L'attaque dont a été victime TV5 Monde est caractéristique des risques qui pèsent sur les entreprises et en particulier sur leurs outils de production. Dans le cas de TV5 Monde même si le mode opératoire semble proche de celui d'autres attaques qui ont défrayé la chronique, l'attaque n'avait pas pour but de voler de l'information, mais bien de faire cesser la diffusion et peut être même de prendre le contrôle de l'antenne pour diffuser de la propagande.

Apparemment les attaquants ont pénétré par un premier ordinateur, se sont déplacés pour découvrir le réseau, ont identifié les postes administrateurs et ont rebondi sur les serveurs qui contrôlent la diffusion. C'est une action qui a sans doute pris plusieurs semaines voire plusieurs mois.

Pourquoi la présence des intrus n'a pas été détectée ?

Si on peut comprendre qu'il soit difficile de protéger de manière absolue un système d'information complexe, la question est de savoir comment il est possible que la présence des intrus n'ai pas été détectée  avant que l'attaque ne provoque des dégâts. Il aurait sans doute fallu ne pas faire une confiance absolue dans les dispositifs de protection traditionnelle et donc accepter l'idée qu'un assaillant puisse pénétrer dans le système pour se donner les moyens de le détecter suffisamment tôt afin de l'empêcher de nuire.

En fait il y a  bien deux approches complémentaires. La première consiste à se doter des moyens humains, organisationnels et techniques pour empêcher l'accès au système par des individus ou des programmes indésirables. Ces moyens (firewalls, antivirus, etc.) sont absolument nécessaires, mais ils peuvent être contraignants pour les utilisateurs s'ils imposent une politique de sécurité trop restrictive.

Détecter l'intrusion

On l'a vu, ils sont de toute façon insuffisants pour se protéger d'assaillants déterminés et compétents. Il faut donc systématiquement adopter en parallèle une seconde approche, plus passive, qui consistera d'une part à surveiller le système pour détecter l'intrusion au plus tôt en analysant les signaux faibles ou en identifiant les comportements anormaux et d'autre part à historier les événements pour pouvoir analyser a posteriori les incidents.

Seul un nombre limité d'entreprises se sont dotées de cette seconde approche et encore uniquement sur leur système d'information bureautique et gestion. Dans le cas de TV5 Monde, on l'a vu, l'attaque portait sur le système de « production » (diffusion des programmes). Si on fait le parallèle avec les entreprises du monde de l'énergie, des transports ou encore de l'aéronautique les attaques pourraient concerner les systèmes de pilotages et de contrôle des processus physiques (réseaux industriels).

L'ensemble des réseaux industriels sont menacés

Ceux-ci, à la différence des systèmes d'information qui traitent de l'information et relient des utilisateurs à des applications, relient des applications au monde réel. Ils mettent de plus en plus en œuvre les mêmes technologies et donc les mêmes vulnérabilités que celles que l'on trouve dans les systèmes d'information et sont de plus en plus ouverts au monde extérieur pour des raisons d'efficacité et de contraintes économiques. Malheureusement ces systèmes ont été conçus sans prendre en compte le risque de compromission du système de pilotage et la culture du monde industriel si elle est très forte en matière de sureté est inexistante en matière de cyber sécurité.

Là plus qu'ailleurs l'approche de surveillance du système est un must d'autant plus que la mise en place de moyens de protection contraignants est impossible compte tenu des contraintes industrielles en matière de temps réel ou d'architecture.

Les pouvoirs publics au travers de l'ANSSI ne s'y sont pas trompés. La Loi de programmation militaire de décembre 2013 dont les décrets d'application sont parus récemment comporte un volet imposant aux opérateurs d'infrastructures critiques de se doter des moyens de surveillance de leurs réseaux industriels. Mais au-delà de ces grands opérateurs, c'est l'ensemble des infrastructures industrielles qui doivent faire face à cette menace en se donnant les moyens de se protéger en surveillant leurs systèmes.