L’ANSSI place la protection des systèmes SCADA à un niveau prioritaire

Cloud
anssi-patrick-pailloux-assises-securite-scada

Assises de la Sécurité IT : Patrick Pailloux, Directeur général de l’ANSSI, insiste sur la nécessité de protéger les systèmes critiques des opérateurs d’importance vitale. Des règles de sécurité seront imposées par la loi.

Il faut agir dans la sécurité inhérente aux systèmes industriels critiques.

C’est le principal message que Patrick Pailloux, Directeur général de l’ANSSI, a adressé à la communauté des responsables informatiques des entreprises et des organisations (mais aussi des équipementiers et éditeurs) réunie dans le cadre des Assises de la sécurité IT à Monaco lors de la conférence inaugurale.

Un thème fort en lien avec un groupe de travail de l’Agence nationale de la sécurité IT qui réunit des entreprises et des professionnels et qui se concentre sur la protection des systèmes industriels.

Car le monde SCADA a tendance à migrer vers l’IP. Des interconnexions synomynes de risques accrues de piratage.

« Il est donc essentiel que, dans ce domaine, on se retrousse les manches et que l’on agisse », déclare Patrick Pailloux.

On attend des recommandations officielles émanant de ce groupe de travail piloté par l’ANSSI d’ici la fin de l’année.

Dans quelle mesure l’Etat considère ce thème comme prioritaire ?

Des dispositions liées à la protection des systèmes critiques au sein des opérateurs d’importance vitale ou OIV (une centaine d’entreprises évoluant dans une douzaine de secteurs) sont clairement mentionnées dans le Livre Blanc sur la Défense publié fin avril.

Elles sont en cours de retranscription au niveau législatif et règlementaire.

A travers l’examen parlementaire du projet de loi sur la programmation militaire (en particulier l’article 15), l’Etat devrait fixer des « mesures nécessaire pour détecter et traiter tous les incidents sur les systèmes critiques » avec notification obligatoire des incidents.

Mais les éléments collectés ne seront pas publiés pour des questions de « concurrence entre opérateurs mondiaux » et les « risques de malveillance ».

Patrick Pailloux insiste : « L’Etat va réguler les systèmes critiques des OIV et il aura la possibilité de fixer des règles de sécurité impérativement. »

De manière moins approfondie, Patrick Pailloux est revenu sur des thèmes exposés les années précédentes lors de son passage aux Assises de la Sécurité IT.

Comme les « règles d’hygiène informatique » : un concept désormais ancré dans les esprits des responsables de sécurité des systèmes d’information (RSSI) mais il reste encore beaucoup de chemin pour les appliquer, considère le DG de l’ANSSI.

Le rejet de la tendance BYOD (« Bring your own device » ou comment les collaborateurs en entreprise exploitent leurs terminaux numériques individuels dans le cadre de leur travail) est confirmé.

Une pratique à bannir selon l’ANSSI car trop spongieuse en termes de sécurité IT.

Mais, là encore, cette proscription est loin d’être évidente au regard de l’offre proposée par les éditeurs de solutions de sécurité IT qui demeure pléthorique.

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur