En tant qu’ancien colonel de l’armée américaine et commandant de la NSA, Eric Toler sait une chose ou deux sur la volatilité de l’internet. La technologie numérique touche désormais presque tous les aspects de notre vie – des finances personnelles au réseau électrique – et ce sont des gens comme Toler qui comprennent à quel point nous sommes vulnérables à ses innombrables faiblesses.
« Nous constatons une augmentation des compétences et des capacités des criminels, ainsi que des liens entre les organisations criminelles et les États-nations qui veulent nuire aux États-Unis et à leurs alliés », a déclaré M. Toler, qui est aujourd’hui directeur exécutif du Georgia Cyber Center, un établissement public d’enseignement et de formation destiné aux professionnels de la cybersécurité des secteurs privé et public, situé à Augusta (Géorgie).
M. Toler a indiqué que les négociations commerciales entre les États-Unis et la Chine et la résiliation de l’accord sur le nucléaire iranien ont contribué à accroître l’instabilité géopolitique.
« Il existe des entités qui ont la capacité de nuire à nos infrastructures critiques », a déclaré M. Toler. « Je ne pense pas qu’elles en aient encore l’intention. Mais si ces intentions commencent à correspondre à leurs capacités, nous risquons de voir des dommages importants. »
La connectivité entraîne la vulnérabilité
La prolifération de l’internet des objets dans l’économie s’accompagne d’une vulnérabilité potentielle aux attaques. Prenons l’exemple des installations d’extraction et de raffinage du pétrole, des éléments essentiels de l’infrastructure nationale qui sont de plus en plus imprégnés d’applications IoT. Si cette technologie a permis des avancées en matière d’automatisation, de connectivité sans fil et de mesures en temps réel, elle expose également à un éventail plus large de cybermenaces.
« Beaucoup de ces systèmes – ces environnements numériques – se trouvent dans des régions reculées du monde », explique Jim Guinn II, qui dirige les efforts de cybersécurité dans les secteurs de l’énergie, des services publics, de la chimie et de l’exploitation minière pour la société de conseil en technologie Accenture à Houston. « Elles se trouvent dans l’océan ou dans les déserts, au milieu de nulle part. Ils sont difficiles à atteindre d’un point de vue logistique et leurs connexions réseau au vaisseau-mère sont très peu fiables. »
Pour les professionnels de la cybersécurité qui protègent les systèmes de contrôle industriel connectés à l’Internet, la nature critique de ces systèmes constitue un autre obstacle de taille.
« Vous ne pouvez pas simplement mettre hors service des systèmes de ce type et installer des correctifs, car ils doivent être opérationnels en permanence », explique David Raymond, vétéran de l’armée et ancien professeur d’informatique à West Point, qui travaille aujourd’hui comme directeur au Virginia Cyber Range, un autre établissement d’enseignement et de formation basé dans l’État. « Un temps d’arrêt, même de quelques secondes, pourrait être gravement préjudiciable à un réseau électrique, par exemple. »
Prises ensemble, ces questions représentent un défi majeur pour les entreprises qui gèrent des systèmes de contrôle industriels : des attaques de plus en plus sophistiquées contre des systèmes IoT distants et difficiles à protéger, qui sont si essentiels à la vie quotidienne que les mettre hors ligne pour les tester contre les cybermenaces est pratiquement irréalisable.
Pour les gouvernements et les entreprises qui opèrent à une époque où les menaces numériques sont de plus en plus sophistiquées, une solution consiste à simuler leurs systèmes – et les menaces dont ils font l’objet – à l’aide d’un cyberparcours.
Un champ de tir virtuel est un environnement virtuel conçu pour simuler des systèmes et les conditions dans lesquelles ils fonctionnent. Les professionnels de la cybersécurité peuvent y tester les mesures de sécurité contre différents types d’attaques et utiliser cette expérience pour atténuer les vulnérabilités. Et comme il s’agit d’une simulation, les entreprises ne mettent pas en péril les opérations du monde réel dans le processus.
« C’est un bien meilleur moyen de tester les attaques connues contre des outils et des technologies commercialement acceptables, ainsi que les solutions de cybersécurité conçues pour les détecter », a déclaré M. Guinn, qui a récemment supervisé la construction de trois nouveaux cyberparcs Accenture à Houston, Washington et Essen, en Allemagne. Ces installations répondent aux besoins spécifiques des opérations d’exploration, d’extraction et de raffinage du pétrole et du gaz, des installations de production chimique, des services publics et des réseaux de distribution d’électricité.
