Scada : le patron de l’Anssi affiche son inquiétude

Si l’Anssi a publié, fin juin, ses recommandations pour la sécurisation des systèmes informatiques industriels (Scada), elle n’en est pas moins rassurée. Ce sujet est même identifié comme étant le principal défi de l’agence à moyen terme, selon son directeur général Patrick Pailloux. Intervenant en ouverture des Assises de la Sécurité, qui se déroulent actuellement à Monaco, celui-ci a en effet insisté fortement sur le sujet. Et d’évoquer le cas de Saudi Aramco : le groupe pétrolier a été victime d’une attaque informatique de grande ampleur, fin août, rendant indisponibles 30 000 postes de travail. Le logiciel malveillant utilisé, Shamoon, était taillé pour effacer des données, jusqu’au Master Boot Record (MBR), interdisant le démarrage des machines concernées. Un incident qui «n’est pas là pour me rassurer», explique Patrick Pailloux. D’autant plus que, pour lui, une attaque comme celle-ci est assurément «plus facile à mener que de l’espionnage» où le code malveillant doit rester caché, voire dormant, aussi longtemps que possible. Or, relève-t-il, «de plus en plus de systèmes industriels deviennent des systèmes informatiques» ouverts, interconnectés, en s’appuyant sur des réseaux IP tout ce qu’il y a de classiques. Quand il n’y a pas, en plus, d'ouverture sur Internet, directe ou indirecte, via un système d’information corporate «notamment pour gérer la production de façon automatisée». Et un nombre croissant de personnes «s’intéressent à l’attaque de ces dispositifs ». Dès lors, Patrick Pailloux recommande de «bien vérifier l’isolation de ces systèmes d’Internet ». Et si ce n’est pas le cas, «déconnectez-les ». Si ce n’est pas possible, «il est urgentissime de travailler à une solution alternative ». Et de viser «ceux qui développent et installent ces systèmes, les enjoignant à montrer la voie. Car, dans le cas des systèmes industriels, ne pas respecter «les règles d’hygiène» recommandée par l’Anssi est «presque criminel ». En ligne de mire, - sans le nommer - l’Allemand Siemens, en jugeant inacceptable que l’on trouve «des mots de passe en dur» ou par défaut dans les systèmes Scada. Ce qui avait été le cas de celui signé Siemens et que ciblait Stuxnet. Si, rassurant, Patrick Pailloux estime que les «règles» sont respectées dans «la plupart des cas» pour les systèmes industriels critiques, il souligne toutefois que l’informatisation des systèmes industriels s’accélère : «on risque demain d'être dans une situation critique», estime-t-il.