La semaine dernière, l’ANSSI a publié un guide pour la sécurité des réseaux hébergeant des systèmes de production SCADA. Ce document, disponible ici, propose un certain nombre de recommandations et de bonnes pratiques pour sécuriser les réseaux industriels. Il est en effet devenu essentiel, au regard de l’actualité de ces dernières années, de maîtriser la sécurité de ces réseaux.
Pour autant, si cette initiative va dans le bon sens, j’y vois un angle mort : les recommandations proposées s’adaptent bien aux grands groupes mais beaucoup plus mal aux petites structures que sont les PMI. Or, il n’existe plus aujourd’hui de grand groupe industriel qui n’a recours, à un moment ou à un autre, à la sous-traitance. Certaines sociétés sont même des junkies de la sous-traitance : à l’ère « post-industrielle », beaucoup de grands groupes (Alcatel, Valéo pour ne citer qu’eux) ont fait le choix délibéré -avec plus ou moins de succès- de se concentrer sur la conception de leurs produits et de sous-traiter au maximum leur production. C’est la fameuse stratégie de l’entreprise industrielle sans usine, mise en avant il y a dix ans par Alcatel ; l’objectif étant de réduire les coûts par la pression sur les prestataires et leur mise en concurrence permanente. Et de fait, il existe aujourd’hui des secteurs, comme l’aviation ou l’automobile, où une part considérable de la production est assurée par des PMI, le donneur d’ordres se contentant parfois d’un rôle d’assemblage.
Dès lors que les réseaux des PMI et de leurs donneurs d’ordres deviennent de plus en plus intimement interconnectés, et que s’échangent des données sensibles comme des ordres de production ou des schémas AutoCAD, la sécurité des PMI devient non seulement un enjeu de taille pour les grands groupes industriels, mais aussi un enjeu en tant que tel, pour protéger le savoir-faire de ces entreprises.
Voici donc quelques recommandations -certainement pas exhaustives, il y aurait beaucoup à ajouter- pour la sécurité d’une PMI opérant des systèmes SCADA, en essayant de tenir compte du fait que dans ces structures, l’informatique est souvent gérée avec les moyens du bord (pour ne pas dire « à l’arrache ») :
- Désigner un responsable sécurité (j’évite volontairement l’acronyme « RSSI » qui est trop connoté « grand groupe »), pas forcément à plein temps (ça peut paraître bête mais beaucoup de PMI n’ont tout simplement pas les moyens d’embaucher un spécialiste de la sécurité), mais qui porte la responsabilité de la sécurité des systèmes d’information de l’entreprise et doit rendre des comptes au PDG et aux clients à cet égard. La fonction « sécurité » pourra par exemple être affectée au DSI ;
- Pour les plus petites structures qui n’ont pas de DSI et ne veulent/peuvent pas en avoir : renoncer à gérer soi-même ses ressources informatiques est l’option la plus pragmatique. Un contrat d’infogérance est à prévoir ; et pour la bureautique, une externalisation partielle ou totale « dans le cloud » est possible (messagerie, serveurs de fichiers, gestion de projets, SI de gestion de la relation client… AutoDesk propose même un poste de travail déporté incluant AutoCAD). Lorsqu’on ne sait pas gérer son informatique, il est plus sage de ne pas faire semblant et de sous-traiter, plutôt que de faire n’importe quoi ;
- Identifier les périls auxquels la PMI est exposée (j’évite le terme « analyse de risques », également trop connoté) ; en particulier : le vol de plans de production, l’indisponibilité de son SI, la divulgation de contrats ou de commandes à des concurrents, etc. Pour avoir discuté récemment avec le DSI d’une PMI, reconnaître que sa société est exposée à des risques n’est pas une tâche triviale. Ce DSI m’a tenu le discours suivant : « nos concurrents, très peu nombreux, savent déjà tout de nous, nos prix, nos spécificités, ‘grâce’ à nos clients, qui leur font passer l’information. Notre savoir-faire, c’est surtout le fait d’acheter les bonnes machines de production et les bonnes matières premières. Il n’y a donc pas grand chose à protéger chez nous. » Ainsi dans certains cas, brandir le risque de perte de confidentialité n’est pas le meilleur levier pour introduire de la sécurité dans ces entreprises, mais parler de perte de production, de défauts de fabrication ou d’incapacité à honorer une commande peut davantage faire tilter la direction ;
- Couper en deux parties le SI, en cloisonnant soigneusement le réseau qui héberge les systèmes SCADA, et le reste des machines (postes de travail, serveurs de fichiers, messagerie, etc.) ;
- Activer la mise à jour automatique sur toutes les machines du réseau bureautique, postes de travail et serveurs compris, pas seulement sur les OS mais aussi pour les logiciels tiers. Une PMI standard n’a pas les moyens de se lancer dans une vraie politique de patch management avec qualification avant déploiement, il est donc préférable de gérer a posteriori les éventuels problèmes de compatibilité des patchs plutôt que de prendre le risque de garder des machines non à jour. De même, installer un antivirus et le maintenir à jour, mais en le choisissant sur des critères de performance pure (dans les grands groupes, la performance de l’antivirus n’est qu’un critère parmi d’autres, le fait de disposer d’une console centrale de gestion étant pratiquement aussi important) ;
- ne pas forcément désactiver les accès de télémaintenance aux systèmes SCADA : seule une minorité de PMI a les capacités de mettre en place une plateforme unifiée de télémaintenance permettant de respecter le cloisonnement des réseaux et la centralisation des accès. Dans la plupart des cas, mieux vaut accepter les risques de la télémaintenance plutôt que de garder une machine que l’on ne sait pas mettre à jour.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));