F orum INFORMATIQUE INDUSTRIELLE



Documents pareils
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

Guide de dépannage Cisco Pour tirer pleinement parti du système informatique : les dix conseils essentiels concernant la sécurité de votre entreprise

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Sécurité. Tendance technologique

Présenté par : Mlle A.DIB

La sécurité des systèmes d information

Projet Sécurité des SI

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

s é c u r i t é Conférence animée par Christophe Blanchot

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Sécurisation d un site nucléaire

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

L hygiène informatique en entreprise Quelques recommandations simples

Solutions de Cybersécurité Industrielle

Charte d installation des réseaux sans-fils à l INSA de Lyon

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

WIFI sécurisé en entreprise (sur un Active Directory 2008)

Cybercriminalité. les tendances pour 2014

Progressons vers l internet de demain

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Surveillance de réseau : un élément indispensable de la sécurité informatique

La sécurité informatique

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché

«Obad.a» : le malware Android le plus perfectionné à ce jour

Meilleures pratiques de l authentification:

escan Entreprise Edititon Specialist Computer Distribution

Menaces et sécurité préventive

Découvrir et bien régler Avast! 7

BANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE

Notions de sécurités en informatique

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

PASSEPORT DE CONSEILS AUX VOYAGEURS. Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable

Sécuriser les achats en ligne par Carte d achat

Rôle des FAI et des Datacenters dans les dispositifs de cyber-sécurité Ou comment tenter de rendre l Internet plus sûr.

Pour bien commencer avec le Cloud

La sécurité des réseaux sans fil à domicile

1. En moyenne, un ordinateur sans protection connecté à Internet est infecté après... quelques minutes heures 3 jours plus d une semaine

Concept Compumatica Secure Mobile

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

«Le malware en 2005 Unix, Linux et autres plates-formes»

Conseils de sécurité lors de l utilisation d Internet, des cartes bancaires et de l e-banking.

Internet haute vitesse - Guide de l utilisateur. Bienvenue. haute vitesse

Système de vidéosurveillance Guide de configuration

Connaître les Menaces d Insécurité du Système d Information

Liste de vérification des exigences Flexfone

Fin du support Windows XP Comment gérer la journée du 9 Avril 2014?

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Réseaux CPL par la pratique

Steganos présente Security Suite 2007, son incontournable suite de sécurité pour PC.

Fiche d identité produit

Sécurité des Postes Clients

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

La sécurité IT - Une précaution vitale pour votre entreprise

Crédits... xi. Préface...xv. Chapitre 1. Démarrer et arrêter...1. Chapitre 2. L interface utilisateur...25

Guide pratique spécifique pour la mise en place d un accès Wifi

VOLET 4 SECURITY BULLETIN KASPERSKY LAB. Prévisions 2015 (C) 2013 KASPERSKY LAB ZAO

10 bonnes pratiques de sécurité dans Microsoft SharePoint

MOBILITE. Nomadio, le dialer d entreprise. Datasheet

Le routeur de la Freebox explications et configuration

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

Quelques conseils de sécurité informatique

Les botnets: Le côté obscur de l'informatique dans le cloud

Securité de l information :

Concilier mobilité et sécurité pour les postes nomades

QUESTIONS / REPONSES ESET Smart Security ESET NOD32 Antivirus V.3

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Serveur de messagerie

La sécurité informatique

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

Comment protéger ses systèmes d'information légalement et à moindre coût?

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet


CHARTE d utilisation du réseau informatique des Missions Locales de Bourgogne V1.

Le Cloud Computing. Stockez et accédez à tous vos documents et données depuis n importe où. Mai 2014

Tirer un meilleur parti des visites de salons professionnels

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Virtual Data Center d Interoute. Prenez la main sur votre Cloud.

Mise en place d une politique de sécurité

Étendez les capacités de vos points de vente & sécurisez vos transactions.

