RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET TRAVAUX DES AUDITEURS INHESJ. Cycle «Sécurité des usages numériques»

Transcription

1 Institut national des hautes études de la sécurité et de la justice INHESJ TRAVAUX DES AUDITEURS RISQUES ET SÉCURITÉ Cycle «Sécurité des usages numériques» Travaux de la 4 e promotion ( ) DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET en partenariat avec le DÉCEMBRE 2014

2 L Institut national des hautes études de la sécurité et de la justice publie chaque année des rapports et études sur les champs de la sécurité et à la justice. Dans le cadre du cycle de spécialisation «Sécurité des usages numériques», les auditeurs stagiaires réalisent un travail collectif tutoré par le département sécurité économique de l INHESJ. Ces travaux sont effectués en toute liberté grâce à l indépendance dont les auteurs bénéfi cient au sein de l Institut. L étude ci-dessous publiée est un document à vocation scientifi que. Il ne saurait être interprété comme une position offi cielle ou offi cieuse de l Institut ou des services de l État. Les opinions et recommandations qui y sont exprimées sont celles de leurs auteurs. Le document est publié sous la responsabilité éditoriale du directeur de l Institut. Les études ou recherches de l INHESJ sont accessibles sur le site de l INHESJ. Directeur de la publication M. Cyrille SCHOTT, directeur de l INHESJ

3 AVANT-PROPOS est désormais au cœur des actifs immatériels des organisations et constitue un élément clé de leur performance. L information L entrée dans le monde numérique a par ailleurs conféré aux systèmes d information une dimension incontournable du développement de l économie. La «sécurité des usages numériques» représente donc un enjeu majeur pour la pérennité et la compétitivité des entreprises et des administrations. C est pourquoi, dès 2010, l Institut national de hautes études de la sécurité et de la justice (INHESJ) et le CIGREF (Réseau de Grandes Entreprises) ont convenu de mettre en place un cycle de formation sur les problématiques et les enjeux liés à la sécurité numérique à destination des cadres d entreprises des secteurs privé et public. Ce cycle de spécialisation en «Sécurité des usages numériques» se fi xe pour objectif de délivrer les savoir-faire visant l identifi cation, l évaluation et la maîtrise de l ensemble des risques et des malveillances à tous ceux qui veulent mieux comprendre les enjeux de la sécurité numérique au sein des entreprises. L Institut est heureux de présenter dans sa collection Études et Documents les travaux des auditeurs de ce cycle réalisés sous la supervision du Département sécurité économique de l INHESJ. Cyrille SCHOTT Directeur de l Institut national des hautes études de la sécurité et de la justice Pascal BUFFARD Président du CIGREF INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 3

4 Les AUTEURS Les Auteurs de ce travail intitulé «Sécurité des objets connectés» sont : Carolina MORALES-COLASANTE Véronique WADEL Sylvain ARNOLD Xavier BLANCHARD Bertrand LOCHET Sous la direction de Nicolas Arpagian, directeur scientifi que du cycle «Sécurité des usages numériques».

5 RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET Travaux de la 4 e promotion ( ) du Cycle «Sécurité des usages numériques» Sommaire PRÉAMBULE INTRODUCTION CHAPITRE 1 Les systèmes industriels Historique Composants des systèmes industriels Les principaux objectifs et atouts des Systèmes industriels Domaines d utilisation des systèmes industriels CHAPITRE 2 Les risques et menaces des systèmes industriels Profi l des attaquants et les objectifs de l attaque Typologie des risques Typologie des menaces Moyen d accès d une attaque au système industriel CHAPITRE 3 - Problématiques juridiques de la cyber-sécurité des systèmes industriels «Le droit des robots» «Security by design» Les Systèmes industriels et les objets connectés La cyber-assurance des systèmes industriels Le dispositif juridique français et européen Le rôle de la Direction juridique CHAPITRE 4 Les solutions de sécurisation de la connexion à Internet des systèmes industriels Le retour au déterminisme des systèmes industriels L audit du code Authentifi cation Forte Le chiffrement et le principe ou la chaîne de confi ance Protocoles spécifi ques SCADA par les fabriquant des solutions «endpoint» Approche sémantique «fi rewall sémantique» Amélioration de la Cyber sécurité des réseaux des systèmes industriels Systèmes de détection d intrusion Les «Honeypot» Recherche et analyse de la vulnérabilité La vérifi cation des journaux La sensibilisation à la cyber-sécurité La mise en œuvre des directives et guides de gestion de la sécurité La défense en profondeur La gestion des risques Propositions d architecture et de process CONCLUSION Définitions Références bibliographiques INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 5

