Fox-IT: ‘Il faut imposer des mesures de sécurité à l’industrie nucléaire globale’

© Belga

S’il est une industrie dans le monde qui doit se trouver sous le signe de la sécurité, c’est bien l’industrie nucléaire. Celle-ci a dès lors de tous temps fait l’objet d’une flopée de directives, contrôles et mesures de sécurité. ‘Mais dès qu’il est question de cyber-sécurité, la prise de conscience sécuritaire ‘n’est plus guère de mise’, déclare Peter Geijtenbeek, International Sales Director chez Fox-IT.

C’est illusoire de penser que les cybercriminels, cyber-espions et autres cyber-terroristes laisseraient de côté l’industrie nucléaire. La cellule de réflexion indépendante britannique ‘Chatham House’ avait expliqué dans un rapport fin 2015 encore que l’une des principales raisons pour lesquelles le secteur entreprend si peu d’actions de par le monde, c’est précisément le fait que l’on n’a donné que peu de notoriété au nombre de piratages subis par les centrales nucléaires. Selon Peter Geijtenbeek, cela donne aux citoyens un faux sentiment de sécurité.

“Voilà qui indique que l’évaluation des risques n’est probablement pas adéquate dans cette industrie, avec comme conséquence que l’on y prévoit souvent trop peu de budget pour la cyber-sécurité”, ajoute Geijtenbeek. “L’idée selon laquelle ‘cela ne nous arrivera quand même pas’, est encore et toujours largement présente dans le secteur. En outre, les installations nucléaires sont souvent des institutions semi-publiques et opèrent ainsi dans un environnement politique. Comme la cyber-sécurité coûte de l’argent, il faut donc faire appel aux pouvoirs publics: telle est l’idée. La combinaison de la réflexion ‘cela ne nous arrivera pas’ et du transfert de la responsabilité de la cyber-sécurité est funestement considérée comme une cyber-sécurité faillible, tout comme une sécurité physique faillible peut provoquer une catastrophe.”

‘Acteurs nationaux’

La pression exercée sur les infrastructures critiques, dont font partie les installations nucléaires, croît. Une partie des attaques est soutenue très probablement par des services étrangers. De l’enquête effectuée par Chatham House, il ressort dès lors aussi que la menace d’attaques contre les installations nucléaires s’amplifie. En témoigne le groupe d’espionnage Mofang qui exécute des attaques politiquement motivées contre des organisations infrastructurelles critiques à Myanmar”, prétend Geijtenbeek. “De l’enquête de Fox-IT, il apparaît que Mofang opère au départ de la Chine et que l’implication du gouvernement chinois est très probable. Avec des moyens simples et de l’ingénierie sociale, Mofang a réussi pénétrer dans ces organisations. Mais les services de renseignements néerlandais mettent aussi régulièrement en garde contre des attaques soutenues par des ‘acteurs nationaux’.”

Le calme en Europe

Il faut mettre un bâton derrière la porte pour inciter cette industrie à agir au niveau mondial. Aux Etats-Unis et au Canada, il existe une loi et une réglementation qui obligent les entreprises nucléaires à prendre des mesures de sécurité. Au Moyen-Orient, des pays adoptent également toujours plus souvent des lois en ce sens. Mais en Europe par contre, l’on s’en tient encore à des conseils et à des recommandations, qui sont certes utiles, selon Geijtenbeek.

“L’authentification et le cryptage devraient constituer la base même de chaque recommandation sur le plan de la cyber-sécurité dans les infrastructures critiques. En outre, il est aussi important d’installer un système de détection d’intrusions, tel un contrôle réseautique. Ce faisant, le réseau est surveillé 24 heures sur 24 et 7 jours sur 7, et l’on peut donc intervenir rapidement. De plus, il existe également des outils très spécifiques comme les diodes data optiques sûres. Celles-ci garantissent une scission absolue entre le réseau de contrôle nucléaire et le monde extérieur, alors qu’il reste parfaitement possible d’obtenir des données d’exploitation du réseau de contrôle.”

Piètre communication

Une raison importante d’une sécurité en retard dans le secteur nucléaire réside, selon Chatham, dans la communication malaisée entre le personnel des installations nucléaires (les experts dans le domaine de la technologie opérationnelle – OT) et les experts en cyber-sécurité, qui possèdent un vécu IT. Les experts dans le domaine de la technologie opérationnelle ne sont souvent pas au courant des procédures de cyber-sécurité, ce qui crée un solide obstacle pour la sécurité. Geijtenbeek: “Le suivi obligatoire de normes et de revendications, comme celles de Chatham House, ne supprimera pas la divergence de cultures entre OT et IT, mais rendra a coup sûr les installations nucléaires beaucoup plus résistantes aux cybercriminels, cyber-espions et autres cyber-terroristes.”

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire