Prise de conscience
La sécurité informatique chez un fournisseur énergétique
Les installations du secteur énergétique comptent sans aucun doute parmi les infrastructures critiques de l’approvisionnement national. C’est pourquoi elles exigent une attention toute particulière. Leur protection contre les intrusions s’avère cependant très complexe en raison de la rapidité actuelle des technologies IT. Nous nous sommes entretenus avec Beat Baumgartner, ancien Directeur du secteur Network & Security chez AXPO WZ-Systems AG.
En 2010, le ver informatique Stuxnet s’attaqua aux systèmes de commande des installations industrielles. À partir de là, il n’y a plus eu aucun doute sur les risques émanant de tels environnements.
Monsieur Baumgartner, huit ans se sont entre temps écoulés, à quels défis devons-nous (encore) faire face ?
Hier comme aujourd’hui, il est essentiel d’avoir une vision globale de « son système ». Pour ce faire, l’infrastructure est divisée en zones de sécurité afin d’évaluer leur importance pour le fonctionnement. On évalue alors la sécurité dans tous les sous-systèmes de la chaîne des processus, afin de prendre les mesures nécessaires. Pour une meilleure continuité, une équipe spécialement consacrée à la sécurité informatique s’en charge. Chez Axpo, nous avons identifié relativement tôt les infrastructures critiques de manière à pouvoir agir efficacement.
« Chaque exploitant d’une infrastructure critique se doit de réaliser une analyse des risques sur l’ensemble du système. »
Une centrale électrique par exemple, pose deux problèmes en matière de sécurité informatiques : premièrement, il s’agit de clarifier la fonction de sécurité au niveau de l’interface avec les technologies opérationnelles (OT, Operational Technology) et les TIC (IT, Information Technology). La sécurité (« sécurity »), soit la protection contre les intrusions pèse moins lourdement sur une interface purement OT que la sécurité du fonctionnement et des personnes (« safety ») ou encore que la disponibilité de l’installation. En cas d’urgence, on peut agir manuellement à l’encontre de la commande de machine, et ce même lorsque l’utilisateur ne dispose pas sur le moment de son mot de passe. Isolée, cette situation pose bien sûr un problème de sécurité informatique. Nous devons donc pouvoir contourner de telles situations avec des systèmes secondaires ou d’autres règles de manière à réduire les failles.
Deuxièmement, les risques liés à la mise en réseau croissante des données, augmentent. Les sous-systèmes étaient dans le passé autonomes et isolés. L’échange des données s’étendait rarement à l’ensemble du système. Aujourd’hui, chaque composant veut communiquer avec les autres, nous avons besoin de protocole pour les systèmes de conduite, souhaitons imprimer un rapport au bureau et le transmettre vers l’extérieur, par exemple vers les administrations. À partir de là, les technologies opérationnelles et IT fusionnent de plus en plus, et les risques débordent de tout côté. Le problème vient souvent du manque de prise de conscience par les utilisateurs face à cette insécurité.
« Les technologies assurent la plupart du temps un certain degré de protection, mais le comportement des hommes est ici décisif. »
Comment parvenez-vous à attirer l’attention des utilisateurs et opérateurs ?
Communiquer, toujours et encore au travers de campagnes internes et de formations. Bien entendu il faut en avoir les moyens. Nous profitons des moindres possibilités offertes pour améliorer la prise de conscience en matière de sécurité informatique. Notre équipe est impliquée au début de tout investissement dans les technologies opérationnelles. Nous pouvons alors montrer les interactions pour une meilleure compréhension en amont.
Sommes-nous vraiment en mesure d’être plus rapides avec la sécurité informatique que les nouveaux risques qui surgissent ?
Cela est, et reste un défi de taille pour nous tous afin de garder le rythme des assaillants. C’est pourquoi, je suis convaincu qu’il est essentiel de garantir une étroite collaboration entre les spécialistes afin d’échanger les compétences et connaissances. Les tables rondes que proposent la Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI, offrent ici un excellent cadre pour de tels échanges. Elles permettent de s’informer de manière proactive sur un problème afin de profiter des expériences des personnes concernées.
À mon avis, il est en outre important d’intégrer le service de sécurité informatique ou le centre opérationnel de sécurité responsable à un groupement dépassant les frontières de la seule entreprise.
