Recherches scientifiques, banque, blockchain, monde académique… A l’occasion de son événement au Musée Olympique de Lausanne le 19 septembre 2019, le Clusis a convoqué quatre experts pour débattre des enjeux liés à la confiance numérique.
C’est d’abord l’aveu d’un problème. Face à des applications toujours plus curieuses, face à la démultiplication des scandales de vols de données, et face à la robolution grandissante de la société, pouvons-nous – en tant qu’individus – faire confiance aux entreprises et aux services à qui nous déléguons une part croissante de nos quotidiens d’hommes et de femmes connectés ?
C’est ensuite le constat d’un paradoxe : comment accompagner cette évolution technologique inéluctable, à la fois protectrice de la sphère privée des citoyen.ne.s et garante de la démocratie, face à des outils toujours plus gourmands en données personnelles afin de nous proposer des services performants? Loin de la naïveté des débuts d’Internet, la confiance numérique est l’enjeu crucial de ce siècle.
Confiance numérique : les défis
C’est pour en débattre que le Clusis a convoqué quatre experts, le 19 septembre dernier, dans l’intimité du Musée Olympique de Lausanne. Au fil des conférences et des débats, cet événement soutenu par l’entreprise de cybersécurité Darktrace Limited, a permis de saisir les enjeux de la confiance numérique dans quatre domaines-clés : la recherche scientifique, la banque et la finance, le monde académique et la blockchain.
Pour en parler, et esquisser des pistes de solutions, le Clusis a convoqué Kevin Warwick, professeur de cybernétique à l’Université de Coventry (UK), Christian Meixenberger, Directeur général de la division des services informatiques de la Banque cantonale vaudoise. Mais aussi Jean-Henry Morin, professeur Associé ISS à l’Université de Genève et Mike Gault, fondateur et directeur général de Guardtime. Compte-rendu
Dans la peau d’un cyborg
En Grande-Bretagne, Kevin Warwick peut se targuer d’être le premier cyborg dans l’histoire de l’humanité. A 65 ans, le professeur au département de cybernétique de l’Université de Reading est un expert mondial dans les domaines de la robotique, de la bioéthique, et plus récemment, de l’intelligence artificielle. Depuis la fin des années 1990, il joue les cobayes – avec sa femme – pour la recherche scientifique en implantant dans son corps des composants électroniques qui lui permettent d’interagir avec des ordinateurs et des robots.
C’est en 1998 que ce Frankenstein contemporain augmente son corps pour la première fois. Il s’agit d’une puce RFID qu’il s’implante sous le coude du bras gauche. Kevin Warwick ne vivra que neuf jours dans la peau d’un cyborg. Mais le souvenir « phénoménal » des nouveaux pouvoirs qui lui ont été conférés le poussent à aller plus loin. Avec son projet baptisé « The Brain Gate », le scientifique franchit les portes du cerveau. D’abord celui d’une souris, qu’il équipe d’une puce pendant 72 heures. Puis le sien, et plus tard, celui de sa femme.
A l’avenir, tous augmentés ?
Nous sommes en 2002. Une interface neuronale conçue par le Docteur Mark Gasson est implantée dans le système nerveux de Kevin Warwick. L’expérience inédite va durer trois mois. Cette technologie lui permet de prendre le contrôle à distance d’une main robotique en s’appuyant sur n’importe quel réseau Wi-Fi pour établir la connexion avec la main bionique. Ces expériences scientifiques sur le cerveau fascinent ou rebutent, mais elles ouvrent les portes à des remèdes pour les personnes atteintes d’une maladie neurodégénérative, victimes d’une amputation ou souffrant d’un handicap.
Selon Kevin Warwick, cette technologie ne doit pas s’appliquer uniquement aux personnes handicapées, mais à l’ensemble des individus car nous sommes tous handicapés d’une manière ou d’une autre dans notre manière de communiquer. Certes, mais quid de l’éthique? Les « body hackers » ne démocratisent pas la technologie, mais se rendent plus dépendants des sociétés qui la fournissent. Avant de la démocratiser, il faut donc savoir à qui elle profite sur le marché.
Fait rare dans un secteur si confidentiel, Christian Meixenberger a dévoilé une partie des enjeux numériques et de sécurité qui touchent le monde bancaire. Celui qui siège à la direction générale de la Banque cantonale vaudoise sait de quoi il parle, puisqu’il dirige également la division Services et IT de la banque. Spécialiste des projets de migration, de réingénierie de processus et de réduction des coûts, Christian Meixenberger a répondu aux défis posés par les mutations rapides et toujours plus complexes de cet univers bancaire.
Parmi eux, l’évolution de la notion de confiance et la gestion du risque dans un écosystème où toute une série de prestataires externes assurent la sécurité des services de la banque.
La Blockchain gage de confiance
«Se marier, divorcer et vendre sa maison sont les seules choses que l’on ne peut pas faire par internet en Estonie» dixit Mike Gault. Ce natif d’Irlande, ingénieur en informatique quantique, peut se targuer d’être à la tête d’une des rares entreprises à gagner de l’argent avec la blockchain, cette technologie comparable à un registre numérique, décentralisé, partagé et infalsifiable. Mike Gault est le CEO de Guardtime, société née en 2007 à Tallinn, en Estonie.
