transfer édition 01 | 2020

Renforcé

L’infrastructure ICT encore mieux sécurisée pour la communication d’IBB

IBB Energie AG alimente la région de Brugg en électricité, gaz et en eau. Elle entretient en outre le réseau de communication à Brugg. La numérisation joue de nos jours, un rôle central dans le regroupement des fournisseurs : la meilleure connexion entre les machines et les hommes ainsi qu’une disponibilité maximale sont au cœur de toutes les préoccupations. IBB reste cependant bien consciente des risques pour la sécurité des technologies informatiques qui découlent d’une telle décision. Elle a donc lancé un vaste projet afin de renforcer son infrastructure ICT.

L’idée

IBB exploite un réseau de communication dédié aux technologies de conduite communes à tous les réseaux d’approvisionnement. Le système de conduite des processus rend vulnérable les infrastructures critiques, comme le montrèrent les analyses réalisées dans le cadre de la stratégie nationale sur la protection contre les cyber-risques en Suisse. Une raison de plus pour IBB de vérifier la sécurité de son infrastructure de communication. « Nos composants étaient en partie vieux de 15 ans. Cela ne posait pas vraiment de problème au niveau du fonctionnement, mais du point de vue informatique, les choses ont beaucoup évolué », explique Hans Spörri, responsable des technologies informatiques et de l’assurance-qualité à IBB ainsi que chef du projet.

« Avant on disait : ‹ Never touch a running system. › Aujourd’hui on n’imagine plus laisser un système fonctionner pendant 10 ans sans le modifier. »

Hans Spörri, Directeur des technologies informatiques et de communication ainsi que de l’assurance-qualité

Mise en œuvre conforme au standard ICT minimum

Au début du projet, un partenaire externe analysa la sécurité de l’infrastructure ICT sur l’ensemble de l’entreprise, et vérifia sa disponibilité ainsi que sa résistance. Cet examen s’appuya sur le standard minimum ICT élaboré par l’Office fédéral pour l’approvisionnement économique du pays (OFAE). Outre des aspects purement techniques, cette analyse s’intéresse aussi aux processus d’entreprise. Cela permet de s’assurer que les bonnes mesures sont prises en cas d’attaques ou de problèmes : « Avons-nous un plan d’urgence ? Des redondances sont-elles disponibles ? Existe-t-il un point d’escalation ? », concrétise le responsable IT certaines des questions de l’analyse.

« Le standard minimum ICT aide surtout à vraiment tout prendre en compte. »

Les résultats de l’analyse amenèrent IBB à mandater Rittmeyer, pour évaluer différentes solutions afin de réaliser la sécurité IT ciblée. « Nous avons opté pour une variante, l’avons ajustée puis nous avons commencé la planification détaillée », raconte le chef de projet.

Plus vite, mieux protégé

Après près de neuf mois de planification intense, on passa à la mise en œuvre de la nouvelle infrastructure. En renforçant les réseaux et les composants, IBB augmenta dans le même temps le débit de son propre réseau FO et ADSL vers les postes extérieurs. Les nouveaux routeurs LTE installés assurèrent la redondance sans fil dans le système.

IBB mis aussi une surveillance en place afin de contrôler les paramètres de service. Pour Hans Spörri, cela aide aussi à détecter les intrusions : « Grâce aux différents capteurs en place, outre les informations sur tous les débits et les disponibilités, nous détectons aussi les anomalies dans le système – qu’elles viennent de dysfonctionnements ou de manipulations. »

Une séparation claire des nouvelles interfaces

Pour IBB, il était essentiel de conserver en grande partie les conditions de travail des employés lors de l’ajustement de l’infrastructure ICT. Les accès aux appareils et aux interfaces restèrent inchangés. « Quelques années auparavant, nous avions déjà transformé notre système de conduite en une plateforme moderne avec accès distant », raconte Hans Spörri. Cette plateforme régulièrement mise à jour avec authentification à deux niveaux est à la pointe technologique.

Quasiment les mêmes standards de sécurité que ceux de l’infrastructure critique se retrouvent dans l’infrastructure bureautique. Les réseaux sont physiquement séparés les uns des autres, mais doivent communiquer entre eux afin de réaliser une commande et un accès distant à l’ensemble du réseau : « À nos yeux, il est important que nos collègues puissent travailler simplement avec un seul appareil », souligne Philippe Ramuz, Directeur des services liés au réseau, en décrivant l’idée de base, puis complète : « Les techniciens doivent pouvoir réaliser l’entretien de l’installation en travaillant avec les programmes Office et en intervenant dans le système de conduite. »

Plusieurs pare-feux sur le système informatique d’IBB et au niveau des technologies de conduite de Rittmeyer assurent une communication sécurisée entre les réseaux. « Nous aurions aussi pu opter pour une solution plus simple », admet Hans Spörri, « mais cette méthode permet de clairement définir les responsabilités tout en augmentant encore un peu plus le niveau de protection. »

Le principe du « dernier privilège » est mis en œuvre pour les employés afin d’accroître la sécurité : ils peuvent voir tous les détails des réseaux d’approvisionnement, mais la commande se limite à leur propre secteur d’approvisionnement ainsi qu’aux seules fonctions dont ils ont besoin.

