil évalué par l’Anssi est bien comparable à celui qui nous est vendu ». Et c’est sans compter avec la question des mises à jour logicielles.

Et cette approche, Patrick Baldit entend la suivre au-delà des sondes, pour les diodes, un autre composant essentiel : « à partir du moment où vous installez des sondes sur des systèmes industriels et que, au-dessus, vous montez un SOC, vous opérez de fait un pontage entre différents réseaux industriels qui étaient auparavant isolés. Que se passerait il en cas de compromission du SOC ? » D’où l’importance de diodes logiques permettant de garantir que les données peuvent remonter vers le SOC, mais pas en redescendre vers les systèmes industriels.

Là, Patrick Baldit évoque le français Seclabs solutions, mais aussi des Thales ou Airbus. Mais ces deux derniers risquent d’être bien trop chers pour son budget. Et peut-être Sentryo s’avèrera-t-il capable d’intégrer des capacités de diodes dans ses sondes, comme l’a appelé de ses vœux Patrick Baldit.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close