Dans le cadre du projet Européen CockpitCI «Cybersecurity on SCADA: risk prediction, analysis and reaction tools for Critical Infrastructure», itrust consulting et CREOS, sous le patronage du ministre de l’Économie et du Commerce extérieur, Étienne Schneider, ont organisé, ce 10 mars 2014 au centre de dispatching de CREOS, le 3e CockpitCI workshop intitulé «SCADA Cybersecurity».
Ce workshop a été l’occasion pour les participants, Agence européenne de «cybersécurité, autorités luxembourgeoises (ministère de l‘Économie, GOVCERT, HCPN), fournisseur national d’électricité et de gaz CREOS, industriels luxembourgeois invités et partenaires du projet, comme itrust consulting (société de conseil et de recherche en sécurité), le CRP Henri Tudor, le coordinateur du projet Selex ES d’Italie, l’opérateur d’électricité roumain, ainsi que des chercheurs italiens, portugais, anglais et belges, d’échanger sur la sécurité des infrastructures critiques, tant au niveau des problématiques que des solutions envisageables.
L’événement fut aussi l’occasion pour itrust consulting de présenter pour la première fois deux logiciels développés dans ce projet: AVCaesar et Software Checker.
Aujourd’hui, les infrastructures critiques, comme les réseaux électriques, d’eau, de gaz, ne sont pas à l’abri des menaces de piratages informatiques. Le projet de recherche européen CockpitCI, démarré il y a deux ans, vise à concevoir un cadre et des outils permettant de détecter, d’analyser et d’échanger en temps réel des informations sur des cyberattaques, afin d’en évaluer les risques et d’éviter les effets redoutés de domino. Les expérimentations (Aurora experiment) et récentes attaques (Stuxnet, Duqu, Red October) ont montré que les différents réseaux et les systèmes industriels de contrôle sous-jacents (souvent appelé SCADA, acronyme pour Supervisory Control And Data Acquisition) sont potentiellement menacés et que seules une vigilance et une supervision accrue et globale permettront de mettre en sécurité ces infrastructures indispensables au bon fonctionnement des institutions et de secteurs vitaux européens. Il est donc essentiel que les opérateurs puissent rapidement identifier les risques potentiels à la qualité de service, afin de mettre en place des mesures de prévention et de confinement d’une attaque.
Dans son introduction, Dr Carlo Harpes, gérant d’itrust consulting, s’est référé au fameux roman de Mark Elsberg, «Blackout», décrivant les conséquences d’une cyberattaque conduisant à l’arrêt total de l’approvisionnement en électricité dans toute l’Europe: «Ce roman, fondé sur des investigations solides portant sur le fonctionnement du réseau électrique européen et sur ses vulnérabilités actuelles, raconte l’impossibilité pour les autorités de détecter rapidement les causes du problème et de mettre en place les réactions adéquates pour préparer la population au désastre qui l’attend.» Une telle histoire souligne l’importance des nouveaux standards de sécurité dans ce domaine, la famille des normes IEC 62442, et surtout la nécessité pour les professionnels du secteur de communiquer sur les risques et de mettre en place des stratégies de réaction efficaces pour réagir en cas d’attaque.
M. François Thill, du ministère de l’Économie, second orateur, a mis en exergue le soutien du ministère aux initiatives des acteurs luxembourgeois visant à acquérir les compétences nécessaires pour protéger les réseaux d’approvisionnement en électricité, en gaz et en eau de tout acte malveillant.
M. Carlo Bartocci, responsable du Dispatching de Creos, a dressé un tableau très réaliste sur quelques problèmes techniques vécus lors de la migration actuelle de leur système de contrôle vers les nouvelles technologies. Les nouveaux systèmes de supervision, aux performances améliorées, deviennent de plus en plus complexes, et trouver une erreur, qu’elle émane d’un simple problème d’incompatibilités techniques ou pire, d’une origine malicieuse, devient une tâche de plus en plus ardue. D’où l’importance de mettre en place des stratégies de sécurité, comme le cloisonnement du réseau SCADA par rapport au réseau télécom ouvert, comme le traçage des flux, les tests fonctionnels et tests de sécurité avant toute modification, et in fine d’assurer un monitoring efficace et précis.
