Jean-Noël de Galzain, Président d’Hexatrust et CEO Wallix: En France c est pres 600 entreprises de petites et moyennes tailles qui travaillent dans la cybersécurité.

Hexatrust : Entretien avec Jean-Noël de Galzain, Président d’HEXATRUST(1) et PDG de WALLIX GROUP (2)

 

Interview Mots clé

 

galzain

 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 

Stratégie internationale :

« l'avenir des start-up IT c'est de jouer la carte européenne en privilégiant un axe franco-allemand. Pourquoi l'Allemagne ? Simplement en raison d'une histoire commune forte entre nos deux pays qu'il s'agisse des autorités de confiance de type ANSSI et l'équivalent outre-Rhin, des offres de clouds souverains et autres partenariats industriels par exemple ».

RGPD / GDPR :

« Incontestablement, disposer d'un texte commun à 28 ou 27 pays de l'UE renforce la confiance que les entreprises doivent mettre dans les offres IT européennes notamment celles issues de jeunes entreprises de taille petite ou moyenne. C'est aussi un des aspects que nous défendons chez Hexatrust : pousser dans le sens d'une plus grande conformité européenne des solutions proposées par ces start-up. Cela suppose pour Nous une certification obtenue auprès de l'ANSSI par exemple mais pas seulement ; Dans la nature des investissements, des organismes tels que la BPI peuvent jouer un rôle de premier plan ».

 

 

Pérennité des investissements et confiance des clients à propos des start-up « cybersécurité » :

« C'est une question qui revient régulièrement. C'est exact, certaines organisations en sécurité IT de taille moyenne peuvent se faire racheter par des entités non-européennes avec leur expertise, leurs brevets et leurs clients. Il faut se souvenir que cela fonctionne dans les deux sens. Ainsi, de l'autre coté de ' Atlantique par exemple mais aussi en Chine et en Inde de jeunes entreprises IT connaissent un turn-over plus important que les start-upu européennes. Pour Nous, il s'agit d’appliquer en France une stratégie « Dual » qui privilégie une approche projet via des partenariats avec des clients ; Un axe OIV – start-up IT est donc a privilégier avec un cadre réglementaire proche de ce qui se fait dans les contrats avec les organisations militaires par exemple. Il faut pour cela vraisemblablement aménager le droit administratif mais c'est possible ».

 

 

Gouvernance et cybersécurité :

« En matière de gouvernance au sein des entreprises françaises clientes des start-up IT les rôles sont en pleine évolution. Les RSSI par exemple peuvent soit restés proches des problématiques technologiques soit pour certains évoluer vers des postes plus organisationnels en cybersécurité : usages en matière de transparence des sous traitants, traçabilité des données, mise en conformité.. des SIV, sensibilisation, gestion de crise... L'idée pour ces « nouveaux » profils dont un certain nombre existent déjà dans bon nombre de structures c'est de devancer les technologies et rédiger des cahiers des charges organisationnels et plus seulement opérationnels ».

 

 

Hexatrust et OIV :

« Nous pensons avec nos 28 membres (cf: CP des universites d'été voir lien ci dessous) et le succès remporté avec notre village aux Assises 2016 pouvoir proposer un ensemble de services maillon par maillon sur l'ensemble de la chaîne cyberisques pour toutes les entreprises. En France c est pres 600 entreprises de petites et moyennes tailles qui travaillent dans la cybersécurité. Notre expertise est considérable. Nous garantissons avec Hexatrust une mise en conformité des solutions et services proposés notamment auprès d'une clientèle exigeante, les OIV (Opérateur d'importance vitale). En 2017, une partie de notre stratégie va consister à les séduire en renforçant notre action auprès des IT Managers en charge de ces grandes architectures et SIV critiques. Vous savez que bon nombre d'entre eux doivent par exemple faire face aux risques cyber liés aux architectures Scada. Les offres des membres d'Hexatrust répondent à ces demandes avec une fois encore une parfaite conformité technique et réglementaire. Nous préparons à destination des OIV un livre blanc pour faire comprendre au delà de la complexité des problématiques, les solutions que nous maîtrisons et pouvons adapter pour chaque organisation».

Propos recueillis par @jpbichard Cyberisques News 

 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 

 

BONUS:

1 - http://www.cyberisques.com/fr/component/content/article/137-mots-cles-30-reglementation/576-association-hexatrust-enjeux-et-perspectives-de-la-cybersecurite-en-europe

 

2 - http://www.wallix.com/fr/wallix-adminbastion-suite-solution-de-controle-dacces/

 

3 questions : Laurent Allard, PDG de OVH

3 questions : Laurent Allard, PDG de OVH

 

Récemment nommé, Laurent Allard, PDG de OVH livre son approche de la confiance numérique alors qu'OVH amorce un virage stratégique en s'ouvrant au « Business » des objets connectés.

 

Cyberisques NEWS : Quels axes essentiels développez-vous avec votre arrivée à la tête de OVH ?