6 PRÉAMBULE Miser sur la diversité des compétences pour répondre à des menaces protéiformes. La sécurité numérique doit se concevoir sur le modèle des multiples formes d agressions rendues possibles par les technologies de l information et de la communication qui irriguent désormais les organisations économiques, administratives ou militaires. C est la raison pour laquelle la réfl exion et la stratégie en matière de cybersécurité doivent se concevoir en mettant à contribution une grande variété de compétences et d expertises : dans les domaines industriels, techniques, informatiques, juridiques, judiciaires, militaires, policiers et même politiques. De ce croisement de savoir-faire émergeront les stratégies utiles à mettre en place pour concevoir une sécurité numérique plus performante. C est dans cet esprit que chaque année les auditeurs du cycle «Sécurité numérique» de l Institut national des hautes études de la sécurité et de la justice (INHESJ) travaillent à analyser et éclairer une problématique qui se trouve au cœur des intérêts stratégiques des entreprises, et donc des États. Ils ont pour mission d expliquer les enjeux de la thématique qui leur a été confi ée, d en présenter les mécanismes et de formuler des réponses réalistes et concrètes pour réduire ou faire cesser l exposition au risque qu elle représente. Soit une démarche résolument tournée vers une amélioration continue de la notion de sécurité, au bénéfi ce du plus grand nombre. Vous trouverez dans ce document le fruit de leurs réfl exions après une année d étude passée au sein de l INHESJ à échanger entre pairs et à rencontrer les experts et les praticiens les plus expérimentés dans le domaine de la sécurité numérique. Ils aboutissent à chaque fois à des recommandations opérationnelles directement transposables dans la réalité des entreprises et des administrations. Ce sont donc des contributions utiles à une meilleure sécurité numérique. Éric DELBECQUE Nicolas ARPAGIAN Chef du Département Directeur scientifi que du cycle «Sécurité économique» «Sécurité des usages numériques» INHESJ Septembre 2014 Ingérence et politique de sécurité des systèmes d information 7

7 INTRODUCTION Les systèmes industriels sont essentiels au bon fonctionnement de la nation. À l instar de la démarche déjà entreprise par les États-Unis, il s agit aujourd hui de faire de leur cyber-sécurité une priorité stratégique, tant au niveau européen et français qu au niveau international. Les dernières cyber-attaques Stuxnet 1, Spamhaus et plus récemment les vols de données clients chez Orange ont alerté aussi bien les pouvoirs publics que les entreprises exploitant des systèmes industriels. Ces événements confi rment la nécessité de prendre toutes les mesures appropriées pour faire face aux risques encourus, mais aussi pour se conformer au cadre réglementaire qui se met progressivement en place. La connexion des systèmes industriels à Internet n étant pas une nouveauté en soi, il est cependant nécessaire d exposer le contexte spécifi que à ces derniers (Chapitre 1) pour mieux comprendre les risques de leur connexion à Internet (Chapitre 2) avec les problématiques et enjeux juridiques (Chapitre 3). Et, ainsi, pouvoir présenter les différentes mesures de sécurisation de ces systèmes industriels (Chapitre 4). (1) C est le premier ver découvert qui espionne et reprogramme des systèmes industriels, ce qui comporte un risque élevé. Il cible spécifi quement les systèmes SCADA utilisés pour le contrôle commande de procédés industriels. Stuxnet a la capacité de reprogrammer des automates programmables industriels (API). 8 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

