Depuis le covid-19, 80% des employés plébiscitent le télétravail et réclament son accès (reportage RTS d’après un sondage GFS). Confort, Efficacité, Sentiment de reprise de contrôle de sa vie privée en modulant sa vie professionnelle par rapport à ses contraintes personnelles.

Pour l’employeur, tout le monde le sait, le télétravail représente un gros défi, à la fois technique, organisationnel et sécuritaire, dans certains secteurs plus que d’autres, comme le secteur public ou les banques.

Dans la quadrature du cercle, il est un aspect de plus en plus abordé dans les médias : l’impact humain et social. S’il est négligé, il peut avoir à moyen et long terme de lourdes conséquences pour l’entreprise, y compris pour la sécurité informatique.

Les risques humains et sociaux du télétravail

Numéro UN, c’est l’hyper-connectivité, entre les téléconférences Skype ou Zoom, un rythme de travail décalé des heures de bureau, les applications mobiles et pour certains, l’incapacité de poser ses limites ou bien gérer son temps. La journée de huit heures peut vite s’allonger à dix-douze heures ou plus, sans compter les obligations familiales ou personnelles. A ce rythme, la surcharge mentale et les tensions familiales peuvent faire leur apparition. Pas vraiment compatible avec la performance.

Numéro DEUX, sans surprise, le manque d’échanges, d’interactions avec ses collègues, plus ou moins pesant selon le caractère et les responsabilités endossées. Dans le cas d’un travail à tâches répétitives, le « home office » peut accentuer le sentiment de monotonie de son job, générant par extension une démotivation grandissante. Et si, de surcroît, le collaborateur vit une période de crise dans sa vie privée, il peut développer une impression d’être oublié, négligé ou placardisé.

Une dernière dimension, plus spirituelle ou psychologique, ne doit pas être oubliée : une remise en question de son rôle dans l’entreprise ou du choix de son métier. Recherche de sens, comme l’explique cet article.

Tous ces malaises et questionnements peuvent concourir à une baisse de vigilance quant aux règles élémentaires de cybersécurité, voire leur mépris ou leur rejet – surtout lorsque le télétravail est pratiqué à plein temps.

La communication interne, autre clef de la sécurité

Les départements de ressources humaines et de communication interne ont été dès la première phase de la crise du covid-19 des alliés précieux pour garder les risques sécuritaires sous contrôle, en accompagnant les collaborateurs dans le télétravail. Objectif : maintenir la confiance et la motivation.

Accompagner signifie renforcer le dialogue, individuel et collectif, et guider ses équipes quant aux mesures de sécurité informatique mais aussi aux bonnes-pratiques du télétravail.

Renforcer le dialogue

Cela veut dire tout d’abord informer régulièrement, sur un ton factuel, des différentes événements, décisions ou changements au sein de l’entreprise. Il peut s’agir de nouvelles règles de fonctionnement, de certaines mesures de précaution, les menaces de hacking rencontrées, les nouveaux outils de communication, une liste mise à jour des numéros de téléphone des personnes à contacter pour telle ou telle question, etc. 

Cela signifie aussi soutenir les managers, qui connaissent bien les membres de leur équipe et leur environnement privé, à renforcer le lien avec eux. Prendre le pouls régulièrement, travailler son écoute, encourager l’expression du ressenti.

Guider sur les bonnes-pratiques

Une charte de télétravail peut être utile pour cadrer les points suivants :

• Les bonnes habitudes de santé
• Le bon environnement de travail
• Les bonnes relations de travail
• Les bons gestes de sécurité technologique
  

Les bonnes habitudes de santé

1. Se décoller régulièrement de son écran pour s’aérer la tête.
2. Compter trente minutes de pause entre deux conférences téléphoniques pour reposer le cerveau.
3. Equilibrer son temps de travail entre plages de communication et plages de réflexion ou d’exécution.
4. Sortir régulièrement à l’extérieur, prendre l’air – une courte marche ?
5. Faire des exercices d’assouplissement, des étirements pour relâcher les muscles.
   

Le bon environnement de travail

1. Si possible, se réserver un espace de travail confortable, au calme et hors des sollicitations familiales.
2. Installer son ordinateur proche d’une fenêtre, pour la lumière et son esprit.
3. Veiller à l’ergonomie de son espace de travail. L’écran à hauteur des yeux. Un fauteuil confortable. Les pieds légèrement surélevés. Voir cet article.
   

Les bonnes relations de travail

1. Revoir en équipe les rites de travail et d’échange, à accorder avec des horaires réalistes en accord avec les besoins de l’entreprise et le respect de la vie privée.
2. Revoir ou rappeler les règles du jeu de l’équipe, en version télétravail, pour éviter de laisser ses collaborateurs seuls face à la prise de décision en cas critiques.
3. Trouver le bon équilibre entre « home office » et présence au bureau, au sein de l’équipe mais aussi en coordination avec les autres départements.
   

La bonne sécurité technologique

Tous les experts le disent, les attaques ont largement augmenté depuis le covid-19, comme l’explique cet article. Depuis mars, c’est un accroissement de 20% par mois avec des méthodes de plus en plus sophistiquées (voir article cnet – anglais) pour récolter le maximum de données de l’entreprise.

Un phénomène qui oblige les entreprises à revoir leur gouvernance en termes de sécurité informatique pour sécuriser de manière pérenne son infrastructure informatique et ses outils de communication. Des conseillers accompagnent les dirigeants dans ce travail. Exemple : Marie de Fréminville.

Un point essentiel est, via un webinar et avec document à l’appui, d’alerter et former ses collaborateurs sur les attaques malveillantes les plus courantes, les plus dangereuses et leurs dernières versions. Leur expliquer le phishing, les malwares, les noms de domaine frauduleux, les ransomware, etc. et décrire les bons réflexes de sécurité.

Pour cette communication, on peut s’appuyer sur les services gratuits de sociétés informatiques, que ce soient des géants comme Microsoft concernant la sécurité de Office 365 et d’autres, plus petites. A ne pas oublier non plus les MOOC – Massive Online Open Courses – dédiés à la sécurité informatique. Des cours sérieux et complets, donnés par des experts dans leur domaine. On peut les suivre gratuitement, la certification seule est payante.

Dernier point, les formations internes ou non de cybersécurité doivent être faites tous les ans et les documents s’y reportant mis à jour. Les technologies évoluent et les attaques aussi.

Maryse Rebillot, Professionnelle Marketing & Communication
Informatique – Nouvelles Technologies – Digital

De nos jours les enfants reçoivent un Smartphone lorsqu’ils sont en primaire voire au plus tard pour leur entrée au CO / collège. Regardez le matin à l’arrêt de bus pour l’école combien d’entre eux ont les yeux rivés à leur écran.

Commence  alors  la  compétition  avec  les copains/copines afin d’avoir le modèle le plus récent puis le début de l’addiction aux réseaux sociaux, volontaire ou non. Il faut alors faire partie de groupes Instagram, Twitter, Snapchat, et autres.

Les jeunes passent ainsi une grande partie de leur temps  sur  leur  Smartphone  et  dès  qu’une notification arrive (de jour comme de nuit) ils se précipitent pour la consulter et y répondre, les parents peuvent attendre…

Téléchargez l’article complet en format pdf “Nos enfants et Internet” par Jacques Schell

“Qui connaît l’autre et se connaît lui-même peut livrer cent batailles sans jamais être en péril. Qui ne connaît pas l’autre, mais se connaît lui-même, pour chaque victoire, connaîtra une défaite. Qui ne connaît ni l’autre ni lui-même perdra inéluctablement toutes les batailles.“ Sun Tzu, l’Art de la guerre, 5^e siècle av. J.-C.

Se préparer à défendre votre organisation contre des attaquants correctement identifiés est bien plus efficace et rentable que d’essayer de vous défendre contre l’inconnu. C’est pour cela que connaitre les hackeurs, leurs motivations et leur façon de procéder vous permettra de mieux vous protéger et, en cas d’attaque, de retrouver votre productivité plus rapidement.