Laurend Allard : Trois axes : de nouveaux services, une capacité de stockage en forte augmentation et le développement de nouvelles offres de partages des infrastructures a destination de start up. C'est nécessaire c'est le sens de l histoire. Au Moyen Age les villageois savaient répondre aux attaquants jusqu'au jour ou ceux qui les attaquaient ont pris d'autres armes plus efficaces. Du coup les villageois ont fait des châteaux forts et se sont regroupés. Chez OVH nous recevons jusqu'à 450 giga de trafic malsain pour nous attaquer. A ce « débit » certains de nos concurrents ont du renoncer a offrir leurs services lors d'attaques. Pas Nous. Nous nous disposons de ressources fortes pour nous défendre. Nous avions anticipé le château fort.

 

Qui vous attaque ?

Trois grandes « familles » de cyber-délinquants : des sources mafieuses, des sources « étatiques » et des sources « cyber-terroristes ». Je précise qu'il s'agit de tentatives pour nous « mettre à plat ».

 

Les récentes décisions de la Cour européenne sur les limites dans l'usage des accords dits de « Safe Harbor » vous inspirent quelles réflexions ?

Nous regardons avec attention ce qui se passe mais l'hébergement est relativement bien cadré. Nous devons nous organiser. Nous cherchons a nous placer dans des groupements notamment de services. Et nous nous intéressons en tant qu'acteur européen aux futures infrastructures que vont nécessiter les services liés à l'usage des données des objets connectés. C'est le sens des accords que nous passons actuellement avec des acteurs tels que Sigfox. C'est une évidence que le monde va être connecté. Nous voulons devenir une référence avec d'autres partenaires dans le textile notamment et l'informatique embarquée dans les voiture… Précisons que ce seront eux qui seront responsables des données qu'ils pourraient nous confier; Nous touchons a des domaines complexes.

Propos recueillis par Jean Philippe Bichard

 

 

                 Intégralité de l'article réservée à nos abonnés                   

 

 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

 

Abonnement individuel par eMail personnalisé

 

Renseignements This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

 

OVH

 

 

 

Entretien exclusif :  vice amiral  Arnaud Coustillière officier général « cyberdéfense » à l’état-major des armées

Entretien exclusif: vice amiral Arnaud Coustillière, officier général « cyberdéfense » à l’état-major des armées 

   

 IMG 7989

                                                    Vice amiral Arnaud Coustillière 2015 / Paris

 

  

Aujourd'hui, en 2015, quelles types de cybermenaces vous inquiètent le plus pour la sécurité des intérêts français ? Le cyberterrorisme d'un groupe comme Daesh est-il plus inquiétant que le cyberespionnage par des puissances étrangères de certains sites stratégiques par exemple ?

Le groupe que vous évoquez ne dispose pas de techniques et de moyens suffisamment évolués pour nous inquiéter. Ils font de la propagande. Ils doivent garantir leur survie en priorité. En outre le cyberterrorisme n'est pas semble t-il leur mode de fonctionnement. Un Cyber-11septembre ne viendra pas d'eux s'il doit arriver un jour. Le plus dangereux à mes yeux, ce sont les ambitions des nations ou de groupes comme l'Armée Syrienne électronique voire d'associations de type verts radicaux libertaires. Ce qui pourrait nous inquiéter ce sont d'éventuels rapprochements entre groupes. Pour ce qui est du vol d'informations par des moyens cyber, c'est une des missions de l'ANSSI avec le DPSD du Ministère de la Défense de protéger les entreprises et leur patrimoine « sensible »

 

 

Quels chiffres clés pouvez-vous confirmer concernant la cyberdéfense française ?

Le ministère compte actuellement une population de 22 000 personnes pour traiter des problèmes de cyber défense, dont 1200 relèventdirectement d'opérations liées à la cyber-défense. A l'horizon 2018, via le plan de renforcement actuel, ces effectifs passeront à 1600 personnes. Sur ces 1600, 1200 seront concernées par des missions de cyber-protection, homologation, prévention... Pour les 400 restants, ce seront davantage des postes d'experts et d'analystes de la chaîne de cyberdéfense. Mais attention la cybersécurité et l'informatique couvrent tous les services du Ministère de la Défense, ces chiffres sont donc compliqués a expliquer dans leur ventilation.

 

Au plan organisationnel, comment va évoluer l’organigramme de la cyberdéfense en France ?

J'ai à mon état-major une dizaine de personnes. Notre bras armé spécialisé, c'est le CALID (Centre d'analyse et de lutte informatique défensive) qui emploie aujourd'hui une soixantaine de personnes. Il évoluera et sera supérieur à 130 d'ici 2019. Le CALID a des correspondants, les SOC-DIRISI qui passeront de 17 hommes à 30 à l'horizon 2016. Ces SOC-DIRISI constituent des relais auprès de toutes les armées sur l'ensemble du pays. Les centre de cyberprotection des armées (CCPA) homologuent, pilotent, appuient et contrôlent les SI des armées.De plus, chaque armée dispose d'un SOC plus vertical propre à ses problématiques pour nous rapporter leurs informations. En outre, l'Armée de terre a la charge d'une compagnie Cybernétique (120 cyber-fantassins dont 80 % appartiennent à l'Armée de Terre) qui doit ramener au CALID les informations directement issues d'un théâtre d'opérations notamment à l'étranger (exposition à Internet face aux attaquants par exemple). Précisons que dans la Marine, pour un sous-marin les opérations sont traitées par des bases à terre également surveillées par le CALID.

