Les Rendez-vous majeurs donnent la parole à François MASSÉ, Responsable de l'unité Quantification des Risques et Evaluation des Barrières de l’Ineris, pilote avec l’ANSSI du débat T2
...
Chaque progrès s’accompagne de nouveaux risques. Le développement des systèmes d’information et leur entrée dans la gestion des éléments de contrôle et de sécurité constitue un bénéfice évident en termes d’efficacité, de suivi et de performance. Mais un nouveau danger en découle : la cyber-attaque de sites à risques.
...
D’où viennent ces failles ?
Aujourd’hui, les systèmes de contrôle industriels sont connectés. Il s’agit d’une évolution majeure et positive, mais aussi d’une possible source de vulnérabilités. Il y a quelques années, ces systèmes reposaient sur des protocoles peu connus et peu susceptibles d’être attaqués. Désormais, ils utilisent des protocoles standards et offrent des vulnérabilités similaires à celles de systèmes informatiques. Par ailleurs, les installations industrielles sont de plus en plus dépendantes de ces technologies pour leur fonctionnement et leur sécurité.
...
on ne s’intéresse plus uniquement aux éléments de terrain (automates, capteurs, actionneurs), mais on doit prendre en compte les éléments avec lesquels ils interagissent (systèmes informatiques avec lesquels ils communiquent mais aussi différents intervenants en conception, exploitation et maintenance), et cela aussi bien sur les couches matérielles que logicielles. C’est en effet par le biais de ces interactions que vont émerger des vulnérabilités potentiellement exploitables par un attaquant malveillant.
...
les grands types d’attaques existantes ?
1 - Les attaques non ciblées de type Malware
2 - Les attaques ciblées avec des visées pécuniaires (Big Game Hunting)
3 - Les attaques visant des infrastructures critiques
4 - Les attaques visant à provoquer des dommages matériels et humains ... on peut citer l’attaque sur une station de potabilisation en Floride (2021) ou celle visant des automates de sécurité Triconex (Trisis, 2017)
...
Ndlr : pas malin d'avoir abandonné l'architecture en couches pyramidale des années 1990 qui assurait une isolation hérarchique et fonctionnelle donc une sécurité intrinsèque ?! Dit autrement, les automaticiens ont laissé les informaticiens "prendre la main" ???!!! ACT
En plein été, une installation stratégique de la plus grande station d’épuration des eaux usées d’Europe est totalement détruite par le feu à trente kilomètres de la capitale. Il faudra entre trois et cinq ans pour la reconstruire, au prix, dans l’intervalle, d’une pollution gravissime de la Seine. Ce site n’a cessé d’enregistrer des sinistres de plus en plus graves depuis plusieurs années. Sa gestion est entachée par des dévoiements sans précédent en matière de marchés publics. Un désastre absolu, qui ne suscite qu’une inquiétante indifférence.
par Marc Laimé, 27 septembre 2019
...
En l’espace de quelques mois, c’est le quatrième incident grave, incendie ou explosion, sur ce même site.
...
usine « Seine Aval » (SAV) du Syndicat interdépartemental pour l’assainissement de l’agglomération parisienne (SIAAP) implantée dans la plaine d’Achères, dans les Yvelines (1).
...
Le système de contrôle-commande (SCC) de l’usine Seine-Aval est exclusivement du matériel Schneider-FOXBORO. Ce système a été vendu avec l’assurance que chaque nouvelle version serait interopérable avec la précédente. C’est-à-dire que lors du lancement d’une nouvelle version logicielle, les anciennes versions présentes sur l’usine doivent pouvoir dialoguer avec la nouvelle, et que les éléments des anciens ateliers de l’usine doivent pouvoir apparaître sur les écrans du nouveau système.
Ce n’est pas le cas !
Les versions proposées par Schneider au cours du temps ne sont que très imparfaitement compatibles entre elles.