8 Chapitre 1 LES SYSTÈMES INDUSTRIELS Historique Jusqu en 1940, les premiers systèmes de pilotage connectés étaient des systèmes de contrôle dans les systèmes industriels. Ils étaient destinés à opérer des équipements localisés dans des sites distants. Toutefois, à cette époque, il était nécessaire d avoir du personnel sur chacun des sites ou bien d envoyer une équipe pour opérer l équipement. Les premiers essais de ces systèmes industriels ont débuté par l utilisation d une paire de lignes entre les sites distants. Chaque ligne opérait une seule pièce de l équipement. Cette solution s est avérée très onéreuse mais justifi ée par le besoin d être opérée très fréquemment ou afi n de rétablir le service rapidement. Puis les Relay/Tone system ont vu le jour ; comme des systèmes relais qui créaient des pulsations envoyées au travers d un canal de communication jusqu au site distant. Dans les années 1960, les premiers systèmes industriels voient le jour en tant que système d exploitation électronique d entrée / sortie, avec des transmissions entre une station maître et une station distante. La station «maître» avait pour but de recevoir des données à travers un réseau de télémétrie et de stocker les données sur les ordinateurs centraux. En 1965 pour la première fois, un ordinateur a été utilisé comme station maître, capable d avoir des fonctions en temps réel. Tel était le cas des processeurs PRODAC et GETAC construits par GE et Westinghouse. Progressivement les ordinateurs ont commencé à être dotés de fonctions de scanning de données, du monitoring de données et des statuts, de changements des alertes puis de données des connexions périodiques. La plupart des systèmes industriels américains fonctionnaient alors avec une base de scanning permanent avec l ordinateur maître ; ce dernier envoie alors les requêtes, les sites distants, eux, uniquement des réponses. En Europe, on retrouve les premiers systèmes dans lesquels le site distant continue à envoyer des données sans que le site central envoie des requêtes ; ceci grâce à un canal qui permettait d envoyer et de recevoir en même temps. Ce n est que dans les années 1970 que les systèmes de contrôle distribués (DCS) ont été développés pour contrôler différents sous-systèmes éloignés ; dans les années 1980, avec le développement du micro-ordinateur, le contrôle de processus a pu être réparti entre les sites distants. Puis il y a eu un développement des activités DEC utilisant des contrôleurs logiques programmables (PLC) ; ils avaient la capacité de contrôler les sites sans prendre la direction d un maître. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 9

9 LES SYSTÈMES INDUSTRIELS Chapitre 1 Dans les années 1990, les systèmes industriels avaient des capacités de DCS et étaient adaptés en fonction de certaines caractéristiques de contrôle propriétaires construits par le concepteur. Internet étant utilisé davantage comme un outil de communication, les systèmes de télémesure utilisaient alors des logiciels automatisés avec certains portails de téléchargement des informations ou de contrôle de processus. L Ingénierie des systèmes industriels concerne aujourd hui des processus de contrôle, mais aussi la mesure, la prévision, la facturation, l analyse et la planifi cation. Les systèmes industriels actuels doivent répondre à un tout nouveau niveau d automatisation de contrôle avec un interfaçage aux équipements obsolètes, tout en restant suffi samment souple pour s adapter à l évolution des technologies d information. Les exigences des systèmes industriels relèvent aujourd hui des mises à niveau et mises à jour des versions des systèmes ; il faut alors donner la priorité à la connaissance des composants du système avant de décider quelle interface mettre en place ou quel matériel est nécessaire pour une application particulière. Depuis les années 2000, une transformation profonde a eu lieu : les systèmes isolés et propriétaire sont passés à des systèmes construits sur des architectures et structures aux technologies standard hautement interconnectés sur des réseaux privés, voire sur internet. Ces systèmes, conçus pour durer des dizaines d années à une époque où la cyber criminalité touchant les infrastructures industrielles critiques n était pas encore répandue, n intégraient pas encore nativement la sécurité réseau. Composants des systèmes industriels Un dispositif système industriel, utilisé comme outil de sécurité de consignation d appareil électrique, est généralement composé des sous-systèmes suivants : une interface homme-machine qui présente les données à un opérateur humain : ce dernier peut alors superviser et commander les processus ; un système de supervision et de contrôle informatique faisant l acquisition des données des processus et envoyant des commandes (consignes) aux processus ; une unité terminale distante (RTU) reliant les capteurs convertissant les signaux en fl ux de données numériques et envoyant les données numériques au système de supervision ; des automates programmables industriels utilisés sur le terrain pour leur versatilité et fl exibilité due à leur capacité d être confi gurables ; 10 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