 

Où situez-vous le niveau de notre cyber-défense face aux autres forces militaires cyber dans le monde ?

Il ne faut pas avoir une vision trop conventionnelle de la cyberdéfense. La question c'est dans quel état de préparation serons-nous au moment d'une cyber-attaque ? Nous devançons les pays d'Europe du sud et restons supérieurs à beaucoup de pays européens. Peut-être que les Anglais et quelques pays du nord - je pense à la Hollande au Danemark marquent quelques avantages – mais la France occupe une place de choix. Notre supériorité tient autant aux hommes et moyens qu'aux évolutions réglementaires : le Livre blanc de la défense nationale en 2008, un ensemble de décisions prises au bon moment après Stuxnet en 2010 et 2011 après les problèmes rencontrés suite aux cybermenaces sur Bercy et Areva. Enfin, en 2013, le Livre Blanc deuxième édition est publié suite notamment aux rapports de parlementaires.

 

Il y a eu la création de l'ANSSI en 2009 aussi…

Oui cette agence est dotée d'un budget de 90 millions d'euros. A sa création en 2009, elle disposait de 120 personnes. 550 collaborateurs l'ont rejoint depuis. Ellejoue un rôle stratégique notamment en cybersécurité auprès des OIV (Opérateurs d'importance vitale). J'ajoute que le budget du Ministère de la Défense propre à la Cyberdéfense vient de recevoir un milliard d'euros supplémentaire. Au total, ce budget au plan prévisionnel aura été multiplié par trois entre 2014 et 2019 pour la LPM. Au Ministère de l'Intérieur, récemment un « cyber-préfet » a été nommé pour mettre en place les mesures liées au plan d'investissement d'avenir ainsi que les obligations légales liées à la LPM (Loi de programmation militaire). Un autre plan, le plan d'investissement d'avenir contribue aussi au renforcement des lignes cyber-défense. Bref nous sommes équipés.

 

La LPM contraint les OIV à une mise à niveau en matière de cybersécurité mais « oublie » les autres acteurs : partenaires, sous traitants, fournisseurs… qui constituent en matière de cybersécurité souvent un maillon faible …

Vous avez raison mais c'est un début dans la mise à niveau des entreprises en cybersécurité. Les notions de qualification et de labellisation mises en place par l'ANSSI participent également à cette prise de conscience générale. Que de grands OIV comme La Poste, EDF... achètent des solutions de sécurité, cela a un effet d’entraînement non négligeable pour un éco système. Il faut que nos entreprises et industriels en profitent.

 

Pourquoi faut-il publier des lois pour contraindre à davantage de cyber-sécurité des organisations sensibles telles que des OIV ?

Le monde évolue il faut se sécuriser davantage. L’État est obligé de réguler si les prises de conscience ne sont pas prêtes dans les faits. L'autre mission de l’État c'est aussi via l'ANSSI de publier des guides destinés aux PME /PMI par exemple. La labellisation des produits est aussi un gage de confiance. Cela dit, les mentalités évoluent. Des associations professionnelles telles que le MEDEF, les maires de France, les Régions se mobilisent de plus en plus. C'est important. Je suis convaincu qu'il ne peut exister de prise de conscience sans messages martelés. Certaines régions sont naturellement placées au cœur de la doctrine cyber comme en Bretagne et dans le Var avec Toulon et la flotte française. Les députés « locaux » sont extrêmement sensibilisés. Avec la région Bretagne un pacte d'avenir de la Région a été signé ainsi qu'un pacte cyber. Cesengagements ont été signés à partir de la Bretagne mais pas uniquement pour cette région, d'autres suivront.

 

Qu'est ce que le pacte cyber-défense ?

Le Pacte Cyber Défense recense 50 mesures pour changer les mentalités vis à vis de la cyberdéfense. L'un des outils de ce pacte c'est la mise en place d'un Pôle de compétence Cyber. En Bretagne quatre pôles existent : R&D DGA_MI (ancien CELAR) 400 ingénieurs de haut niveau dés 2017 et des renforcements à venir, Quartier de la Maletière (deux compagnies guerre électronique et cyberdéfense et l'antenne du CALID en Bretagne avec 50 personnes). Sur Cesson-Sévigné, formation et instruction sont à l'honneur avec l'école de transmission de l'armée de Terre inter-armées en lien avec les autres écoles Télécoms Bretagne, universités…Dernier Pôle, Saint-Cyr Coëtquidan, un centre de formation avec une chaire Master également dédié aux exercices avec la collaboration de la socté DCI. Toujours en Bretagne, un club a été créé avec des entreprises partenaires à Brest, Laval… notamment pour participer à la formation. Un catalogue important existe pour le Pole Excellence Formation en Bretagne. A Toulon des initiatives existent aussi. A Toulouse un colloque récent « cybersécurité et territoire » a réunit beaucoup d'associations et entreprises.