Firewall Net Integrator Vue d ensemble

A. Sécuriser les informations sensibles contre la disparition

Certificat Informatique et Internet

7.1.2 Normes des réseaux locaux sans fil

Bibliographie. Gestion des risques

Pourquoi choisir ESET Business Solutions?

Acquisition des données

Pré-requis techniques

Malveillances Téléphoniques

Transcription:

F orum INFORMATIQUE INDUSTRIELLE Vos réseaux sont-ils en Les réseaux informatiques industriels changent. Faisant autrefois l objet de développements spécifiques, ils utilisent aujourd hui des protocoles et des logiciels issus des technologies grand public. Comme tous PC, les attaques des pirates informatiques les menacent. D autant plus que ces pirates démontrent chaque jour leur habilité à pénétrer jusqu au cœur des systèmes d informations de nombreuses entreprises. Ceci inquiète les autorités autant que les industriels. Quels sont les risques d être attaqués, quelles peuvent en être les conséquences, mais surtout comment les éviter? Les experts invités par le Club Automation exposent leurs points de vue sur un sujet de plus en plus d actualité : la cybersécurité. Mesures. Pour beaucoup d industriels qui ne sont pas familiers avec le vocabulaire informatique, le terme cybersécurité peut paraître obscur. Comment le définiriez-vous? Jean-François Pacault (Minefe, ministère de l Economie, des finances et de l emploi). Le terme cybersécurité regroupe tous les aspects de sécurité liés aux systèmes informatiques, réseaux industriels et systèmes d information. Mais L essentiel Assurer de la cybersécurité, c est empêcher les intrusions au sein d un réseau et la diffusion de codes malveillants Les motivations des pirates informatiques peuvent être le vol de données bancaires, de secrets industriels, le désir de vengeance ou le cyberterrorisme Les vecteurs d entrée sont multiples, et les risques bien réels : intégrité des systèmes, atteinte aux données, atteinte à l image, etc. La sensibilisation des chefs d entreprises est tout aussi importante que celle des collaborateurs pour expliquer à quoi cela correspond, il faut définir ce que l on entend par sécurité. Tout d abord, il y a une différence entre sûreté de fonctionnement et sécurité. Apporter de la sûreté de fonctionnement à un process ou une application, c est s attacher à réduire les conséquences des pannes, des erreurs et accidents. Ces derniers sont des événements qui ont une probabilité naturelle. Il existe de nombreuses normes pour minimiser leurs effets. A l inverse, si l on évoque la sécurité, il s agit de prendre en compte les conséquences d actes malveillants. Il faut évaluer la réalité de la menace, tout en veillant à ne pas se protéger de menaces qui n existent pas. Mais ces deux aspects ne vont pas l un sans l autre, et il est inutile de faire de la sécurité si un niveau convenable de sûreté n est pas déjà mis en place. A l image de ce qui se passe dans le secteur de l informatique grand public, le risque va grandissant. Le nombre d utilisateurs des outils informatiques ne cesse de croître, et avec lui le nombre de personnes potentiellement malveillantes. De plus, la sécurité est un sujet relativement nouveau pour les industriels. C est pourquoi ils sont si vulnérables. Mesures. Les PC personnels sont exposés à de nombreux types d attaques. Les risques pour les industries sont-ils de nature équivalente? Jean-François Pacault (Minefe). Tout d abord, en ce qui concerne les PC personnels, les pirates informatiques (ou hackers) ont fait énormément de progrès. Ils ont développé des méthodes plus avancées que les virus, et beaucoup plus difficilement détectables. Citons par exemple le phishing, ces sites web déguisés qui ressemblent aux sites officiels, employés pour détourner de l argent aux personnes faisant des achats sur Internet. On trouve également des PC zombies (un pirate prend le contrôle de milliers d ordinateurs pour saturer une boîte mail ou faire planter un serveur). Il s agit de pratiques de plus en plus régulières, qui se généralisent à l industrie et à tous les grands groupes commerciaux (finance ou métiers du luxe, par exemple). Mais en poussant la réflexion, on s aperçoit qu il ne faut pas forcément aller chercher du côté des pirates informatiques la raison d un plantage d une ligne de production. On a l habitude de distinguer deux grandes catégories de menaces : les menaces externes et les menaces internes. Les menaces externes sont les actes malveillants perpétués par des pirates, par des entreprises concurrentes qui veulent s emparer d un secret industriel, ou encore par des ex-employés qui peuvent avoir conservé des griefs envers leur ancienne compagnie. On regroupe également dans cette catégorie le cyberterrorisme (qui consiste à bloquer un service ou une infras- Jean-Pierre Dalzon du groupe ISA-France est chargé de la promotion de la norme ISA SP99 dans l hexagone. 20 MESURES 805 - MAI 2008 - www.mesures.com