10 Chapitre 1 LES SYSTÈMES INDUSTRIELS une infrastructure de communication reliant le système de supervision et contrôle aux éléments terminaux ; divers instruments d analyse. À titre d exemple, le schéma ci-dessous expose les différents composants d un système industriel. Les principaux objectifs et atouts des Systèmes industriels Les systèmes industriels ont pour principaux objectifs : de concentrer les données, déporter ou centraliser le pilotage du procédé ; d apporter une vision temps réel des états permettant aux opérateurs de réagir et de décider rapidement ; D apporter les premiers outils d analyses nécessaires aux contrôles des équipements concernés (historiques, courbes, pareto, alarmes, login). Pour parvenir à atteindre ces objectifs, les systèmes industriels sont dotés d un certain nombre d atouts, notamment : des outils de graphisme afi n de représenter les procédés concernés ; des «moteurs» d animation permettant de défi nir les différents choix de dynamismes des objets graphiques ; INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 11

11 LES SYSTÈMES INDUSTRIELS Chapitre 1 la gestion de la base de données en temps réel, parfois propriétaire ; en leur attribuant des propriétés, il est possible de défi nir des variables typées internes ou en liaison avec le système de contrôle commande ; des traitements internes initiés par des déclencheurs multiples (temporels, changement d état, équation combinatoire, ouverture d une fenêtre ) ; ils permettent d appliquer des premiers niveaux de traitement informatique plus ou moins évolués ; une gestion de la sécurité pour un contrôle des accès applicatifs est généralement proposée ; certains superviseurs intègrent également les possibilités de s interfacer avec une base de données relationnelle. Domaines d utilisation des systèmes industriels Les systèmes industriels sont conçus pour soutenir les processus industriels et surveiller et contrôler, en temps réel, un large éventail de processus et d opérations, tels que la distribution de gaz et électricité (classique et nucléaire), le traitement de l eau, le raffi nage de pétrole ou le transport ferroviaire. 2 (2) Défi nition ENISA. Ces systèmes industriels sont utilisés également dans la distribution, la chimie et dans certaines installations expérimentales tels que la fusion nucléaire, le transport des produits chimiques, la recherche et les études scientifi ques et industrielles, les accès aux bâtiments, le contrôle du chauffage et la ventilation des ascenseurs ou du refroidissement des data centers. Parmi les exploitants des systèmes industriels, il y a les Opérateurs à Importance Vitale (OIV). Ces derniers sont défi nis en France par le Code de la Défense dans ses articles R et R comme étant «les opérateurs publics ou privés, exploitant des établissements ou utilisant des installations et ouvrages, dont l indisponibilité risquerait de diminuer d une façon importante le potentiel de guerre ou économique, la sécurité ou la survie de la nation ou de mettre gravement en cause la santé ou la vie de la population». Ces OIV constituent une liste de 200 opérateurs dont 100 sont des entreprises privées. Les infrastructures vitales du pays sont concernées par de nouveaux risques : les cyber-risques. Ces derniers menacent le fonctionnement dont dépendent les infrastructures vitales du pays. En effet, la mise en œuvre systématique du principe de sécurité «de base» des systèmes d information, tels que la surveillance du système, la notifi cation des incidents ou la réalisation régulière d audits ne sont pas systématiquement mis en œuvre. De ce fait, et au regard de la cybermenace grandissante, les instances nationales et européennes ont décidé de renforcer le régime qui leur est applicable. 12 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

