Edit du 04/12/2013 : un résumé de l'événement a été publié, n'hésitez pas à le lire : "sécurité informatique et SCADA : C&ESAR 2013 est mort, vive C&ESAR 2014!"
Production d’électricité, gestion de parc éolien, distribution d’eau potable, capteurs météo, pilotage de rames de métro, contrôle d’un scanner médical… autant d’activités qui font partie de notre quotidien et que l’on range sous le vocable SCADA (acronyme de l'anglais Supervisory Control And Data Acquisition) ou systèmes numériques industriels.
En 2010, l’Iran, le nucléaire et Stuxnet ont mis la problématique de la sécurité industrielle sur le devant de la scène. Cet épisode a démontré, s’il en était besoin, qu’une infection logique pouvait détruire des biens physiques. Le pouvoir de l’esprit sur la matière cher à Star Wars ! :-)
systèmes industriels : au travail !
Basés sur des technologies spécifiques et des protocoles propriétaires, et utilisés de façon isolée, on a cru que les systèmes industriels étaient à l’abri de la cybermenace.
Il n’en est rien. Un attaquant motivé saura apprendre une technique particulière, et d’une façon ou d’une autre, le système propriétaire pourra être pénétré, par exemple lors d’une opération de maintenance. Et puis, pour des raisons d’efficacité et de coût, ces systèmes font de plus en plus appel à des technologies IP et ils sont reliés à des réseaux de communication.
la marche à suivre
Les concepteurs de systèmes industriels (la population est large) sont donc invités à prendre en considération cette menace et à embarquer des mesures de sécurité dans leurs produits existants ou à venir. A cette fin, l’ANSSI a publié un guide qui leur sera fort utile.
Et si vous souhaiter débattre du sujet, on ne peut que vous conseiller de participer, voire de faire une présentation, aux prochaines journées sécurité de C&ESAR 2013 qui porteront sur la sécurité SCADA. C’est à Rennes, du 19 au 21 novembre 2013, avec environ 300 participants chaque année.
A mettre dans votre agenda, et n’hésitez pas à contribuer directement à la qualité de l’événement !
Eric
crédit photo : © F.Schmidt - Fotolia.com
Je suis Chief Security Officer pour Orange Business et adore les systèmes de management de la sécurité de l'information et autres boucles PDCA. Mon but est d'obtenir le meilleur cocktaïl d'humains, process et outils pour faire tourner de l'oeil les hackers. Je donnerais ma main droite pour une Déclaration d’Applicabilité de la certification ISO 27 001 avec les bons controles et justificatifs.