Les types de hackeurs

Pour commencer, il est donc important de discerner les différents groupes de hackeurs et leurs motivations. Nous distinguons principalement six catégories :

Les hackeurs gouvernementaux (généralement nommé les APT pour « Advanced Persistent Threats ») sont financés, dirigés et parrainés par des gouvernements. Ils sont connus pour leurs détermination, persistance, moyens financiers et compétences techniques. Ils exécutent principalement des opérations de sabotage ou d’espionnage. Parmi les plus connus dans ce groupe nous trouvons :

• L’Iran (APT39, 33, & 34), qui a attaqué Saudi Aramco en détruisant plus de 30’000 ordinateurs avec Shamoon
• La Chine (APT1, APT3, APT10, APT12, APT16, APT17, APT18, APT19, APT30, APT40 & APT41) qui a espionné plus de 30 opérateurs téléphoniques afin de voler des informations sur leurs utilisateurs avec Soft Cell.
• La Russie (APT28 & APT29) qui a interrompu l’alimentation électrique de Kiev la veille de Noël avec Industroyer.
• Israël (Unit 8200) qui a espionné un nombre d’hôtels pour acquérir de l’intelligence sur les négociations nucléaires entre les États-Unis et l’Iran avec Duqu.
• La Corée du Nord (APT37, APT38) qui a développé le ransomware WannaCry, infectant plus de 200’000 ordinateurs.
• Et les États-Unis (Equation Group, NSA, APT-C-39) qui ont détruit des centrifugeuses iraniennes d’enrichissement d’uranium avec Stuxnet.

Le crime organisé, dont le but est le gain monétaire. Ils s’efforcent à rentabiliser leurs attaques et à optimiser leurs opérations. Généralement, ils effectuent des Arnaques au Président (usurpation d’identité afin d’exécuter des virements frauduleux), ransomware, vols financiers et ventes de données sur le darkweb.

Si vous êtes victime d’une cyber-attaque, il y a de fortes chances que son origine vienne du crime organisé. Ces criminels ont rapidement développé leurs capacités à s’enrichir illégalement via le monde en ligne. Actuellement, la cyber-criminalité leur rapporte plus d’argent que la prostitution, drogue et vente d’armes ! Ils sont donc très qualifiés, méthodiques et ont peu de scrupules – ils ont notamment visé des hôpitaux qui soignent les victimes du COVID-19.

Les script kiddies, n’ont ni les compétences ni le savoir-faire des « vrais » hackeurs. Ils ont tendance à réutiliser des attaques déjà existantes et s’en prennent à des cibles très faciles. Ils le font habituellement par défi personnel ou pour gagner un peu d’argent.

Généralement, les antivirus, firewall et antispam de base vous protégeront contre ce type d’attaque.

Les hacktivistes sont des activistes idéologiques avec des bonnes compétences, ayant souvent un emploi légitime dans le secteur digital ou cyber. Ils cherchent généralement à perturber un système ou voler des informations sensibles afin de les publier.

Malgré leur présente diminution d’activité, il ne faut surtout pas les négliger ; dans le passé, le groupe Anonymous s’en est pris à de nombreux gouvernements et multinationales, causant d’importants dommages réputationnels et économiques.

Les menaces internes sont malheureusement très courantes et difficiles à empêcher. Que ce soit de façon malveillante ou non, un employé ou un utilisateur peut utiliser ses accès et privilèges pour voler, modifier et détruire du contenu digital.

Dans la majorité des cas, nous voyons que les hackeurs sont motivés par la cupidité ou le désir de provoquer la destruction. Toutefois, lorsqu’on analyse nos adversaires, nous découvrons d’autres possible motivations, telles que la curiosité, le divertissement, le pouvoir, l’ego, l’idéologie, la reconnaissance et la vengeance. Il est donc important de comprendre ce qui motive votre adversaire ainsi que son objectif, afin de pouvoir vous défendre correctement.

Connaître son hackeur

Systématiquement, lorsque je suis appelé à intervenir suite à une cyber-attaque, l’une des premières questions que nous pose la victime est : « qui est le hackeur ?». Outre l’assouvissement de la curiosité de la victime, ce renseignement nous est très utile, car souvent il permet de comprendre les méthodes, procédures et intentions de l’attaquant. Par exemple, nous savons que le groupe de hackeurs derrière le ransomware Phobos vient d’Europe de l’Est et se nomme Derxan (aka Phobos777). Basés sur cette information, nous remarquons qu’à de nombreuses reprises, dans le passé, ce hackeur n’a pas délivré une clef de décryptage fonctionnelle, même après paiement de la rançon.

Ainsi, deux questions sont essentielles lors de la mise en place des stratégies de protection : qui sont les hackeurs susceptibles de pirater mon entreprise et quelles sont leurs méthodes opératoires. Ces deux questions sont fortement corrélées : en connaissant l’identité d’un hackeur nous pouvons déduire ses méthodes ; inversement, en détectant des méthodes d’attaque, nous pouvons souvent deviner qui est le hackeur.

TTP & IoC

Les (groupes de) hackeurs ne réinventent pas la roue à chacune de leurs attaques. Ils développent une expertise, des outils, une infrastructure, un savoir-faire et des méthodes pour mener un piratage qu’ils amortissent ensuite en le réutilisant. Si nous reprenons notre exemple du ransomware Phobos, nous savons que, dans la majorité des cas, il pénètre par des accès RDP (bureau à distance) achetés sur le dark/deep-web, qu’il efface les backups Windows, qu’il enlève les modes de récupération du système et enfin désactive le firewall. Grâce à ces informations, nous pouvons non seulement avoir une bonne idée sur les failles exploitées par les hackeurs, mais aussi sur leurs actions. Dans le cyber-jargon, nous parlons de TTP pour décrire leurs méthodes et IoC pour décrire les artefacts laissés lors de leur passage.

Les Indicateurs de Compromission (Indicator of Compromise), IoC, sont des éléments observés à la suite d’une attaque, tels des signatures de virus, adresses IP, hash de fichier, URL ou noms de domaines. Ces IoC peuvent aider à prévenir une attaque identique, détecter si un autre système a aussi été compromis et aider à faire des corrélations entre plusieurs incidents.

Les tactiques, techniques et procédures (TTP) expliquent comment les hackeurs orchestrent et opèrent leurs attaques. Les TTP sont donc des modèles d’activités ou de méthodes associées à des hackeurs spécifiques. Lorsque nous définissons quels sont les types ou groupes de hackeurs qui vous visent, nous pouvons analyser leurs TTP afin de mettre en place des outils et procédures spécifiques pour prévenir ces attaques.

L’inverse est aussi possible ; à la suite d’une attaque, nous analysons les TTP utilisées pour en déduire qui étaient les hackeurs et comprenons ainsi leurs motivations et intentions. Cette démarche est aussi très intéressante à mettre en place lorsqu’une attaque a été correctement bloquée, car ceci nous permet d’anticiper les éventuelles prochaines offensives menées par le même hackeur.

Alors, qui risque de m’attaquer ?

Nous sommes tous des cibles potentielles des hackeurs : Que ce soit par des script kiddies qui scannent les ordinateurs connectés à internet pour exploiter des vulnérabilités connues ou abuser des mots de passe faibles, ou par le crime organisé qui développe ses propres outils et procédures pour optimiser les attaques. Il faut donc mettre en place une sécurité proportionnelle à la valeur des données et de la dépendance au système informatique.

Les VIP, les personnes politiquement exposées (PEP), les leaders de leur industrie et les contracteurs gouvernementaux sont les cibles des APT et hacktivistes. Ainsi, ils doivent attentivement analyser les TTP des APT susceptibles de les viser, afin de correctement détecter, bloquer et répondre aux cyber-attaques.

Finalement, les menaces internes visent quasiment toutes les entreprises. Nous voyons souvent des employés mal sensibilisés et mal formés effectuer des erreurs causant des cyber-incidents. De l’autre côté du spectre, nous trouvons des employés malveillants : ces derniers sont le plus souvent des personnes insatisfaites de leur carrière professionnelle et souhaitant soit faire du mal à l’employeur, soit acquérir par leur action un gain personnel.

Steven Meyer, ZENDATA

Retrouvez l’article original sur le site de ZENDATA

Le principal objectif du conseil d’administration est d’assurer la prospérité de l’entreprise tout en répondant aux intérêts de ses actionnaires. Afin d’assurer cette fonction, le conseil d’administration doit, entre autres, s’assurer que les risques pouvant atteindre à la réputation et le bénéfice de la compagnie sont minimisés.