 

Vous évoquez la Marine nationale. Un colloque récent s'est tenu à Paris sur Cybersécurité en environnement maritime (Lire l'article dans Cyberisques NEWS). La plupart des bâtiments sont des systèmes embarqués au plan informatique avec des systèmes d'automatismes industriels de type SCADA encore peu sécurisés mais stratégiques pour le fonctionnement et la sécurité des bateaux. Doit-on redouter des cyber-menaces précises pour les bâtiments de la Marine, leurs systèmes de communication et navigation comme AIS ?

S'il est vrai que les architectures SCADA offrent de trop nombreuses vulnérabilités, ce n' est pas le cas sur nos bateaux (Lire le lien en section BONUS en fin d'article). Les automatismes ont été les parents pauvres de la sécurité. Les automaticiens vont évoluer. Nous finançons beaucoup de travaux à hauteur de 9 millions d'euros pour sécuriser des SCADAS avec des investissements auprès d'acteurs français.Des sondes dédiées aux architectures SCADA vont apparaître. Cela dit pour faire une attaque sur des SCADA il faut une certaine culture technique.Quant à AIS, c'est un système public et nous disposons d'autres solutions plus sécurisées. Les militaires ne sont pas obligés d'utiliser l'AIS. Nous avons notre propre réseau bien évidemment avec des systèmes chiffrés compatibles avec les paramètres de l'OTAN.

 (lire aussi au sujet de SCADA: http://www.cyberisques.com/en/mots-cles-12/387-2015-annee-de-la-securite-scada )

 

On sait aujourd'hui qu'il n'existe pas de conflit sans cyber-conflit en parallèle. En matière de Cyberdéfense, existent comme dans toutes les doctrines militaires des volets défensifs et des volets offensifs. Vous n'évoquez pas les cyber-armes dont disposent vos cyber-troupes. Au delà de la discrétion normale pour ce type de sujet, pouvez-vous préciser sur quelle cyber-force de dissuasion avec quels moyens la cyberdéfense française repose ?

Il y a un effort de formation et de sémantique à faire. Le mot attaque par exemple ou le mot guerre sont souvent mal employés tout comme les degrés d'attaques. Nous proposons des schémas d'attaques en pénétration du vert au rouge du défacement aux cyber-attaques étatiques très ciblées avec des impacts plus ou moins importants sur l'opinion publique ou des OIV. Il faut distinguer la cyberguerre de communication de la cyberguerre étatique. Il faut expliquer en fonction du niveau de gravité les nuances. Vu de l'extérieur ça peut sembler complexe d'autant que la Cyberdéfense touche aux intérêts de la Nation. C'est aussi ce qui nous distingue de l'ANSSI plus en charge des attaques sur les entreprises.

 

Parfois les missions de l'ANSSI peuvent concernées des acteurs qui relèvent aussi de votre compétence, notamment lorsqu'il s'agit d'OIV stratégiques pour la nation…

Oui bien sur. Dans ce cas, nous savons établir une coordination efficace. Mais la tête de chaîne c'est l'ANSSI. En revanche l'aide a un industriel attaqué çà peut être le DPSD, l'ANSSI et Nous. Ça dépend où se place la cyber-menace dans de l'échelle géographique entre autres.

 

En 2007, des stations radars ont été neutralisées par Israël pour mener à bien une mission avec ses avions de chasse en territoires ennemis. Les forces de cyberdéfense françaises peuvent elles aussi mener de telles missions. Est-ce déja arrivé ?

Le Livre Blanc annonce une capacité offensive possible. Le cybersespace est un espace comme un autre entre attaquants et défenseurs. L'effet final d'une mission « radar » existe toujours. Le ciblage intègre des opérations de ce genre. Toutefois, en 2015, il faut tenir compte des durcissements des systèmes radar. Première mission pour moi: les capacités offensives servent en cas d'attaques majeures sur l’État Français. Elles peuvent servir a caractériser et identifier l'attaquant. Deuxième mission : elles accompagnent les opérations militaires.

 

Ce qui signifie...

La doctrine Française est connue. Les capacités offensives relèvent du Ministère de la Défense : « face aux agressions informatiques pouvant menacer les intérêts stratégiques de la France la doctrine préconise de renforcer sa posture défensive sous l'autorité du Premier ministre et avec le soutien de l'ensemble des ministères et en particulier en donnant un rôle central à l'ANSSI. Si l'attaque est considérée comme menaçant les intérêts stratégiques du pays, la France peut répondre par tous moyens a sa disposition » Il n y a pas que la réponse informatique.

 

C'est un peu en opposition avec la mission confiée à la Cyber-armée que vous dirigez ?

