Cyberattaques contre les centrales nucléaires : faut-il réellement s’alarmer ?

Largement relayée dans les médias du monde entier, parfois de façon alarmiste, l'information a déclenché une vague d'inquiétude, comme cela devient de plus en plus fréquent lorsqu'il est question de cybersécurité. Le terme FUD ("Fear, Uncertainty and Doubt" - "peur, incertitude et doute" en français) qualifie d'ailleurs désormais l'approche marketing de certains fournisseurs de services en cybersécurité, voire même dans les médias.

Sans nier les impacts potentiels que pourraient avoir des cyberattaques ciblant des centrales nucléaires et autres activités dites sensibles (en France, nous parlons d'environ 200 Opérateurs d'importance vitale (ou OIV) dans les secteurs du transport, bancaire, de l'énergie, de la santé, etc.), il convient toutefois de préciser certains faits essentiels pour mettre en perspective le risque posé par ces attaques.

Les commandes industrielles n'ont pas été ciblées

Tout d'abord, ces attaques visaient des réseaux d'entreprise, et non ceux relatifs aux opérations et aux commandes industrielles des sites, qui sont généralement séparées et bien plus sensibles. Le rapport conjoint du DHS et du FBI indique clairement qu'il n'existe « aucune trace d'une menace pour la sécurité publique, l'impact potentiel semblant limité aux réseaux administratifs et professionnels ». Néanmoins, pour des lecteurs non experts, un événement de ce type peut effectivement induire un sentiment de vulnérabilité et de peur face à un danger imminent, surtout avec l'hypothèse selon laquelle « des pirates membres de l'administration russe », le groupe Energetic Bear, seraient à l'origine de l'attaque, ce qui ne fait que jeter de l'huile sur le feu dans un contexte qui n'en a franchement pas besoin.

Le grand public mérite de mieux comprendre le risque pesant sur les systèmes de commande industriels employés dans les infrastructures stratégiques telles que les centrales électriques, surtout nucléaires. Dans cette optique, voici certains faits qui devraient contribuer à éclairer davantage la situation actuelle.

Des motifs de crainte, certes...

Il y a évidemment des motifs d'inquiétude. Les systèmes de commande industriels (Industrial Control Systems, ICS) supervisent une grande partie des infrastructures dont nous dépendons au quotidien (centrales électriques, gestion et traitement de l'eau, ascenseurs, signalisation routière, voies ferroviaires, etc.). Ces ICS incluent des ordinateurs, attachés à des composants matériels dans des opérations industrielles, et qui peuvent être responsables de tâches sensibles telles que l'ouverture et la fermeture de vannes, la commutation d'interrupteurs à des moments critiques, etc.  Dès lors que les ICS disposent d'un degré de connectivité, ils sont exposés à des vulnérabilités et sont potentiellement "piratables" comme c'est le cas de tous les appareils connectés aujourd'hui. Comme tout appareil connecté, ils ont un degré de vulnérabilité non négligeable.

Notre monde moderne regorge de systèmes pilotés par des ICS qui ne doivent en aucun cas tomber aux mains de cybercriminels. Et dès lors que le mot « nucléaire » s'invite dans la conversation, les enjeux n'en deviennent que plus importants.

Mais aucune raison de s'alarmer aujourd'hui plus qu'avant

Passons maintenant aux éléments plus rassurants. Les ICS sont loin d'être démunis face aux attaques. En réalité, ils souvent rattachés à des systèmes matériels supervisés avec la plus grande rigueur par des Hommes. Ainsi, dans n'importe quel scénario impliquant une attaque malveillante à l'encontre d'une centrale nucléaire, il faut aussi tenir compte du nombre d'opérateurs et de procédures en place pour la supervision des opérations et la sécurité. On retrouve les mêmes précautions dans tous les systèmes impliquant des infrastructures stratégiques (les chemins de fer, les feux de signalisation routière, etc.). Ainsi, si inquiétante soit-elle, l'hypothèse d'un piratage de ces systèmes n'a rien de nouveau. Les organismes responsables (en France, l'Agence nationale de la sécurité des systèmes d'informations) en ont conscience et mettent tout en œuvre pour gérer ce risque et protéger la population. En réalité, d'excellents processus et des professionnels compétents sont déjà en place. Ils nous protègent depuis longtemps et continueront de le faire à l'avenir. Compte tenu de l'efficacité de ces garde-fous et des mesures de limitation des risques, un point de vue mesuré s'impose lors de l'évaluation des menaces de piratage.