Ainsi, en 2020, il est indispensable pour la direction ou le conseil d’administration d’une entreprise de prendre en compte les cyber-risques. La dépendance des entreprises à leur système informatique n’est que rarement évaluée à sa juste valeur ; ce n’est, généralement, qu’à la suite d’un incident que les employés et la direction constatent le rôle stratégique que leur infrastructure digitale joue dans l’accomplissement de leur mission. Cette prise de conscience est essentielle afin de pouvoir démarrer une conversation constructive autour de la cyber-sécurité :

Quelle est la présence en ligne de mon entreprise et dans quelle mesure cette présence influence les décisions d’achat de mes clients ? Quelle est notre dépendance à notre système informatique et quels sont les acteurs tiers en jeu ? Quel dommage nous causeraient la perte de fonctionnalité de notre système, la publication de nos données internes, la modification d’informations liées à nos processus métiers ?Le but de la cyber-sécurité, qu’elle soit gérée en interne ou outsourcée à une compagnie spécialisée, est de comprendre et mitiger ces risques. Toutefois, ces dangers ne sont souvent pas aussi tangibles et sont généralement plus techniques que ceux historiquement traités lors des conseils d’administration, entravant ainsi la capacité des décideurs à comprendre et saisir toute l’ampleur des risques inhérents à la cyber-sécurité. Il est essentiel de traiter les cyber-risques comme tous les autres risques business de l’entreprise et ne pas les réduire à une simple problématique IT : connaître les processus les plus critiques de l’entreprise et évaluer l’impact d’une interruption n’est pas un problème informatique mais une nécessité stratégique. Ce biais généralisé trouve aussi sa faute dans l’approche des informaticiens. En effet, plutôt que de se concentrer sur les activités commerciales les plus importantes qui pourraient être perturbées par une cyber-attaque, les responsables se focalisent souvent sur les technologies individuelles pour résoudre les problèmes spécifiques au sein de leurs systèmes informatiques. Mettre l’accent sur la correction des vulnérabilités informatiques est séduisant, car c’est de tangible et calculable. Ainsi, une entreprise peut dépenser toutes ses ressources, qui sont déjà rares, pour corriger ces vulnérabilités sans jamais s’attaquer au problème fondamental : la protection des activités commerciales pour lesquelles les ordinateurs ont été achetés. Probablement, l’un des plus grands défis auquel les conseils d’administration doivent faire face, dans le contexte de la cyber-sécurité, est de se familiariser avec les cyber-menaces et de comprendre quelles sont les stratégies de défense possibles. Il y a donc deux points différents à considérer : la compréhension des cyber-risques auxquels l’entreprise est confrontée, et comment ils peuvent affecter le business.

L’impact d’une cyber-attaque

Pas une semaine ne passe sans qu’on entende parler d’un cyber-incident ou d’une cyber-attaque contre une entreprise. Généralement, une fuite de données entraîne immédiatement une chute du cours des actions, nuit à la réputation de la marque, remet en cause la compétence du conseil d’administration et du leadership, et l’expose à des poursuites légales. Pour les PME le risque est bien réel ; en 2018 on estime que plus de 40% des PME suisses ont eu un cyber-incident et que 33% d’entre elles ont subi une perte financière due à ces attaques. On observe aussi que plus de la moitié des PME victimes d’une cyber-attaque grave doivent déposer leur bilan dans l’année suivante. Du côté des grandes structures, le risque est très différent. Aucune des entreprises victimes des plus grands piratages des sept dernières années, soit Target (2013), Sony (2014), Yahoo (2016), Equifax (2017), Maersk (2017), Marriott (2018) et Capital One (2019), n’a été contrainte de se mettre en faillite. Cela étant,  les attaques ont couté entre $200 et $400 millions chacune et, dans la majorité des cas, des membres de la direction ont été licenciés. C’est pour cela que, quel que soit le segment industriel ou la taille d’une entreprise, sa pérennité dépendra à terme d’une solide gestion pro-active des cyber-risques.

Les menaces qui visent votre compagnie

Chaque compagnie est confrontée à des risques qui lui sont propres. Certes, il y a des dangers communs à tous, tels une attaque de ransomware, un vol de donnée ou la corruption d’un système, mais c’est en connaissant ses propres particularités qu’une entreprise arrive à avoir une cyber-résilience efficace. Pour se faire, il faut correctement comprendre quels sont les processus critiques pour l’entreprise et leurs interdépendances, il faut ensuite évaluer quels sont les risques et dangers liés à ces processus. C’est en effectuant cette démarche de façon systématique que les entreprises peuvent mettre en place un programme de gestion des cyber-risque et établir leur modèle de cyber-maturité. C’est uniquement une fois ces démarches effectuées que les informations récoltées peuvent être traduites en termes techniques ; ainsi, il sera possible de définir les outils et procédures à mettre en place afin de minimiser les risques. Prenons pour exemple une entreprise qui décide de migrer leur ERP (Enterprise Resource Planning) vers le cloud pour faciliter la mobilité et le télétravail de ses employés (décision stratégique afin d’avoir un avantage compétitif). L’ERP a été défini comme un système critique de la compagnie et sa migration dans le cloud l’expose à des nouveaux risques d’accès non autorisés (danger identifié comme non acceptable par la direction). L’équipe cyber peut alors proposer de mettre en place de l’authentification forte, un accès limité aux appareils préautorisés et de l’analytique comportementale sur l’activité des utilisateurs (plan de mitigation).

Conformité VS sécurité

La sécurité et la conformité sont souvent vues comme les deux faces d’une même pièce, et très souvent les conseils d’administration pensent qu’en étant conformes ils seront d’office protégés contre des cyber-attaques : toutefois, ceci n’est pas forcément le cas. La sécurité consiste à mettre en œuvre des contrôles et processus pour protéger les biens. La conformité, à l’inverse, est la validation des points de contrôle afin de répondre correctement aux exigences réglementaires ou contractuelles d’un tiers. La sécurité est adaptée aux particularités et réalités de chaque organisation. Elle se concentre sur l’atténuation globale des risques pouvant nuire à la pérennité de l’entreprise. La conformité mesure si un programme de sécurité répond à un ensemble particulier de normes génériques concernant une industrie ou un secteur d’activité.Aussi, les exigences de conformité changent lentement et de façon prévisible, tandis que le paysage de la sécurité / des menaces est en perpétuel changement ; cela signifie que la conformité est souvent en retard par rapport aux menaces actuelles. Les régulateurs se soucient de la conformité, mais les hackeurs sont opportunistes et exploitent les vulnérabilités ou contournent les règles. C’est pour cela que, même en suivant scrupuleusement les règles de conformité, la sécurité recherchée n’est pas pour autant assurée.

Planifier en cas d’incident

Malgré tous les efforts mis en place par les entreprises afin de se protéger correctement contre les cyber-attaques, des incidents arrivent régulièrement et certaines entreprises se font hacker. Les plans de continuité et de reprise d’activité sont donc des éléments indissociables d’une stratégie de cyber-sécurité. Ces plans permettent à une entreprise de se relever après une cyber-attaque et de retourner le plus rapidement possible à la routine. De nombreuses régulations exigent que le conseil d’administration supervise la mise en place de ces plans. Il faut donc, entre autres, établir la durée maximal tolérable pendant lequel les systèmes informatiques pourraient être perturbés ou dysfonctionnels et mettre en place une stratégie réaliste pour s’y conformer.

Que demander à son équipe de cyber-sécurité ?

