Nous suivre Industrie Techno

Interview

FIC 2017 : Pour Guillaume Poupard, de l'Anssi, «les objets connectés industriels sont la priorité»

FIC 2017 : Pour Guillaume Poupard, de l'Anssi, «les objets connectés industriels sont la priorité»

Guillaume Poupard, responsable de l'Anssi

© Guittet Pascal Guittet Pascal

La 9ème édition du Forum international pour la cybersécurité (FIC), qui doit ouvrir ses portes demain, accordera une place prépondérante à la sécurité des objets connectés, dont les attaques ont largement occupé la scène médiatique au cours des derniers mois (Tesla, serveur DNS de Dyn, ampoules Philips). Sommes-nous bien préparés pour faire face à cette déferlante ? Quels scénarios sont à craindre ? Comment répondre à ces enjeux ? Existe-t-il des verrous technologiques particuliers ? Guillaume Poupard, le chef de l'agence nationale de la sécurité des systèmes d'information (Anssi), a répondu aux questions d'Industrie & Technologies dans une interview exclusive.

Industrie & Technologies : Outre le marché grand public, les objets connectés envahissent également le monde industriel…

Guillaume Poupard : C’est ça, notre priorité. On se rend compte que le numérique envahit le monde industriel. Que ce qui était encore mécanique et électromécanique hier, donc imperturbable depuis l’extérieur, laisse aujourd’hui place à des objets connectés. Ce sont des mini-ordinateurs, qui incluent de la capacité de calcul et une connexion. C’est probablement une très bonne chose d’un point de vue fonctionnalité, d’un point de vue efficacité et d’un point de vue rentabilité. Mais cela ouvre des portes, qui n’existaient pas dans le passé. Ainsi, des attaquants pourraient avoir la possibilité technique de mener, depuis le bout du monde, des actions très intrusives au sein des systèmes industriels. Les Scada et les ICS doivent donc être protégés comme les PCs, et peut-être même plus encore, au vu des conséquences possibles. 

I&T : Quels genres de scénarios redoutez-vous à partir d’une attaque d’objet connecté ?

G.P. : La grande crainte que nous avons, c’est celle du sabotage. C’est-à-dire quelqu’un qui voudrait, dans le meilleur des cas, éteindre le système pour l’empêcher de fonctionner. Mais dans le pire des cas, il y a évidemment la volonté de provoquer des catastrophes. Quand on s’attaque au monde du transport, on peut vite avoir des effets absolument dramatiques y compris sur les vies humaines. Même chose dans le domaine industriel. Aujourd’hui, en jouant à  distance avec des automates, on peut certainement provoquer des catastrophes, comme des morts et des explosions  avec de nombreuses motivations différentes. Cela peut être des motivations terroristes, des motivations de concurrence ou de chantage, si vous voulez rançonner quelqu’un. Le très grand risque c’est qu’il y ait des sortes de mercenaires qui se développent. On aurait alors des attaquants terroristes qui achèteraient la capacité faite par d’autres. Le tout, sans contact physique.  C’est très inquiétant. Mais, il faut faire peur, il faut sensibiliser et il faut avoir conscience de la menace pour pouvoir rebondir.  Et le point positif, c’est qu’on sait comment faire, mais encore faut-il le faire.

I&T : D’un point de vue technique, la sécurisation des objets connectés est-elle complexe ?

G.P. : La question n’est pas simple. Je ne vois pas  d’importants verrous technologiques. Il peut parfois y avoir des problèmes de consommation et de communication, mais c’est à la marge. Par ailleurs, outre la sécurisation des composants, il faut aussi développer des systèmes de détection pour identifier les comportements anormaux. C’est quelque chose de complètement nouveau dans le domaine industriel. L’idée est de mettre en place des SOC (Security operation center, ndlr) industriels. Un SOC permet d’agréger l’information et de faire de la détection intelligente, mais s’il n’est pas nourri par de l’information pertinente, cela ne peut pas fonctionner. Dans un réseau informatique classique, nous savons allons chercher l'information car il existe des sondes spécifiques qui permettent de le faire. En revanche, dans le domaine industriel, nous avons encore peu de remontées d’informations pertinentes car peu de sondes savent comprendre les différents protocoles de communication spécifiques à ce domaine. Il faut donc adapter ce qu’on a fait dans l'informatique au monde industriel. Sur ce point, nous travaillons avec des sociétés comme Sentryo, qui sont particulièrement innovantes. Et nous apportons notre soutien car cela nous semble une voie concrète pour sécuriser ces systèmes.

I&T : Pour répondre à ces enjeux, l’Anssi travaille-t-elle à un système de labellisation pour les objets connectés ?

G.P. : Ici, nous envisageons deux démarches. La première consiste à identifier les intégrateurs de confiance autour de la sécurité dans le domaine industriel. La seconde, c’est la certification des objets eux-mêmes. Pour les automates, par exemple, la méthodologie habituelle de labellisation s’applique. En revanche, pour des objets plus grand public, plus low-cost, ça ne fonctionne pas, car l’évaluation coûte cher, est lourde et prend du temps. Nous ne pouvons donc pas demander à la prochaine star du CES d’être évaluée selon ces méthodologies-là. (…). Deux solutions se présentent : des évaluations plus légères ou l’auto-évaluation. C’est quelque chose que nous n'aimons pas trop habituellement, mais cela nous permettrait un passage à l’échelle. Ce serait déjà un premier niveau. L’industriel certifierait qu’il respecte un cahier des charges générique. Nous n'allons pas forcément vérifier de manière indépendante que c’est le cas, mais c’est une forme de contrat. Et il y aurait vraiment une tromperie volontaire si, in fine, ce cahier des charges n’était pas réellement respecté. 

I&T : Peut-on imaginer la mise en place d’une sorte de crash-test pour les objets connectés ?

G.P. : Oui, tout à fait. Cela me fait penser au premier niveau d’évaluation que nous avons introduit et qui s’appelle la CSPN (certificat de sécurité premier niveau). Nous avons inventé ce système pour ceux qui ne voulaient, ou ne pouvaient, pas se lancer dans un processus de certification trop lourd et trop structuré. L’idée est donc de payer pendant 30 jours des personnes qui vont réaliser des crash-tests. Cela n'assure pas une sécurité absolue, mais permet d’obtenir un premier avis sur le niveau de confiance du produit.

I&T : Qui doit se soumettre à ces tests ?

G.P. : Ces tests sont uniquement appliqués à ceux qui le souhaitent. Il n’y a donc pas d’obligation. Peut-être qu’il y aura une évolution règlementaire sur ce point. Mon intuition c’est que ce sera le cas pour la santé et tout ce qui touche à la sécurité des personnes. Pour le reste, ce sera la loi du marché.  

Propos recuellis par Juliette Raynal 

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Atos lance un supercalculateur de poche pour mettre le cloud dans l’usine

Atos lance un supercalculateur de poche pour mettre le cloud dans l’usine

Le BullSequana Edge lancé par Atos le 16 mai à Paris est un serveur dédié à l’edge computing. Il est[…]

Des pixels un million de fois plus petits que ceux des smartphones

Des pixels un million de fois plus petits que ceux des smartphones

Un test pour arbitrer le match entre puces quantiques et supercalculateurs

Un test pour arbitrer le match entre puces quantiques et supercalculateurs

Iter, New Space, Intelligence artificielle... les meilleures innovations de la semaine

Iter, New Space, Intelligence artificielle... les meilleures innovations de la semaine

Plus d'articles