L’entreprise de sécurité numérique, qui compte 200 employés, vient de déménager son siège à Prilly (VD) où elle vient de sceller un partenariat stratégique avec Sicpa dans les solutions d’e-gouvernement.
L’histoire de Guardtime est intimement liée à celle de l’Estonie. L’ex-pays soviétique, devenu indépendant en 1991, s’est totalement reconstruit de zéro pour devenir au fil des années l’avant-garde de la sécurité numérique. Mais en 2007, l’Estonie a vécu une cyberattaque massive. Guardtime est née pour répondre à cet enjeu sécuritaire. Son objectif fut de créer une technologie qui puisse satisfaire le besoin de pouvoir faire confiance.
Et répondre à des questions telles que: comment savoir si ce document de l’Etat est authentique ou si ce formulaire de santé est conforme? Les cryptographes de Guardtime ont donc inventé le blockchain KSI, la technologie de chiffrement déployée avec succès pour le gouvernement estonien. Aujourd’hui, l’Estonie est le seul pays à offrir des services gouvernementaux entièrement numérisés, qui ne nécessitent aucune interaction physique.
Responsabilité numérique
Retour en Suisse avec Jean-Henry Morin. Comme à son habitude, le professeur associé ISS à l’Université de Genève, a mis un coup de pied dans la fourmilière en pointant « l’irresponsabilité numérique » de la Suisse. Selon lui, le pays n’apporte que des solutions techniques aux problèmes liées à la transition numérique. Jean-Henry Morin plaide donc pour la création d’un cercle vertueux pour que la Suisse puisse évaluer les risques et les opportunités des technologies dans une société participative dématérialisée. Et ainsi en finir avec son e-illettrisme. Cette responsabilité numérique concerne l’Etat, les entreprises, les citoyens, les politiques publiques. Il n’y a que par elle, conclut Jean-Henry Morin, que nous serons capables de bâtir une société numérique éclairée et transparente.
Depuis le 7 mai 2019, la liste des municipalités infectées, puis paralysées par un logiciel malveillant ne cesse de s’allonger. Après Baltimore et Riviera Beach, le virus informatique a frappé les villes de Zaventem (Belgique) et de Sarrebourg (France). À l’origine de ces attaques, la faille humaine.
À force de devenir «smart», les villes sont-elles armées contre les cyberattaques? La question peut paraître provocatrice, mais elle est légitime. Depuis le 7 mai 2019, la liste des municipalités infectées, puis paralysées par un logiciel malveillant ne cesse de s’allonger. Au point que les experts en sécurité informatique parlent d’épidémie. C’est à Baltimore que lefoyer infectieux est localisé pour la première fois. Au début du mois de mai donc, la ville de la côte est des Etats-Unis apprend sa contamination par un virus informatiquequi paralyse plus de 10’000 ordinateurs municipaux pendant plusieurs semaines.
Plus de 18 millions de dommages
Baptisé «Robin des Bois», ce virus est capable d’extorquer les utilisateurs en bloquant partiellement leur ordinateur ou smartphone. Il s’appuie sur un outil (Eternal Blue) développé par l’Agence de renseignements américaine (NSA) permettant d’exploiter une faille des systèmes d’exploitation Windows XP et Vista. Mais à quelle fin avec quelles conséquences? À Baltimore, ce sont ainsi plusieurs milliers d’ordinateurs municipaux qui ont été bloqués. Tous contenaient des informations sensibles pour le bon fonctionnement et la sécurité de la ville: messagerie électronique des employés de la mairie, fichiers de travail, données liées aux caméras de surveillance. Selon Henry Raymond, le directeur des finances de la ville, les dommages s’élèvent à plus de 18 millions de dollars.
La faille humaine
Les cybercriminels identifiés derrière le groupuscule Shadow Brokers ont exigé une rançon de 13 bitcoins – environ 140’000 dollars au cours actuel – à Baltimore afin de lui redonner l’accès à ses informations et services. La ville n’a pas plié, mais le virus s’est démultiplié faisant de nouvelles victimes aux Etats-Unis. Parmi elles, Riviera Beach. Le 29 mai 2019, cette ville de Floride subit les mêmes assauts que Baltimore après qu’un agent de la police municipale ouvre un courriel d’hameçonnage contenant le logiciel malveillant. Riviera Beach a cédé et versé les 600’000 dollars de rançon. Selon le Washington Post, les villes américaines ont subi plus de 170 cyberattaques de ce type depuis 2013, dont une cinquantaine ces deux dernières années.