Pour que l’équipe cyber d’une entreprise puisse être efficace, le conseil d’administration doit être clair sur son appétit du risque et le niveau de risque maximum que l’entreprise est prête à prendre en vue d’atteindre ses objectifs stratégiques. Des renseignements exhaustifs concernant les craintes (employé malveillant, espionnage gouvernemental, etc.) et la tolérance au risque (travail depuis la maison, portail web pour les clients, etc.) permettront aux responsables de la cyber-sécurité d’effectuer un travail efficace aligné avec les attentes de la direction. Il est important de relever qu’habituellement les indicateurs utilisés par les équipes cyber pour estimer la résilience et la posture de cyber-sécurité de l’organisation ne sont pas directement transférable à une approche business. Afficher sur un PowerPoint la liste et le nombre d’attaques bloquées présente bien, mais n’apporte en pratique qu’une très petite valeur à la conversation. Essentiellement, nous voyons trois points essentiels à présenter à un conseil d’administration :

1. Quelle est la maturité du programme cyber, quels en sont les points faibles et comment ils impactent l’entreprise. 
2. Quelles ont été les activités entreprises par l’équipe cyber afin de résoudre ces problèmes et diminuer ces risques. 
3. Quel est l’avancement du processus et quelles sont les éventuelles complexités à venir (en terme business).

La cyber-sécurité aujourd’hui n’est plus une problématique informatique, mais bien un impératif stratégique. Elle doit s’adapter en permanence à l’innovation de l’entreprise, aux nouvelles attaques, aux besoins des employés et aux exigences des clients. Pour ce faire, elle doit donc être indépendante du département informatique, et le conseil d’administration doit directement et régulièrement s’impliquer dans les stratégies et décisions concernant la cyber-sécurité.

Steven Meyer, ZENDATA

Retrouvez l’article original sur le site de ZENDATA

L’impact global créé aujourd’hui au niveau mondial par la crise du coronavirus doit nous interroger sur la maîtrise de la gestion des risques et la pertinence des méthodes utilisées.

Concernant les risques créés par l’homme, les exemples guerriers ne manquent pas : attaque de Pearl Harbour le 7 décembre 1941, destruction du Word Trade Center et d’autres bâtiments symboliques à New-York le 11 septembre 2001. Cependant, les attaques dues à l’imagination de l’adversaire ne permettaient guère de faire une analyse de risque en tenant compte de la probabilité de l’évènement puisque, par nature, l’ennemi jouait sur l’effet de surprise.

Dans un contexte d’évènements naturels ou d’accidents relevant d’infrastructures critiques (pandémies, inondations, tremblements de terre, accidents liés aux centrales nucléaires, …), la situation est différente puisqu’il existe des cas précédents. Dans cas, on peut bien sûr élaborer une gestion de risques qui tienne compte de ces expériences passées. Pourtant, il faut constater que certaines mesures qui ont été élaborées pour répondre à certaines menaces n’ont pas été très appropriées. Si l’on prend acte des diverses pandémies dans l’histoire de l’humanité, les exemples ne manquent pas concernant le nombre de décès (François-Guillaume Lorrain, 2020)[1] : peste antonine, 3.5 à 7 millions de décès (empire romain – années 165-180), peste justinienne, 25 à 100 millions (années 541-542), grippe espagnole, 20 à 50 millions (années 1918-1919). Plus récemment, le VIH, 32 millions depuis 1981. Dans une moindre mesure, on note également le Stras (2002), la grippe A (H1N1), le Mers depuis 2012 et Ebola (années 2013-2016).  Pourtant, si l’on prend le cas de la France aujourd’hui concernant le Covid-19, une polémique fait débat sur le stock de masques disponibles qui étaient de 1,4 milliards en 2010 et de 117 millions en 2019. Une enquête du Monde (Davet et Lhomme, 2020)[2] montre une dilution des responsabilités, des lacunes de gouvernance avec l’argumentaire d’une logique économique au détriment de la santé de la population. Ces choix structurels ont eu un impact important sur le nombre de décès à ce jour en regard avec la pandémie actuelle. Dans ce cas précis, il n’y a pas qu’une probabilité faible de survenance de la menace qu’il faut considérer mais également le choix des décisions étatiques, lien entre la microéconomie et macroéconomie.

Voici quelques pistes de réflexion en tenant compte des questions suivantes :

1. Est-ce que les évènements improbables (probabilités hors courbe de Gauss) ne doivent-ils pas être reconsidérés ?
2. Est-ce qu’il serait possible de modéliser des scénarios de manière plus robuste ?
3. Est-ce que les méthodologies existantes de gestion de risques sont fiables ?
4. Comment considérer le rôle de l’Etat et les liens micro-économiques ?

Le hasard et les probabilités

Imaginons une personne qui marche dans la rue. Cette personne sait évidement si elle tournera ou pas au prochain croisement. Il n’y a de hasard que pour l’observateur extérieur qui ne peut prédire la loi qui régit les intentions de cette personne. Si on lance des dés, ils « savent » où ils vont aller selon un parcours optimal mais les approximations faites lors de cette mesure sont amplifiées par des effets non linéaires (Philippe Pagot, 2019)[3]. Lorsque l’on répète ces gestes, la loi des grands nombres[4] permet d’élaborer une moyenne qui se stabiliserait autour d’une valeur limite. Par exemple, le lancer d’une pièce pour obtenir pile serait de 0.5 après un nombre conséquent de lancers. Cette loi des grands nombres et le théorème de la limite centrale décrivent le comportement de la moyenne d’un grand nombre de petites contributions indépendantes mais ne tiennent pas assez compte d’évènements rares. Cette courbe en cloche est mise pourtant à contribution dans beaucoup de domaines tels que les sciences sociales, la physique, l’économie, la biologie et plus récemment la sécurité de l’information. Cependant, certains projets d’infrastructures critiques ont tenu compte de cette probabilité rare de la survenance d’une menace pondérée par l’impact. Ainsi, le barrage d’Oosterschelde, aux Pays-Bas, a été conçu pour que la probabilité qu’une marée le dépasse soit inférieure à 1/10’000. La théorie des valeurs extrêmes indiqua que la hauteur des digues devait être de 5 mètres au moins (Cont, 2018)[5].

La prise en compte d’une approche systémique

D’autres exemples sont malheureusement moins heureux. Si l’on prend l’exemple de Fukushima en 2011, des mesures de protection avaient été prises mais avec une mauvaise évaluation de l’impact cumulé d’un séisme de magnitude 9 qui déclencha un tsunami. Autre exemple en 2011, une gigantesque panne de courant dans le sud de la Californie a impacté 1.4 millions de clients avec pour effets : embouteillages sur les autoroutes du sud de la Californie, perturbation de l’approvisionnement en eau dans les comtés de San Diego et de Tijuana, fermetures d’écoles à San Diego, annulation de vols à l’aéroport international de San Diego. En Suisse, une simulation d’un tremblement de terre à Bâle en 2008 a montré que les impacts directs concernaient des blessés et des bâtiments détruits mais également les secteurs suivants : l’énergie, la finance, les télécommunications, le traitement des eaux et les systèmes de transport. La difficulté réside donc dans l’appréciation des impacts en considérant les facteurs de dépendances. Les liens de causes à effets sont multidimensionnels. Les mathématiques et les statistiques permettent de répondre à des scénarios complexes. Ainsi, la modélisation du climat tient de plus en plus compte de l’impact de la végétation et des sols pour établir des scénarios d’évolution (Delbecq, 2019)[6]. Ceci nécessite cependant une très grande puissance informatique. Dans le cas d’une pandémie, des chercheurs ont analysé les facteurs tels que le comportement des microbes, celui des personnes, les liens entre les populations, l’organisation des transports (Poletto, 2019)[7].

Sécurité de l’information : la fiabilité des méthodes de gestion des risques

Dans le cas plus précis du domaine de la sécurité de l’information, il est possible d’être confronté à plusieurs types de situation : des évènements répétitifs qui vont pouvoir ajuster votre probabilité en tenant compte du vécu de l’entreprise. Par exemple, des attaques périodiques passées qui vont permettre de valider la valeur de votre indicateur. Dans le cas contraire, la probabilité de survenance d’un évènement est donc faible. Le nombre proposé est de nature plus subjective et certainement difficilement quantifiable. Nous sommes dans le cas du hasard sauvage. Cependant, de nombreuses méthodes de gestion de risques (Octave Allegro, Mehari, …) utilisent le ratio probabilité x impact. On peut donc légitimement se poser la question sur la véracité des modèles proposés. De plus, les menaces sont souvent considérées selon une approche silo. Ainsi, la norme ISO 27001 vous indique quelles sont les procédures à suivre pour permettre une future certification. Les contrôles sont répertoriés selon une liste exhaustive par chapitres. Par exemple dans la partie annexe : A.8 la gestion des actifs, A.11 la sécurité physique et environnementale, A12 la sécurité liée à l’exploitation. Imaginons cependant le cas d’une inondation dans une salle informatique, qui va affecter un serveur puis les données stockées sur ce serveur. Est-ce que chaque élément doit être traité de manière indépendante ? Dans un domaine très voisin concernant le management des systèmes d’information, de nombreuses publications utilisent des modèles statistiques pour expliquer des dépendances possibles (Frantz Rowe, 2002)[8] depuis de nombreuses années. Aujourd’hui, des auteurs utilisent des méthodes statistiques pour valider leur recherche, y compris dans le domaine spécifique de la sécurité de l’information (Barlette & Jaouen, 2019)[9].

