Scada : le temps de la panique est-il venu ?

Cette année, à Davos, la sécurité du monde numérique s’est invitée au menu des débats des dirigeants de la planète. En témoigne, si c’était nécessaire, l’entretien publié par nos confrères du Monde avec Hamadoun Touré, secrétaire général de l’Union Internationale des Télécommunications (l’impréparation de l’Inde face à cette menace a d’ailleurs l’objet d’un article aujourd’hui dans le Business Standard). Mais ce qui a fait le plus de bruit, c’est probablement cette étude conduite par McAfee le think tank américain CSIS mettant en garde contre les lacunes de sécurité des systèmes Scada, publiée la semaine dernière. Bon, cette question commence à prendre à des airs de marronnier chez McAfee : en novembre dernier, l’éditeur l’avait déjà évoqué dans son étude sur la cyberguerre. Certes, l’éditeur peut s’appuyer sur des exemples concrets, comme l’intrusion, en avril dernier, dont a été victime le réseau électrique américain. Quelques semaines plus tôt, Leif Kremkow, directeur technique de Qualys, avait d’ailleurs souhaité alerter, dans les colonnes du MagIT, sur les vulnérabilités des infrastructures industrielles automatisées de type Scada. Reste que, pour certains, ces menaces restent surestimées. Et si, lors d’une conférence de presse organisée en amont d’Infosecurity Europe, qui se déroulera à Londres, du 27 au 29 avril prochain, IOActive est revenu sur la question du hacking des éléments d’infrastructure SmartGrid, le sujet fait clairement débat. D’autant plus, en fait, que l’essentiel des vulnérabilités ne semble pas venir des protocoles utilisés en eux-mêmes mais plutôt de leurs diverses implémentations.

En fait, pour Rik Ferguson, expert menaces et solutions chez Trend Micro, rencontré en décembre dernier à Londres, la menace sur les Scada est avant tout « théorique. » Pour lui, « oui, il est possible de compromettre un réseau Scada, d’en prendre le contrôle, et de conduire des activités malicieuses. » En quoi, alors, la menace ne serait-elle que théorique ? Parce qui lui « ne pense pas que les réseaux Scada soient interconnectés et ne croit pas qu’il y ait, à ce jour, de réel besoin pour cela. » Bref, l’absence d’ouverture, « c’est probablement la meilleure protection que l’on puisse imaginer. » Quid alors de l’ouverture des infrastructures Scada pour, par exemple, permettre les astreintes à distance ou encore la sous-traitance ? « Si l’on fait une analyse de risque sérieuse, les bénéfices pour l’entreprise à autoriser le personnel à faire du contrôle à distance sont plus faibles que les risques. Quand vous considérez en plus le potentiel des actions malicieuses dans ce contexte… » Et pour la sous-traitance ? Même son de cloche : « là encore, plus on ouvre, plus on expose. C’est à intégrer dans le calcul de risque. » Bref, un discours qui tranche avec les doctrines en vogue. Un peu trop ?

Tagged , , , , , , , , ,