« Il ne s’agit pas de tester l’entrée et la sortie d’un dispositif spécifique », a déclaré Guinn. « Il s’agit de tester une série d’actifs dans une chaîne qui communiquent tous en retour à un système de contrôle distribué central ou à un système de contrôle de supervision et d’acquisition de données (SCADA). »
Pour Accenture, la nécessité de simuler des systèmes hautement individualisés implique de disposer de tous les outils possibles sur l’étagère métaphorique, y compris des automates programmables, des systèmes de contrôle distribués, des systèmes SCADA, des unités de terminal à distance, des interfaces homme-machine et plus encore. Selon M. Guinn, ce niveau de personnalisation donne à Accenture la possibilité de simuler des systèmes de contrôle industriel configurés de manière unique et d’effectuer un nombre illimité de tests pour trouver les points faibles.
Tester l’arsenal
Accenture utilise ses cyberespaces pour tester les systèmes de contrôle industriel de différentes manières. Récemment, une société pétrolière et gazière a voulu voir si les « équipes rouges » d’Accenture – des groupes de hackers « white hat » qui découvrent les vulnérabilités des systèmes – pouvaient pénétrer dans ses installations de production et en prendre le contrôle.
Une fois qu’une équipe rouge avait pénétré dans le système, elle déplaçait l’attaque vers une simulation de champ de tir cybernétique pour voir l’ampleur des dégâts qu’un intrus pouvait infliger. Guinn a déclaré qu’Accenture avait réalisé ce test pour plusieurs des plus grandes compagnies pétrolières et gazières du monde et pour au moins un des plus grands systèmes intégrés de services publics d’Amérique du Nord.
Guinn ajoute qu’Accenture déploie également des équipes de réponse aux incidents dans des coins reculés du monde en cas de cyberattaque ou de compromission de la sécurité du système d’un client.
« Ce faisant, vous bénéficiez d’une exposition unique aux indicateurs de compromission et aux logiciels malveillants qui ont pu être lancés », a-t-il déclaré. « Nous pouvons voir ce que cette menace particulière essayait d’accomplir ».
Selon M. Guinn, ces équipes de « sacs noirs et de bottes » sont ensuite en mesure de capturer le code – essentiellement en le piégeant dans la nature – et de le déployer sur un champ de tir cybernétique pour déterminer comment repousser une telle attaque ou détecter la présence d’intrus dans un système à l’avenir.
Les clients d’Accenture – en particulier les fabricants de produits chimiques, a déclaré M. Guinn – utilisent également la technologie du cyberespace pour tester et évaluer différentes configurations de systèmes et d’équipements.
« C’est un bon moyen de voir les avantages et les inconvénients de chaque équipement ou configuration, puis de prendre une décision commerciale par rapport au risque sur ce qu’ils souhaitent acquérir », a déclaré M. Guinn.
Pour David Raymond et ses étudiants de Virginie, ces perspectives d’affaires par rapport au risque sont un résultat particulièrement important des essais sur le cyberespace.
« Outre les compétences techniques pratiques que l’on acquiert, les professionnels de la cybersécurité doivent être capables d’expliquer les risques, les mesures d’atténuation possibles et les risques résiduels, puis de laisser les chefs d’entreprise prendre les décisions commerciales », a-t-il déclaré.
Une place pour les erreurs
L’un des arguments commerciaux les plus importants que les professionnels de la cybersécurité peuvent faire valoir auprès des dirigeants est d’investir dans une gamme cybernétique en premier lieu.
« Ces systèmes de contrôle industriel sont très coûteux », a déclaré Toler. « Si vous pouvez les reproduire sur un champ de tir, cela vous permet de former un public beaucoup plus large à un coût beaucoup plus abordable. »
Les champs de tir cybernétiques sont une pièce importante d’un puzzle plus large de la cybersécurité. Pour Accenture, son réseau de champs de tir cybernétique travaille en tandem avec des professionnels du renseignement sur les menaces, des équipes rouges, des observateurs des tendances en matière de cybersécurité, des équipes de réponse aux incidents et des divisions de recherche et développement, tous reliés par son centre de fusion cybernétique à Washington, D.C. Guinn a déclaré que l’entreprise prévoit d’ouvrir un deuxième centre de fusion à Houston cette année, qui se concentrera exclusivement sur les actifs de terrain qui composent les systèmes de contrôle industriel.
« La majeure partie de l’industrie de la cybersécurité est axée sur les technologies de l’information », a déclaré M. Guinn. « Très, très peu – une industrie artisanale, en fait – se concentrent sur la cybersécurité des actifs industriels. Les sommes consacrées à la R&D sont disproportionnées du côté des TI, car c’est là que la vague de sécurité a commencé.
« Cela pourrait avoir des conséquences catastrophiques, car de plus en plus d’automatisation est déployée sur le terrain », a-t-il ajouté.
Quant aux cyber-séries elles-mêmes, M. Toler a déclaré que l’élément le plus constructif qu’elles ajoutent à l’état de préparation d’une organisation est la possibilité de faire des erreurs, de procéder à des examens et de réessayer.
« C’est un endroit où vous voulez presque faire des erreurs, car c’est ainsi que vous apprenez », a-t-il déclaré.