Non la future guerre est globale. Regardez l'affaire Sony. Obama

est intervenu. Des choses cachées sont peut être a l'origine d'une « affaire publique ». J'ai une campagne avec des attaques informatique il ne faut pas forcément répondre par une riposte informatique. Un réseau électrique interrompu est-ce une attaque informatique ? Il faut donc enquêter et éventuellement donner un avertissement mais ce n'est pas une riposte. Et si la riposte doit se faire ce n'est pas forcément via des cyber-armes. Le volet non cynétique est important. L'arme informatique est une options complémentaire sur la palette traditionnelle. Le ministre dit qu'une 4eme armée cyber est un nouvel espace de combat au coeur des armées dans une logique de « forces spéciales ».

 

Celà dit STUXNET et d'autres sont des cyber missile militaires, vous ne pouvez le nier. Combien de Stuxnet Français existent en 2015 ?

Pour Nous çà relève du Ministère de la Défense et c'est une arme. La cyber-arme a une particularité c'est que le jour ou elle est utilisée elle appartient à la communauté. Car elle devient connue. Comme pour les vulnérabilité on en a besoin. Une arme informatique c'est un vecteur et c'est une charge. Pour concevoir un cyber-missile il faut savoir par ou il doit passer. Des entreprises se spécialisent sur ce type de commerce. Certaines sont parfois « border line » à mes yeux et l’État peut afficher sa méfiance vis à vis de certaines pratiques privées dans le commerce des vulnérabilités.

 

Quelles leçons tirez-vous des exercices DEFNET ?

Nos objectifs sont dépassés, je suis donc très satisfait. Nous capitalisons sur les infrastructures mises en place par cet événement. A chaque fois nous franchissions une marche c'est le début d'un chemin. DEFNET 2015 a la différence de DEFNET 2014 c'est une cellule de crise avec moins de simulation d'environnement extérieurs mais davantage de cellules de crise. Les forces terrestres ont joué un rôle important tout comme la réserve opérationnelle. Trois gros TP a des endroits différents et des Ecoles différentes ont participé à des cyber-scénarios. Trois types de formation différentes pour trois exercices différents. Les différences de culture entre Ecole est un élément intéressant. Pour DEFNET 2016, un cycle d'exercice plus orientés OTAN se fera notamment avec des centres d'excellence en Estonie. Différentes équipes françaises participeront dont le CALID et DIRISI. Une autre exercice Cybercoalition va se tenir aussi ainsi que le PIRANET de l'ANSSI.

 

Dernière question : quelle est celle que vous auriez aimé que je vous pose ?

Mes projets prioritaires pour 2016 peut être. Ma réponse c'est de faire avancer le chantier de la politique RH globale en matière de cyberdéfense. Comment opérer dans le cyberespace par exemple ? Se protéger, se défendre, agir, se renseigner. Des métiers classiques a définir dans la cyber-armée a partir des autres armées.

 

... 

Propos recueillis par Jean Philippe Bichard  cyberisques NEWS    

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements This email address is being protected from spambots. You need JavaScript enabled to view it.

 

BONUS: 

Lire aussi: SCADA en milieu maritime: http://cyberisques.com/fr/mots-cles-12/408-scada-et-milieu-maritime-une-cybersecurite-strategique

Lire aussi Opération DEFNET: http://www.cyberisques.com/mots-cles-15/430-cyberdefense-fausses-alertes-pour-vrais-cyberisques-pour-defnet-2015

 

 

SCADA: Ruchna Nigam, Chercheur en sécurité au sein des FortiGuard Labs de Fortinet

Opinions: Ruchna Nigam, Chercheur en sécurité au sein des FortiGuard Labs de Fortinet

 

Comprendre les attaques en environnement SCADA

 

L’attaque informatique menée en 2010 à l’aide du virus Stuxnet contre l’arsenal nucléaire iranien reste à ce jour la meilleure illustration de la vulnérabilité des systèmes industriels de type SCADA (Supervisory Control And Data Acquisition). Reste que cette attaque invite à s’interroger : depuis combien de temps ces menaces existent-elles ? Quels sont les moyens à disposition des cybercriminels pour cibler les systèmes industriels ? Quels sont les impacts de ces attaques ?

 

 1200x-1

 

Ruchna Nigam, Chercheur en sécurité au sein des FortiGuard Labs livre son avis d’expert sur les attaques ciblées SCADA. SCADA est un terme générique qui décrit des systèmes utilisés de contrôle des équipements physiques. Ces systèmes permettent de nombreuses applications industrielles, qu’il s’agisse de piloter des turbines électriques, gérer les pipelines d’eau ou de gaz, contrôler les détecteurs de métal dans les aéroports et autres espaces publics, ou encore garder la main sur des processus de chauffage, de climatisation ou de consommation énergétique. Qu’une attaque ciblant de tels systèmes puisse aboutir à des dommages particulièrement lourds font des systèmes SCADA des cibles privilégiées pour les hackers. Malheureusement, il aura fallu une attaque de l’ampleur de Stuxnet pour sensibiliser les acteurs industriels aux impacts destructeurs de ces cybermenaces. Si les attaques ciblant les ordinateurs résultent généralement dans des dommages immatériels, Stuxnet, en revanche, témoigne de la puissance de frappe des vers et virus, véritables menaces pour les données corporate, mais aussi pour les systèmes de gestion d’eau, la production des produits chimiques ou les infrastructures d’énergie. Stuxnet, cependant, n’est pas le seul virus à cibler les environnements SCADA.