12 Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Un autre élément qui n est pas négligeable est qu historiquement, les systèmes industriels étaient dévoués à la protection de la sûreté de fonctionnement (SDF), en utilisant une analyse statistique et des techniques de redondance, ce qui permettait de faire le traitement du risque de défaillance des équipements. Toutefois la SDF ne couvre pas les risques et menaces des cyber-attaques qui évoluent très rapidement. Les standards de sûreté de fonctionnement des systèmes industriels doivent alors s adapter pour prendre en compte la cybersécurité et éviter que l intégrité des Systèmes Instrumentés de Sécurité (SIS) assurant la sécurité des personnes puisse être remise en cause par une attaque informatique. (3) «Global State of Information Security Survey 2013, Tendances et enjeux de la sécurité de l information» Etude Price WaterhouseCooper, 30 janvier La cybercriminalité désigne les infractions pénales commises par le biais de réseaux informatiques et de l information électronique. Elle concerne aussi bien les atteintes aux biens (escroquerie, contrefaçon, vol des données, etc.) que les atteintes aux personnes (terrorisme, incitation à la haine raciale, pédopornographie, etc.) ; elle se situe à la quatrième place des fraudes les plus rencontrées par les entreprises. Le budget cyber-sécurité représente un budget annuel de 60 milliards de dollars. Ce montant devrait augmenter de 10% dans les trois à cinq années à venir. 3 Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Depuis que l affaire Stuxnet a dévoilé au grand public les failles des systèmes industriels, les risques et menaces pour ces derniers deviennent une préoccupation majeure pour les exploitants, ainsi que pour les États et les particuliers. Si l appréhension d une sécurité se fait essentiellement au travers de bonnes pratiques, il convient aussi de recenser les vulnérabilités auxquelles l entreprise doit faire face. Profi l des attaquants et les objectifs de l attaque Les auteurs ou les cyber-attaquants ont des profi ls divers, notamment le hacker isolé, le salarié mécontent, les réseaux organisés, les cellules de renseignement. Ils ont une multitude des motivations, tels que le défi informatique, le vol de données à des fi ns lucratives, le hackeractivisme, l espionnage à des fi ns économiques ou industrielles, etc.) (cf. fi gures 1 et 2). INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 13

13 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Chapitre 2 Figure Typologie des attaquants attaquant 14 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

14 Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Les cyber-attaques peuvent provenir de : l intérieur de l entreprise exploitant le système industriel (menaces internes du fait de comportements inadaptés des personnels à l usage des nouvelles technologies ou d une malveillance et du fait d un défaut de gouvernance augmenté, par exemple, par l admission et gestion du BYOD et des connexions WI-FI). l extérieur de l entreprise : hacktivisme, APT. Typologie des risques La typologie de ces risques est résumée dans le tableau ci-dessous. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 15

15 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Chapitre 2 Typologie des menaces Les menaces sur les systèmes industriels proviennent aussi bien de phénomènes naturels, d actes malveillants et d accidents, que de procédures irrégulières ou de défaillances techniques. Historiquement, ces menaces ne concernaient que les éléments internes au système industriel en question, notamment les membres du personnel, l organisation des exploitants d installations ou du personnel support technique. D autres exemples de menace sur les systèmes industriels sont : des vers autonomes qui cherchent au hasard des chemins de propagation ; (DDoS) virus (dont les chevaux de Troie) ; le terrorisme ; les perturbations des services publics ; le bruit sur les lignes électriques ; les interférences électromagnétiques (EMI) et de fréquences radio (RFT) ; la fermeture de l usine pour l entretien et démarrage après l entretien (de nombreux événements néfastes se produisent pendant l arrêt et le démarrage) ; la mauvaise application de correctifs logiciels ; l interdépendance avec les autres réseaux et les éléments de support technique. Moyen d accès d une attaque au système industriel Aujourd hui tous les systèmes industriels sont connectés à Internet, aux différents réseaux d entreprise, aux réseaux publics commutés de téléphone, aux satellites et aux systèmes de communication sans fi l (Wifi, WiMax). Ainsi, les moyens d accès au réseau de contrôle du système industriel les plus communs sont : les connexions Internet, les réseaux métiers ou réseau d entreprise, les connexions à d autres réseaux qui contiennent des vulnérabilités, les réseaux privés virtuels compromis (VPN), les connexions par Backdoor à travers les modems d accès à distance, les connexions sans fi l non sécurisés découverts par les utilisateurs de portables, les ports informatiques ouverts, tels que les ports UDP ou TCP qui ne sont pas protégés ou ouverts inutilement, l authentifi cation faible dans les protocoles et les composants des systèmes industriels, l hameçonnage de maintenance (maintenance hooks) ou de portes dérobées (trap doors), qui sont des moyens de contourner les contrôles de sécurité au cours du développement du système industriel, les attaques par débordement de tampon sur les serveurs de contrôle du système industriel, accessibles par les automates et les interfaces homme-machine. 16 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