« Grâce au partage d’expériences et de compétences, nous pouvons agir beaucoup plus vite et efficacement. »
Quelles sont les conditions de base ?
Aucune réglementation ne prescrit la mise en œuvre de la sécurité informatique. Les organismes de régulation n’exigent pas non plus de signaler un problème. Il existe cependant des recommandations spécifiques pour le secteur auxquelles AXPO WZ-Systems AG a activement participé.
« La seule recherche de standards ne suffit pas. La question est donc : un standard peut-il tout couvrir ou bien faut-il tout réaliser ce qu’un standard prévoit ? La question reste de savoir ce qui est pertinent. »
Au bout du compte, on s’intéresse ensuite plus à satisfaire les standards voire à se faire « certifier ». Il n’est pas rare alors de perdre de vue ce qui doit être protégé.
Vers quoi s’oriente AXPO WZ-Systems ?
Comme je l’ai dit, il existe des recommandations spécifiques pour le secteur, notamment par l’Association des entreprises électriques suisses. De plus, toute une série de standards donnent une orientation. La CEI 27000 et la CEI 62433 fournissent par exemple un bon cadre. Nous regardons aussi du côté des recommandations du l’Office nationale sur la sécurité dans les technologies d’information (BSI) en Allemagne ou d’autres « bonnes pratiques ». La question reste de savoir ce qui est pertinent. Et dans ce cas, la réponse reste toujours : comment interpréter de tels « standards » pour des composants précis ? Ce type de relations n’apparaît pas clairement dans les standards et exige une longue expérience de l’équipe spécialisée.
Cela semble compliqué.
C’est vrai, et là est tout le dilemme : la sécurité informatique exige du savoir-faire et les technologies sont chères. Notamment les petites entreprises rencontrent ici souvent des difficultés. Je pense que cette brèche au moins est désormais comblée par les associations professionnelles grâce à leur description de standards minimums.
Au bout du compte, il faut une compréhension approfondie du système dans son intégralité afin d’évaluer les interactions. Cela n’a quasiment plus rien à voir avec la fonctionnalité première d’un appareil. De ce fait, nous sommes dépendants des informations que le constructeur du système nous fournies afin d’en détecter les failles. Là aussi le transfert du savoir-faire est essentiel.
La majorité assume déjà pleinement cette responsabilité. Mais un point est spécifique à notre secteur : la longue durée d’utilisation des appareils. Comment protéger des installations dans un monde technologique qui évolue à vitesse grand V. Un système informatique ne tient pas 15 ans, un système opérationnel cependant oui. Parfois même encore plus longtemps. Le secteur informatique s’est déjà séparé depuis longtemps de Windows™ XP, les systèmes opérationnels pas encore. Le remplacement des technologies industrielles demande d'importants investissements. Ainsi cette longévité des appareils pose le plus grand problème à un concept de sécurité.
C’est pourquoi nous devons repenser les arguments pour les biens d’investissement. La fiabilité d’un appareil ne dépendra plus de la durée de vie de ses paliers mais de la longévité de son IT. Nous ici dépendons de la prise de conscience de ce problème par les fabricants.
Pour finir, nous devons résoudre la question de la sûreté dans l’entreprise par la bonne segmentation et protéger les appareils particulièrement critiques par une instance en amont. Ainsi un fabricant ne proposant aucune compétence informatique ne peut pas perdurer. La problématique de la sécurité doit revenir au cœur des préoccupations. Bien entendu la longévité d’un système reste un argument important. Mais nous avons besoin de fabricants qui peuvent la garantir aussi au niveau logiciel, et pas seulement que le matériel durera 15 ans.
En résumé ?
Prendre conscience que la sécurité informatique ne tombe pas du ciel. Analyser son système, détecter les failles et y remédier, à l’intérieur comme à l’extérieur. Et ce, non seulement au niveau technologique, mais surtout au niveau humain. La sécurité informatique comme par enchantement n’existe pas, donc il faut procéder étape par étape. C’est ainsi que nous atteindrons une plus grande acceptance. Et pour finir, il s’agit avant tout d’un apprentissage à faire.
Et oui : le pire est bien de rester inactif.
Merci beaucoup pour cet entretien.