Pour l’ancien directeur de la NSA, l’ensemble des sociétés énergétiques américaines n’est tout simplement pas prêt à une cyberattaque massive. Il a récemment évoqué un véritable scénario catastrophe où les États-Unis seraient privés d’énergie, si des pirates suffisamment organisés mettaient à exécution un tel projet.
« Nous ne sommes pas préparés pour ça »
En France, on définit par OIV, ou Opérateur d'importance vitale, toutes les entreprises dont les activités ont notamment trait « à la production et la distribution de biens ou de services indispensables » ou encore qui satisfont « des besoins essentiels pour la vie des populations ». Les sociétés impliquées dans l’énergie font partie des OIV, et ont des obligations sur la défense numérique en général, plus spécifiquement tout ce qui pourrait provenir d’Internet.
Aux États-Unis, chaque entreprise est relativement libre de procéder à ses propres préparatifs sur ce terrain. C’est ce qui inquiétait récemment Keith Alexander, l’ancien directeur de la NSA (National Security Agency). Il visait en particulier l’ensemble des sociétés s’appuyant sur des systèmes SCADA (Supervisory Control And Data Acquisition), autrement dit des infrastructures de contrôle et de gestion des données sur de larges échelles.
Alexander s’inquiète particulièrement des sociétés impliquées dans la production d’énergie. Selon lui, elles ne sont tout simplement pas prêtes pour des attaques d’envergure, faisant peser le risque de plusieurs menaces synchronisées et donc simultanées sur plusieurs d’entre elles. Lors de l’évènement IHS CERAWeek de la semaine dernière, il a ainsi déclaré : « Le plus grand risque serait une attaque catastrophique contre l’infrastructure énergétique. Nous ne sommes pas préparés pour ça », comme le rapporte The Telegraph.
Des systèmes SCADA trop souvent protégés par une simple obscurité
Réseau électrique, centrales au pétrole ou au charbon, raffineries et autres structures ne fonctionneraient plus, plongeant les États-Unis dans le noir. Une panne qui serait d’autant plus durable que les équipements seraient bloqués ou endommagés par des éléments informatiques laissés en place par les pirates dans de multiples systèmes. Il n’y aurait alors pas de relais et d’équipements de secours.
Pour l’ancien responsable, cinq pays ont actuellement les connaissances et la force de frappe nécessaires pour de telles attaques : les États-Unis eux-mêmes, le Royaume-Uni, la Russie, Israël et l’Iran. On notera l’absence manifeste de la Chine dans cette liste, alors même que le pays a « officialisé » récemment l’existence de ses propres hackers dans un rapport de l’armée. L’actuel patron de la NSA, Mike Rogers, n’oublie pas la Chine, puisqu’il avait déclaré l’année dernière que le pays avait le pouvoir de lancer des attaques violentes contre les infrastructures d’eau et d’énergie.
De telles entreprises pourraient-elles vraiment être touchées ? Pour Lars Thoresen, directeur de la sécurité chez NTT Com Security, cela ne fait aucun doute. Durant la même conférence, il a ainsi indiqué que le monde avait changé : là où la sécurité par l’obscurité et l’absence de raccordement à Internet pouvaient suffire, les menaces et les nécessités ont évolué. Il pointe à son tour un retard dans les mesures adoptées et le manque de méthodologie des développeurs. Il rappelle notamment comment Daech a déjà réussi à prendre le contrôle de systèmes SCADA, notamment en Iraq, montrant que les installations distantes peuvent être des cibles de choix. « Pour résumer, le monde dans lequel les systèmes SCADA opèrent a changé, et les systèmes ont été, d’après notre expérience, lents à réagir » ajoute-t-il auprès d’Infosecurity.
Il manque toujours une vraie politique centralisée
Il faudrait donc une vraie politique fédérale imprimée par le gouvernement, un référentiel de sécurité, des ressources et un entrainement spécifique pour les développeurs qui gèrent ces problématiques dans les entreprises concernées. C’est l’avis de John Shaw, de chez Sophos,qui souligne un point crucial : garder une sécurité élevée signifie des changements réguliers et des mises à jour, alors que les systèmes critiques ne doivent être dérangés que le moins possible. Actuellement, cela se traduit par de nombreuses machines non mises à jour et qui peuvent représenter un danger beaucoup plus important si des pirates y accèdent, d’une manière ou d’une autre. La solution ? Tout verrouiller, mettre en place des listes blanches, former les ingénieurs, analyser la sécurité existante (audits) et toujours scanner les fichiers, la mémoire, les zones de stockage et ainsi de suite.