Conclusion

Il semble donc que ce domaine de la prévision soit peut-être plus complexe qu’il n’y paraît, en tout cas, qu’il dépasse les approches classiques que l’on peut répertorier dans des analyses classiques, y compris dans le domaine spécifique de la sécurité de l’information. Il y a lieu d’élaborer des scénarios plus élaborés de gestion de risques en tenant compte de cette approximation concernant la qualité des indicateurs, mais également de considérer des systèmes avec toutes leurs complexités et leurs liens de dépendances. Ceci devrait permettre d’ouvrir de nouvelles pistes de recherche.  

Jean-Luc Pillet, Université de Genève
Membre du comité Clusis

---

[1] François-Guillaume Lorrain, 2020, « Et les puces précipitèrent la chute de l’empire romain … », Le point, N°2486, p. 58.

[2] Gérard Davet et Fabrice Lhomme, 2020, « Masques : comment la France a détruit ses stocks », Le Monde, 9 mai 2020, p. 22.

[3] Philippe Pagot (2019), « Le hasard fait bien les choses », Le hasard et ses lois, La recherche, juillet-août 2019, p. 38

[4] Cette loi des grands nombres, établies au XVIIIe siècle par Jacques Bernoulli, assure que, lorsque la taille de l’échantillon est assez grande, la moyenne empirique de l’échantillon tend vers la moyenne théorique de la variable aléatoire qu’il représente

[5] Rama Cont, « Prévoir l’improbable », Pour la science, février-mars 2018, p. 14

[6] Denis Delbecq, 2019, « La modélisation du climat, gourmande en calcul », La recherche, N°31, p. 78

[7] Chiara Poletto, « Nous modélisons la propagation des virus », Les Maths et le réel, La recherche, N°31, p. 81

[8] Frantz Rowe, 2002, Faire de la recherche en systèmes d’information, Vuibert Fnege

[9] Yves Barlette & Annabelle Jaouen, 2019, « Information security in SMEs : determinants of CEOs’, prospective and supportive behaviors », Systèmes d’information et Management, ed. Eska, N°3, vol. 24 – 2019

Contrecarrer les cybermenaces sur les centrales nucléaires

Des normes internationales et des bonnes pratiques sont nécessaires pour assurer la cyber-résilience des centrales nucléaires. La Commission électrotechnique internationale (IEC) coopère avec l’Agence internationale de l’énergie atomique et d’autres organismes de normalisation, des organisations nationales et internationales, ainsi qu’avec l’industrie nucléaire de tous les pays pour assurer cette cyber-résilience.

par Morand Fachot, rédacteur technique à la Commission électrotechnique internationale (IEC). Journaliste à la BBC sur les questions géopolitiques et technologiques liées à la sécurité internationale (1991-2002) et freelance pour la BBC depuis 2018. A écrit également pour le Financial Times Business Group; analyste média pour la BBC et, depuis 2010, pour l’Association for International Broadcasting (GB).

La protection des infrastructures critiques – une priorité pour tous les pays

La portée et le coût des cyber-activités malveillantes (“cyberattaques”) augmentent dans le monde entier. Outre les pertes financières, les attaques contre les infrastructures critiques suscitent de plus en plus d’inquiétude en raison de conséquences catastrophiques possibles.

Le concept d’infrastructure critique couvre des domaines différents selon les pays. Le gouvernement américain répertorie 16 secteurs d’infrastructures critiques. Trois d’entre eux, les barrages, l’énergie et les “réacteurs nucléaires, matériaux et déchets” sont directement liés aux systèmes électriques. Les listes d’autres pays peuvent être similaires ou regrouper les centrales hydroélectriques et nucléaires et l’approvisionnement électrique dans un seul secteur “énergie”, ce qui est le cas en Suisse.

La protection des infrastructures critiques contre les cyberattaques devient une priorité pour une majorité de pays.

Les installations énergétiques sont au cœur même de l’ensemble de l’infrastructure critique. Ces dernières années, elles sont devenues une cible de choix des cyberattaques, dont certaines visaient, très probablement également, à identifier d’éventuelles vulnérabilités susceptibles d’être exploitées dans l’avenir.

Des réseaux électriques ont été ciblés (Irlande 2017) et même paralysés (Ukraine 2015-2016), ainsi que des installations hydroélectriques (États-Unis 2013) et nucléaires (États-Unis 2014, Inde septembre 2019, etc.).

La compagnie Symantec annonçait, en octobre 2017, une recrudescence des cyberattaques dirigées contre les secteurs de l’énergie en Europe et en Amérique du Nord et affectant, entre autres, des opérateurs de centrales nucléaires aux Etats-Unis.  

Les cyberattaques contre des centrales nucléaires, si elles réussissaient, auraient certainement les conséquences les plus dévastatrices en ce qui concerne l’approvisionnement électrique, mais également en raison d’un impact potentiel très grave et à très long terme sur l’environnement et la santé des populations avoisinantes.

Centrales nucléaires construites pour la sécurité, pas les cybermenaces

Selon Bill Gross, chef de projet principal à l’US Nuclear Energy Institute (NEI), les systèmes d’une centrale nucléaire se divisent en deux catégories principales.

1. Les systèmes primaires qui contrôlent le réacteur lui-même et, si nécessaire, le débranchent et le maintiennent dans les conditions de sureté nécessaires pour le protéger.
2. Les systèmes secondaires qui eux contrôlent les équipements de production d’énergie. Un grand nombre de ces systèmes, construits il y a des années, reposent toujours sur un équipement analogique non connecté au réseau et donc moins vulnérable aux cyberattaques.

“Les systèmes primaires sont conçus dès le départ pour assurer la fonction de sécurité voulue indépendamment de tout type de phénomène naturel ou d’origine humaine. Il n’y a pas de cyberattaque susceptible d’empêcher nos systèmes de sécurité d’arrêter efficacement le réacteur”, car, selon Bill Gross, les systèmes primaires et secondaires des centrales nucléaires sont isolés les uns des autres pour une plus grande protection.

Cependant, les deux systèmes des anciennes centrales nucléaires sont progressivement équipés d’équipements numériques, tandis que les nouvelles centrales sont conçues avec des systèmes primaires et secondaires entièrement numériques.

Protection protéiforme contre multiplicité d’acteurs hostiles et de menaces

Les attaques contre les infrastructures critiques sont fréquentes et peuvent être lancées par une multiplicité d’acteurs – états, organisations non-étatiques ou criminelles et également, dans le cas spécifique des installations nucléaires, activistes antinucléaires.

Sans compter les cyberattaques, la protection des infrastructures critiques, nucléaires en particulier, nécessite des mesures physiques comme le contrôle d’accès aux installations et aux matières radioactives sur site et pendant leur transport, et la prévention des menaces internes (employés, fournisseurs de systèmes et services, etc.)

La cyberprotection des centrales nucléaires exige un ensemble de mesures techniques, l’adoption de normes internationales et de bonnes pratiques de la part des entreprises productrices d’énergie, et de l’ensemble de leurs chaînes logistiques, y compris les prestataires de services, fournisseurs et leur personnel.

Outre l’Agence internationale de l’énergie atomique (AIEA), dont le rôle est d’assurer un usage sûr et pacifique des technologies et des sciences liées au nucléaire, d’autres organisations nationales et internationales s’occupent d’assurer la protection des installations nucléaires, en particulier dans le domaine de la cyberprotection.