Le virus touche l’Europe
Puis c’est au tour de l’Europe d’être frappée par l’épidémie. Début juin, la ville de Zaventem, près de Bruxelles est attaquée. Le virus cible tout particulièrement l’équipementier aéronautique Asco. Il paralyse non seulement le siège de l’entreprise, mais également ses filiales au Canada, aux Etats-Unis et en Allemagne. Plus de 1000 employés sont toujours au chômage technique plusieurs semaines après l’attaque. Dans la nuit du 5 au 6 juin 2019, c’est la ville française de Sarrebourg, en Moselle, de se voir rançonner 55’000 euros pour le retour à la normale de ses services municipaux.
Vers une recrudescence des cyberattaques
Comment interpréter cette vague mondiale de cyberattaques contre les municipalités? Celles-ci ont-elles failli dans la sécurité de leurs systèmes d’information? Faut-il craindre à l’avenir une recrudescence des cas de piratage? Comment s’en prémunir? Selon Gilles Peter, expert suisse au sein de la société Kaspersky et membre du comité de Clusis, ce n’est qu’un début: «Nous allons connaître une recrudescence du nombre et de la puissance de ces cyberattaques. Cela ne fait aucun doute. Aussi longtemps que l’on n’aura pas pris en compte l’aspect humain, il sera difficile de se protéger.» Tous les acteurs de la sécurité doivent donc discuter, s’organiser, former et sensibiliser les entreprises et leurs collaborateurs. «D’ailleurs, la Suisse n’est pas épargnée. La question n’est pas savoir si cela va arriver, mais quand.»
Les vulnérabilités des chaînes logistiques en font des cibles de choix pour les cyberattaques,
par Morand Fachot, Rédacteur technique à la Commission électrotechnique internationale (IEC). A travaillé auparavant comme journaliste à la BBC, a écrit également pour le Financial Times Business Group et plusieurs publications internationales sur les questions géopolitiques, de sécurité et technologiques (défense, renseignement et audiovisuel).
Comme jusqu’à 80% des cyberattaques peuvent provenir de chaînes logistiques, la protection de celles-ci est une priorité absolue pour toutes les organisations. Les actifs industriels et d’infrastructure critique sont les plus exposés. La Commission électrotechnique internationale (IEC) a développé de nombreuses normes pour cela. Elle travaille également sur l’évaluation de la conformité (CA) et sur les systèmes de certification mondiaux par le biais de groupes de travail (WG) mis en place par son Comité d’évaluation de la conformitéii (CAB) et par le Comité de gestion de la certification (CMC) de IECEEiii, le système IEC pour les procédés d’évaluation des équipements et composants. Les deux devraient permettre de mieux protéger les chaînes d’approvisionnement.
Les infrastructures critiques importent plus
L’impact global et la gravité des cyberattaques varient selon les cibles. Celles visant les entreprises et l’industrie peuvent avoir des conséquences désastreuses pour les firmes touchées, et parfois pour la société. Elles peuvent même conduire à la fermeture de certaines entreprises ou industries. Cependant, les cybermenaces les plus graves au niveau des pays concernent les infrastructures critiques, qui rassemblent les actifs et systèmes essentiels au fonctionnement de la société et de l’économie d’un pays. Ces infrastructures critiques comprennent des secteurs essentiellement similaires dans de nombreux pays. Les dommages causés à l’une d’elles peuvent avoir de graves conséquences pour l’ensemble d’une société.
La chaîne logistique, un concept la fois flexible et complet
ISO/IEC 27036-1:iv Technologies de l’information – Techniques de sécurité – Sécurité d’information pour la relation avec le fournisseur – Partie 1: Aperçu général et concepts, la norme développée conjointement par l’Organisation internationale de normalisation (ISO) et l’IEC, donne une définition très complète de la chaîne d’approvisionnement dans le domaine des Technologies de l’information et de la communication (TIC). Elle se compose, selon cette norme, d’un “ensemble d’organisations partageant des ressources et des processus liés, chacune agissant en tant qu’acquéreur, fournisseur ou les deux afin de créer des relations de fournisseur successives établies dès la passation d’un bon de commande, d’un accord ou de toute autre procédure formelle d’approvisionnement (…)
Une définition de la chaîne logistique pour actifs industriels et autres, tels que réseaux de distribution électriques, systèmes de transport, fabrication intelligente (Smart manufacturing), etc. serait plus complète et complexe, car elle engloberait non seulement les TIC, mais également la chaîne d’approvisionnement des technologies opérationnelles (OT), les personnes (développeurs, fournisseurs, installateurs, personnel travaillant sur OT), les processus ainsi que les produits, c’est-à-dire les composants et systèmes essentiels pour OT, tels les systèmes de contrôle et d’automatisation industriels (IACS) et, de plus en plus, l’Internet des objets (IoT). La numérisation dans tous les secteurs industriels signifie davantage de vulnérabilités pour les chaînes logistiques industrielles.