cybersécurité? Les attaques de nature malveillante sont prépondérantes sur les accidents. tructure pour provoquer la panique). Les menaces internes, quant à elles, sont effectuées consciemment ou inconsciemment par des personnes qui appartenaient à l entreprise. Les menaces internes et externes peuvent sembler relativement similaires dans leur manifestation, mais diffèrent de par les moyens à mettre en œuvre pour les éviter. Pour se prémunir des attaques venant de l extérieur, la première précaution est de limiter les possibilités d accès au réseau. Et pour les ouvertures indispensables (accès à Internet ou serveurs distants), les solutions de sécurité telles que les firewalls sont largement répandues. En revanche, pour ce qui est de la sécurité interne, il est beaucoup plus difficile d exercer un contrôle minutieux. On ne peut pas interdire aux employés, par exemple, d utiliser leur PC pour effectuer des recherches sur Internet, ou encore de connecter une clef USB personnelle à une station professionnelle. Mesures. Mais les équipements industriels (automates, réseaux, machines, etc.) ne sont-ils pas plus sécurisés que les appareils grand public? Jean-François Pacault (Minefe). On pourrait le penser, car ils sont plus robustes, mais cela n a rien à voir avec la sécurité. De plus, le nombre d utilisateurs par poste, la taille des architectures et la diversité des équipements connectés favorisent les intrusions depuis l extérieur et les attaques de codes malveillants. Jean-François Pacault, Haut fonctionnaire de défense et de sécurité (Minefe, ministère de l Economie, des finances et de l emploi) regrette que la culture sûreté et sécurité soit par trop négligée dans l enseignement supérieur. D r Stefan Lüders (CERN). Il faut ajouter que les équipements industriels ont souvent du retard sur les équipements grand public, en raison de leur durée de vie beaucoup plus importante. Toutes les grandes infrastructures sont constituées d une multitude de réseaux plus ou moins anciens, basés sur des équipements standard, avec des logiciels standard et des protocoles de communication standard. Ce sont tous des réseaux extrêmement vulnérables. Mesures. Pourquoi les systèmes standard sont-ils les plus vulnérables? D r Stefan Lüders (CERN). De la même manière que les PC sous Windows sont plus sujets aux attaques que les systèmes MAC ou Linux : plus le nombre d utilisateurs et de programmeurs pour un système donné est important, plus les hackers développent du code malveillant. On note également une modification dans les objectifs de ces pirates informatiques. Il y a une dizaine d années, le leitmotiv d un hacker était de se faire connaître. Mais aujourd hui leur but est surtout lucratif. Il s agit de bandes organisées, qui veulent soit vendre leurs codes malveillants à des personnes en mal de vengeance, soit infiltrer des réseaux pour accéder à des données (bancaires, la plupart du temps). Et une petite partie de ces pirates, les cyberterroristes, est intéressée par la peur que peut apporter le plantage de telle ou telle institution. Mesures. Les incidents liés à la cybersécurité sont-ils réellement nombreux? Jean-François Pacault (Minefe). Ils sont forcément plus nombreux que l on ne le MESURES 805- MAI 2008 - www.mesures.com 21