16 Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Après avoir eu accès au système industriel, l attaquant cherche à tout prix à obtenir un certain niveau de contrôle de ses composants, en fonction des protections associées à chaque composant, à la visibilité de l attaquant et aux capacités et intentions de ce dernier. La réalisation d une ou plusieurs cyber-menaces au sein d un système industriel peut donc avoir des conséquences telles que la divulgation des données sensibles, des dommages matériels aux biens et aux personnes, des risques de santé publique et l atteinte à l image et à la réputation. C est pour cette raison que les problématiques juridiques de la cyber-sécurité des systèmes industriels doivent être prises très au sérieux. Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Dans l objectif de faire un état des problématiques juridiques liées aux systèmes industriels et à leur cyber-sécurité, il est nécessaire d envisager les dispositifs juridiques qui n ont pas pour l instant fait l objet d une formalisation dans le droit positif et les normes existantes («le droit des robots» et «Security by design»). Puis, les interactions des systèmes industriels avec les objets connectés et également la problématique récente en droit français liée à la cyber-assurance de ces systèmes industriels. Enfi n, une présentation de l état du droit positif aussi bien français, qu européen et américain est nécessaire afi n de comprendre la multitude des textes applicables et dont la mise en œuvre par les exploitants afi n d être en conformité avec celles-ci peut s avérer diffi cile, d où l importance du rôle des directions juridiques au sein des entités exploitant ces systèmes industriels. «Le droit des robots» (4) Défi nition de l ALTIF (Analyse et traitement informatique de la langue française). Un robot peut être défi ni comme «un appareil effectuant, grâce à un système de commande automatique à base de micro-processeur, une tache précise pour laquelle il a été conçu dans le domaine industriel, scientifi que ou domestique» 4. À la différence de l automate, le robot est doté de capteurs dont les actions sont décidées par l intermédiaire de son programme, en fonction de l environnement. Les dernières générations des systèmes industriels peuvent être considérées comme des robots ; à ce titre, il est légitime de s interroger sur le régime juridique applicable. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 17

17 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3 Les dispositions juridiques existantes applicables aux fabriquants et/ou fournisseurs des systèmes industriels concernent d une part le droit des contrats, à savoir l article 1603 du Code civil. Le fabriquant et/ou fournisseur du système industriel est fait débiteur des obligations suivantes : mise à disposition du système ; délivrance conforme ; garantie de jouissance paisible ; absence de défaut de la chose vendue. La prise en compte des différents dispositifs de cyber-sécurité des systèmes industriels sont donc compris aussi bien dans l obligation de «délivrance conforme» du système (conformité par rapport aux diverses normes et référentiels applicables et aux attentes exprimées dans son cahier des charges) que dans les obligations de garantie de jouissance paisible (un système industriel avec des failles de sécurité inhérentes à celui-ci ne permet pas à son exploitant de disposer paisiblement de ce système) et dans l obligation d absence de défauts de la chose vendue. De même, le régime de la responsabilité lié aux produits défectueux (article et suivants du Code civil) peut être invoqué afi n d engager la responsabilité délictuelle du fabriquant et/ou fournisseur. Il peut également s appliquer à l exploitant du système industriel en cas d un défaut de sécurité (informatique) du système qui serait à l origine d un dommage aux personnes. Les dispositions de la Directive 2006/42/CE du 17 mai 2006 (entrée en application le 29 décembre 2009) relative aux machines, imposent des exigences de sécurité. Des réfl exions sont actuellement en cours au sein des communautés des juristes 5 sur le fait d accorder, ou non, une personnalité juridique (avec des droits et des obligations afférentes) à ces robots qui peuvent, dans leur fonctionnement (programmés et contrôlés par un humain), prendre des initiatives. Toutefois, cette piste de réfl exion est confrontée au fait que la jurisprudence refuse de reconnaître la responsabilité de la machine en raison du défaut de capacité de discernement. Ainsi est tenu pour responsable l exploitant qui a le contrôle du système industriel, gardien de ce dernier, en tant que personne physique ou morale. Charge à lui, dans un tel cas, d apporter les preuves qui écartent sa responsabilité. (5) Tel est le cas de Maître Alain Bensoussan cf. l article «Vers un droit des robots» du 21 avril 2014 et Maître Murielle Cahen. «Security by design» Il apparaît aujourd hui impératif de prendre en charge la sécurité des systèmes industriels dès le stade de leur conception, c est-à-dire dès la rédaction du cahier des charges et de l expression des besoins par l utilisateur fi nal. Ainsi l exploitant commanditaire du système industriel en question se doit d imposer ses choix, d exiger l utilisation des produits certifi és et de prévoir des clauses «d audit de fournisseurs». 18 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