Le nucléaire en Suisse – présent et futur

Selon les dernières indications de l’Office fédéral de l’énergie, la part de l’énergie nucléaire dans la production d’électricité en Suisse s’élève à 36% en moyenne annuelle sur 10 ans, avec des pointes pouvant atteindre 47% en hiver. Les cinq centrales nucléaires suisses ont une puissance globale de 3,3 GW. Leur taux d’utilisation annuel avoisine les 83%.

L’accident nucléaire de Fukushima (Japon) de mars 2011, suite à un tsunami, a conduit certains pays à reconsidérer le rôle de l’énergie nucléaire dans leur production d’électricité. C’est le cas de l’Allemagne qui a annoncé en avril 2011 sa décision de se retirer du nucléaire à l’horizon 2020. En Suisse, suite à la votation de mars 2017, le Conseil fédéral et le Parlement décident de sortir progressivement le pays de l’énergie nucléaire, avec la mise à l’arrêt des cinq centrales du pays à la fin de leur durée d’exploitation entre 2019 – en commençant par la centrale de Mühleberg qui a arrêté sa production le 20 décembre 2019 – et 2034. Les autres centrales restant en service “aussi longtemps que la sécurité est garantie” et elles ne seront pas remplacées par de nouvelles centrales nucléaires.

Selon le classement du Nuclear Threat Initiative (NTI), organisme indépendant estimant les risques d’attaques catastrophiques au moyen d’armes de destruction massive (nucléaires, biologiques, radiologiques, chimiques et cyber) la Suisse, avec un score de 80/100, se range dans les pays disposant d’un haut niveau de cybersécurité. Ce classement repose sur les cinq cyber critères suivants: cybersécurité obligatoire, protection des systèmes numériques critiques, cybersécurité pour les menaces de référence [DBT – design basis threats], évaluations de la cybersécurité, dispositif de réponse à des cyber incidents.

Cependant ce bon classement ne doit pas donner lieu à une certaine suffisance en raison de la multiplicité des vulnérabilités et de la détermination de certains acteurs hostiles.

Engagement de longue date de l’IEC dans la cybersécurité

L’IEC est étroitement associée au développement de normes liées à la cybersécurité depuis des années grâce à ses travaux au sein de l’ISO/IEC JTC 1/SC 27, un sous-comité développant les normes internationales pour les Techniques de sécurité informatique, cybersécurité et protection de la vie privée, mis en place par ISO/IEC JTC 1, le Comité d’étude commun pour les Technologies de l’information, créé par l’IEC et l’Organisation internationale de normalisation (ISO), dont le siège, comme celui de l’IEC, se trouve à Genève. A noter que le siège de la troisième organisation globale de normalisation, l’Union internationale des télécommunications (UIT/ITU) se trouve également à Genève. Ces trois organisations forment le World Standards Cooperation (WSC).

ISO/IEC JTC 1/SC 27 a préparé des dizaines de documents couvrant divers aspects des techniques de sécurité informatique, y compris la famille de normes ISO/IEC 270** sur les systèmes de gestion de la sécurité de l’information.

Les centrales nucléaires ont des besoins distincts

Pour combler les besoins spécifiques [manquants] de l’industrie nucléaire, le sous-comité SC 45A de l’IEC: Instrumentation, systèmes de contrôle et systèmes électriques des installations nucléaires, un sous-comité du TC 45: Instrumentation nucléaire, a été chargé de développer des normes spécifiques pour la cyberprotection de ces installations.

Jusqu’à récemment, le SC 45A n’avait pas abordé le problème générique de la cybersécurité des centrales nucléaires. Son objectif a donc été de développer des normes pour prévenir, détecter et réagir aux cyberattaques sur les centrales nucléaires.

Cela a conduit à la publication en août 2014 de la norme IEC 62645, première norme internationale IEC visant à définir “des mesures programmatiques adéquates pour la prévention, la détection et la réaction aux actes de malveillance commis par les cyberattaques” sur les systèmes informatiques des centrales nucléaires.

La deuxième édition de cette norme: “Centrales nucléaires de puissance – Systèmes d’instrumentation, de contrôle-commande [I&C] et d’alimentation électrique – Exigences relatives à la cybersécurité”, a été publiée en novembre 2019.

Ce document précise que “les normes telles que l’ISO/IEC 27001 et l’ISO/IEC 27002 ne sont pas directement applicables à la cyberprotection des systèmes numériques programmables d’I&C du nucléaire. Ceci est principalement dû aux spécificités propres à ces systèmes, qui comprennent les exigences de sureté et réglementaires inhérentes aux installations nucléaires”. Cependant, il est également précisé que “ce document est construit sur les principes pertinents de haut niveau et les principaux concepts de l’ISO/IEC 27002, les adapte et les complète pour qu’ils s’accordent au contexte nucléaire.”

IEC 62645 compare également le cadre de sécurité global à celui développé par le NIST (Institut national de la normalisation et de la technologie, des Etats-Unis).

IEC 62645 couvre les domaines suivants:

• Mise en place et gestion d’un programme de sécurité des systèmes nucléaires. Cela inclut des concepts généraux pour la préparation du programme, des politiques et procédures, des rôles et des responsabilités, la mise en œuvre et le fonctionnement du programme.
• Mise en œuvre du cycle de vie pour la sécurité du système, comprenant les activités liées aux exigences, à la planification, conception, installation, exploitation, maintenance, etc.
• Tous les aspects des contrôles de sécurité, tels que la stratégie, l’organisation de la sécurité, la gestion des actifs, le contrôle d’accès, etc.

IEC 62645, développée pour prévenir et / ou minimiser l’impact des attaques contre les systèmes informatiques, est destinée aux concepteurs et aux exploitants de centrales nucléaires, aux titulaires de licence, évaluateurs de systèmes, sous-traitants et autres.

Il s’agit de la première norme spécifiquement conçue pour la cybersécurité dans les centrales nucléaires. En tant que tel, elle devrait s’avérer essentielle pour le secteur nucléaire.

Deuxième norme traite de la coordination entre sécurité et cybersécurité

Une deuxième norme du SC 45A, IEC 62859, Centrales nucléaires – Systèmes d’instrumentation et de contrôle – Exigences pour la coordination de la sécurité et de la cybersécurité, “fournit un cadre pour la gestion des interactions entre la sécurité et la cybersécurité pour les systèmes de centrales nucléaires traitant de ces questions et des spécificités des systèmes numériques programmables d’instrumentation et de contrôle-commande nucléaire”.

Elle établit des exigences et des directives pour:

• Intégrer les dispositions relatives à la cybersécurité dans les architectures et les systèmes d’instrumentation et de contrôle-commande nucléaire, qui sont fondamentalement conçus pour la sécurité
• Éviter les conflits potentiels entre les dispositions relatives à la sécurité et à la cybersécurité
• Permettre d’identifier et d’exploiter les synergies potentielles entre sécurité et cybersécurité.

Cette norme indique qu’elle adapte et complète les normes ISO/IEC 27001 et ISO/IEC 27002 au contexte nucléaire et est coordonnée avec la série IEC 62443: Réseaux de communication industriels – Sécurité des réseaux et des systèmes, préparé par le TC 65: Mesure, commande et automatisation dans les processus industriels.

Comme les autres normes IEC pour les centrales nucléaires IEC 62645 et IEC 62859 ont été élaborées en tenant compte des “principes et aspects fondamentaux de sécurité énoncés dans le code de l’AIEA sur la sécurité des centrales nucléaires”. La terminologie et les définitions utilisées par les normes du SC 45A sont cohérentes avec celles utilisées par l’AIEA.

La présente norme et les travaux en cours de l’IEC SC 45A devraient apporter une contribution significative à une meilleure protection des centrales nucléaires civiles contre les cybermenaces.

Nous remercions la Revue Militaire Suisse qui a aimablement donné son accord à la reprise de cet article, initialement publié dans la RMS en février 2020.

Depuis le 7 mai 2019, la liste des municipalités infectées, puis paralysées par un logiciel malveillant ne cesse de s’allonger. Après Baltimore et Riviera Beach, le virus informatique a frappé les villes de Zaventem (Belgique) et de Sarrebourg (France). À l’origine de ces attaques, la faille humaine.