Différents secteurs et activités confrontés à des défis similaires
Une conférence sur la gestion des cyberrisques pour infrastructures critiques, organisée par le Financial Times à Londres en juin 2018, a tenu une session-débat sur la sécurisation de la chaîne logistique critique. Parmi les participants figuraient des responsables de la sécurité de l’information (RSSI) et des responsables de l’information des industries aéronautique et de l’énergie, lesquels ont expliqué la gestion de leur chaîne logistique et de leurs fournisseurs. Ils ont décrit les défis auxquels ils sont confrontés et les solutions qu’ils déploient pour y faire face, tout en gardant à l’esprit que la sécurité constitue également une préoccupation majeure pour eux. Kevin Jones, responsable de l’architecture cybersécurité chez Airbus, a expliqué qu’Airbus avait trois domaines d’activité principaux: la production d’avions commerciaux, d’hélicoptères et d’équipements de défense. “Cela implique un nombre important de fournisseurs à un moment où Airbus évolue, à l’instar de nombreux autres fabricants suite à un vaste programme de transformation”, a déclaré Jones.
Afin de protéger sa chaîne logistique, Airbus a mis en place un certain nombre de mesures, notamment un accès à distance sécurisé pour ses fournisseurs et un certain degré de compartimentalisation des accès, un audit complet des installations de production d’Airbus et de ses fournisseurs ainsi que l’identification des vulnérabilités. Les fournisseurs sont contraints de revoir leur processus et s’assurer que ceux-ci respectent les normes d’Airbus.
En ce qui concerne le développement de codes informatiques pour les environnements de sécurité, Airbus dispose d’équipes internes composées d’experts en rétro-ingénierie de codes et en évaluation de la fiabilité. “Nous investissons beaucoup d’argent, de temps et d’efforts pour nous assurer que notre code est bien validé. Comme toute grande entreprise, nous avons une chaîne logistique très complexe et très étendue et la façon dont nous la traitons dépend en grande partie des risques que cette chaîne pose pour notre entreprise”, a-t-il ajouté.
Peter Merker, RSSI de Skyguide, qui fournit des services de gestion du trafic aérien pour la Suisse et certaines régions limitrophes des pays voisins, a expliqué que l’ensemble du secteur de contrôle du trafic aérien était en profonde transformation technologique liée à la numérisation. Cette transformation numérique signifie l’abandon d’un ensemble d’équipements d’une durée de vie de plus de 20 ans au profit de systèmes issus de l’environnement informatique et de “l’introduction de logiciels commerciaux standards dès que cela est possible, en raison de pression sur les coûts et de la flexibilité. L’ensemble du système de contrôle de la navigation aérienne est géré de manière centralisée et de plus en plus intégré sur le continent au sein d’Eurocontrol, ce qui signifie que la transformation numérique et la manière dont le secteur du contrôle du trafic aérien utilise les fournisseurs se produisent partout,” a indiqué Merker “Skyguide achète des logiciels directement. Nous examinons les aspects contractuels lors de la révision du code source, ce qui est nouveau pour nous puisque nous avons développé les codes nous-mêmes.” Skyguide est propriétaire de SkySoft, une entreprise de développement de logiciels spécialisée dans les systèmes de gestion du contrôle du trafic aérien. “Nous gérons ce que nous développons nous-mêmes et ce que nous achetons sur le marché”, a déclaré Merker.
Dexter Casey, RSSI du groupe Centrica, multinationale britannique de l’énergie et des services, a expliqué que Centrica avait deux divisions principales, la première, British Gas, pour l’énergie [gaz et électricité] “dispose d’équipements très importants, de plates-formes et de stations pour le gaz. La deuxième division de Centrica, Connected Home, est une société IoT, “qui connaît également des problèmes similaires en ce qui concerne les puces et les jeux de puces (chipsets) provenant d’un seul fournisseur. Il est extrêmement difficile, contractuellement, de demander aux fournisseurs de modifier la configuration ou de rendre ces composants uniques”, a déclaré Casey, ajoutant que Centrica comptait plus de 30 000 fournisseurs et une équipe d’environ 15 employés chargés de passer en revue les contrats et d’effectuer les évaluations de sécurité. “Ce que Centrica doit faire, c’est concentrer ses efforts sur les 100 à 200 fournisseurs qui ont un impact déterminant sur la prestation de ses services”, a-t-il expliqué.
Plusieurs intervenants ont évoqué les risques liés aux “attaques de points d’eau”, dans lesquelles des programmes malveillants sont implantés sur certains sites web de fournisseurs susceptibles d’être visités par les organisations ciblées. La chaîne d’approvisionnement en logiciels est une cible attrayante pour les attaquants. Un rapportvi du centre national de contre-espionnage et de sécurité (NCSC) des États-Unis, publié en juillet 2018, avertit que “l’infiltration de la chaîne d’approvisionnement en logiciels menace déjà le secteur des infrastructures critiques et est sur le point de menacer d’autres secteurs”. Tous les intervenants ont convenu qu’ils étaient confrontés à des problèmes similaires, car les infrastructures et les processus reposaient de plus en plus sur les technologies de l’information et opérationnelles (IT et OT), rendant la gestion des chaînes logistiques bien plus complexe qu’avant, lorsque la numérisation était moins répandue et que les cybermenaces n’étaient pas un problème.