18 Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Cette préoccupation doit être également au cœur des négociations des accords de connexion à internet, des contrats de travail des salariés des Industries et également lors de la rédaction des Chartes d Accès à ce Systèmes industriels connectés à Internet. Les entreprises administrant des systèmes industriels ne doivent nullement négliger les avancées des technologies de l information et de la communication. Elles doivent intégrer dans leurs analyses des risques les risques et menaces «involontaires» issues de l utilisation des dispositifs mobiles, souvent mis à disposition de l entreprise par le salarié lui-même. Ainsi la mise en place et/ou la mise à jour d une charte régissant l usage des technologies de l information et de la communication par les salariés et par les prestataires externes est impérative et en tout cas fortement conseillée. Les rédactions et négociations des contrats portant sur l acquisition de ces systèmes industriels connectés à Internet, impliquent d être vigilant quant au contenu des articles de confi dentialité, sécurité et évolutivité du système, obligations du fournisseur de conformité réglementaire, audit, responsabilité et mise en place d un niveau d engagements de service (SLA) conforme aux besoins exprimés dans le cahier des charges. De même, compte tenu de la vitesse à laquelle évoluent et changent les cyber-menaces, il est judicieux de ne pas négocier un contrat statique et de prévoir la possibilité pour l exploitant du service, en accord avec le fournisseur, de faire évoluer les dispositions contractuelles et d adapter ou pallier aux conséquences de ces évolutions. Les Systèmes industriels et les objets connectés Avec la disponibilité commerciale du cloud computing, les systèmes industriels ont de plus en plus adopté les technologies de l Internet des objets. Cette démarche réduit considérablement les coûts d infrastructure et augmente la facilité d entretien et d intégration. En conséquence, les systèmes industriels peuvent désormais transmettre des données en temps quasi réel et utiliser les facteurs d échelle autorisés par le cloud computing. Ainsi, des algorithmes de contrôle plus complexes que ce qui pouvait être fait avec les automates programmables industriels peuvent être mis en œuvre. En outre, l utilisation de protocoles de réseaux ouverts, tels que TLS inhérents à l Internet des objets, offre un périmètre de sécurité plus compréhensible et gérable que le mélange hétérogène de protocoles réseau propriétaires typiques de nombreuses implémentations des Systèmes industriels décentralisées précédentes. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 19