Globalement, les remarques des intervenants soulèvent une nouvelle réalité : les guerres peuvent être menées dans l’ombre, sans aucun blessé, avec pourtant des dégâts conséquents. L’interconnexion des réseaux, qui a tant facilité le travail des agences de renseignement, permet la circulation de menaces auxquelles seule une sécurité dédiée peut opposer une résistance. Le danger souligné par Keith Alexander se résume assez simplement : un pays peut avoir une puissante armée et être mis à genoux si une petite équipe de dix personnes suffit à saboter ses infrastructures vitales.
Commentaires (26)
#1
“heureusement” qu’en France on est “au dessus de tout ça " /> " /> !!!
#2
La France ne figure pas parmi la liste des pays susceptibles d’avoir cette force de frappe " />, pourtant on a la #FrenchTech " />
#3
Oui enfin l’Allemagne non plus par exemple.
Le côté “On cite les copains, le Royaume-Uni, et les gens qui font peur mais qui en réalité ont pas tant que ça les moyens, l’Iran” est un peu ridicule.
Et très peu crédible.
#4
Ne t’inquiète pas, si il y a une attaque d’envergure mondial les OIV français seront parmi les dernier à tomber.
La politique de sécurité des OIV en France est assez rigoureuse.
#5
#6
Oui il y a un mec dans la salle serveur prêt à débrancher les rj45 des serveurs de prod. " />
#7
#8
Merci, ça me rassure et puis j’imagine aussi qu’ils achètent un firewall neuf tous les mois, ça c’est " />
#9
Chais pas, tu mettrais TV5 Monde en Opérateur d’Importance Vitale, toi ?
#10
J’ai pas la télé donc… mais c’est ce que le ministre de l’intérieur a vendu pour justifier en partie son projet de loi sur le renseignement ; je reprends donc l’argument (et rigole doucement).
#11
Pourquoi acheter, il est gratuit, OpenOffice, non " />…
#12
Ca vous fait du stux.net est c’est pas capable de protéger les trucs de base et en plus on le dit dans la presse?
Ca me semble bizarre comme déclaration….
ALLO les terroristes, viendez chez nous y a des failles partout " />
#13
C’est le scénario d’une saison de 24h Chrono !!! La NSA a cinq saisons de retard " />
Et même de Die Hard IV aussi accessoirement… :P
#14
Ça ressemble à un appeau à trolls terroristes. La vache NXi va être le prochain site filtré par décision administrative vu la quantité de mots clés distillés pour émoustiller les boîtes noires.
#15
Les infrastructures vitales des États-Unis ne seraient pas assez protégées
Incroyable que PCI découvre cette info que maintenant ! :rouge:
Cette possibilité a été démontré il y a des années dans Die Hard 4 !
Face à cette découvert, je pense pas renouveller mon abo …
NANMEHO !
" />
Sinon c’est bien de s’en rendre compte maintenant même si c’est un peu tard, surtout de la part du pays qui a crée Stuxnet !
#16
Les oiv commencent a poser la question suivante à leurs fournisseurs: vous proposez quoi? Ce qui est logique vu que les exploitants industriels n’ont pas forcément toute la main sur ce qui installé chez eux
#17
Je parle là du secteur de l’énergie et pas des tv
#18
Quand on voit la facilité des militants écolos pour se faufiler au coeur d’une centrale nucléaire en France, ça fait peur… Mais on met toujours des protections après avoir subi les dégâts (d’où l’inutilité totale des lois sécuritaires qui fleurissent ces derniers mois, ou les protections à la Vigipirate).
Dans les telcos, pas de risque, Orange vient de mettre un mot de passe sur le wifi de ces box " />
#19
“on anticipe pas, on réagit”
#20
Tu imagine le scandale si un militant Greenpeace se prenait son poids en plomb? Leurs soi-disant démonstration ne tiens pas la route.
#21
#22
Moi pas " />
Toutes les chaines TV peuvent bien tomber, je ne m’en porterais pas plus mal. Par contre concernant l’électricité…. hum… j’ai un doute.
#23
TV5 un OIV ? " />
#24
Il suffit juste de faire tomber en plein hiver 3 à 4 gros transformateurs qui délivrent le courant des centrales en France pour faire écrouler toute l europe…. Je comprends que le risque puisse venir d internet mais j aurais plus peur d une attaque coordonnée sur nos centrales avec des drones.
#25
#26
En gros c’est un appel aux attaques pour essayer d’identifier d’où elles peuvent venir, pour mieux les cibler et les éliminer.
Très malin !