Impact croissant de la conformité et de la certification sur la cybersécurité
Les activités étendues de l’IEC dans le domaine de la cybersécurité comprennent les normes, les exigences techniques et les spécifications et, de plus en plus, les certificats de conformité et la certification. Outre la famille de normes ISO/IEC 27000vii pour la gestion des services informatiques et la série de publications horizontales IEC 62443viii Réseaux industriels de communication sur les réseaux de communication industriels (IACS), relatives à de nombreux domaines, plusieurs comités techniques et sous-comités d’études de l’IEC (SC) ont élaboré des normes, spécifications techniques et exigences spécifiques pour certains secteurs.
Le CAB de l’IEC a mis en place le groupe de travail CAB WG 17ix: Cyber security. Les tâches de ce WG consistent notamment à examiner les besoins du marché et le calendrier des services de CA pour les produits, services, personnel et systèmes intégrés dans le domaine de la cybersécurité. Cependant, ils excluent le champ d’application des applications d’automatisation industrielle couvertes par IECEE CMC WG 31x: Cyber security. Le WG 17 du CAB communique également aux autres secteurs de l’industrie l’approche en matière de cyber sécurité adoptée par l’IECEE CMC WG 31 et la manière dont elle peut s’appliquer à ces autres secteurs.
La tâche principale de l’IECEE CMC WG 31 est de “créer une approche unique de la série IEC 62443 pour l’évaluation de la conformité.” Pour ce faire, il a préparé un document opérationnel, OD-2061xi, publié en juin 2018, qui décrit comment gérer l’évaluation de la conformité et son application à certaines normes de la série IEC 62443.
De plus, ce document opérationnel explique dans quelles conditions les certificats de conformité IECEE en matière de compétence en cyber sécurité industrielle peuvent être délivrés. Ceux-ci ne sont valables que lorsqu’ils sont “signés par un laboratoire d’essais agréé par un organisme de certification (CB) reconnu et annexés à un certificat délivré par un CB national (NCB)”.
Ces certificats sont actuellement définis pour un ensemble d’évaluations concernant produit, processus, applications de capacités du produit, des processus et de mise en oeuvre de solutions, chacune de ces évaluations s’appliquant à une ou plusieurs normes de la série IEC 62443.
Conjointement avec les normes de cybersécurité de l’IEC, l’introduction récente de systèmes complets de certification et d’évaluation de la conformité devrait permettre de mieux protéger les systèmes reposant sur les réseaux de communication industriels et le système IACS, y compris les chaînes logistiques, contre les cybermenaces.
Sources et lexique:
- IEC: Commission électrotechnique internationale / International Electrotechnical Commission: https://www.iec.ch/
- IEC Conformity Assessment Board (CAB): https://www.iec.ch/cab
- IEC System for Conformity Assessment Schemes for Electrotechnical Equipment and Components: https://www.iecee.org/
- ISO/IEC 27036-1:2014, Information technology – Security techniques – Information security for supplier relationships – Part 1: Overview and concepts: https://webstore.iec.ch/publication/11314
- FT Managing Cyber Risk in Critical Infrastructure: https://tinyurl.com/yc44r6nl
- NCSC 2018 Foreign Economic Espionage in Cyberspace report: https://www.dni.gov/files/NCSC/documents/news/20180724-economic-espionage-pub.pdf
- Famille de normes ISO/IEC 27000: https://tinyurl.com/ya3qr8cb
- Série de normes IEC 62443 pour Réseaux industriels de communication – Sécurité dans les réseaux et les systèmes: https://tinyurl.com/y96vgr9v
- IEC CAB WG 17: Cyber security: https://tinyurl.com/ybt7mk7y
- IECEE CMC WG 31: Cyber security: https://tinyurl.com/y98o3vwm
- IECEE OD-2061, Industrial Cyber Security Program: https://tinyurl.com/ydbysu77
Les réseaux de distribution électrique font partie des infrastructures critiques les plus vulnérables aux cyberattaques
Didier Giarratano : Responsable de la plateforme cybersécurité de Schneider Electric. M.Giarratino est également membre du Certification Management Committee (CMC) du Système d’évaluation de la conformité pour équipements et composants électrotechniques (IECEE), et membre du Groupe de travail (WG 17) sur la cybersécurité de l’IEC Conformity Assessment Board
Défis émergents
Le besoin pressant d’améliorer la disponibilité de l’infrastructure de distribution d’énergie contraint à un changement exigeant un réseau de distribution électrique moderne automatisé. Alors que la demande d’activités numérisées, connectées et intégrées augmente dans tous les secteurs, le défi des services publics est de fournir de manière fiable une énergie reposant sur l’efficacité et la durabilité des sources. Cependant, à mesure que les réseaux de distribution électrique fusionnent et deviennent plus intelligents, les avantages d’une connectivité améliorée entraînent également des risques croissants en matière de cybersécurité, menaçant ainsi de ralentir le progrès. En Europe, les systèmes de distribution électrique ont été conçus à l’origine pour une production centralisée d’énergie et des demandes relativement statiques – et non pas pour gérer des niveaux de consommation ou une complexité en constante évolution. Nous entrons maintenant dans un nouveau modèle énergétique, avec une production plus décentralisée, des sources renouvelables intermittentes (d’origine solaire ou éolienne), un flux d’énergie décarbonisée bidirectionnel et un engagement croissant des consommateurs du côté de la demande.