19 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3 La cyber-assurance des systèmes industriels Sur les 12 risques majeurs menaçant les entreprises, le cyber-risque occupe la troisième position. La cyber menace évoluant, des solutions d assurances tendent à se développer. La France est cependant en retard sur ce point. Il est nécessaire pour l entreprise candidate à l assurance, afi n d obtenir un «scoring», d associer un expert technique à l assureur. Il réalisera un état de la maturité organisationnelle de l entreprise versus l analyse et le contrôle opérationnel des cyber-risques. L assureur devra donc faire la transformation de l analyse en probabilité de l apparition du cyber-risque et déterminer l impact sur le patrimoine du client : matériel, production, immatériel. Aux États-Unis et au Royaume-Uni, plus de 30 % des entreprises ont déjà souscrit à une police de cyber-risques. Après les récentes attaques chez Sony ou Target, selon Ponemon, le coût moyen d une donnée volée est de 145 UD. L atteinte à l image est incluse dans cette évaluation. Les offres actuelles dans le marché français proposent des garanties couvrant tous les aspects des cyber-risques à savoir la responsabilité civile, les mesures palliatives, la gestion de la crise, la communication, les dommages intérêts dus aux clients et la perte d exploitation entre autres. En revanche, le terrorisme est systématiquement exclut. Le dispositif juridique français et européen Le cadre juridique français de la cyber-sécurité La France dispose d un arsenal législatif et réglementaire complet pour réprimer les cyber-attaques et bien évidement ces dispositions sont applicables aux attaques des systèmes industriels. Le tableau récapitulatif ci-dessous montre un aperçu de ces dispositions, jusqu en De même que pour les systèmes d information «informatiques», il est impératif de réaliser un recensement des données sensibles de ces infrastructures contrôlées par un système de commande et contrôle, et tout particulièrement des données personnelles. En effet, le projet de règlement européen sur les données personnelles, actuellement en discussion, aura vocation à s appliquer également à ces systèmes industriels. L industriel «exploitant» en tant que «Responsable du Traitement» au sens de la Loi I&L est responsable en cas de respect des dispositions applicables. Ainsi les exploitants devront revoir leur façon de traiter leurs priorités de protection de la confi dentialité et de l intégrité des données, tout en gardant au premier niveau de priorité la disponibilité du système. (6) Tableau issu de l article des Mesdames Anne Souvira et Miriam Quéméner «Cybersécurité et entreprises : se protéger juridiquement et se former». Sécurité & Stratégie n 11 Décembre INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

20 Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Les dispositions européennes et françaises concernant la cyber-sécurité des OIV La lutte contre la cybercriminalité étant une priorité européenne, la Commission européenne a adopté le 07 février 2013 une proposition de directive «visant à assurer un niveau élevé de sécurité des réseaux et de l information de l union». Cette proposition de directive a été modifi ée et adoptée par le Parlement européen le 13 mars 2014 et devrait être défi nitivement adoptée fi n Les principaux objectifs de la proposition de directive sont de (i) fi xer les obligations des États membres concernant la prévention et la gestion des risques et incidents aux réseaux et systèmes informatiques, (ii) à faciliter la coopération entre les États membres pour garantir l harmonisation des règles de cyber-sécurité au sein de l Union européenne et (iii) établir des exigences en matière de sécurité pour les acteurs du marché, notamment les «opérateurs d infrastructure essentielle». En effet, en raison de la disparité des niveaux de protection des États membres en matière de cyber-sécurité, il s avère impossible d avoir une coopération et une collaboration effective au sein de l Union européenne et la construction d une cyber-protection européenne s avère une chimère. Parallèlement à l initiative européenne, la France a voté la Loi de Programmation Militaire, le 18 décembre Elle fi xe de nouvelles règles qui complètent le dispositif présenté ci-dessus. Toutefois, les textes réglementaires précisant la mise en œuvre de la LMP et le calendrier prévisionnel associé se font toujours attendre. Ainsi les éléments suivants restent encore en attente : les décrets d application ; la déclinaison par typologie d industrie ; la procédure de certifi cation/labellisation de logiciels et matériels de sécurité compatibles pour les infrastructures critiques ; la procédure de certifi cation/labellisation de prestataires habilités à auditer les OIV ; défi nition d un incident de sécurité afi n de répondre à la section 2 de l article 22 qui impose la déclaration des incidents ; détails des calendriers d audit et de ce qui sera exigible en 2014/2015/ et au-delà, au regard de la loi. Le comparatif entre les dispositions américaines, européennes et françaises applicables aux systèmes industriels en matière de cyber-sécurité Les opérateurs exploitant des systèmes industriels peuvent, dans certains cas, être soumis aussi bien aux dispositions françaises et européennes qu aux dispositions américaines concernant la cyber-sécurité. De ce fait, les acteurs soumis à ces régimes devront rester particulièrement attentifs car la conformité à l un de ces régimes ne signifi e pas une conformité automatique à l autre régime ; de même, ces régimes, aux approches différentes, continueront à évoluer dans les mois et années à venir. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 21