croit. Le principal problème vient du fait que les entreprises ayant fait l objet d attaques ne souhaitent pas en faire étalage. Elles ne tiennent pas à ce que leur image de marque soit ternie par l action d un pirate. D ailleurs, une société n a aucune obligation légale de divulguer qu elle a été la cible d attaques, même lorsqu il s agit de données de transactions commerciales, ou de coordonnées bancaires de clients. On comprend qu elles n aient pas intérêt à le communiquer, c est pourquoi nous n avons pas de chiffres réellement représentatifs. Mais ceci est tout de même inquiétant. Une des solutions consisterait à obliger les entreprises à avertir les autorités sitôt qu elles font l objet d une attaque. C est d ailleurs le cas aux Etats-unis, et depuis qu une loi a été mise en place à cet effet, les risques sont beaucoup mieux connus. La création de bases statistiques fiables permet de mieux agir contre les menaces, et cela secteur par secteur. D r Stefan Lübers (CERN). Concernant les attaques effectuées par des cyberterroristes, les incidents qui en résultent ont souvent un impact médiatique, si bien que les attaques ne peuvent pas être dissimulées. Par le passé, plusieurs attaques de ce type ont déjà fait couler beaucoup d encre. On peut citer l exemple de cet ex-employé d un hôtel Hyatt Regency qui a piraté quarante-six fois de suite la station d épuration voisine, entraînant l inondation du sous-sol de l hôtel. On peut se souvenir également de l attaque du ver Slammer courant 2003. Il a réussi à arrêter les systèmes de surveillance de la centrale nucléaire Davis-Besse, dans l Ohio, coupant l alimentation électrique de toute une région pendant près de cinq heures. Ces exemples montrent combien notre société basée sur les communications est vulnérable, et combien il est important que les autorités prennent les mesures adéquates. Mesures. Les Etats-unis ont donc voté des lois. Où en est la France sur les questions relatives à la cybersécurité? Jean-Pierre Dalzon (ISA-France). L organisation internationale ISA a publié plusieurs guides sur le thème de la cybersécurité. Le comité ISA SP99 s est tout particulièrement intéressé à la mise en place de systèmes de contrôle industriels capables de résister aux cyberattaques. Il a publié trois documents de référence, dont la traduction française par le comité ISA-France vient de s achever. Ces documents, à utiliser en parallèle d une politique de sécurité fonctionnelle (normes IEC 61508, etc.), regroupent des normes Bannir tous les mots de passe par défaut, et désactiver tous les serveurs web. mais aussi des documents informatifs. Ils renseignent les industriels sur le type d attaques potentiellement envisageables, et formalisent des méthodes pour assurer la sécurité d une application industrielle. Le texte ISA-99.00.02 présente des méthodes d analyse des risques, notamment pour les applications d automatismes et de contrôle de process. Ce document, intitulé Intégration de la sécurité électronique dans les systèmes de contrôle de processus, présente les différents types d attaques possibles, établit les bases des contremesures à employer, et explique comment intégrer ces aspects à un processus d amélioration continue. C est en quelque sorte un recueil de bonnes pratiques qui établit, secteur par secteur, l état de l art pour 2008 en matière de sécurité. Car ce milieu évolue sans cesse. A ce jour, aucun système réellement certifié SP99 n a encore vu le jour, mais les principes de base sont heureusement déjà connus par Les principaux outils de la sécurité Le guide publié par le ministère de l Economie, des finances et de l emploi présente les principaux moyens à disposition des industriels pour assurer la sécurité d une entreprise ou d une application critique : - Identification et authentification des utilisateurs - Contrôle des droits d accès aux données et aux fonctions - Filtrage des flux - Pare-feu - Logiciels antivirus - Chiffrement des données (cryptage) - Mécanismes de validation des données - Journalisation des événements, audits techniques - Outils de surveillance et de détection - Protection physique des locaux hébergeant les systèmes Pour le D r Stefan Lüders, consultant sûreté d expérience au CERN, les réseaux de terrain n offrent pas une sécurité satisfaisante. de nombreux chefs d entreprises ou responsables informatiques. Jean-François Pacault (Minefe). Les autorités françaises ne sont pas en reste, puisque le ministère de l Industrie a publié un guide reprenant sous forme pédagogique les différents aspects de la norme SP99. Ce guide, intitulé Protégez votre informatique individuelle, est un ouvrage de sensibilisation. Il n est pas question de paniquer l opinion publique, mais plutôt de faire passer des messages. Mesures. Quels conseils donnez-vous aux industriels pour éviter autant que possible les attaques venant de l extérieur? Colette Radionoff (EDF). Empêcher absolument tout risque d intrusion est impossible, cependant il existe un certain nombre de pratiques à risques à éviter et d éléments sensibles qui doivent être surveillés. Tout d abord, le maintien à jour de son système d exploitation ne doit surtout pas être négligé. Même si cela peut paraître évident, il est de la plus grande importance d installer régulièrement les patchs et les mises à jour pour les OS, mais aussi pour les logiciels d antivirus, firewalls, etc. Et même si nous disions précédemment qu un système Windows était beaucoup plus susceptible d être attaqué qu un système Linux, cela est vrai uniquement pour des OS correctement mis à jour. Nous avons l habitude de dire aux industriels : «Mieux vaut un Windows patché et à jour qu un Linux qu on laisse vieillir sans s en occuper». 22 MESURES 805 - MAI 2008 - www.mesures.com

