mercredi 28 octobre 2009

SCADA & Cyberwarfare

A signaler une coïncidence troublante, deux articles parus récemment font état des efforts entrepris par l'Union Européenne d'un côté et les USA de l'autre au regard de la protection "numérique" des infrastructures critiques liées notamment à l'énergie.

On note quelques réflexions intéressantes : si en termes stratégiques, multiplier les fournisseurs de gaz a augmenté l'indépendance de l'Europe, en termes de réseau, celle-ci s'est également trouvé plus faible car plus vulnérable.

Pour le reste, il s'agit essentiellement de retours sur la problématique bien connue et maintes fois traitée des SCADA. A noter cependant une différence essentielle entre gaz et électricité : l'un peut être stocké pour gérer les flux de façon optimale alors que l'électricité ne peut l'être. Les risques qui en découlent sont légèrement différents.

Cependant, l'arbitrage ancien reste vrai : les produits utilisés dans les réseaux de gestion ainsi que les contraintes propres à l'exploitation induisent de vrais risques et de vraies vulnérabilités. Pour autant, les exemples à proprement parler d'intrusions dans les SCADA, s'ils existent bel et bien, n'ont pas encore créé des dommages du niveau envisagé par les auteurs. Enfin, les "cyber-terroristes" ne pas procédé à de telles attaques. Ne le peuvent-ils pas encore (alors que des failles existent, sont publiées mais pas forcément patchées) ? Ne le peuvent-ils plus en l'état de la mouvance actuelle ? Ou ne le veulent-ils pas ?

Aux Etats-Unis, la question parait plus centrée sur les questions d'énergie électrique en raison notamment du développement du Smart Grid, un réseau de distribution contenant des éléments dits "intelligents". Ces éléments, informatiques pour la plupart, feront appels à des technologies qui emportent des vulnérabilités supplémentaires à celles déjà existantes. Cet état de fait explique sans doute les appels répétés à des financements fédéraux supplémentaires. On notera par ailleurs que le NIST (un peu notre AFNOR pour la SSI) a publié une série de recommandation adressé aux concepteurs du Smart Grid.

Ainsi, ces problématiques posent une vraie question : celle de l'adoption des modèles de sécurité à des industries possédant des contraintes propres, différentes de l'exploitation de "l'informatique de gestion" que l'on rencontre plus souvent. Question passionnante qui sera sans doute longtemps encore débatue.

Une seconde question se trouve dans un niveau d'analyse : chaque article du genre, bien qu'il apporte des informations nouvelles et instructives, considère comme acquis la volonté et la capacité d'individus ou de gouvernements à procéder à de tels actes. Cela dit, rien ne parait encore s'être produit. Manque de moyens ? de compétence ? de motivation ? Effectivité d'une forme de dissuasion ?

Source : http://www.ensec.org/index.php?option=com_content&view=article&id=219:european-energy-infrastructure-protectionaddressing-the-cyber-warfare-threat&catid=100:issuecontent&Itemid=352

http://gcn.com/Articles/2009/10/28/Smrt-Grid-security-hearing-102809.aspx?Page=2

Aucun commentaire:

Enregistrer un commentaire