Cyber-sécurité du nucléaire : où en est-on ? (Tribune)

Face aux risques, réels, de cyber-attaques des installations nucléaires partout dans le monde, Loïc Guézo (Trend Micro) revient sur les solutions à mettre en oeuvre pour les éviter.

Si l’Agence Internationale de l’Energie Atomique (AIEA), créée en 1957 sous l’égide de l’ONU, encourage et facilite le développement de l’énergie atomique à des fins pacifiques, elle favorise aussi la recherche et se préoccupe depuis quelques années de cyber-sécurité. L’organisation a ainsi pour objectif de fournir aux Etats des conseils et des ressources pour détecter et répondre aux cyber-attaques, ciblant ou impliquant une infrastructure ou une activité se rattachant au nucléaire.

Dans ce cadre, l’AIEA a organisé en juin 2015, la 1ère Conférence internationale « Cyber-sécurité en environnement atomique », rassemblant des spécialistes du monde entier, dont une équipe de  chercheurs de Trend Micro. Ceux-ci y apportent leur expertise et des réponses concrètes aux questions spécifiques des constructeurs et opérateurs du domaine nucléaire venant d’une centaine de pays. Ces échanges désormais réguliers entre experts permettront d’intensifier la coopération internationale dans ce domaine et d’anticiper les problématiques à venir (1).

Vers une stratégie mondiale de cyber-sécurité ?

Le rapport 2016 sur les risques mondiaux du Forum économique mondial de Davos (WEF) analyse la nature des risques dans tous les domaines, de l’environnement à la géopolitique, en passant par la vie sociale ou les technologies. Cette année, la hiérarchie des risques a bougé : les cyber-attaques, le plus important danger pour le monde des affaires, figurent désormais dans le quart le plus élevé du Quadrant magique des risques majeurs identifiés. Elles n’épargnent personne, visant indifféremment entreprises, administrations et organismes de tous types, quel que soit leur pays.

Loic Guezo, CyberSecurity Strategist SEUR chez Trend Micro
Loic Guezo, CyberSecurity Strategist SEUR chez Trend Micro

Depuis 28 ans, la cyber-sécurité est le sujet de prédilection de Trend Micro(2) qui, outre son rôle d’expert dans le secteur IT traditionnel, devient un interlocuteur reconnu par des acteurs industriels et scientifiques de premier plan, comme l’AIEA. Ainsi doit-il en être pour des organismes de recherche comme le CEA ou administrations en charge de problématiques sensibles comme le ministère de la Santé, le nucléaire civil touchant des domaines d’activités très variés.

Le secteur de l’énergie nucléaire : une cible claire

« Les risques de cyber-attaques contre les centrales nucléaires se multiplient », titrait Le Monde le 6 octobre dernier. Ces risques augmentent avec la numérisation croissante de l’industrie nucléaire qui offre de nouvelles portes d’entrée aux attaquants. Hacktivistes, services secrets, mafieux ou terroristes tentent de voler des informations, de monnayer leurs intrusions dans le système d’information d’une centrale ou d’exercer un chantage pouvant toucher des franges entières de la population. L’organisation Etat islamique Daech ou n’importe quel groupe terroriste peut envisager les pires cyber-attentats.

Le manque de maturité dans la chaîne cyber peut toucher à la catastrophe. C’est ce qui est arrivé au Korea Hydro and Nuclear Power (KHNP), récemment victime d’une cyber-attaque. Les données personnelles de près de 11 000 employés et des plans de réacteurs et de leurs circuits de refroidissement ont partiellement été diffusés par les pirates sur des portails sud-coréens et sur Twitter. Les pirates ont ensuite menacé de divulguer d’autres informations si les réacteurs de deux centrales coréennes n’étaient pas arrêtés. A mettre en perspective avec les récentes attaques contre l’Ukraine

Le large faisceau de l’écosystème nucléaire civil

Le nucléaire civil recouvre des techniques et des industries très différentes, de l’électricité à la médecine nucléaire. L’environnement nucléaire élargi, c’est aussi le domaine de la santé. Le secteur utilise de nombreux dispositifs possédant leur « source » pour des techniques d’imagerie souvent essentielles au diagnostic médical. A cela s’ajoute évidemment le traitement de certains cancers par radiothérapie. Dans ces domaines, la conservation et l’intégrité des données sont essentielles. La perte ou l’altération des dossiers des malades serait catastrophique pour la suite de leur traitement, sans préjuger des répercussions sur leur vie privée en cas de divulgation à des tiers. Face au risque d’attaque avec remise à zéro des matériels d’un centre de médecine nucléaire, la volonté affirmée du ministère de la santé d’équiper tous les sites sensibles de la protection et des systèmes de contrôle adéquats était devenue indispensable. Sur un autre front, la récente prise en otage des systèmes informatiques du Hollywood Presbyterian Medical Center en Californie, conforte le bien-fondé d’une telle décision. Il s’agirait du quatrième établissement médical américain victime d’un ransomware ces derniers mois.

Lutter d’abord avec de bonnes pratiques

Une étude de l’ICS-CERT indique une augmentation régulière des cyber-intrusions dans les systèmes industriels américains. Pour les systèmes de contrôle industriel (ICS), « la question n’est pas de savoir si une intrusion va avoir lieu, mais quand ». En 2015, 295 incidents ont été signalés à l’ICS-CERT, mais beaucoup d’autres n’ont pas été mentionnés, ni même détectés. On peut penser qu’il en est (au moins) de même dans les pays d’Europe où l’obligation déclarative est moins forte qu’aux Etats-Unis.

Dans son récent guide de bonnes pratiques (“Seven steps to effectively defend industrial control systems”), l’ICS-CERT insiste sur la mise en place d’Application White Listings (AWL). Ces logiciels simples permettent de contrôler que les tâches qui s’exécutent sont autorisées, et elles seules. D’autres outils de contrôle mobiles et souples existent pour les unités isolées. On évite ou empêche ainsi l’installation de malware qui détourneraient certains appareils de leurs fonctions(3).  Le même constat a été fait par l’ICS-CERT quant à l’Ukraine : AWL !

Attention toutefois, les acteurs traditionnels de la sécurité IT (Information Technology) ne disposent pas de l’expertise, de l’exigence et de la R&D particulière nécessaires à l’OT (Operational Technology) ; Trend Micro, présent au Control Systems Security Center de Sendai créé par le gouvernement japonais après le tsunami de Fukushima, est pour sa part en première ligne.

L’alerte est désormais donnée au plus haut niveau

Pour le vice-amiral Michael S. Rogers, à la tête de la NSA (National Security Agency), les infrastructures industrielles sont exposées à un grave danger. Son avis rejoint celui émis par le gouvernement et les instances politiques en France, toutes tendances confondues. La Loi de Programmation Militaire (LPM) qui prévoit les dispositions de sécurité nationale, préconise le renforcement de la sécurité des systèmes d’information des Opérateurs d’Importance Vitale (OIV). Présentée en octobre dernier par le Premier ministre, la Stratégie nationale pour la sécurité du numérique exprime la volonté de mise en place de moyens immédiats et sur le long terme, notamment par la consolidation de la sécurité des infrastructures vitales. Le document affirme que « ces cyberattaques sont susceptibles de désorganiser les activités vitales de notre pays, de déstabiliser les entreprises, de vampiriser leurs savoir-faire… » Les OIV doivent ainsi mettre en place des audits et des méthodes de contrôle et de protection de l’ensemble de leurs outils informatiques (IT et OT), connectés ou non.

Dans ces différents domaines, pour protéger données, matériels et potentiellement vies humaines, il convient donc de s’appuyer sur des spécialistes compétents, depuis longtemps partenaires des instances de sécurité industrielles voire nucléaires, disposant ainsi de solutions éprouvées et fiables, au cœur du sujet.

Tribune rédigée par Loïc Guézo, CyberSecurity Strategist SEUR Trend Micro, et membre de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information)

  1. A l’image des coopérations policières existantes: partenaire historique d’Interpol, Trend Micro travaille également avec Europol en Europe et avec la nouvelle Sous-Direction de Lutte contre la Cybercriminalité de la DCPJ en France.
  2. Trend Micro participe à des groupes de travail ad’hoc au sein du Clusif ou du CESIN par exemple, en France, pour la définition des bonnes pratiques, en lien direct avec les professionnels concernés.
  3. Trend Micro va dans le sens préconisé par l’ICS-CERT et les recommandations de l’ANSSI avec la création de sa clé de sécurité simple à utiliser par des non-spécialistes, connectable sur tout type de serveur ou de PC industriel, ainsi que son système de verrouillage industriel (AWL).