La cybermenace en quelques chiffres Les attaques provenant de l extérieur de l entreprise se multiplient, favorisées par un accès de plus en plus facile aux technologies Internet et sans fil. Elles ont plus que doublé en l espace de vingt ans et deviennent la principale cause d incidents informatiques. Les intrusions sont en effet effectuées en majorité depuis Internet ou par des liaisons modem. Jean-François Pacault (Minefe). Les réseaux sans fil doivent également faire l objet de toutes les attentions. On a l habitude de considérer les liaisons sans fil comme sécurisées, mais encore faut-il qu elles soient correctement installées et configurées. Souvent il suffit d une négligence pour qu un réseau sans fil mette toutes les données d une entreprise à la disposition des passants qui circulent aux alentours. Cette image n est certes pas exagérée, car il faut savoir qu un signal sans fil de type Wi-Fi peut être capté jusqu à 10 km. De plus, comme 50 % des foyers français connectés à Internet sont équipés de réseaux Wi-Fi, on imagine aisément le nombre de personnes qui ont pu devenir des experts en décryptage de ces signaux. Une des erreurs à ne pas commettre est d utiliser des clefs de cryptage d ancienne génération. Les clefs WEP sont désuètes, dans la mesure où de simples utilitaires disponibles sur Internet peuvent en venir à bout en quelques secondes. Il est impératif d utiliser des clefs WPA ou WPA2. Les réseaux Bluetooth sont également à prendre en considération eux aussi en raison du très grand nombre d utilisateurs. On estime à 500 millions environ le nombre d objets numériques compatibles Bluetooth dans le monde. Les pirates étudient depuis longtemps des moyens de pénétrer dans ces appareils, et de nombreux logiciels permettent à une personne mal intentionnée de scanner les équipements à portée et d en aspirer toutes les données. Cela fait réfléchir et inquiète, même, quand on pense au nombre de personnes qui pénètrent dans une entreprise, sachant qu une seule personne mal intentionnée peut récupérer les données des PDA de tous les collaborateurs. Une des précautions de base est de demander à tout le monde de ne pas utiliser les fonctions Bluetooth au sein de l entreprise. D autant plus que tous les logiciels malveillants dont nous parlons sont accessibles gratuitement, et qu on estime à 800 000 le nombre d applications malveillantes déjà écrites rien que pour le Bluetooth. Sensibiliser tous les utilisateurs, sans sombrer toutefois dans la paranoïa. Pour Colette Radionoff, chargée de mission (EDF), il devient impossible de bloquer tous les accès extérieurs à un réseau. Mesures. C est inquiétant, effectivement Et qu en est-il de l autre catégorie de menaces : les menaces internes? En quoi sontelles différentes et comment peut-on les éviter? Laurent Witkowski (Hirschmann). Par menaces internes, on désigne toutes les infiltrations de codes malveillants qui ne sont pas intentionnelles. On dit qu elles sont internes car elles sont souvent dues à la connexion d un équipement infecté. Elles peuvent prendre des formes multiples, car pour celles-ci aussi les développements sont nombreux. D une manière générale, il faut s assurer que toutes les connexions d équipements extérieurs sont correctement prises en compte. Il est impératif de protéger tous les réseaux d automatismes pour empêcher que quelqu un puisse accaparer la bande passante ou diffuser un virus. Cela passe principalement par une configuration précise des switches industriels. On interdit à tout PC de se brancher sur les switches, en autorisant parfois un ou plusieurs pupitres de maintenance. Sans assurer une sécurité totale, une bonne configuration des switches sécurise les accès au réseau. Car les options de filtrage d adresses MAC ou IP, les processus d authentification 802.1x ou encore les protocoles de limitation de trafic réduisent les risques, mais aucun n est absolument incontournable. Et verrouiller totalement un réseau n est pas forcément la solution. Il arrive que l adresse MAC du PC de maintenance change et que ce changement n ait pas été pris en compte dans la configuration des switches. Une production peut être interrompue pendant un temps non négli- MESURES 805- MAI 2008 - www.mesures.com 23