La mise en pratique : un vrai défi

La nouvelle infrastructure modifia la répartition des tâches entre le service informatique et celui du réseau d’approvisionnement au sein d’IBB. Les interfaces glissèrent un peu plus vers le secteur du réseau assurant une collaboration plus étroite entre les deux secteurs. « Nous avons dû repenser nos processus de manière commune afin de définir qui réagit quand et où », raconte Philippe Ramuz.

L’ajustement des processus était loin d’être le plus grand défi à relever par IBB. Le développement d’une solution technique qui couvrait tous les grands axes tout en intégrant les deux systèmes, s’avéra bien plus complexe. Rittmeyer a donc reconstruit une grande partie de l’environnement afin de tester en amont toutes les fonctions des composants utilisés. « Et ils acquirent ainsi des connaissances essentielles pour nous. Nous l’avons clairement ressenti au niveau informatique. Nous pouvions vraiment discuter concrètement sur les différentes solutions et prendre rapidement des décisions », confirme Spörri.

Le point le plus sensible resta sans aucun doute la phase de basculement comme le soulignent Hans Spörri et Philippe Ramuz. Jusqu’à huit personnes d’IBB et de Rittmeyer assistèrent aux deux grandes phases de basculement sur place. « Les points de migration devaient impérativement être orchestrés. Nous avions ici un scénario bien défini », se souvient le responsable informatique. L’approvisionnement en eau se trouvait en première position, comme l’explique Philippe Ramuz : « L’eau est absolument vitale à tout point de vue. Nous devions nous assurer de la bonne exploitation des réservoirs et que l’approvisionnement reprendrait complètement normalement après le basculement. »

« La mise en œuvre s’est faite sans aucune coupure imprévue. Une chose que j’ai particulièrement appréciée. »

Philippe Ramuz, Directeur des services liés au réseau

L’équipe consacra beaucoup de temps par la suite à des tests approfondis du fonctionnement du système. Outre le bon retour de signaux des capteurs en cas de défaillance, elle réalisa des tests poussés du réseau LTE : « Nous avons complètement désactivé le réseau FO. La communication était de nouveau complètement rétablie et stable via le réseau LTE. Toutes les caméras vidéo transmettaient les bons messages de dysfonctionnement. Cela était vraiment stupéfiant », se réjouit Hans Spörri.

Et demain ? Toujours protégé ?

IBB fit ré-évaluer par un partenaire externe, la réussite des étapes mises en œuvre. La sécurité durable une fois le projet achevé, a déjà été prévue : « La personne qui travaille avec le système reste toujours le maillon faible », une chose dont est convaincu Hans Spörri. Depuis la fin 2019, IBB a mis en place des campagnes de sensibilisation à la sécurité au sein de toute son entreprise grâce à des formations régulières de tous les employés.

Pour conserver le système toujours à la pointe technologique, Rittmeyer se charge de gérer les correctifs et met régulièrement les composants à jour. Cela permet de nettement limiter les risques au niveau des composants non redondants qu’à moitié critiques, notamment en cas de cyber-attaques ou de défaillances. Grâce aux composants standard ainsi qu’à une gestion clairement définie de la configuration chez IBB et Rittmeyer, des systèmes de remplacement deviennent rapidement disponibles.

Développer ce projet interdisciplinaire ensemble reste sans aucun doute une aventure à la fois passionnante et stimulante. « Nous avons investi beaucoup de temps, mais maintenant nous avons une excellente solution qui répond parfaitement à nos attentes. C’est un vrai succès pour ce projet qui nous a vraiment enthousiasmé : un moteur qui s’est fait ressentir tout au long du projet. »

icon

103 km Réseau moyenne tension (16 kV)
365 km Réseau moyenne tension (230/400 V)
99 km Réseau à fibres optiques

icon

189 km Conduites principales du gaz naturel
73 km Conduites domestiques du gaz naturel

icon

67 km Conduites principales (avec zones hautes)
35 km Conduites d’arrivée
5 km Réseau d’eau potable

icon

94 km Câble coaxial
24 km Câbles à fibres optiques