La mauvaise nouvelle ? Pour la plupart, les systèmes industriels ne présentent pas de défi particulier pour un pirate. En effet, nombre d’entre eux utilisent des technologies standard qui les rendent assez semblables à des PC : systèmes d’exploitations, antivirus, pare-feu, réseaux IP, connectiques USB, etc. Or, l’histoire récente a démontré la perméabilité des PC aux attaques avancées. En effet, pour des hackers d’un niveau correct, contourner les contre-mesures « classiques » mises en place sur ces machines s’avère être un jeu d’enfant. Pourquoi en serait-il différent sur les systèmes SCADA ? En l’état, il semble raisonnable de considérer que ces systèmes industriels présentent le même niveau d’insécurité que des postes de travail traditionnels.

Compte tenu des enjeux engagés, on peut se demander pourquoi ces systèmes ne bénéficient pas de mesures de protection exceptionnelles. Le rapport de l’ANSSI sur la protection des systèmes industriels pointe du doigt un mythe entretenu sur ces infrastructures : sécurité et sûreté de fonctionnement y seraient antagonistes. De fait, beaucoup de systèmes industriels sont jugés tellement sensibles qu’on ne leur applique pas de correctif de sécurité : la peur de nuire à leur production, un risque court-terme bien tangible, est plus forte que la peur d’attaques informatiques potentielles mais pour l’instant peu observées.
Dans le meilleur des cas, le système sera déconnecté du réseau pour éviter les attaques... une sécurité très limitée, que le ver StuxNet a notamment mise à  mal (on rappellera qu’il utilisait l’USB comme vecteur de propagation).

Alors comment lutter contre ces menaces lorsque l’on à un système industriel ?

Avant tout, comme recommandé par l’ANSSI dans son guide « Maîtriser la SSI pour les systèmes industriels », en prenant soin d’adopter une démarche globale, avec une couche de sécurité à tous les niveaux : intégration, test, requalification suite à des modifications, etc. On notera qu’il s’agit là d’une bonne pratique de sécurité qui peut  (et doit) d’ailleurs s’étendre à tous les systèmes, industriels ou pas.
Reste cependant à se protéger de manière adaptée au contexte spécifique présenté par les SCADA. Typiquement, une approche antivirus par base virale est inadaptée :

-Les mises à jours quotidiennes sont un souci pour ces systèmes (souvent déconnectés du réseau).
-Les bases de signature ont montré leur inefficacité face aux attaques évoluées. Compte-tenu de l’ampleur du risque encouru, faire de ces technologies la pierre angulaire de la sécurité des SCADA est clairement inadapté.

Il convient plutôt d’utiliser des approches (vraiment) proactives, qui permettent de concilier les difficultés de mises à jour et le risque spécifique présenté par les SCADA. On considérera notamment les produits mettant en œuvre des analyses comportementales poussées. Malheureusement, la plupart des produits de sécurité, antivirus en tête, prétendent bénéficier de telles technologies, tout en restant obscurs sur le contenu réel de ces options. Alors comment choisir le bon produit ?

La réponse est finalement assez simple : il suffit de choisir une attaque avancée aujourd’hui bien connue, par exemple Conficker ou StuxNet, et de la confronter à une version suffisamment ancienne du logiciel de sécurité. On simule ainsi à peu de frais une attaque inconnue. Nul doute qu’un éditeur confiant dans sa technologie comportementale pourra fournir ce matériel de test... Sauf que curieusement, le nombre de fournisseurs acceptant de se prêter à ce genre d’expérience lors de maquettes avant-vente est bien, bien faible. Un signe, sans aucun doute possible, que le chemin avant la sécurisation effective des SCADA est encore bien long !

Édouard Viot, Product Manager StormShield, groupe Arkoon