Edmond « bigezy » Rogers : « la sécurité informatique doit être renforcée, mais pas au-delà ce que peut assurer les mesures de sécurité physique »
C’en est presque devenu une tradition pour HES, la responsabilité de la conférence d’ouverture a échu une fois de plus cette année à Edmond « bigezy » Rogers. Et une fois de plus, son discours utilisait comme toile de fond les hiatus et les trous (souvent béants) de sécurité rencontrés dans le secteur de la distribution d’énergie. Il faut, explique-t-il en substance, admettre que les défauts existent à tous les échelons, tant numériques que physiques. Pour quelle raison ces défauts de sécurité ne sont pas colmatés dès leur découverte ? L’an passé, Rogers avait abordé les problèmes d’économie d’échelle et les sommes colossales qu’entraînaient certaines mises à jour d’équipement. Mais aujourd’hui, il ajoute la part de réalisme cynique dont font preuve les directions générales. Les chantiers sécurité, explique-t-il, sont trop souvent réduits à un simple calcul de risque. Tant que le risque estimé est pondéralement inférieur aux coûts d’une modernisation, l’infrastructure demeure dans son état d’origine.
Il faut également savoir admettre, ajoute Rogers qu’il est impossible de viser un état de perfection en matière de gestion sécurisée des réseaux de communication ou d’automatisme au sein des infrastructures importantes, Scada ou autres. Et il est difficile de situer les limites de cette quête. « A mon avis, déclare Rogers, (et de montrer un grillage surmonté d’un boudin de chevaux-de-frise protégeant un centre de distribution électrique de la région de Chicago), la sécurité informatique doit être renforcée, mais pas au-delà ce que peuvent assurer les mesures de sécurité physique telles que celle-ci. Perfectionner les défenses numériques au-delà de ce point est inutile et n’est que la traduction d’une peur fantasmée, celle du script-kiddy qui, de sa chambre, peut atomiser l’alimentation en énergie de tout un pays. Il n’y a pas de raison qu’il puisse y avoir plus de risques liés à un accès direct que de dangers de voir se dérouler une intrusion réseau »
Bien entendu, il ne s’agit là que d’une formule, qu’il serait peut sage de suivre au pied de la lettre. « Security is a process » dit le mantra de la profession. Avec la popularisation de l’informatique personnelle, il y a dans la nature plus de personnes capables de pénétrer l’enceinte virtuelle du S.I. d’un centre de distribution en énergie que de gens assez qualifiés pour couper une ligne 400 kilovolts sans se faire réduire en cendres. Mais l’esprit est là : trop de sécurité informatique non seulement ne sert à rien passé un certain niveau d’investissement humain et financier, mais encore risque de procurer un sentiment de fausse sécurité en faisant oublier que le monde numérique n’est qu’un des aspects de la protection périmétrique.
C’est donc un HES très « OIV/Scada » qui s’est déroulé cette année, pratiquement un virage lof pour lof si l’on se rappelle de la coloration « hardware hack/Sploit SDR » de l’an passé. Les Snowden files ont modifié le paysage sécurité international, les Etats-Nation voient des ennemis (voire des terroristes) partout, les chercheurs en sécurité cherchent là où le vent des inquiétudes de leurs clients les portent, en priorité vers les « bijoux de la couronne » desdits Etats-Nation, les opérateurs d’importance vitale, les infrastructures Scada.