La sécurité d une architecture n est pas un aspect probabiliste comme la sûreté de fonctionnement. Attention aux dispositifs de stockage La sécurité d une entreprise peut être prise en défaut par des attaques provenant de l extérieur comme de l intérieur. Les dispositifs de stockage tels que les disques durs ou les clefs USB représentent à eux seuls une grande partie du risque industriel. Les clefs USB, tout d abord, sont d excellents propagateurs de virus, tout comme l étaient il y a quelques années les disquettes 3,5 et 5,25. Mais aujourd hui les pirates informatiques sont allés plus loin. Ils ont mis à profit les grandes capacités de stockage et le débit élevé de l USB pour concevoir des logiciels particulièrement dangereux, et qui sont accessibles facilement pour une personne mal intentionnée. Les industriels doivent être avertis de l existence de ces logiciels. Certains peuvent démarrer une copie du maximum de données en provenance d un disque dur, et ce de manière transparente, sitôt que la clef est connectée à un PC. D autres peuvent aller récupérer tous les mots de passe présents sur un ordinateur. Autant de moyens pour une entreprise peu scrupuleuse de s accaparer une mine de renseignements sur ses concurrents. C est pourquoi tous les professionnels de Selon Laurent Witkowski, expert chez Hirschmann, la manière dont un réseau est administré revêt une importance capitale. la sécurité s accordent à dire que toutes les personnes qui branchent une clef USB à un poste (pour participer à une réunion, effectuer une présentation ou échanger des informations) doivent le faire sur un poste spécialement dédié à cet effet, et vidé de toutes données confidentielles. Enfin, en ce qui concerne les disques durs, l accent est mis sur l attention particulière à porter sur l effacement des données. En premier lieu pour les disques durs endommagés et les PC qui sont jetés. Fouiller les poubelles de ses concurrents est depuis longtemps un moyen pour s emparer de secrets industriels bien cachés. Il est très facile de retrouver les données inscrites sur un disque dur, qu il ait été endommagé ou simplement formaté. Les logiciels de récupération de données sont devenus très performants, et sont mis à la disposition du grand public pour retrouver des données effacées. D une manière générale, lorsque l on se débarrasse d un disque, il faut le détruire complètement. Et s il doit être envoyé en dépannage ou réutiliser pour une autre application, l idéal est de le confier au préalable à une société spécialisée dans l effacement de données. geable. La sécurisation se fait donc le plus souvent au détriment de la flexibilité, mais c est à l industriel de déterminer le niveau de sécurité dont il a besoin, et les intégrateurs sont le plus souvent capables de les conseiller dans leurs choix. Attention également aux interconnexions entre les différents réseaux. Si les réseaux virtuels VLAN sont relativement robustes vis-à-vis des attaques, à partir du moment où un routeur relie plusieurs morceaux d un réseau il peut y avoir un risque d