 

Voici un panorama d’attaques ciblant les environnements SCADA, répertoriées en trois catégories :

Attaques non confirmées 1982 : la première attaque ciblée pourrait bien dater de 1982. Selon le “Dossier Farewell”, la CIA américaine aurait été impliquée dans la vente de produits et d’équipements « modifiés » à l’Union Soviétique. Un cheval de Troie, introduit dans ces équipements, a abouti à l’explosion d’un pipeline transsibérien de gaz. Cette “attaque” n’a jamais été officiellement confirmée dans le dossier Farewell, qui se contente de mentionner des turbines défectueuses, sans parler de l’accident.

1999 : D’après certaines informations, le géant pétrolier russe Gazprom, aurait été ciblé à l’aide d’un cheval de Troie déployé sur leur plateforme de gestion des pipelines. Cette attaque aurait permis de mettre à l’arrêt le contrôle des flux de gaz pendant quelques heures. A noter que cet incident n’a jamais été reconnu par Gazprom.

Cibles collatérales

De nombreux systèmes SCADA ont été attaqués fortuitement par des virus qui ne les ciblaient pas en particulier.

2003 : la centrale nucléaire de Davis-Besse et CSX Corporation, aux États-Unis, ont été victimes des vers Slammer et Sobig respectivement. Slammer a abouti à un déni de service et a ralenti le réseau, tandis que Sobig a initié des campagnes de spam email. Dommages physiques: aucun pour la centrale Davis-Besse, mais Slammer a mis le réseau SCADA à l’arrêt chez un autre acteur des Utilities resté anonyme. Le virus Sobig a infecté un ordinateur du siège social de CSX Corporation, mettant à l’arrêt les systèmes de signalisation et d’aiguillage notamment, entraînant des retards importants dans la circulation ferroviaire.

2004 : Des acteurs du transport tels que British Airways, Railcorp et Delta Airlines ont été ciblés par le ver Sasser qui a su exploiter une vulnérabilité entraînant un dépassement de tampon et l’infection d’autres systèmes vulnérables. Certaines variantes agressives auraient causé des congestions du réseau. Dommages physiques: retard pour les avions et les trains, voire des annulations dans certains cas.

2009 : la marine française a été victime du ver Conficker qui s’est infiltré via une vulnérabilité ou a détourné des identifiants/mots de passe administrateur pour s’installer. Le ver s’est ensuite propagé vers des machines tierces vulnérables pour y installer des malware supplémentaires. Dommages physiques: téléchargement impossible de plans de vol, entraînant un confinement au sol d’avions.

Attaques ciblées reconnues

Voici un exemple d’attaques conçues sur mesure pour cibler les systèmes SCADA.

2009 : Exxon, Shell et BP comptent parmi les géants du pétrole, du gaz et de la pétrochimie à avoir subi le virus Night Dragon dont l’infection est liée à une campagne de spear phishing. Le virus a permis une prise de contrôle à distance des systèmes infectés par les assaillants. Dommages physiques: aucun, bien que, selon certaines sources, les assaillants auraient détourné des schémas d’exploitation de systèmes SCADA, ainsi que des données.

2010 : Stuxnet est un ver informatique utilisé pour espionner et reprogrammer les systèmes industriels du site nucléaire iranien de Natanz. Ce virus a su intercepter et modifier les données d’un automate programmable. Dommages physiques : Destruction d'un cinquième des centrifugeuses nucléaires en Iran.

2014 : voici deux virus identifiés comme actifs en 2014 mais n’ayant donné lieu à aucun signalement par les organisations impactées. Havex était proposé en tant que mise à jour (infectée par un cheval de Troie) pour les systèmes SCADA, à partir de sites Web piratés de fournisseurs. Le virus analyse le réseau local à la recherche de serveurs qui collectent des données à partir d’équipements industriels, puis route ces données vers un serveur Command & Control. Les motivations des hackers : l’espionnage industriel et le détournement de données. Dommages physiques : aucun Blacken, identifié sur le serveur Command & Control d’un botnet existant, cible les utilisateurs du logiciel SCADA GE Cimplicity et installe des exécutables dans le répertoire du logiciel, dont certains sont des bots administrés à distance. Le malware identifie également les fichiers de conception de Cimplicity, mais l’utilisation précise qui en est faite n’a pas été identifiée à ce jour. Dommages physiques : aucun connu à ce jour Enfin, selon un rapport du Bureau de la Sécurité Informatique allemande, une attaque ciblée sur le réseau informatique d’une aciérie Outre-Rhin s’est soldée par un impact particulièrement lourd. Les assaillants ont utilisé des emails de spear phishing et des techniques évoluées d’ingénierie sociale pour accéder au réseau de l’aciérie, puis à son réseau industriel. Le rapport souligne l’expertise technique des hackers, en matière de réseaux IT traditionnels, mais aussi sur le terrain des systèmes industriels et des processus de production. Dommages physiques : si le rapport livre peu de détails sur le malware en lui-même, il révèle néanmoins le lourd impact de l’attaque sur les modules de contrôle, mettant à l’arrêt un haut-fourneau et causant des dommages majeurs.

