Newsletter Sécurité 17/03 2016, Mais qui a éteint la lumière ?

La veille de noël 2015, les lumières s’éteignent sur une partie de l’Ukraine. Plus de jus ! Faut-il à la lueur d’une bougie aller voir si c’est son disjoncteur qui a sauté ? Non, c’est une panne géante d’électricité qui affecte une vaste région du pays. La faute à « pas de chance » ? Non, la faute à une cyberattaque qui, en s’introduisant dans les systèmes informatiques contrôlant la fourniture d’électricité de l’Ukraine, et en rendant difficile le rétablissement d’un fonctionnement nominal, a bloqué la fourniture de courant et plongé les Ukrainiens dans le noir et dans le froid.

Remontons le temps : 2012, des centaines de centrifugeuses qui produisent de l’uranium enrichi dans l’usine de Natanz, en Iran, explosent en cascade. La faute à un défaut de qualité des centrifugeuses ? Non. C’est suite à un disfonctionnement des contrôleurs chargés de réguler leur vitesse de rotation. Ce disfonctionnement a entrainé un freinage injustifié et trop rapide de ces gros cylindres, très sensibles à une survitesse qui fausse leur axe de rotation et encore plus sensibles à une décélération qui crée une surpression et entraine leur explosion. Stuxnet, un virus devenu célèbre, prenant la main sur les contrôleurs qui régulaient la vitesse des centrifugeuses,  avait provoqué une accélération de leur vitesse de rotation, suivie d’un freinage brutal, tout en captant les signaux d’alerte et les remplaçant par des signaux de bon fonctionnement ! De nombreuses centrifugeuses avaient fait boum et le programme nucléaire de l’Iran avait pris de nombreux mois dans la vue. Mais comment le virus était-il entré ? La centrale de Natanz n’était-elle pas isolée de l’Internet ? Oui évidemment, elle l’était, et ça prouve qu’être isolé de l’Internet n’est pas une assurance qu’une cyberattaque dévastatrice n’arrivera pas.

A travers ces exemples, et on pourrait en citer bien d’autres et on en connaîtra certainement encore beaucoup, on voit qu’en comparaison, la crue centennale de la Seine ne sera qu’un petit épisode humide. On peut comprendre que les opérateurs d’importance vitale qui assurent la sérénité de notre vie quotidienne (énergie, transports, télécoms, santé, finance, défense …) ont du souci à se faire, face aux dangers extrêmes du cyberespace, et doivent déployer des trésors de solutions pour diminuer le risque jusqu’à un niveau, non pas acceptable avec le sourire, mais au moins connu et accepté, voire assuré. Vous aussi vous devriez.

Je termine ce propos peu réjouissant par une déclaration de l'amiral Michael Rogers, patron de la NSA et commandant du cyber-commandement militaire américain, ce mois-ci : « La NSA craint une attaque informatique géante aux Etats Unis. La seule question est quand, et non pas si. Les Etats Unis seront visés par un comportement destructeur contre des infrastructures clef, semblable à ce qu'il s'est passé en Ukraine fin 2015 ».

Ce qui peut arriver aux Etats-Unis peut arriver aussi en France, n’en doutez pas. Pas rassurant tout ça ? En effet mais dissimuler ces dangers ne peut être en aucun cas une solution au problème de cyberattaques sur les SCADA (Supervisory Control and Data Aquisition). Alors mieux vaut savoir…

Et justement pour qu’on sache, Pierre Calais, le lundi 11 avril 18h00-20h00, abordera le sujet « Les enjeux de la cybersécurité dans le monde industriel » lors du Lundi de l’IE du mois d’avril du Cercle d’Intelligence Economique du Medef Ile-de-France. Ce sera dans le grand amphi, au 10 rue du Débarcadère, 75017 Paris (près de la porte Maillot). Pierre Calais est président de la société Stormshield, un acteur majeur de la cybersécurité en France, filiale d’Airbus Defence & Space Cybersecurity. Pierre Calais est un grand connaisseur des solutions de sécurité, en particulier pour le secteur industriel. Bien entendu, comme dans tous nos « Lundi de l’IE » les intervenant restent état de l’art et ne parlent ni de leurs solutions, ni de leur société, mais brossent un vaste panorama de ce qui se fait dans le domaine qu’ils abordent et dont ils sont experts.

Je laisse la plume à Pierre Calais :

« Depuis plusieurs années, les attaques sur les réseaux informatiques se sont multipliées de façon exponentielle et dont les conséquences ont été la plupart du temps des pertes financières parfois très importantes, le vol de données privées sensibles et monnayables ou de propriété intellectuelle. Dans tous les cas, ces attaques ont, dans leur grande majorité, un but financier. Avec son entrée dans le monde ouvert des réseaux informatiques, le monde industriel a découvert qu’il devenait de plus en plus vulnérable à des attaques similaires mais dont le but pourrait ne plus être uniquement financier. En effet, quelles seraient les motifs et les conséquences d’une attaque informatique sur une centrale nucléaire, une usine de traitement de l’eau potable, … ? On imagine facilement que les conséquences pourraient aller bien au-delà de dommages purement financiers mais toucheraient directement à la sécurité des populations. La transformation digitale du monde industriel est inéluctablement en cours et la cybersécurité doit être une priorité absolue de ce processus sous peine d’être exposer à des risques qui pourraient conduire à d’immenses catastrophes. »

Je reprends la plume :

Cet évènement est gratuit, avec inscription obligatoire sur :

http://www.medef92.fr/lundi-de-lie-enjeux-cybersecurite-du-monde-industr...

Je profite de cette lettre pour vous faire part aussi du challenge « THESE 3.0 » organisé par la Réserve Citoyenne de Cyberdéfense (RCC) qui aura lieu à l’Ecole militaire (Paris), le lundi 30 mai. Si vous êtes doctorant avec une thèse que vous allez soutenir en 2016 ou 2017, ou post doctorant avec une thèse soutenue en 2015 et que le thème de vos travaux de recherche concerne la cyberdéfense, dans le domaine des sciences dures (math, crypto…) ou dans celui des sciences humaines, et sous certaines conditions, vous êtes éligibles pour vous présenter à ce challenge. Les candidats pré sélectionnés auront quelques minutes chacun pour expliquer le contenu de leur thèse devant un jury composé de membres de la RCC, de la DGA, du monde universitaire et d’autres entités. Les trois candidats qui auront été les plus convaincants seront récompensés. Que gagneront-ils ? De qui sera composé le jury ? Bientôt une page web vous donnera toutes les précisions utiles et des documents officiels expliquant les règles du jeu seront disponibles. Pour l’instant, si vous êtes intéréssés, réservez votre journée ou demi-journée du 30 mai. La RCC me demande de faire l'interface avec ce, si intéressant, évènement. Vous pouvez me contacter et vous faire connaître par e-mail.

Il y a un autre concours ouvert. Le délégué général de l'AFCDP (Association Française des Correspondants à la Protection des Données Personnelles me demande de vous faire part du concours du "meilleur mémoire AFCDP2016". Là je ne fais que transmettre. Tout est en http://www.afcdp.net/Prix-du-Meilleur-Memoire-AFCDP.

Le Lundi de l'IE du mois de mars fut un grand moment. Le sujet : "La transformation numérique, évolution ou révolution ?". Les intervenants : Abert Aïdan, membre du board de Deloitte France, Benjamin Haziza, sénior manager audit chez Deloitte, Vanessa Vincent, responsable marketing stratégique chez Reed Elsevier et David Chouraqui, Digital entrepreneur. Ce fut un Lundi de l'IE très intéressant pour son contenu et un modèle de passage de relais et de gestion du temps entre les quatre intervenants. Leurs slides seront disponibles, ou le sont déjà sur : http://www.medef92.fr/lundi-de-lie-transformation-digitale.html.

Connaissons mieux le cyberespace et portons l’esprit de cyberdéfense auprès des citoyens (*) c’est cela notre credo et ce pourquoi nous organisons de tels évènements.

Gérard Peliks, président de l’atelier sécurité et VP de Forum ATENA

(*) Slogan de la RCC

AGENDA :

  • Jeudi 7 avril, Espace Saint-Martin (Paris), 8ème édition des GS Days, Lutte défensive : de la détection à la réponse à incident, quelle réalité ? http://www.gsdays.fr/373/actualites/programme-2016/
  • Lundi 11 avril 18h-20h, Lundi de l’IE : Les enjeux de la cybersécurité dans le monde industriel avec Pierre Calais, PDG de Stormshield
  • Jeudi 14 avril 18h30, à Aix en Provence : Lien entre l’histoire et l’Intelligence Economique http://survey.aesatis.com/ACBM/RDV_IE/Ethnos.dll
  • Mercredi 11 mai 19h30 au Sénat PARIS : Soirée networking Forum ATENA autour de Benjamin Loveluck : Réseaux, liberté et contrôles : Une généalogie politique d’Internet. Soirée d'échanges réservée aux membres de Forum ATENA et à leurs invités http://www.forumatena.org/diner-networking-benjamin-loveluck
  • Lundi 23 mai 18h-20h, Lundi de l’IE : Comprendre les Blockchains, les applications aujourd’hui (exemple les Bitcoins) par la promotion 2015-2016 du CHECy (Centre des Hautes Etudes du Cyberespace)
  • Du 26 au 29 mai, 17ème Salon Culture et Jeux Mathématique, place Saint-Sulpice, PARIS 6e : http://www.cijm.org/
  • Lundi 30 mai, Ecole militaire, THESE 3.0 Cinq minutes pour convaincre que sa thèse de doctorat est la meilleure. Challenge organisé par la Réserve Citoyenne de Cyberdéfense