interception des communications. Car un routeur n est pas un équipement réseau intelligent. Il doit systématiquement être accompagné d un firewall. Jean-François Pacault (Minefe). Certains équipements appartenant à l entreprise peuvent devenir les vecteurs de la diffusion d une menace. Par exemple, un collaborateur, qui laisse ses enfants utiliser son PC professionnel pour aller sur Internet, prend le risque d infecter tout un réseau industriel. Ce genre de maladresse peut avoir parfois des conséquences très lourdes pour une entreprise. En allant plus loin, l une des pratiques qu il faut interdire à tout prix est l utilisation des sites d échanges peer-to-peer (pair-à-pair). Il s agit d un réseau d échanges et de partages de fichiers entre ordinateurs, mais ces programmes mettent à disposition de toute la planète les informations qui sont contenues sur ces ordinateurs. Un PC contenant des données confidentielles ne doit jamais y être connecté, sous peine de voir ces données aussi facilement accessibles que la musique ou les vidéos qui sont habituellement échangées par ces réseaux. Mesures. On touche cette fois encore à la sensibilisation des employés. Colette Radionoff (EDF). Il ne faut jamais oublier qu un système d informations, c est aussi et surtout des êtres humains. Il y a ceux qui sont à l intérieur (qui doivent l utiliser correctement) mais aussi les personnes venant de l extérieur, qui doivent être encadrées et surveillées dès lors qu ils accèdent à un réseau d entreprise. Le rôle du chef d entreprise sensibilisé à la cybersécurité est de convaincre toutes ces personnes de l utilité des systèmes de sécurité, sinon les meilleurs efforts du monde ne seront pas suffisants. Par exemple, si l on n explique pas à un opérateur pourquoi, sur un poste critique, la connexion à Internet est bloquée, on peut être sûr qu un jour ou l autre il arrivera à contourner le blocage. La formation est cruciale, et il est important de continuellement motiver ses collaborateurs. Mesures. Apporter de la sécurité à une application, ce n est donc pas uniquement mettre en place des systèmes de protection. Comment dans ce cas estimer le coût réel de la sécurisation d une industrie? Jean-François Pacault (Minefe). C est bien là toute la difficulté, car le nombre de paramètres à prendre en compte est trop important. Et, étant donné que le risque d attaques par un code malveillant est impossible à évaluer de manière statistique, le retour sur investissement est impossible à calculer. Le montant qui doit être alloué aux équipements de sécurité et à la formation des collaborateurs doit être fonction des conséquences financières que provoquerait une panne généralisée des réseaux de communication. Ainsi, les responsables d industries à risques, tels que les sites classés Seveso, doivent bien sûr considérer ces aspects comme l une de leurs priorités. Mesures. La sécurité est-elle accessible aux seuls grands groupes? Jean-François Pacault (Minefe). Pas du tout, cela dépend si l on y est sensibilisé. Le 24 MESURES 805 - MAI 2008 - www.mesures.com