Au final, sur la base des exemples présentés ci-dessus, les attaques sont encore loin d’être généralisées, en dépit de cibles SCADA particulièrement lucratives. En dehors de Stuxnet et du virus ayant ciblé l’aciérie allemande, les attaques n’ont pas engendré de destructions matérielles. La raison ? Ces attaques sophistiquées nécessitent un savoir-faire technique évolué, une parfaite connaissance de l’infrastructure ciblée, ainsi que des ressources financières importantes, ce qui n’est pas le cas pour tous les cybercriminels. En se penchant sur l’évolution de la cybercriminalité, nous pouvons néanmoins nous attendre à une recrudescence des attaques destructives, ce qui invite plus que jamais les entreprises à s’y préparer.  

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

 

Voir le profil de Jean Philippe Bichard sur LinkedIn

Cyber-chantage: Aujourd'hui 23 décembre 2014, à 15h le « groupe anti nucléaire » a diffusé via le réseau social Twitter quatre fichiers incluant des plans des réacteurs 1 et 2 de la centrale de Kori

 

Centrale nucléaire cyber-attaquée: quatre nouveaux documents publiés 

 

Que se passe t-il lorsque des cyber-attaquants utilisent les technologies les plus récentes pour attaquer des sites stratégiques via de «  vieilles » infrastructures de type SCADA ? (lire : http://www.cyberisques.com/mots-cles-12/387-2015-annee-de-la-securite-scada ). Ça peut donner naissance à de très graves problèmes surtout lorsqu'il s'agit d'une cible telle qu'une centrale nucléaire. C'est l’expérience qu'a vécue la Corée du Sud le 9 décembre dernier. Et ce n'est pas fini. On vient d'apprendre aujourd'hui 23 décembre 2014 que suite à cette cyber-attaque de nouveaux documents internes de Korea Hydro & Nuclear Power Co. (KHNP), comprenant des plans de réacteurs nucléaires, ont été publiés sur Internet. C'est la cinquième publication depuis le 15 décembre.

(lire aussi: Operation Cleaver sur cyberisques.com pour les abonnés)

Les responsables du nucléaire sud-coréen ont cherché à se rassurer. Korea Hydro and Nuclear Power (KHNP) a organisé les 22 et 23 décembre des exercices de prévention contre les agressions informatiques. Une décision prise à la hâte, en réaction à l’attaque dont l’entreprise publique, branche chargée du nucléaire au sein la Compagnie d’électricité de Corée (Kepco), a été la cible le 9 décembre. Un peu tard visiblement et surtout sans effet pour les cyber-attaquants.

En effet, coté cyber-attaquant, les diffusions de documents confidentiels continuent selon une méthode proche de celle employée par les cyber-attaquants de la firme SONY Picture (lire : http://www.cyberisques.com/fr/component/content/article/78-mots-cles-promotionnels/386-hack-sony-heureusement-que-ces-types-n-etaient-pas-la-quand-chaplin-a-fait-le-dictateur ).

 

Aujourd'hui 23 décembre 2014, à 15h le « groupe anti nucléaire » a diffusé via le réseau social Twitter quatre fichiers incluant des plans des réacteurs 1 et 2 de la centrale de Kori et des réacteurs 3 et 4 de la centrale de Wolsong. Objectif : arrêter le fonctionnement des premiers et troisièmes réacteurs à Kori. Cette demande sorte de cyber-rançon est « classique » lors de cyber-attaques. Généralement les cyber-attaquants utilisent la méthode « classique » de Ramsomware (cf section BONUS en fin d'article). A noter que comme pour SONY Pictures, en plus de documents « techniques » des informations personnelles d’employés de KHNP sont également publiées. C'est une tendance forte de ces derniers jours de 2014 : la prise en « otage » de données personnelles dans le patrimoine immatériel des entreprises. Une technique de plus en plus utilisée pour d'une part isoler la direction de l'organisation et d'autre part disposer d'une levier de chantage supplémentaire auprès de chaque collaborateur. Une approche qui si elle réussit peut permettre d'intensifier les process de « social ingineering » technique ancienne mais encore très employée par les cyber-attaquants.

 

...CYBERISQUES-JP-BICHARD-TARGET

 

Pour en savoir plus sur cet article et accéder à votre contenu personnalisé profiter de notre offre

 

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

 

Abonnement individuel par eMail personnalisé 40 envois / an

 

offre spéciale anniversaire 887 Euros* au lieu de 1199,00 Euros

 

offre spéciale anniversaire : http://www.cyberisques.com/fr/subscribe

 

Cyber Risks & "Business impact": il ont subi des cyber-attaques d'envergure en 2014: SONY, MICHELIN, JPMORGAN CHASE, TARGET, HOME DEPOT, ORANGE...

 

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel de la veille "Business & Cyber Risks" stratégique pour les dirigeants et membres des COMEX: synthèse rapide de l'essentiel de l'actualité de l'économie numérique mondiale, sélection des chiffres indispensables, financement des cyber-risques, cyber-assurance, protection juridique des dirigeant,protection des actifs immatériels, SCADA, solutions et investissements Secure IT stratégiques et cyber taskforce, protection et maitrise de données critiques des users VIP, veille cyber risks juridique et réglementaire, interviews stratégiques exclusives, jurisprudences, cyber-agenda... dans la boite mail de votre choix.

 


Pour suivre la première VEILLE "BUSINESS & CYBER RISKS"

 

http://www.cyberisques.com/fr/subscribe

 

Pour retenir les informations stratégiques, prévenir et couvrir financièrement vos actifs immatériels critiques, le service VEILLE "Business & Cyber Risks" de Cyberisques.com vous informe personnellement par une sélection rigoureuse et des analyses rapides et sans concession des meilleurs experts.

 

L'information c'est ce qui réduit l'incertitude et nous le savons, l'incertitude a un prix élevé. Gagnez du temps et de l'argent en étant le premier informé. 

 

...

 

 

Signée par un « président d’une organisation antiréacteur nucléaire, basée à Hawaï », la cyber-attaque aurait donnée accès à de multiples informations dont les données personnelles de près de 11 000 employés en plus des plans de réacteurs et de leurs circuits de refroidissement. Le 21 décembre, le groupe de cyber-attaquants a menacé de de nouvelles informations si les trois réacteurs, deux de la centrale de Kori et un de celle de Wolsong, dans le sud-est du pays, n’étaient pas arrêtés le jour de Noël.

Comme pour la cyber-attaque sur le patrimoine immatériel de SONY Picture, l’implication de la Corée du Nord a été évoquée sans qu'aucune preuve ne soit fournie. Selon la dépêche de l'agence Yonhap, plus grande agence de presse de la Corée du Sud : « Le malware utilisé ressemble beaucoup à celui employé dans l’attaque contre Sony Pictures », estime l’armée sud-coréenne qui envisage de se doter d’une « cyberdivision » pour lutter contre le piratage informatique. Prudence, dans ce cas comme pour la cyber-attaque sur le patrimoine immatériel de Sony Pictures, malgré les déclaration de certains responsables, aucunes preuves sérieuses n'existent à ce jour pour permettre d'identifier les origines de la cyber-attaque.

 

 

Photo-Getty-Sud-Corée-Nucléaire

 

 

La présidente de Corée du Sud Park Geung-hye a appelé aujourd'hui le gouvernement à renforcer la cybersécurité des réacteurs nucléaires et autres infrastructures importantes de l’Etat. La présidente Park a exhorté les officiels à «vérifier de nouveau les mesures contre le cyberterrorisme ciblant les établissements clés du pays, incluant les réacteurs nucléaires». Ces récentes cyber-attaques qui interviennent durant les derniers jours de l'année 2014 démontrent dans ces deux cas que ni les firmes ni bon nombre d'Etats ne semblent réellement préparés - du moins officiellement - face à ce type de cyberterrorisme. Et c'est bien là tout le problème. Une alerte qui doit être prise très au sérieux par l'ensemble des acteurs de la communauté nucléaire alors que le français AREVA vient de conclure un contrat important en Chine pour la fourniture de l’instrumentation du cœur de quatre réacteurs nucléaires. En France, les OIV (Opérateur d'importance vitale) ont obligation de faire remonter à l’ANSSI (Agence nationale de la sécurité des SI) les attaques et dysfonctionnements de leurs systèmes de sécurité. Les OIV devront êtres soumis à des audits par des agents de l’ANSSI ou des prestataires extérieurs. Des décrets d'applications sont attendus. Pour l'heure, l’ANSSI a mené une expérimentation courant 2014 afin d’évaluer la sécurité des systèmes industriels SCADA. Résultats : la plupart d’entre eux sont très mal sécurisés (cf BONUS).

Jean Philippe Bichard @cyberisques

 

 Target-List-2015-CYBERISQUES-1

BONUS :

http://www.forbes.com/sites/symantec/2014/12/08/ransomware-7-dos-and-donts-to-protect-your-business/

http://www.usinenouvelle.com/article/qu-y-a-t-il-a-voler-dans-les-ordinateurs-d-areva.N159883

http://www.ssi.gouv.fr/fr/menu/actualites/l-anssi-publie-des-mesures-visant-a-renforcer-la-cybersecurite-des-systemes.html

  

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information