À force de devenir «smart», les villes sont-elles armées contre les cyberattaques? La question peut paraître provocatrice, mais elle est légitime. Depuis le 7 mai 2019, la liste des municipalités infectées, puis paralysées par un logiciel malveillant ne cesse de s’allonger. Au point que les experts en sécurité informatique parlent d’épidémie. C’est à Baltimore que lefoyer infectieux est localisé pour la première fois. Au début du mois de mai donc, la ville de la côte est des Etats-Unis apprend sa contamination par un virus informatiquequi paralyse plus de 10’000 ordinateurs municipaux pendant plusieurs semaines. 

Plus de 18 millions de dommages

Baptisé «Robin des Bois», ce virus est capable d’extorquer les utilisateurs en bloquant partiellement leur ordinateur ou smartphone. Il s’appuie sur un outil (Eternal Blue) développé par l’Agence de renseignements américaine (NSA) permettant d’exploiter une faille des systèmes d’exploitation Windows XP et Vista. Mais à quelle fin avec quelles conséquences? À Baltimore, ce sont ainsi plusieurs milliers d’ordinateurs municipaux qui ont été bloqués. Tous contenaient des informations sensibles pour le bon fonctionnement et la sécurité de la ville: messagerie électronique des employés de la mairie, fichiers de travail, données liées aux caméras de surveillance. Selon Henry Raymond, le directeur des finances de la ville, les dommages s’élèvent à plus de 18 millions de dollars. 

La faille humaine

Les cybercriminels identifiés derrière le groupuscule Shadow Brokers ont exigé une rançon de 13 bitcoins – environ 140’000 dollars au cours actuel – à Baltimore afin de lui redonner l’accès à ses informations et services. La ville n’a pas plié, mais le virus s’est démultiplié faisant de nouvelles victimes aux Etats-Unis. Parmi elles, Riviera Beach. Le 29 mai 2019, cette ville de Floride subit les mêmes assauts que Baltimore après qu’un agent de la police municipale ouvre un courriel d’hameçonnage contenant le logiciel malveillant. Riviera Beach a cédé et versé les 600’000 dollars de rançon. Selon le Washington Post, les villes américaines ont subi plus de 170 cyberattaques de ce type depuis 2013, dont une cinquantaine ces deux dernières années.

Le virus touche l’Europe

Puis c’est au tour de l’Europe d’être frappée par l’épidémie. Début juin, la ville de Zaventem, près de Bruxelles est attaquée. Le virus cible tout particulièrement l’équipementier aéronautique Asco. Il paralyse non seulement le siège de l’entreprise, mais également ses filiales au Canada, aux Etats-Unis et en Allemagne. Plus de 1000 employés sont toujours au chômage technique plusieurs semaines après l’attaque. Dans la nuit du 5 au 6 juin 2019, c’est la ville française de Sarrebourg, en Moselle, de se voir rançonner 55’000 euros pour le retour à la normale de ses services municipaux. 

Vers une recrudescence des cyberattaques

Comment interpréter cette vague mondiale de cyberattaques contre les municipalités? Celles-ci ont-elles failli dans la sécurité de leurs systèmes d’information? Faut-il craindre à l’avenir une recrudescence des cas de piratage? Comment s’en prémunir? Selon Gilles Peter, expert suisse au sein de la société Kaspersky et membre du comité de Clusis, ce n’est qu’un début: «Nous allons connaître une recrudescence du nombre et de la puissance de ces cyberattaques. Cela ne fait aucun doute. Aussi longtemps que l’on n’aura pas pris en compte l’aspect humain, il sera difficile de se protéger.» Tous les acteurs de la sécurité doivent donc discuter, s’organiser, former et sensibiliser les entreprises et leurs collaborateurs. «D’ailleurs, la Suisse n’est pas épargnée. La question n’est pas savoir si cela va arriver, mais quand.»

Les réseaux de distribution électrique font partie des infrastructures critiques les plus vulnérables aux cyberattaques

Didier Giarratano : Responsable de la plateforme cybersécurité de Schneider Electric. M.Giarratino est également membre du Certification Management Committee (CMC) du Système d’évaluation de la conformité pour équipements et composants électrotechniques (IECEE), et membre du Groupe de travail (WG 17) sur la cybersécurité de l’IEC Conformity Assessment Board

Défis émergents

Le besoin pressant d’améliorer la disponibilité de l’infrastructure de distribution d’énergie contraint à un changement exigeant un réseau de distribution électrique moderne automatisé. Alors que la demande d’activités numérisées, connectées et intégrées augmente dans tous les secteurs, le défi des services publics est de fournir de manière fiable une énergie reposant sur l’efficacité et la durabilité des sources. Cependant, à mesure que les réseaux de distribution électrique fusionnent et deviennent plus intelligents, les avantages d’une connectivité améliorée entraînent également des risques croissants en matière de cybersécurité, menaçant ainsi de ralentir le progrès. En Europe, les systèmes de distribution électrique ont été conçus à l’origine pour une production centralisée d’énergie et des demandes relativement statiques – et non pas pour gérer des niveaux de consommation ou une complexité en constante évolution. Nous entrons maintenant dans un nouveau modèle énergétique, avec une production plus décentralisée, des sources renouvelables intermittentes (d’origine solaire ou éolienne), un flux d’énergie décarbonisée bidirectionnel et un engagement croissant des consommateurs du côté de la demande.

Modèle décentralisé

Le réseau de distribution électrique est en train de passer à un modèle plus décentralisé offrant davantage de possibilités aux consommateurs et aux entreprises pour intégrer davantage des énergies renouvelables et d’autres sources d’énergie. Par conséquent, les prochaines décennies verront un nouveau type de consommateur d’énergie, capable de gérer production et consommation de manière à réduire les coûts, renforcer la fiabilité et la pérennité selon leurs besoins spécifiques.

L’augmentation de l’énergie distribuée augmente la complexité du réseau. Elle fait évoluer le secteur d’une chaîne de valeur de type traditionnel vers un environnement plus collaboratif dans lequel les clients se connectent de manière dynamique au réseau de distribution, aux fournisseurs d’énergie et au marché de l’énergie. Les technologies et les modèles commerciaux devront évoluer pour que le secteur de l’énergie puisse survivre et prospérer.

La nouvelle grille sera considérablement plus numérisée, flexible et dynamique. Elle sera de plus en plus connectée, avec de plus grandes exigences de performance dans un monde où l’électricité occupe une place plus importante dans l’offre énergétique globale. De nouveaux acteurs seront impliqués dans l’écosystème de l’énergie, tels les gestionnaires de réseaux de transport et de réseaux de distribution, les opérateurs de production décentralisée, les agrégateurs et les prosommateurs.

Régulation et conformité

Le déploiement de la cybersécurité vise à respecter les normes et à se conformer à la réglementation. Cette approche profite à l’industrie en sensibilisant davantage aux risques et aux défis associés aux cyberattaques. Au fur et à mesure que le réseau électrique évolue en complexité, avec l’intégration des ressources distribuées et l’automatisation, une nouvelle approche s’impose, axée sur la gestion des risques. À l’heure actuelle, les parties prenantes des services publics appliquent des processus de cybersécurité appris de leurs homologues des technologies de l’information (IT), ce qui les accroit les risques. Dans l’environnement de la sous-station, les dispositifs propriétaires autrefois dédiés à des applications spécialisées sont désormais vulnérables. Les informations sensibles disponibles en ligne décrivant le fonctionnement de ces dispositifs périphériques sont accessibles à tous, y compris à des acteurs malintentionnés. Ceux-ci, possédant les compétences nécessaires, peuvent pirater un service public et détériorer les réseaux de distribution électrique. Ce faisant, ils mettent également en péril l’économie et la sécurité d’un pays ou d’une région desservis par ces réseaux. Les régulateurs ont anticipé le besoin d’une approche structurée de la cybersécurité. Aux États-Unis, les exigences relatives à la protection des infrastructures critiques de la North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP) définissent les éléments nécessaires à la protection du système électrique. Le programme européen de protection des infrastructures critiques (EPCIP) fait à peu près la même chose en Europe. Chaque jour, nous faisons face à de nouvelles attaques complexes, dont certaines sont organisées par des acteurs étatiques, ce qui conduit à une réévaluation de celles-ci et de l’approche de sécurité globale du secteur.

