Pourquoi posez-vous la question de la sécurisation logique des systèmes de sécurité ?
Les entreprises et administrations sont de plus en plus exposées aux cyberattaques et, en même temps, elles sont de plus en plus dépendantes des systèmes électroniques de sécurité. Cette exposition et cette dépendance font que, en cas d’attaque, la gravité augmente. Il y a déjà eu des attaques contre des systèmes de sûreté. Citons la campagne de piratage d’une centaine de banques dans le monde, dans le cadre de l’attaque complexe (APT) Carbanak qui, entre 2013 et 2015, a permis à des pirates de retirer frauduleusement pas moins d’un milliard de dollars dans des distributeurs automatiques de billets de banque. C’est la première attaque qui montre que les pirates se sont d’abord introduits dans les systèmes de vidéosurveillance pour voir quelles étaient les habitudes des clients et des employés. Les criminels n’ont jamais été arrêtés.
Les systèmes de sécurité sont-ils un talon d’Achille ?
A l’instar des systèmes Scada (Supervisory Control And Data Acquisition) qui supervisent les automates de production dans l’industrie, les systèmes électroniques de sécurité ont été développés sans tenir compte des mesure de sécurité car, a priori, leurs concepteurs les considéraient comme inattaquables. De fait, la menace reste diffuse. Ils considéraient donc que le sujet n’existait pas. Mais avec le cas de Dyn DNS, un des gestionnaires américains de noms de domaines, on sait désormais que l’attaque est partie d’une caméra de vidéosurveillance mal protégée. Le vers Mirai a alors pu infecter des millions d’ordinateurs pour créer un énorme réseau d’ordinateurs zombies (botnet) capable de lancer des attaques massives en déni de service distribué (DdoS).
Les fournisseurs et installateurs de systèmes électroniques de sécurité ne sentent-ils pas pas un peu responsables ?
C’est toute l’histoire ! Ni les systèmes électroniques de sécurité (les produits) ni leur installation n’ont été conçus avec une approche de Security by Design (sécurité dès la conception). Notre profession a mal joué ! Il faut nuancer en reconnaissant que, pendant longtemps, les malfaiteurs ne pirataient pas les systèmes électroniques de sécurité. Cependant, lorsque les failles sont apparues, la profession n’a pas réagi assez vite. Maintenant, il n’y a plus le choix. Mais c’est très compliqué de revoir de fond en comble la conception des produits, systèmes et de leur installation. Reste que tous les systèmes à venir devront se sécuriser.
Est-ce le branle-bas de combat ?
Depuis 18 ou 24 mois, les fournisseurs font de la Security by Design. Certes, ils proposent mais, in fine, c’est toujours le client qui dispose. Le problème, c’est qu’il n’existe pas de normes en la matière. Et le client n’a pas d’autre choix que de signer un chèque en banc ! En fait, soit le client dispose en interne des compétences pour tester une installation de sécurité, soit il fait confiance à son intégrateur, soit il fait réaliser un test avec un tiers.
On imagine que les coûts de tests doivent faire exploser la facture…
Pas si sûr. Je pense à un système de contrôle d’accès à installer dans une une dizaine de bâtiments pour un budget de 2 millions d’euros. Une installation test a été réalisée en version réduite pour un coût de près de 60 000 euros. C’est une sorte d’avatar, de jumeau numérique du système électronique de sécurité. Ensuite, l’installateur a fait appel à une société d’audit indépendante qui a mené un Pen Testing (pénétration du système d’information par un hacker éthique) pour 25 000 euros. Certes, il s’agit-là d’un sur-coût. Mais l’avantage, c’est que le client conserve sa configuration de test qui se révélera précieuse pour tester et valider les mises à jour et les montées de version ainsi que l’installation de nouveaux matériels.
Les petites entreprises clientes pourront-elles se payer de tels avatars ?
Pas directement. C’est l’installateur qui va d’une part standardiser son offre et d’autre part en mutualiser les coûts. Au travers de cet investissement, il pourra démontrer sa fiabilité et créer la confiance.
Les clients vont-ils jouer le jeu ?
C’est là où les choses se compliquent : les clients ont des enjeux plus financiers que sécuritaires. Certes, le secteur bancaire tire toujours la demande vers le haut à cause de ses obligations réglementaires. Ensuite, ce sont les Systèmes d’information d’importance vitale (SIIV) car l’article 22 de la Loi de programmation militaire du 18 décembre 2013 oblige les opérateurs d’importance vitale à identifier les systèmes d’information critiques de leur entreprise et à les sécuriser. Certains ont alors mis des systèmes de sûreté dans leurs SIIV. Mais, sous la houlette de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), ils ont aussi pour obligation de monter en gamme en termes de sécurisation de leurs systèmes électroniques de sécurité. Le tout avec un échéancier de 36 mois pour être aux normes à partir de la date de l’arrêté de leur ministère de tutelle.
N’y a-t-il pas un problème de « culture de la sécurité » en France ?
Bien sûr que si ! Là encore, il faut cependant nuancer. Au mieux, les clients ont une culture de la sécurité physique : les barrières, les portillons, les équipements… Mais les experts de ce domaine n’ont pas toujours la culture de la sécurité logique : les logiciels, les protocoles de communication, les systèmes experts… Résultat, lorsqu’on ne comprend pas un sujet, on a du mal à se plonger dedans. Mais, fort heureusement, cette situation est en train d’évoluer favorablement.
Propos recueillis par Erick Haehnsen
Commentez