dimanche, décembre 22, 2024

Sécurité industrielle : une approche industrielle de la sécurité plutôt qu’une illusoire « ligne Maginot numérique ».

Paru dans Les Echos, le 10 aout 2015.

Chacun se fait à l’idée d’être cambriolé une fois dans sa vie. Beaucoup ont déjà été atteint par un virus informatique. Mais qui accepterait qu’une centrale nucléaire soit piratée, ou que l’on prenne le contrôle à distance de sa voiture au milieu de l’autoroute ? Et pourtant, plusieurs millions de véhicules devront être rappelés suite au piratage à distance d’une voiture par deux hackers en juillet dernier. En 2013, c’est la compagnie pétrolière Aramco qui a été la cible du virus Shamoon. En 2010, le virus Stuxnet s’attaquait à des centrifugeuses nucléaires.

Alors que l’industrie se numérise, les données industrielles deviennent un actif à préserver. Le savoir-faire prend la forme d’algorithmes, plus faciles à copier que ne l’est l’expérience d’un ingénieur. Pourtant, le niveau de prévention des risques de sécurité informatique industriel reste loin de celui atteint, par exemple, pour les risques sanitaires. Le moindre restaurant est soumis à des normes précises de propreté alors que beaucoup d’installations industrielles reposent encore sur des équipements inadaptés ou anciens (par exemple, des routeurs dépassés dont les failles sont connues), et les tests d’intrusion informatique sur sites industriels découvrent encore des vulnérabilités dans la majorité des cas. Et quand ces menaces sont prises en compte, les réponses qui y sont apportées sont souvent inadaptées. Beaucoup se contentent de renforcer un maillon de la chaîne de sécurité en négligeant des maillons plus vulnérables – à commencer par les utilisateurs. Or le virus Stuxnet s’est propagé via des clefs USB autant que par internet. De même, le risque d’intrusion par une puissance étrangère pousse beaucoup d’entreprises à se concentrer sur le choix d’un cloud « national » plutôt qu’à un audit fin des moyens permettant de réellement sécuriser leurs données. Or stocker à l’étranger des données correctement cryptées (par exemple, avec une double clef dont une n’est pas partagée avec l’hébergeur) présente peu de risques. Inversement, un cloud national situé en fin de ligne d’une chaîne mal sécurisée n’est rien de plus qu’une ligne Maginot virtuelle.

La sécurité industrielle a ses spécificités. Les données qui y circulent y sont souvent plus homogènes, ce qui rend plus facile la détection automatique de séquences pouvant révéler une intrusion. La valeur intrinsèque des données est souvent plus faible que pour les données de consommation : un bon échantillon de données suffit souvent à cerner les caractéristiques physiques d’un équipement, alors que les mégadonnées de la grande consommation visent à l’exhaustivité pour cerner le comportement du client qui présentera plus de diversité que des équipements sortis d’une même chaîne. Enfin les domaines industriels sont variés – de la centrale nucléaire au stimulateur cardiaque – et souvent basés sur des développements spécifiques : l’ex-salarié qui en connait les détails sera une menace  plus probable que l’étudiant hacker.

Malgré ces spécificités, les principes de sécurité qui ont fait leur preuve s’appliquent dans l’industrie. D’abord, le fait de prendre la sécurité au sérieux : les méthodes « naïves » (comme la sécurité par l’obscurité, supposant que des machines au fonctionnement peu documenté sont plus sûres) sont peu efficaces, alors qu’il existe de nombreux standards ou équipements qui garantissent immédiatement le meilleur niveau de sécurité. Ensuite, la nécessité d’une vision « holistique » de la sécurité pour colmater tous les points de la chaîne de vulnérabilité, machines et individus. Enfin, l’importance de proportionner les moyens de sécurité aux risques, alors que le sous-investissement (des sites critiques vulnérables) cohabite souvent avec le surinvestissement (par exemple, un cloud privé coûteux et peu sécurisé plutôt qu’un cloud public crypté).

En sécurité industrielle comme ailleurs, il est facile de voir la cause des problèmes à l’étranger et le repli national comme solution. La vérité, c’est que la situation est généralement inverse : la menace vient le plus souvent de plus près – concurrents proches ou ex-salariés – et alors les solutions les plus efficaces sont celles qui ont passé avec succès l’examen d’une large communauté mondiale d’utilisateurs et de chercheurs.

Vincent Champain

À propos

Dédié à l'analyse des questions économiques, sociales et environnementales de long terme, L'Observatoire du Long Terme se fixe pour objectif de donner davantage de visibilité à ces enjeux dans le débat public. Dans ce contexte, il donne la parole à des contributeurs variés, avec pour seul critère le caractère étayé des arguments présentés.

L'Observatoire est indépendant, ne reçoit aucune aide financière et repose sur le volontariat de ses contributeurs, de son bureau, présidé par Vincent Champain et Bruno Fuchs.

Sur le même sujet

1 COMMENTAIRE

  1. Derrière le terme d'approche industrielle, c'est l'idée de regarder l'ensemble du process, et pas de mettre des rustines sur certains points en laissant les autres béants. Pour le cloud ca dépend des facteurs de charge ou de l'infrastructure – si elles sont générées par des milliers de machines réparties un peu partout…

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Du même auteur

42 lois à utiliser au quotidien

La gestion d’entreprise n’est pas une science exacte, mais on y trouve souvent des principes de bon sens résumés sous forme de lois empiriques....

42 lois pour être plus efficace

La gestion d’entreprise n’est pas une science exacte, mais on trouve parfois des principes de bon sens résumés sous forme de lois empiriques. En...

Toyota : is less digital better ?

Toyota, un modèle de productivité. Toyota a longtemps été considéré comme un modèle en matière de productivité, principalement grâce à son Toyota Production System (TPS),...

Moins de plombiers, plus d’architectes

Publié dans Les Echos. Alexandre Grothendieck, l’un des esprits les plus brillants du 20e siècle, résumait ainsi l’opposition entre l’amélioration à la marge et les...