Intégration IT – OT

En raison de la transition vers des technologies et protocoles de communication informatiques ouverts, tels Ethernet et IP (internet protocol), les systèmes gérant les infrastructures critiques sont devenus de plus en plus vulnérables. Lorsque les exploitants d’infrastructures critiques cherchent à sécuriser leurs systèmes, ils se tournent souvent vers des pratiques de cybersécurité plus matures. Cependant, l’approche informatique en matière de cybersécurité n’est pas toujours appropriée, compte tenu des contraintes opérationnelles auxquelles les entités de services publiques sont confrontées. Ces différences d’approche impliquent que les solutions de cybersécurité et l’expertise reposant sur le domaine informatique soient souvent inadaptées pour les applications de technologie opérationnelle (OT). Les attaques sophistiquées réussissent aujourd’hui à tirer parti de services associés tels informatique et télécommunications. À mesure que les services publics font face à la convergence IT-OT, il devient nécessaire de former des équipes multidisciplinaires afin de relever les défis uniques liés à la sécurisation d’une technologie couvrant IT et OT.

La protection contre les cybermenaces nécessite désormais une activité plus étendue couvrantplusieurs domaines, les ingénieurs, les spécialistes en informatique et les responsables de la sécurité étant tenus de partager leur expertise pour identifier les problèmes et les attaques pouvant affecter leurs systèmes.

Une approche en quatre points

Les experts en cybersécurité conviennent que les normes en elles-mêmes n’apportent pas le niveau de sécurité approprié. Il ne s’agit pas d’atteindre un état de cybersécurité. Une protection adéquate contre les cybermenaces nécessite un ensemble complet de mesures, de processus et de moyens techniques, ainsi qu’une organisation adaptée. Il est important que les services publics réfléchissent à la manière dont les stratégies de cybersécurité des organisations évolueront avec le temps. Il s’agit de rester au courant des menaces connues de manière organisée et itérative. Assurer une défense efficace contre les cyberattaques est un processus continu qui nécessite des efforts soutenus et un investissement annuel récurrent. La cybersécurité concerne les personnes, les processus et la technologie.

Les services publics doivent mettre en place un programme complet comprenant une organisation, des processus et des procédures appropriés pour tirer pleinement parti des technologies de protection de la cybersécurité. Pour établir et gérer des systèmes cybersécurisés, les services publics peuvent suivre une approche en quatre points.

Le Comité consultatif de l’IEC (Commission électrotechnique internationale) sur la sécurité de l’information et la confidentialité des données (ACSEC) travaille sur les mêmes questions, qui sont intégrées dans le Guide IEC 120, Aspects liés à la sécurité – Lignes directrices pour leur inclusion dans les publications.

• Effectuer une évaluation des risques. La première étape consiste à procéder à une évaluation complète des risques en fonction des menaces internes et externes. Ce faisant, les spécialistes en technologie opérationnelle (OT) et les autres parties prenantes des services publics peuvent comprendre où se trouvent les plus grandes vulnérabilités et être en mesure de documenter la création d’une politique de sécurité et la réduction des risques.
• Concevoir une politique et des processus de sécurité. La stratégie de cybersécurité des entreprises de service public fournit un ensemble formel de règles à suivre. Celles-ci devraient suivre la famille de normes du Système de Management de la Sécurité de l’Information (SMSI) de la série ISO/IEC 270** sur les techniques de sécurité informatique, qui fournit des recommandations de meilleures pratiques à adopter en matière de gestion de la sécurité de l’information. Cette série de normes est développée par ISO/IEC JTC 1/SC 27. Ce sous-comité d’ISO/IEC JTC 1, le Comité d’étude commun, créé par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC), élabore les normes internationales pour les Techniques de sécurité informatique.

La politique d’une entreprise de service public a pour objet d’informer les employés, les fournisseurs et utilisateurs autorisés sur leurs obligations en matière de protection des actifs technologiques et informatiques. Il décrit la liste des actifs à protéger, identifie les menaces qui pèsent sur eux et décrit les responsabilités des utilisateurs autorisés et les privilèges d’accès associés, ainsi que les actions non autorisées et la responsabilité qui en résulte en cas de violation de la politique de sécurité. Des processus de sécurité bien conçus sont également importants. À mesure que les fondements de la sécurité des systèmes changent pour faire face aux vulnérabilités émergentes, les processus du système de cybersécurité doivent être examinés et actualisés régulièrement. Un élément clé pour maintenir une base de sécurité efficace consiste à effectuer une évaluation une ou deux fois par an.

• Mettre en oeuvre le plan de mitigation des risques. Il est nécessaire de choisir une technologie de cybersécurité basée sur les normes internationales afin de garantir la mise en place d’une politique de sécurité appropriée et les mesures d’atténuation des risques adaptées. Une approche sécurisée dès la conception basée sur les normes internationales. Celles-ci peuvent aider à réduire davantage les risques lors de la sécurisation des composants du système. Elles comprennent, entre autres, la série de publications IEC 62443 sur la sécurité pour les réseaux de communication industriels et les systèmes de contrôle et d’automatisation industriels (IACS), la série de normes internationales IEC 62351 sur la gestion des systèmes d’énergie et les échanges d’informations associées, et la norme IEEE 1686 pour les fonctions de cybersécurité des dispositifs électroniques intelligents, développée par l’Institut des ingénieurs électriciens et électroniciens (IEEE).

• Gérer le programme de cybersécurité. La gestion efficace des programmes de cybersécurité nécessite non seulement de prendre en compte les trois points précédents, mais également de gérer les cycles de vie des actifs d’information et de communication. Pour ce faire, il est important de conserver une documentation vivante et précise sur les micrologiciels, les systèmes d’exploitation et les configurations. Cela nécessite également une compréhension approfondie des calendriers de mise à niveau technologique et d’obsolescence, ainsi qu’une connaissance approfondie des vulnérabilités connues et des correctifs existants. La gestion de la cybersécurité exige également que certains événements provoquent des évaluations, telles que des points particuliers du cycle de vie des actifs ou des menaces détectées.

Pour les services publics, la sécurité est l’affaire de tous. Les politiciens et le public sont de plus en plus conscients que la sécurité nationale dépend également de la robustesse des services publics locaux. Atténuer les risques et anticiper les vulnérabilités des attaques sur les réseaux et les systèmes de distribution ne consiste pas uniquement à installer des technologies. Les services publics doivent également mettre en oeuvre des processus organisationnels pour faire face aux défis d’un réseau décentralisé. Cela signifie une évaluation régulière et une amélioration continue de leur processus de cybersécurité et de sécurité physique afin de protéger notre nouveau monde énergétique.

Liens :

• Commission électrotechnique internationale (IEC) : https://www.iec.ch/
• Organisation internationale de normalisation (ISO) : https://www.iso.org/
• ISO/IEC JTC 1/SC 27 : Techniques de sécurité informatique : https://www.iso.org/committee/45306.html
• IEC CAB WG 17 – Groupe de travail 17, cybersécurité, du Conformity Assessment Board de l’IEC : https://tinyurl.com/y7e7pnyk
• IECEE CMC WG 31 – Groupe de travail 31, cybersécurité, du Certification Management Committee du Système d’évaluation de la conformité de l’IEC pour les équipements et composants électrotechniques (IECEE): https://tinyurl.com/y98o3vwm
• IEC Advisory Committee on Information security and data privacy (ACSEC): https://www.iec.ch/acsec
• North American Electric Reliability Corporation Critical Infrastructure Protection (NERCCIP): https://tinyurl.com/y96mlp95
• Programme européen de protection des infrastructures critiques (EPCIP): https://tinyurl.com/y9rbqnwy

Normes

• IEC 62443: Réseaux industriels de communication – Sécurité dans les réseaux et les systèmes (Industrial communication networks – Network and system security): https://tinyurl.com/ya9kd238
• IEC 62351: Gestion des systèmes de puissance et échanges d’informations associés (Power systems management and associated information exchange) : https://tinyurl.com/y9rn5fvj
• IEEE 1686: Norme IEEE pour les fonctions de cybersécurité des dispositifs électroniques intelligents: https://tinyurl.com/ycftrj7k