Identifier les vulnérabilités pour prévenir des risques
A l’heure où nos sociétés dépendent vitalement de leurs infrastructures critiques, itrust consulting attire l’attention sur leurs vulnérabilités. Dans le cadre du projet de recherche ATENA, l’entreprise a en effet développé différents outils permettant l’analyse des risques en temps réel et l’identification de failles de sécurité des systèmes de gestion d’infrastructures industrielles. Carlo Harpes, fondateur et directeur d’itrust consulting, nous parle en détail des avancées de ces recherches.
En quoi consiste le projet de recherche ATENA?
ATENA est un projet européen cofinancé par le programme Horizon 2020, dont un des thèmes est «Digital Security: Cybersecurity, Privacy and Trust». Ce projet visait à développer des méthodes et outils de lutte contre les cyberattaques, tout en préservant une gestion efficace et flexible des systèmes de gestion d’électricité, de gaz, ou d’eau. Les résultats des recherches menées dans ce cadre ont été adaptés et validés sur des scénarios pratiques proches de la réalité. Des PME comme itrust consulting y ont travaillé avec des universités italiennes, portugaises et luxembourgeoises, des groupes industriels comme Leonardo qui a mené le projet, et des opérateurs comme CREOS, la société wallonne des eaux (SWDE), et IEC, société responsable de la fourniture d’électricité en Israël.
Quel rôle a joué itrust consulting au sein du projet ATENA?
Notre volonté, dès le départ, a été de faire le pont entre ces recherches théoriques et l’application concrète sur le terrain, en visant une application à échelle nationale sur nos infrastructures critiques pour rendre les outils directement exploitables sur le terrain, ce qui était et est encore un vrai défi.
Nous avons développé puis intégré dans notre architecture de services plusieurs produits – le Vulnerability Management System (VMS), le Dark Net Analysis System (DNAS) et le Risk Analysis Tool (RANT) – qui fournissent des informations sur le risque actuel affectant des systèmes d’information et leur gestion, en particulier sur les risques de cybersécurité.
Ainsi, le DNAS collecte des informations du darknet sur les composants de l’infrastructure pour évaluer s’ils font l’objet d’une préparation d’attaque. On y associe le VMS pour rechercher les vulnérabilités déjà connues sur la configuration actuellement en place en se servant de la métrique reconnue CVSS légèrement étendue. Enfin, le RANT utilise ces informations pour évaluer le risque actuel que des attaques exploitant les vulnérabilités du système engendreraient sur l’infrastructure entière à un instant donné.
Ce niveau est ensuite introduit dans TRICK Service, une application web d’appréciation et de traitement des risques propre à itrust consulting qui connait l’état des mesures de sécurité, l’état des impacts (une coupure de courant à d’autres effets en fonction de la saison et de l’heure) ainsi que l’état d’autres mesures de sécurité mesurables par des agents. Avec le traitement de telles valeurs en temps réel, TRICK Service, déjà utilisé par certains opérateurs, deviendra un outil de supervision opérationnel des risques. Une version gratuite de cet outil, appelée TRICK Free, a été développée dans ATENA, pour rendre ces concepts facilement accessibles.
Enfin, nous avons développé une série d’autres petits outils en open source qui touchent à la manière dont nous écrivons des rapports, dont nous réalisons des audits, ou à celle dont nous modélisons les dépendances d’actifs pour les clients.
Quelles difficultés avez-vous rencontrées dans ce projet?
Une des surprises était que le fournisseur du système de contrôle n’a pas autorisé CREOS à mener des tests sur un système identique à leur système actuel. CREOS a pourtant continué à supporter le projet avec ses moyens propres en nous donnant la possibilité de valider les outils sur la version précédente qui venait d’être retirée du service. Il semblerait qu’il y ait toujours plus de crainte de subir des critiques que de volonté d’amélioration. La mise à l’épreuve est aujourd’hui volontaire et motivée par l’intérêt économique des acteurs alors qu’elle devrait être contrôlée et financée par l’intérêt économique de la société.
Quoi qu’il en soit, ce changement a créé des retards, et le retour d’expérience des opérateurs a eu moins d’influence sur les produits développés que prévu. Nous continuons encore à valider les outils, et nous poursuivrons ce travail dans l’avenir, car tout outil de cybersécurité doit continuer à évoluer dans sa phase opérationnelle.
En quoi ces outils pourraient-ils être utiles aux opérateurs de services essentiels?
Les «services essentiels», souvent appelés «infrastructures critiques», sont les éléments les plus importants de notre société: qui ne peut fonctionner sans énergie, sans transport, sans banques, sans marchés financiers, sans soins de santé, sans eau, ou sans infrastructures numériques (téléphones et internet)? Or ces services essentiels sont menacés par les cyberattaques. Selon notre vision, l’opérateur de ces infrastructures ne devrait pas dépendre de l’infaillibilité d’un fournisseur, mais pouvoir se doter d’un système parallèle qui observe et détecte des anomalies, vulnérabilités, voire attaques dans le système de contrôle principal, et en alerte l’opérateur. TRICK Cockpit – soit le TRICK Service alimenté des évaluations effectuées par les outils du projet ATENA – offre cette analyse indépendante et répond à l’obligation d’une directive européenne pour les opérateurs de service essentiel pour gérer les risques de cybersécurité.
En effet, selon nous, il ne devrait pas y avoir une relation de dépendance aussi forte vis-à-vis des fournisseurs. Le réseau d’électricité européen est une des constructions les plus complexes qui existe au vu du nombre d’acteurs gravitant dans cet écosystème. Le problème est que nous dépendons d’acteurs technologiques qui se concentrent; or ces acteurs ont aussi des failles et peuvent être manipulés… Ceci a été démontré dans le cas du malware Stuxnet qui a pu s’infiltrer et opérer dans des systèmes nucléaires. Nous devons donc améliorer les systèmes de sécurité périphériques: des unités indépendantes opérant localement devraient surveiller et instruire les opérateurs lorsque le système principal semble être l’objet d’une attaque. Un tel système pourrait même aider à prévenir ces risques, s’il informe des vulnérabilités potentielles et des premiers signes d’intrusion.
Quels autres impacts cette recherche a-t-elle sur la société?
ATENA a permis de mettre en œuvre des synergies avec le projet national SGL Cockpit et un projet cofinancé par le FNR qui a permis de mettre au point le SmartNet IDS, un outil capable de détecter les cyberattaques dans le réseau d’une maison intelligente ou d’un petit réseau. Dans un projet à venir, appelé CRITISEC, itrust consulting aimerait créer une plateforme de service autour de cet outil et l’adapter aux besoins des réseaux industriels. Ce projet a eu l’accord du programme Celtic en charge de promouvoir la recherche industrielle entre pays européens, et attend l’approbation de cofinancement du ministère de l’Économie.
Une prise de conscience au niveau politique et sociétal est encore nécessaire pour comprendre l’effet qu’une attaque pourrait avoir sur nos services essentiels. La directive correspondante vient d’être transposée au Luxembourg avec un petit retard. Elle n’est qu’un petit pas, insuffisant pour garantir la sécurité, mais elle est nécessaire et elle est plus exigeante que ce qui existait auparavant au niveau national. Il reste à convaincre tous les acteurs de l’importance d’investir dans la sécurité des services essentiels. C’est d’autant plus important pour un petit pays qui pourrait être considéré comme une proie facile pour des actes de cyberterrorisme, car ce qui est un dégât surmontable dans un grand pays pourrait être critique dans le nôtre.