Modèle décentralisé
Le réseau de distribution électrique est en train de passer à un modèle plus décentralisé offrant davantage de possibilités aux consommateurs et aux entreprises pour intégrer davantage des énergies renouvelables et d’autres sources d’énergie. Par conséquent, les prochaines décennies verront un nouveau type de consommateur d’énergie, capable de gérer production et consommation de manière à réduire les coûts, renforcer la fiabilité et la pérennité selon leurs besoins spécifiques.
L’augmentation de l’énergie distribuée augmente la complexité du réseau. Elle fait évoluer le secteur d’une chaîne de valeur de type traditionnel vers un environnement plus collaboratif dans lequel les clients se connectent de manière dynamique au réseau de distribution, aux fournisseurs d’énergie et au marché de l’énergie. Les technologies et les modèles commerciaux devront évoluer pour que le secteur de l’énergie puisse survivre et prospérer.
La nouvelle grille sera considérablement plus numérisée, flexible et dynamique. Elle sera de plus en plus connectée, avec de plus grandes exigences de performance dans un monde où l’électricité occupe une place plus importante dans l’offre énergétique globale. De nouveaux acteurs seront impliqués dans l’écosystème de l’énergie, tels les gestionnaires de réseaux de transport et de réseaux de distribution, les opérateurs de production décentralisée, les agrégateurs et les prosommateurs.
Régulation et conformité
Le déploiement de la cybersécurité vise à respecter les normes et à se conformer à la réglementation. Cette approche profite à l’industrie en sensibilisant davantage aux risques et aux défis associés aux cyberattaques. Au fur et à mesure que le réseau électrique évolue en complexité, avec l’intégration des ressources distribuées et l’automatisation, une nouvelle approche s’impose, axée sur la gestion des risques. À l’heure actuelle, les parties prenantes des services publics appliquent des processus de cybersécurité appris de leurs homologues des technologies de l’information (IT), ce qui les accroit les risques. Dans l’environnement de la sous-station, les dispositifs propriétaires autrefois dédiés à des applications spécialisées sont désormais vulnérables. Les informations sensibles disponibles en ligne décrivant le fonctionnement de ces dispositifs périphériques sont accessibles à tous, y compris à des acteurs malintentionnés. Ceux-ci, possédant les compétences nécessaires, peuvent pirater un service public et détériorer les réseaux de distribution électrique. Ce faisant, ils mettent également en péril l’économie et la sécurité d’un pays ou d’une région desservis par ces réseaux. Les régulateurs ont anticipé le besoin d’une approche structurée de la cybersécurité. Aux États-Unis, les exigences relatives à la protection des infrastructures critiques de la North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP) définissent les éléments nécessaires à la protection du système électrique. Le programme européen de protection des infrastructures critiques (EPCIP) fait à peu près la même chose en Europe. Chaque jour, nous faisons face à de nouvelles attaques complexes, dont certaines sont organisées par des acteurs étatiques, ce qui conduit à une réévaluation de celles-ci et de l’approche de sécurité globale du secteur.
Intégration IT – OT
En raison de la transition vers des technologies et protocoles de communication informatiques ouverts, tels Ethernet et IP (internet protocol), les systèmes gérant les infrastructures critiques sont devenus de plus en plus vulnérables. Lorsque les exploitants d’infrastructures critiques cherchent à sécuriser leurs systèmes, ils se tournent souvent vers des pratiques de cybersécurité plus matures. Cependant, l’approche informatique en matière de cybersécurité n’est pas toujours appropriée, compte tenu des contraintes opérationnelles auxquelles les entités de services publiques sont confrontées. Ces différences d’approche impliquent que les solutions de cybersécurité et l’expertise reposant sur le domaine informatique soient souvent inadaptées pour les applications de technologie opérationnelle (OT). Les attaques sophistiquées réussissent aujourd’hui à tirer parti de services associés tels informatique et télécommunications. À mesure que les services publics font face à la convergence IT-OT, il devient nécessaire de former des équipes multidisciplinaires afin de relever les défis uniques liés à la sécurisation d’une technologie couvrant IT et OT.
La protection contre les cybermenaces nécessite désormais une activité plus étendue couvrantplusieurs domaines, les ingénieurs, les spécialistes en informatique et les responsables de la sécurité étant tenus de partager leur expertise pour identifier les problèmes et les attaques pouvant affecter leurs systèmes.
Une approche en quatre points
Les experts en cybersécurité conviennent que les normes en elles-mêmes n’apportent pas le niveau de sécurité approprié. Il ne s’agit pas d’atteindre un état de cybersécurité. Une protection adéquate contre les cybermenaces nécessite un ensemble complet de mesures, de processus et de moyens techniques, ainsi qu’une organisation adaptée. Il est important que les services publics réfléchissent à la manière dont les stratégies de cybersécurité des organisations évolueront avec le temps. Il s’agit de rester au courant des menaces connues de manière organisée et itérative. Assurer une défense efficace contre les cyberattaques est un processus continu qui nécessite des efforts soutenus et un investissement annuel récurrent. La cybersécurité concerne les personnes, les processus et la technologie.