Des desseins bien différents de la célèbre attaque Stuxnet

Un autre facteur essentiel à prendre en compte lors de l'évaluation des risques est l'objectif apparent des cybercriminels. Les comparaisons entre ces récents événements et la célèbre attaque Stuxnet de 2010 à l'encontre d'installations nucléaires iraniennes se multiplient. Les deux impliquent des attaques dirigées contre des sites nucléaires. Toutefois, les similitudes s'arrêtent là. Stuxnet n'avait rien d'une cyberattaque classique : il s'agit peut-être du logiciel malveillant le plus complexe de l'histoire. Le fait qu'il ait réussi à toucher les ICS ciblés, qu'il les ait forcés à se comporter de manière anormale et qu'il ait provoqué des dysfonctionnements des centrifugeuses du site était au moins autant dû aux activités matérielles sur ce dernier et à de supposées techniques d'espionnage gouvernemental qu'au logiciel en lui-même.

Stuxnet semble avoir engendré une attaque à plusieurs vecteurs hautement coordonnée avec un but bien précis en tête. A contrario, les attaques visant la centrale gérée par Wolf Creek semblent se limiter à une simple activité de sondage dans l'objectif bien plus modeste de recueillir des informations. Si les attaques de Wolf Creek peuvent laisser envisager d'autres incidents, aucun indice ne permet actuellement d'imaginer une menace de la dimension de Stuxnet. En revanche, l'exemple de Stuxnet prouve que bien qu'il soit très difficile pour les cybercriminels d'atteindre les systèmes de commande d'une infrastructure sensible, il n'est pas nécessaire de disposer d'un contrôle total sur celle-ci pour engendrer le chaos.

Les cyberattaques se produisent de manière inéluctable. Nos organisations sont peut-être (et, dans une certaine mesure, sont déjà) conçues pour anticiper ces événements, détecter le moment auquel ils surviennent et réagir de manière efficace. À ce jour, les antécédents en la matière sont positifs et, les entreprises disposant d'infrastructures stratégiques et sensibles investissent régulièrement dans les processus de sécurité pour renforcer les protections contre les cyberattaques.

Dans le même temps, les travaux d'évaluation et de réglementation entrepris par les pouvoirs publics - par exemple en France, la Loi de Programmation militaire (LPM) et ses récents décrets sectoriels qui s'adressent spécifiquement à ces entreprises et organismes dits OIV - favorisent la mise en place de bonnes pratiques et de normes de protection de ces infrastructures stratégiques. Les événements de Wolf Creek sont également un bon exemple de réaction adaptée à une cyberattaque. Les équipes de sécurité ont détecté des activités malveillantes et déclenché un plan d'action adéquat. L'entreprise a ensuite fait appel aux bonnes agences et a communiqué publiquement. Voilà un exemple à suivre. Plutôt que de jouer sur la peur du public et de jeter l'opprobre sur les victimes, toutes les parties prenantes devraient de se réjouir de l'adéquation des mesures prises et de tirer des enseignements de l'incident afin d'être encore mieux protégées la prochaine fois.

En résumé, les cyberattaques visant les infrastructures sensibles sont certes inquiétantes, mais la peur ne peut et ne doit pas façonner les mesures prises en réaction. Des protections efficaces sont en places, et il en va de la responsabilité de chacun de contribuer à les rendre encore plus fortes.