Veille technologique

pour les professionnels de l’industrie
S’abonner

S’inscrire à l’hebdo de la techno :

Rechercher sur Industrie & Technologies

Article Suivant
Facebook Twitter Google + Linkedin Email
×

FIC 2017 : Pour Guillaume Poupard, de l'Anssi, «les objets connectés industriels sont la priorité»

| | | |

Par publié le à 09h00

FIC 2017 : Pour Guillaume Poupard, de l'Anssi, «les objets connectés industriels sont la priorité»

Guillaume Poupard, responsable de l'Anssi

La 9ème édition du Forum international pour la cybersécurité (FIC), qui doit ouvrir ses portes demain, accordera une place prépondérante à la sécurité des objets connectés, dont les attaques ont largement occupé la scène médiatique au cours des derniers mois (Tesla, serveur DNS de Dyn, ampoules Philips). Sommes-nous bien préparés pour faire face à cette déferlante ? Quels scénarios sont à craindre ? Comment répondre à ces enjeux ? Existe-t-il des verrous technologiques particuliers ? Guillaume Poupard, le chef de l'agence nationale de la sécurité des systèmes d'information (Anssi), a répondu aux questions d'Industrie & Technologies dans une interview exclusive.

Industrie & Technologies : Outre le marché grand public, les objets connectés envahissent également le monde industriel…

Guillaume Poupard : C’est ça, notre priorité. On se rend compte que le numérique envahit le monde industriel. Que ce qui était encore mécanique et électromécanique hier, donc imperturbable depuis l’extérieur, laisse aujourd’hui place à des objets connectés. Ce sont des mini-ordinateurs, qui incluent de la capacité de calcul et une connexion. C’est probablement une très bonne chose d’un point de vue fonctionnalité, d’un point de vue efficacité et d’un point de vue rentabilité. Mais cela ouvre des portes, qui n’existaient pas dans le passé. Ainsi, des attaquants pourraient avoir la possibilité technique de mener, depuis le bout du monde, des actions très intrusives au sein des systèmes industriels. Les Scada et les ICS doivent donc être protégés comme les PCs, et peut-être même plus encore, au vu des conséquences possibles. 

I&T : Quels genres de scénarios redoutez-vous à partir d’une attaque d’objet connecté ?

G.P. : La grande crainte que nous avons, c’est celle du sabotage. C’est-à-dire quelqu’un qui voudrait, dans le meilleur des cas, éteindre le système pour l’empêcher de fonctionner. Mais dans le pire des cas, il y a évidemment la volonté de provoquer des catastrophes. Quand on s’attaque au monde du transport, on peut vite avoir des effets absolument dramatiques y compris sur les vies humaines. Même chose dans le domaine industriel. Aujourd’hui, en jouant à  distance avec des automates, on peut certainement provoquer des catastrophes, comme des morts et des explosions  avec de nombreuses motivations différentes. Cela peut être des motivations terroristes, des motivations de concurrence ou de chantage, si vous voulez rançonner quelqu’un. Le très grand risque c’est qu’il y ait des sortes de mercenaires qui se développent. On aurait alors des attaquants terroristes qui achèteraient la capacité faite par d’autres. Le tout, sans contact physique.  C’est très inquiétant. Mais, il faut faire peur, il faut sensibiliser et il faut avoir conscience de la menace pour pouvoir rebondir.  Et le point positif, c’est qu’on sait comment faire, mais encore faut-il le faire.

I&T : D’un point de vue technique, la sécurisation des objets connectés est-elle complexe ?

