Sécurité des systèmes industriels (SCADA) : Aussi populaire que le cloud ?

La sécurité physique est un pan essentiel d'une politique de sécurité digne de ce nom. Je dirai même que c'est le sous-domaine de la sécurité qui est le moins inconnu pour le profane : Tout le monde ferme à clef la porte de son entreprise ou de son domicile, possède un système d'alarme ou de vidéo-surveillance, voir fait appel à des vigiles à l'apparence patibulaire et à des chiens non moins effrayants.

Mon propos portera sur un autre domaine de la sécurité physique : Je parlerai des systèmes électroniques et informatiques qui mesurent et pilotent en temps réel le fonctionnement de vannes, relais, moteurs, ... dans des centrales électriques, des plateformes pétrolières ou encore des centres d'assainissement ou de distribution d'eau (aussi connues sous "infrastructures vitales"). Ces systèmes d'acquisition et de contrôle des données (SCADA, Supervisory Control And Data Acquisition) sont de plus en plus utilisés dans le secteur industriel : Ils facilitent la collecte d'informations dans les recoins les plus obscurs (et parfois très dangereux
pour l'homme) afin de mesurer l'état et le bon fonctionnement d'un élément quelconque comme les vannes d'alimentation en eau, de mesurer la la pression ou le débit au sein d'une conduite de transport.

Il serait possible de comparer ces systèmes SCADA avec des équipements d'un domicile personnel : Le thermostat du chauffage central, la télécommande à distance des volets roulants ou de la lumière, le système de relève des compteurs d'eau ou d'électricité à distance, la centrale d'alarme raccordée à une centrale de télésurveillance, etc... Dans ce cas précis, en cas de défaillance d'un équipement l'impact reste quand même assez limité.
De plus, il y a peu de chances qu'une personne mal-intentionnée ne cherche à pirater (ou fausser) le fonctionnement de ce type de systèmes.

Mais dans un contexte industriel, cela est bien différent : Les conséquences d'un dysfonctionnement, même temporaire de ces systèmes "SCADA" peuvent avoir de graves conséquences, pouvant allez jusqu'à provoquer des blessures, provoquer de graves pollutions ou même pour les cas les plus extrêmes le décès de personnes.

De nombreuses informations, documents ou livres sur la sécurité des systèmes SCADA sont disponibles. Par contre, j'aurai tendance à dire que c'est un sujet méconnu. Comment puis-je en arriver à un tel constat ? En consultant GoogleTrends.

Les statistiques GoogleTrends sur "Cloud Computing" ressemblent à l'évolution du cours de bourse d'une start-up Internet dans les années 1995-2000, avec un "pic" très clair en 2009 et que la sécurité dudit cloud computing, toujours selon GoogleTrends est un sujet de préoccupation depuis 2009. Sur le mot clef SCADA, GoogleTrends nous permet de voir que le sujet intéresse et qu'il n'est pas aussi nouveau (c'est très normal) que le cloud computing.

A contrario, pour "SCADA security", c'est le calme plat sur GoogleTrends ("volume de données non significatif pour des graphes")... Pas plus de succès avec un "vital infrastructure security".

Ceci dit, il faut pondérer ces résultats de GoogleTrends : vu le sujet, il y a peu de chances que Mr/Mme tout-le-monde se mette furieusement à rechercher des informations sur la sécurité des systèmes industriels. :-) Ma démonstration est peut-être donc un peu biaisée.

Pour ceux qui pensent que les systèmes SCADA ne comportent pas de failles : En février 2009, le CERT US a émis un bulletin au sujet de multiples failles (dépassement de buffer, escalade de privilège, dénis de service) dans l'application "e-terrahabitat" de
la société AREVA (CERT US, VU#337569, AREVA e-terrahabitat SCADA systems vulnerabilities).
Cependant, il convient de ne pas faire l'erreur de jeter la pierre trop rapidement : Le nombre d'auditeurs/pentesteurs analysant ces systèmes ne doit pas non plus être très grand, donc à priori le nombre de failles dormantes doit être assez conséquent.

La sécurité des systèmes SCADA est-elle fondamentalement différente de celle se pratiquant dans des contextes plus classiques ? Je dirai que que non.

Évidemment, les systèmes et protocoles sont différents ; les personnes en charge de ces systèmes aussi. Le cyle de vie très long de ce type de systèmes couplé à des impératifs opérationnels de disponibilité et de fiabilité sans communes mesures avec les systèmes d'informations "classiques" seront d'autant de challenges à relever. Le travail
en amont, très tôt dans le cycle de vie des systèmes, me semble à priori être LA voie à emprunter.

Le sujet étant vaste, je m'arreterai là. Mes meilleurs voeux pour cette nouvelle année 2010 !
Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens