Les opérateurs d’infrastructures critiques (centrales nucléaires, télécommunications, transports, finance, etc. ) seront bientôt sous de nouvelles contraintes suite à un projet de loi présenté cet été. Aux Assises de la sécurité de Monaco, l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) a mis l’accent sur ce sujet prochainement examiné au Sénat.

En 2011, aux Assises de la sécurité de Monaco, Patrick Pailloux, directeur général de l’ANSSI, interpellait les professionnels des systèmes d’information sur l’importance des règles « d’hygiène informatique élémentaire ». Deux ans plus tard, au même endroit, le même personnage estime que les acteurs se sont maintenant appropriés le concept, concédant que « l’actualité récente a probablement plus fait pour convaincre les récalcitrants que les discours enflammés du directeur de l’ANSSI ».

Pour l’avenir, l’institution place désormais toute son attention sur les SCADA, les Supervisory Control And Data Acquisition (système de contrôle commande), les systèmes industriels manipulés par les opérateurs d’infrastructures critiques.

« Un effort important pour les années à venir »

Ce sujet « va exiger un effort très important pour les années à venir » table Patrick Pailloux. « Ces technologies sont le système nerveux de nos nations. Notre survie, au sens étroit du terme, dépend parfois du bon fonctionnement des systèmes d’information : équipements médicaux, transport aérien et ferroviaire, production et distribution d’énergie, transport de l’eau, etc. Or, justement, ces systèmes de contrôle-commande sont en train de migrer à grande vitesse vers l’IP voire d’être connectés à internet sans qu’on se soit préoccupé de leur sécurité », c'est-à-dire de leur défense contre les actions malveillantes.

Comment ? L’ANSSI a constitué un groupe de travail avec les représentants des industriels afin de définir d’ici la fin de l’année un ensemble de règles de sécurité qui devra être mis en place au sein des SCADA. « Le groupe de travail avec les industriels du secteur devra déboucher d’ici la fin de l’année sur une première série de recommandations. Je ne sais pas encore si on les rendra publiques ou pas » a-t-il déclaré.

« Faites donc le tour de vos installations industrielles et regardez combien de communications entre des capteurs et des automates sont chiffrées et fortement authentifiées » adresse-t-il à la salle, pleine de professionnels du secteur. « Il faut que les industriels qui utilisent des machines et autres robots recensent leurs systèmes critiques, analysent leur sécurité, prennent les mesures conservatoires indispensables » demande Pailloux, tout en notant que trop souvent des installations sont connectées à Internet et donc ouvertes aux menaces. Quelles menaces ? Pailloux identifie le vol de données ou encore le sabotage. « Ces attaques sont aujourd’hui à la portée de tous. Prenez 10 personnes avec 10 ordinateurs, vous avez déjà une petite cyber-armée. Se doter de capacités offensives dans le cyberespace, ce n’est pas compliqué ».

La loi de programmation militaire et les nouveaux pouvoirs de l’ANSSI

En avril 2013, le livre blanc sur la défense et la sécurité nationale mettait lui aussi l’accent sur ces opérateurs vitaux (centrales nucléaires, finance, télécommunications, transports, etc.) « Le développement rapide des infrastructures numériques ne s’est pas toujours accompagné d’un effort parallèle de protection, de sorte que les agressions de nature cybernétique sont relativement faciles à mettre en œuvre et peu coûteuses. Leur furtivité complique l’identification de leurs auteurs, qui peuvent être aussi bien étatiques que non-étatiques ».

Ce même texte annonçait que l’État allait bientôt fixer « par un dispositif législatif et réglementaire approprié, les standards de sécurité à respecter à l’égard de la menace informatique », tout en permettant à l’ANSSI d’agir en cas de crise grave. Ce véhicule législatif est celui de la loi de programmation militaire enregistrée cet été au Sénat. « La loi de programmation militaire devra être votée à la fin 2013 ou au début 2014 » a affirmé Patrick Pailloux.

L’article 15 du texte donne au pouvoir exécutif la possibilité d’imposer aux OIV (opérateurs d'importance vitale) des obligations en matière « de sécurisation de leur réseau, de qualification de leurs systèmes de détection, d'information sur les attaques qu'ils peuvent subir et de soumission à des contrôles ». Ces OIV sont des acteurs dont l'atteinte à la sécurité ou au fonctionnement du système « risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ».

Avec ce texte qui sera examiné sous peu au Sénat, l’État fixera donc des règles en collaboration étroite avec l’ANSSI, règles que les OIV seront tenus d’appliquer, à leur frais. Les sociétés mauvaises élèves seront susceptibles de se voir infligées une sanction pouvant aller jusqu'à 750 000 euros d’amende.

À Monaco, Pailloux indique que ces règles seront discutées secteur par secteur. « On n’applique pas les mêmes règles à une centrale nucléaire qu’à un opérateur de communications électroniques ».

Mouvement européen

Ce mouvement n’est cependant pas que franco-français, puisque bien souvent ces opérateurs ont une présence internationale. Pailloux a du coup rappelé qu’en février 2013, un projet de directive a été dévoilé à Bruxelles. Ce texte comprend justement des dispositions relatives aux opérateurs d'infrastructures critiques, lesquels devront suivre des règles de sécurité précises tout en étant obligés de signaler aux autorités les incidents de sécurité significatifs touchant à leurs services essentiels. Des dispositions similaires sont prévues en France par la loi de programmation militaire.

La mise en place de ce dispositif va néanmoins soulever des questions importantes, par exemple face à la question du recensement intégral de l’ensemble de ces opérateurs. Sur ce point, « Nous n’avons pas encore l’image complète des OIV » concède-t-il. Seront-ils cent, mille ou plus ?

Autre sujet : celui de la sous-traitance. « Pour les petites PME, c’est finalement plus simple de sécuriser un système informatique. Pour les grandes structures, c’est beaucoup plus compliqué et il faut en tout évidence s’adresser à des gens dont c’est le métier, d’où notre système de labellisation des acteurs du secteur ». À cet égard, Pailloux incitera les opérateurs à mettre au carré leurs appels d’offres, appels à projets, etc. « Il faut intégrer des exigences de sécurité, et il est possible d‘aller extrêmement loin. Il n’y a pas des limites à l’imagination. Imposez des règles et vérifiez-les » implore-t-il. Surtout, cette mise en conformité soulèvera des coûts pour des acteurs de taille plus modeste, que la loi leur demande d’assumer.

Quels montants ? « On a fait des estimations qui ne sont pas forcément diaboliques. Ce ne sera pas forcément cher. Déjà, si on débranche d’internet ces systèmes SCADA, on aura significativement progressé. Et se débrancher d’Internet, cela coûte le prix des ciseaux ».