Franck Greverie, les nouvelles cibles des hackers

Les objets connectés, intimement liés à la transformation digitale des entreprises et des administrations, sont une cible privilégiée des hackers. La protection des données personnelles et des systèmes industriels représentent deux objectifs essentiels pour se prémunir contred’éventuelles attaques malveillantes, terroristes ou de piratage.

Nous souhaiterions aborder avec vous quelques précisions :

Y-a-t-il plus de menaces qu'auparavant ?

Oui, les menaces s’accentuent très rapidement. Les attaques que nous voyons aujourd’hui sont beaucoup plus sophistiquées, souvent très bien ciblées, elles sont conduites par des équipes de hackers très professionnelles, capables de mettre en œuvre des techniques d’attaque complexes et persistantes contre des cibles défendues. Elles peuvent avoir des conséquences majeures pour l’entreprise cible, en termes de vol de données ou de sabotage. Les attaques subies par Sony Pictures ou par Target en sont l’archétype, et ce type d’attaque va très certainement continuer à se développer.

Par ailleurs, et c’est le sujet de ma conférence, les systèmes informatiques de contrôle industriel sont désormais une  nouvelle cible des hackers. Du fait de contraintes d’exploitation spécifiques, ces systèmes ne sont pas mis à jour régulièrement face à l’évolution de la menace. Ils sont par conséquent très vulnérables.

En outre, cette fragilité intrinsèque est accentuée par les connexions qu’ils ont avec le système de gestion de l’entreprise ou du site, d’autres systèmes informatiques de contrôle industriel de sites distants. Ces connexions étendent la surface d’attaque, la fragilité de ces systèmes.

L’affaire Stuxnet (sabotage d’une installation d’enrichissement d’uranium iranienne) en est le prototype, mais des attaques plus récentes sont intervenues, y compris ces derniers mois le sabotage d’un four d’une aciérie allemande.

De quelle nature sont les plus récentes et les plus répandues ?

On classifie les attaques informatiques selon leur objectif, comme par exemple l’atteinte à la confidentialité, à l’intégrité et à la disponibilité des données, et selon les motivations de leurs auteurs. Ces dernières peuvent être crapuleuses (vols de données, rançons, chantage), idéologiques (publication de données sensibles, défiguration de site ou neutralisation de services en ligne de type DDOS) ou stratégiques (espionnage, sabotage ou perturbation de l’activité). Les attaques à finalité ludique, qui étaient très fréquentes dans les années 1990, ont quasiment disparu du paysage.

Même si les attaques informatiques soutenues par des Etats conservent une forte avance technologique comme l’ont montré les révélations Snowden, on observe un alignement progressif vers le haut des capacités d’attaque informatiques de tous ces auteurs : capacité à trouver des vulnérabilités, y compris des zero-days, à utiliser des outils d’attaque professionnels très sophistiqués, à camoufler ses traces afin de rester pendant de longues périodes dans les systèmes visés sans être découvert, à mieux exploiter les renseignements récoltés pour mieux tromper les sociétés ciblées.

L’affaire Sony Pictures a montré une fois de plus qu’une attaque bien ciblée pouvait avoir un effet catastrophique sur l’activité d’une société. Mais les plus répandues restent encore le vol de données client à des fins de commercialisation sur l’internet souterrain, qui génère des profits importants.

Quelles sont les plus dangereuses ?

Les attaques les plus dangereuses sont celles qui peuvent avoir un impact sur le monde réel, en perturbant le fonctionnement de systèmes informatiques industriels (usines, centrales, et par extension systèmes de contrôle aérien, de gestion des réseaux électriques ou autres…) ou embarqués (automobile, équipements de santé, aéronefs, objets connectés en général).

Elles peuvent être beaucoup plus dangereuses car elles peuvent avoir des conséquences matérielles significatives, elles peuvent engendrer des dommages corporels, des pollutions des interruptions de production, des dysfonctionnements, des détournements.

Quels coûts en terme d'image et financier pour les sociétés si elles ne se protègent pas ?

Les plus grandes attaques rencontrées jusqu’à ce jour (Sony deux fois, Target…) ont causé des dommages estimés à plusieurs centaines de millions de dollars. Il y en aura de plus en plus, et par ailleurs certaines de ces attaques prendront pour cible des systèmes industriels ou embarqués et pourront provoquer des accidents industriels.

L’image des sociétés qui se font voler des données de clients est impactée de manière très significative par ces actions.

Dans le monde du retail par exemple, la perte de données a en général des conséquences très importantes sur l’activité online.

Dans le monde de l’industrie, une attaque qui engendrerait une pollution majeure aurait sans doute un impact très négatif sur l’image de l’industriel.

Quels risques pour les systèmes industriels ?

Du fait de contraintes d’exploitation spécifiques, ces systèmes ne sont pas mis à jour régulièrement face à l’évolution de la menace. Ils sont par conséquent très vulnérables.

En outre, cette fragilité intrinsèque est accentuée par les connexions qu’ils ont avec le système de gestion de l’entreprise ou du site, d’autres systèmes informatiques de contrôle industriel de sites distants. Ces connexions étendent la surface d’attaque, la fragilité de ces systèmes.

L’affaire Stuxnet en est le prototype, mais des attaques plus récentes sont intervenues, y compris ces derniers mois le sabotage d’un four d’une aciérie allemande.

Une attaque informatique sur les systèmes industriels peut engendrer des dysfonctionnements très importants. Ces dysfonctionnements peuvent avoir des conséquences matérielles et humaines. Les hackers qui s’attaquent a un système de contrôle industriel ont en général l’objectif de le saboter.

Et d'ailleurs peuvent-elles le faire de manière satisfaisante devant les attaques de plus en plus massives ou sophistiquées des hackers qui peuvent profiter des nouveaux usages (cloud, BYOD) ?

Clairement, dans le monde interconnecté d’aujourd’hui, la sécurité absolue n’est pas possible. Ce qui ne signifie pas qu’on ne peut rien faire : une entreprise responsable doit mettre en place une gouvernance appropriée de la cybersécurité, définissant en particulier les ressources à protéger, évaluer son niveau de sécurité par des évaluation et des audits organisationnels et techniques, mettre en place une architecture technique robuste et déployer des outils de sécurité de qualité, surveiller son système en permanence afin de détecter et réagir aux attaques avant qu’elles aient fait trop de dégâts, et enfin se préparer et savoir réagir aux incidents. C’est ce que nous appelons l’approche systémique de la cybersécurité, que nous préconisons à nos clients et que nous savons les aider à mettre en place. Comme nous aimons à le dire : nous conseillons, nous protégeons, nous surveillons.

Quel type d'expertise Sogeti apporte aux OIV ?

Grâce la présence au sein du Groupe de Sogeti High-Tech, spécialiste des systèmes industriels et embarqués, ainsi que des objets connectés, nous avons développé depuis plusieurs années une expertise particulière dans la sécurité des systèmes industriels et embarqués.

L’an dernier, l’acquisition d’Euriware nous a apporté une compétence et surtout une expérience encore accrues sur ces sujets.

Nous savons donc déployer au profit de nos clients l’ensemble des prestations et dispositifs de cybersécurité, dans le domaine IT mais également dans le domaine des systèmes industriels et des des objets connectés.

L’ANSSI nous a d’ailleurs attribué, en reconnaissance de notre compétence, plusieurs qualifications formelles sur plusieurs gammes de services de cybersécurité. Ces compétences ont fait de Sogeti un prestataire de service de référence pour les Opérateurs d’Importance Vitale.