Les services publics doivent mettre en place un programme complet comprenant une organisation, des processus et des procédures appropriés pour tirer pleinement parti des technologies de protection de la cybersécurité. Pour établir et gérer des systèmes cybersécurisés, les services publics peuvent suivre une approche en quatre points.
Le Comité consultatif de l’IEC (Commission électrotechnique internationale) sur la sécurité de l’information et la confidentialité des données (ACSEC) travaille sur les mêmes questions, qui sont intégrées dans le Guide IEC 120, Aspects liés à la sécurité – Lignes directrices pour leur inclusion dans les publications.
- Effectuer une évaluation des risques. La première étape consiste à procéder à une évaluation complète des risques en fonction des menaces internes et externes. Ce faisant, les spécialistes en technologie opérationnelle (OT) et les autres parties prenantes des services publics peuvent comprendre où se trouvent les plus grandes vulnérabilités et être en mesure de documenter la création d’une politique de sécurité et la réduction des risques.
- Concevoir une politique et des processus de sécurité. La stratégie de cybersécurité des entreprises de service public fournit un ensemble formel de règles à suivre. Celles-ci devraient suivre la famille de normes du Système de Management de la Sécurité de l’Information (SMSI) de la série ISO/IEC 270** sur les techniques de sécurité informatique, qui fournit des recommandations de meilleures pratiques à adopter en matière de gestion de la sécurité de l’information. Cette série de normes est développée par ISO/IEC JTC 1/SC 27. Ce sous-comité d’ISO/IEC JTC 1, le Comité d’étude commun, créé par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC), élabore les normes internationales pour les Techniques de sécurité informatique.
La politique d’une entreprise de service public a pour objet d’informer les employés, les fournisseurs et utilisateurs autorisés sur leurs obligations en matière de protection des actifs technologiques et informatiques. Il décrit la liste des actifs à protéger, identifie les menaces qui pèsent sur eux et décrit les responsabilités des utilisateurs autorisés et les privilèges d’accès associés, ainsi que les actions non autorisées et la responsabilité qui en résulte en cas de violation de la politique de sécurité. Des processus de sécurité bien conçus sont également importants. À mesure que les fondements de la sécurité des systèmes changent pour faire face aux vulnérabilités émergentes, les processus du système de cybersécurité doivent être examinés et actualisés régulièrement. Un élément clé pour maintenir une base de sécurité efficace consiste à effectuer une évaluation une ou deux fois par an.
- Mettre en oeuvre le plan de mitigation des risques. Il est nécessaire de choisir une technologie de cybersécurité basée sur les normes internationales afin de garantir la mise en place d’une politique de sécurité appropriée et les mesures d’atténuation des risques adaptées. Une approche sécurisée dès la conception basée sur les normes internationales. Celles-ci peuvent aider à réduire davantage les risques lors de la sécurisation des composants du système. Elles comprennent, entre autres, la série de publications IEC 62443 sur la sécurité pour les réseaux de communication industriels et les systèmes de contrôle et d’automatisation industriels (IACS), la série de normes internationales IEC 62351 sur la gestion des systèmes d’énergie et les échanges d’informations associées, et la norme IEEE 1686 pour les fonctions de cybersécurité des dispositifs électroniques intelligents, développée par l’Institut des ingénieurs électriciens et électroniciens (IEEE).
- Gérer le programme de cybersécurité. La gestion efficace des programmes de cybersécurité nécessite non seulement de prendre en compte les trois points précédents, mais également de gérer les cycles de vie des actifs d’information et de communication. Pour ce faire, il est important de conserver une documentation vivante et précise sur les micrologiciels, les systèmes d’exploitation et les configurations. Cela nécessite également une compréhension approfondie des calendriers de mise à niveau technologique et d’obsolescence, ainsi qu’une connaissance approfondie des vulnérabilités connues et des correctifs existants. La gestion de la cybersécurité exige également que certains événements provoquent des évaluations, telles que des points particuliers du cycle de vie des actifs ou des menaces détectées.
Pour les services publics, la sécurité est l’affaire de tous. Les politiciens et le public sont de plus en plus conscients que la sécurité nationale dépend également de la robustesse des services publics locaux. Atténuer les risques et anticiper les vulnérabilités des attaques sur les réseaux et les systèmes de distribution ne consiste pas uniquement à installer des technologies. Les services publics doivent également mettre en oeuvre des processus organisationnels pour faire face aux défis d’un réseau décentralisé. Cela signifie une évaluation régulière et une amélioration continue de leur processus de cybersécurité et de sécurité physique afin de protéger notre nouveau monde énergétique.
