«

»

Mar 04 2014

Quelle sécurité pour les objets industriels connectés ?

L’information technologique grand public s’efforce de susciter l’émerveillement des foules en vantant le monde radieux des objets connectés, comme par exemple les frigidaires qui tiennent à jour le stock des produits, calculent les menus réalisables à partir des ingrédients disponibles et envient des alertes en cas de ruptures de stock, voire déclenchent automatiquement le réapprovisionnement par internet. On connaît aussi le pilotage du chauffage de la maison ou des volets roulants motorisés à partir d’un smartphone.

Fort bien. Mais quid de la sécurité des ces dispositifs et, au-delà, des automates industriels ? C’était le thème de deux conférences du Forum International de la Cybersécurité, l’une sur la sécurité pour les usages et les technologies de demain, l’autre sur la sécurité des systèmes industriels.

A l’horizon 2020 on estime à plus de 20 milliards le nombre d’objets connectés. La question de leur sécurité ne peut donc être éludée. En effet dès aujourd’hui on constate des cyber attaques contre des frigidaires ou des téléviseurs, ceux-ci étant utilisés pour lancer des spams. Cette situation n’est guère étonnante dans la mesure où les constructeurs de ces appareils sont experts dans leur domaine mais pas dans celui de la sécurité informatique. Connecter un appareil constitue un « plus » marketing. Mais y ajouter les dispositifs pour assurer la sécurité du réseau informatique domestique dans lequel il s’inscrit reviendrait à augmenter son prix de façon dissuasive pour l’acheteur. En l’état actuel de la technologie, cette situation apparaît sans issue. “Plus ces objets deviennent grand public, plus il y aura d’opportunités pour les cybercriminels”.

Dans le domaine industriel la situation n’est pas moins alarmante. En 2008 un adolescent de 14 ans, à Lodz dans le centre de la Pologne, avait construit un émetteur à rayons infrarouges permettant de modifier à distance l’aiguillage des rails de trams, comme dans un jeu grandeur nature. Il a ainsi fait dérailler plusieurs tramways, causant notamment un accident qui a fait douze blessés. Cet exemple donne une idée des enjeux pour le monde industriel. La plupart des équipements industriels sont pilotés par des SCADA (Supervisory Control and Data Acquisition), c’est à dire des automates programmables qui ont été conçus par des automaticiens par nécessairement enclins à prendre en compte les aspects de sécurité. Pour ne citer que des sujets sur lesquels il m’ a été donné de travailler, l’automate de pilotage d’une presse d’emballage de produits textiles, le SCADA de supervision d’un réseau urbain de distribution d’eau ou un four de cimenterie sont des équipements industriels potentiellement concernés. Le risque est d’autant plus fort que ces équipements industriels ont une durée de vie longue, sont de conception souvent ancienne et qu’il n’est pas envisageable de les remplacer rapidement pour des raisons économiques évidentes. Face à la soudaineté des attaques, le système de défense doit être mis en oeuvre rapidement; de ce fait il ne peut reposer uniquement sur l’action humaine. Selon les experts de ces question il faut envisager à terme une supervision entièrement automatique de la sécurité, par analyse comportemental des flux par exemple.

Pour faire face à ces menaces l’Agence nationale de la sécurité des systèmes d’information (ANSSI) développe des actions d’information et des guides d’intervention. Selon certains intervenants une attaque massive sur les systèmes industriels est un des principaux cyber risques à ce jour.

4 pings

  1. Quelle sécurité pour les objets i...

    En cybercriminalité tous les moyens sont bons pour se connecter. La révolution annoncée des objets connectés (estimés à 20 milliards à l’horizon 2020) offre autant de portes d’entrée aux malveillants.

    Une fois entrés, le contrôle, le détournement, le vol, de données ou de documents numérisés devient un jeu d’enfant pour les cyber-délinquants ou cyber-criminels.

  2. Quelle sécurité pour les objets i...

    […] L’information technologique grand public s’efforce de susciter l’émerveillement des foules en vantant le monde radieux des objets connectés, comme par exemple les frigidaires qui tiennent à jour le stock des produits, calculent les menus réalisables à partir des ingrédients disponibles et envient des alertes en cas de ruptures de stock, voire déclenchent automatiquement le réapprovisionnement par internet. On connaît aussi le pilotage du chauffage de la maison ou des volets roulants motorisés à partir d’un smartphone.  […]

  3. Quatrième révolution industrielle pour les usines intelligentes | Blog Aurigance

    […] ans. Un sérieux défi sur le plan de la sécurité quand on sait l’ampleur du problème de la sécurité pour les objets industriels connectés, comme le récent FIC 2014 l’a […]

Les commentaires sont désactivés.