M. Adrian PAUNA, expert en sécurité des réseaux auprès de l’ENISA, a présenté quant à lui les initiatives européennes en la matière: ERNCIP (European Reference Network for Critical Infrastructure Protection) visant à partager des informations pour harmoniser les protocoles de tests, les diverses actions destinées à encourager l’utilisation de systèmes certifiés, et enfin un futur projet de certification des compétences en matière de cybersécurité des experts SCADA. Il a invité tous les experts présents à participer au groupe d’experts ICS-SCADA.
M. Paul Rhein du Haut-Commissariat à la Protection Nationale (HCPN) a présenté les acteurs luxembourgeois, comme les CERT publiques et les organes de coordination. Une nouvelle loi devrait donner plus d’importance à la sécurisation et à la préparation aux crises, en réaction aux craintes exprimées récemment par le commissaire européen Neelie Kroes que «l’autorégulation ne fonctionne pas ici».
Lors de la seconde partie du workshop, Antonio Graziano de Selex ES (Italie), a présenté le projet CockpitCI. Il a comparé les nouvelles menaces SCADA à la menace qu’aurait fait peser une attaque d’un avion de chasse F16 sur un champ de bataille de la Première Guerre mondiale. Le système CockpitCI, encore au stade de prototype, devrait offrir, en mode passif, un système d’aide à la décision qui détecte, analyse et gère le cyber-risque en temps réel. Faisant suite à cette vision générale, le Pr Paulo Simões de l’Université de Coïmbra (Portugal), a expliqué l’architecture de détection mise en place. Cette dernière est fondée sur des sondes réparties dans les divers réseaux, réseau IT, réseau de contrôle, réseau opérationnel, qui permettent de remonter l’information via des corrélateurs à la centrale de gestion de la sécurité. Ces sondes ou agents de détection sont constitués de systèmes de détection d’intrusion, de fieldbus honeypots, de software checker, antivirus, etc. Les éléments détectés sont alors utilisés comme le Pr Stefano Panzieri de l’Université de Roma Tre a présenté. Cet outil de prédiction, «On-Line Risk Prediction System», utilise des modèles sophistiqués d’interdépendance, des bases de connaissances sur les menaces, des appréciations de risques… Le système devrait alerter ou proposer des contre-mesures. La connaissance des impacts possibles d’attaques spécifiques sur les réseaux étant une donnée essentielle, le Pr Michele Minichino, du laboratoire italien de recherche ENEA, a donné un aperçu des modèles de simulation de gestion des fautes de réseaux électriques, en fonctionnement normal ou lors d’une attaque (contamination virale). Le Pr Leandros Malgaras, de l’Université de Surrey (UK), a présenté un outil spécifique d’analyse des informations issues des sondes de détection et fondé sur des algorithmes de type «One Class Support Vector Machines» permettant d’obtenir des données de détection consolidées à partir d’un nombre très important de données.
Finalement, itrust consulting a montré pour la première fois deux outils développés pour CockpitCI: AVCaesar, un meta-antivirus permettant de combiner plusieurs logiciels antivirus destinés à analyser en profondeur tout fichier échangé entre un réseau SCADA et un réseau local IT, qui est souvent connecté à l’internet afin de mesurer leur dangerosité et afin de transmettre les fichiers à des organisations de veille sécuritaire comme des CERT privées ou publiques. Cet outil est aussi destiné aux équipes d’analyse d’incidents de sécurité pour scanner et pré-analyser un grand nombre de fichiers suspicieux. Le deuxième outil est appelé Software Checker. Une fois installé sur un grand nombre de machines d’un réseau, il informe via son serveur intégré dans CockpitCI des vulnérabilités des logiciels installés et des éléments clés de la configuration. C’est là un élément essentiel au Cockpit pour établir le niveau de vulnérabilité, voire même pour détecter des malware installés.
Lors de la discussion qui a suivi, les participants ont souligné l’importance de créer des pôles de compétences spécifiques, complémentaires aux réactions automatiques, afin d’être en mesure d’analyser en profondeur des cyberattaques complexes. itrust consulting, qui opère la première CERT privée au Luxembourg, la malware.lu CERT et qui agit en partenariat avec les CIRCL et GOVCERT.LU est motivée à prendre à son compte ce défi et à assister les opérateurs de système de contrôles.
Pour de plus amples informations sur le projet CockpitCI (www.cockpitci.eu) ou les résultats du workshop, merci de contacter Carlo Harpes, harpes@itrust.