G.P. : La question n’est pas simple. Je ne vois pas  d’importants verrous technologiques. Il peut parfois y avoir des problèmes de consommation et de communication, mais c’est à la marge. Par ailleurs, outre la sécurisation des composants, il faut aussi développer des systèmes de détection pour identifier les comportements anormaux. C’est quelque chose de complètement nouveau dans le domaine industriel. L’idée est de mettre en place des SOC (Security operation center, ndlr) industriels. Un SOC permet d’agréger l’information et de faire de la détection intelligente, mais s’il n’est pas nourri par de l’information pertinente, cela ne peut pas fonctionner. Dans un réseau informatique classique, nous savons allons chercher l'information car il existe des sondes spécifiques qui permettent de le faire. En revanche, dans le domaine industriel, nous avons encore peu de remontées d’informations pertinentes car peu de sondes savent comprendre les différents protocoles de communication spécifiques à ce domaine. Il faut donc adapter ce qu’on a fait dans l'informatique au monde industriel. Sur ce point, nous travaillons avec des sociétés comme Sentryo, qui sont particulièrement innovantes. Et nous apportons notre soutien car cela nous semble une voie concrète pour sécuriser ces systèmes.

I&T : Pour répondre à ces enjeux, l’Anssi travaille-t-elle à un système de labellisation pour les objets connectés ?

G.P. : Ici, nous envisageons deux démarches. La première consiste à identifier les intégrateurs de confiance autour de la sécurité dans le domaine industriel. La seconde, c’est la certification des objets eux-mêmes. Pour les automates, par exemple, la méthodologie habituelle de labellisation s’applique. En revanche, pour des objets plus grand public, plus low-cost, ça ne fonctionne pas, car l’évaluation coûte cher, est lourde et prend du temps. Nous ne pouvons donc pas demander à la prochaine star du CES d’être évaluée selon ces méthodologies-là. (…). Deux solutions se présentent : des évaluations plus légères ou l’auto-évaluation. C’est quelque chose que nous n'aimons pas trop habituellement, mais cela nous permettrait un passage à l’échelle. Ce serait déjà un premier niveau. L’industriel certifierait qu’il respecte un cahier des charges générique. Nous n'allons pas forcément vérifier de manière indépendante que c’est le cas, mais c’est une forme de contrat. Et il y aurait vraiment une tromperie volontaire si, in fine, ce cahier des charges n’était pas réellement respecté. 

I&T : Peut-on imaginer la mise en place d’une sorte de crash-test pour les objets connectés ?

G.P. : Oui, tout à fait. Cela me fait penser au premier niveau d’évaluation que nous avons introduit et qui s’appelle la CSPN (certificat de sécurité premier niveau). Nous avons inventé ce système pour ceux qui ne voulaient, ou ne pouvaient, pas se lancer dans un processus de certification trop lourd et trop structuré. L’idée est donc de payer pendant 30 jours des personnes qui vont réaliser des crash-tests. Cela n'assure pas une sécurité absolue, mais permet d’obtenir un premier avis sur le niveau de confiance du produit.

I&T : Qui doit se soumettre à ces tests ?

G.P. : Ces tests sont uniquement appliqués à ceux qui le souhaitent. Il n’y a donc pas d’obligation. Peut-être qu’il y aura une évolution règlementaire sur ce point. Mon intuition c’est que ce sera le cas pour la santé et tout ce qui touche à la sécurité des personnes. Pour le reste, ce sera la loi du marché.  

Propos recuellis par Juliette Raynal 

Abonnez-vous et accédez à l’intégralité de la veille technologique

Commentaires

Une réaction

Cédric C
Le 24/01/2017 à 11h17
"il faut aussi développer des systèmes de détection pour identifier les comportements anormaux". Il existe aujourd'hui de grands projets en cours à ce sujet tel que SCISSOR (subventionné par la communauté européenne dans le cadre de H2020), dont une des principales caractéristiques est justement la corrélation d'événements hétérogènes afin de détecter ces comportements anormaux, prémisses d'une cyberattaque. SCISSOR a pour vocation la protection des systèmes industriels (SCADA, ...) et est en cours de déploiement dans le monde réel sur un SmartGrid en Italie. Ce projet est mené par un Consortium européen mené par Assystem, via son pôle d'experts français en cybersécurité. Pour en savoir plus : https://scissor-project.com/ et http://www.assystem.com/ContentFiles/GalleryCMS/2080/20150601_CP%20Scissor_VF_1982.pdf

Réagissez à cet article

* Informations obligatoires

erreur

erreur

erreur