dirigeant d une PME qui a déjà vu ses serveurs planter à cause d un virus, entraînant la perte de tous ses fichiers clients et ses données comptables, fera tout pour que l incident ne se reproduise pas. Il pourra engager des sommes importantes pour assurer sa sécurité. Mais il est vrai que l investissement dans des systèmes complexes, tenus à jour, munis de pare-feu et de contrôles d accès, ne sera accessible qu aux grands groupes. Mais notre travail de sensibilisation ne fait que commencer, et si nous arrivons à toucher les grands groupes en premier nous serons satisfaits. Ces derniers sont moteurs car chacun d entre eux se trouve au sommet de tout un écosystème de sous-traitants et de partenaires, qui devront passer par cette sensibilisation un jour ou l autre s ils veulent continuer leurs échanges commerciaux. Mesures. Parmi ces grands groupes, il y a aussi des constructeurs, avec en particulier les constructeurs d automatismes et d équipements de communication. Comment aident-ils les autres industriels à travailler dans les meilleures conditions de sécurité? D r Stefan Lübers (CERN). Les constructeurs d équipements réseau (switches, routeurs, firewalls, etc.) suivent l évolution des normes pour la conception de leurs produits. Ces normes permettent d obtenir des architectures d une grande robustesse, à condition Trouver le bon compromis entre sécurité et flexibilité. Michel Favier, président du Club Automation, remarque que l ajout de fonctions de sécurité augmente les temps de réponse. Recensement des types de menaces et leurs conséquences pour l entreprise que la configuration soit correctement effectuée. En revanche, nous avons constaté, au cours de différentes études menées au CERN, que les composants d automatismes étaient parfois le maillon faible de la chaîne. Nous avons pu identifier ces problèmes de sécurité en utilisant Nessus (un logiciel de test issu du monde IT) sur nos automates. Le logiciel effectue une série d environ 10 000 tests, pour détecter les éventuels trous par lesquels un hacker pourrait pénétrer dans un équipement, pour en prendre le contrôle ou le planter. Nous avons eu la surprise de constater que, sur notre parc d équipements relativement représentatif du marché, plus de 30 % des automates testés ne satisfaisaient pas aux principales règles de sécurité. 15 % des automates ont autorisé l accès ou ont vu l une de leurs fonctions désactivées par les attaques de Nessus. Mais surtout, 17 % des automates ont tout simplement planté (plus aucune communication). Cela s explique par le fait que suivre l évolution et les techniques de pointe des hackers est impossible. Les constructeurs peuvent tout juste s y adapter, d autant plus que ce n est pas leur métier d origine. Mais force est de constater que, dans certains cas, l utilisation de commandes aussi simples que l envoi d une adresse IP trop longue peut planter un automate, et qu un clic maladroit sur un web server non désactivé peut l arrêter ou lancer l effacement du programme embarqué. Michel Favier (Club Automation). Après avoir évoqué tous ces aspects liés à la sécurité industrielle, on se rend compte que l ouverture des systèmes et la standardisation des protocoles jouent un rôle primordial dans l arrivée des pirates informatiques au sein des sites de production. Les solutions propriétaires, qui étaient autrefois l apanage de l industrie, permettaient de se prémunir contre ce genre d attaques. Mais aujourd hui les applications ont besoin d être pilotées ou maintenues à distance, et seule la mise en place de standards réduit les coûts des matériels. Que l on soit fabricant ou utilisateur, certaines questions restent donc entières : comment connaître son risque vis-à-vis des problèmes de cybersécurité, et quelle attitude faut-il adopter? Mais surtout, quel compromis choisir entre ouverture des systèmes et cybersécurité? Frédéric Parisot Pour en savoir plus www.securite-informatique.gouv.fr www.isa-france.org Pour connaître les prochaines manifestations organisées par le Club Automation : www.clubautomation.org Cet histogramme montre que les problèmes les plus critiques restent liés à la propagation de virus et à la perte de données. Les spams sont toujours une des principales causes de problèmes pour les entreprises, même s il s agit de problèmes moins critiques. Secure Computing, d après une étude de Forrester Consulting MESURES 805- MAI 2008 - www.mesures.com 25

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back