sécurité informatique et SCADA : C&ESAR 2013 est mort, vive C&ESAR 2014

C&esar (anciennement les journées SSI du CELAR) est définitivement installé dans le paysage des conférences sécurité avec près de 350 participants pour cette édition 2013. D’autant plus que son leader historique et charismatique, Yves Correc, rempile bien que parti en retraire de la Défense nationale.

L’édition 2013 s’est déroulée du 19 au 21 novembre avec comme sujet les systèmes SCADA, alias systèmes numériques industriel. Un sujet mis à la mode par les centrifugeuses nucléaires iraniennes en 2010.

C&ESAR 2013 : périmètre et participants

Cette édition nous a permis de voguer sur les mers en corvettes et autres aviso, de traiter l’eau potable, de distribuer de l’électricité aux Etats-Unis et de toucher du doigt le domaine du nucléaire. Et oui, les systèmes SCADA sont partout dans les domaines civils et militaires, sur la terre, sur les mers et dans les airs.

Avec deux grands constructeurs de référence en Europe : Siemens et Schneider Electric présents à cette conférence. A leurs côtés, l’ANSSI qui avec 2 opuscules sur le sujet a clairement démontré son implication pratique dans le sujet.

systèmes SCADA et sécurité informatique : où en est-on ?

Pour résumer l’état de la situation, on peut voir le verre à moitié plein (ou à moitié vide).

A moitié vide, car il est clair que les systèmes industriels sont faillibles et que les conséquences peuvent être désastreuses dans le monde physique. On ne parle pas d’un site Web défiguré, d’un déni de service pour des jeux en ligne, mais d’une corvette qui s’écrase sur un quai ou d’une usine chimique qui déraille. Ces systèmes longtemps propriétaires, obscurs et non connectés, utilisent aujourd’hui des protocoles internet, des modules industriels et ils sont raccordés directement ou indirectement au monde externe, voire à l’internet pour la maintenance. Donc oui le risque existe et les conséquences peuvent être immenses.

A moitié plein, car la prise de conscience est récente : 2010 avec Stuxnet. Mais les progrès sont rapides quand on compare à la bonne décennie qu’il a fallu aux infrastructures informatiques traditionnelles pour généraliser les anti-virus. Les travaux universitaires fleurissent. Des modèles de gouvernance spécifiques sont mis en place par EDF et autres industriels. L’analyse de risques se généralise qu’elle soit technique ou bien financière avec les sociétés d’assurances.  Des systèmes de simulation sont disponibles, etc. Bref il n’y a qu’à voir le programme très représentatif des progrès accomplis en à peine 3 ans.

une véritable conscience des enjeux chez les industriels

Donc nous ne sommes pas protégés mais le sujet avance, et bien plus rapidement que ce que l’on a connu en informatique traditionnelle. De plus les enjeux mobilisent visiblement les énergies. Ainsi EDF nous a expliqué qu’il n’est pas à quelques recrutements prêts pour booster sa sécurité industrielle. Un discours rarement entendu chez les RSSI traditionnels.

De même chez Areva, visiblement très motivée suite à une intrusion durable et furtive largement détaillée dans la presse. Ainsi Areva explique :

  1. qu’il faut disposer de ressources d’audit conséquentes et permanentes pour analyser les faits
  2. que la remédiation peut nécessiter des ressources très importantes. Si on n’arrête pas les serveurs infectés, en préparer de nouveau en parallèle tout propre demande un quasi doublement des équipes IT
  3. que durant la crise il faudra savoir décider sans avoir une vision exhaustive de la situation. Une situation que tout décideur n’est pas préparé à affronter
  4. que le couplage entre technique et organisation est indispensable pour bien gérer la crise
  5. que l’externalisation vers des partenaires doit être maîtrisée
  6. et que, last but not least, un projet aussi merveilleux soit-il peut être bloqué pour des rasions de sécurité. Entre d’autres termes, que la sécurité l’emporte sur le business. Un discours rarement entendu car il est généralement admis que la sécurité est un frein pour le business…  et qu’il faut lâcher les freins.

quelques mots pour la fin

A signaler : une séquence émotion avec un hommage appuyé rendu à Cédric Blancher, figure incontournable de la sécurité et qui nous manque déjà beaucoup.

L’édition C&esar 2014 portera sur la sécurité réactive. A n’en pas douter supervision, détection, gestion de crise… seront les sujets présentés et débattus en tables rondes entre le 24 et le 26 novembre 2014, toujours à Rennes.

Eric

Crédit photo : © Erica Guilane-Nachez - Fotolia.com

Eric Wiatrowski

Je suis Chief Security Officer pour Orange Business et adore les systèmes de management de la sécurité de l'information et autres boucles PDCA. Mon but est d'obtenir le meilleur cocktaïl d'humains, process et outils pour faire tourner de l'oeil les hackers. Je donnerais ma main droite pour une Déclaration d’Applicabilité de la certification ISO 27 001 avec les bons controles et justificatifs.