Liens :
- Commission électrotechnique internationale (IEC) : https://www.iec.ch/
- Organisation internationale de normalisation (ISO) : https://www.iso.org/
- ISO/IEC JTC 1/SC 27 : Techniques de sécurité informatique : https://www.iso.org/committee/45306.html
- IEC CAB WG 17 – Groupe de travail 17, cybersécurité, du Conformity Assessment Board de l’IEC : https://tinyurl.com/y7e7pnyk
- IECEE CMC WG 31 – Groupe de travail 31, cybersécurité, du Certification Management Committee du Système d’évaluation de la conformité de l’IEC pour les équipements et composants électrotechniques (IECEE): https://tinyurl.com/y98o3vwm
- IEC Advisory Committee on Information security and data privacy (ACSEC): https://www.iec.ch/acsec
- North American Electric Reliability Corporation Critical Infrastructure Protection (NERCCIP): https://tinyurl.com/y96mlp95
- Programme européen de protection des infrastructures critiques (EPCIP): https://tinyurl.com/y9rbqnwy
Normes
- IEC 62443: Réseaux industriels de communication – Sécurité dans les réseaux et les systèmes (Industrial communication networks – Network and system security): https://tinyurl.com/ya9kd238
- IEC 62351: Gestion des systèmes de puissance et échanges d’informations associés (Power systems management and associated information exchange) : https://tinyurl.com/y9rn5fvj
- IEEE 1686: Norme IEEE pour les fonctions de cybersécurité des dispositifs électroniques intelligents: https://tinyurl.com/ycftrj7k
Réconcilier le Responsable Sécurité et son management ou anticiper les menaces avancées – Mission impossible ?
La Haute école d’ingénieurs et d’architectes de Fribourg accueille le prochain séminaire organisé par le Clusis le 6 septembre 2016.
Les défis posés aux dirigeants d’entreprises et des services de l’état sont énormes :
- Maintenir l’organisation compétitive face à une concurrence globalisée
- Restructurer un service ou une entreprise afin de faire face aux nouvelles contraintes politiques ou économiques
- Conduire en parallèle des projets ambitieux de développement afin de se positionner à la pointe du marché
Pour y répondre, les directions peuvent se reposer sur des moyens technologiques toujours plus performants.
Depuis quelques années, les services IT développent la mobilité, pratiquement sans interruption de connectivité, via la numérisation des services.
La tendance aujourd’hui est à la déportation dans le cloud pour accroître le service tout en ménageant ses équipes IT.
Pour l’accompagner, des spécialistes lui apportent les bons outils au bon moment. Au milieu de ces spécialistes, le responsable de la sécurité a pour mission d’encadrer et solidifier cette ruée vers l’innovation et ces initiatives ambitieuses. Ceci de manière, en principe, réactive.
Cette conférence – en étroite collaboration avec ELCA, l’une des plus grandes sociétés de développement logiel suisse – a pour but de donner des pistes pour que le responsable de la sécurité puisse passer du rôle de prescripteur à celui de conseiller stratégique pour son organisation.
| QUAND | OÙ | FRAIS | LANGUE |
| Mardi, 6 septembre 2016De 09.00 à 17.30 heures | Haute école d’ingénieurs et d’architectes de FribourgBoulevard de Pérolles 80CH-1700 Fribourg
Auditoire Edouard Gremaud, bâtiment A |
CHF 50.00 (pause café, lunch, apéro y compris), gratuit pour les membres du Clusis | Français (sauf l’intervention de Jaonna Rutkowska qui sera en Anglais ) |
Le matin, nous aborderons la mission impossible numéro 1 – Réconcilier le responsable sécurité et son management : Des responsables de la sécurité parleront de leur expérience de terrain et des difficultés rencontrées. Les aspects juridiques liés à la protection des données personnelles seront également abordés.
L’après-midi, nous nous intéresserons à la mission impossible numéro 2 –Anticiper les menaces avancées : Nous traiterons des nouvelles menaces et des modes opératoires de l’adversaire, des experts présenteront leurs techniques et approches afin de répondre à ces nouvelles menaces.
Deux interventions viendront renforcer les messages de la journée :
- Les tendances globales dans les systèmes sécurisés, Cubes OS – Joanna Rutkowska (http://blog.invisiblethings.org/ )
- Où en sommes-nous sur le plan politique ? – Monsieur le Conseiller d’Etat Pierre Maudet en charge du Département de la sécurité et de l’économie du Canton de Genève
En plus de vous apporter des thématiques attrayantes, cette journée renforce le développement du réseau Romand et Suisse en matière de cybersécurité.
A cet effet, un espace de réseautage et de travail vous sera mis à disposition. Des salons de travail vous permettront de régler vos affaires courantes et d’y rencontrer les différents experts et vos partenaires.
Nous nous réjouissons d’ores et déjà de vous y rencontrer et de discuter avec vous les défis actuels qui se posent à votre organisation.
Cordialement,Le comité de programme CLUSIS et ELCA
Association suisse de la sécurité de l’information
Merci à nos sponsors.
Frais d’inscription:inclus dans la cotisation des membres du Clusis. CHF 50.- pour les non-membres.
Membres du Clusis, vous devez vous authentifier pour vous inscrire à cet évènement