Bernd et Marcel Steinkühler de Correct Power Institute, un spécialiste des technologies de l'information, discutent des attaques provenant d'Internet et des défenses potentielles.
Une entreprise doit-elle simplement s'attendre à ce que les cybercriminels l'attaquent?
Bernd Steinkühler : Lorsqu'un site tel qu'un centre de calcul est mis en service, les pirates informatiques attaquent, statistiquement parlant, au bout de deux minutes au plus tard. Si les pirates parviennent à interrompre l'alimentation électrique, ils peuvent neutraliser l'entreprise. Cependant, il arrive souvent que les pirates appellent à l'aide d'un téléphone portable jetable et disent : « Vous devez payer un montant X ou vous serez finis dans cinq minutes ». En règle générale, les entreprises paient.
Qu'est-ce qui motive les pirates informatiques? La banque A les engage-t-elle et les paie-t-elle pour attaquer la banque B?
Bernd Steinkühler : Le plus souvent, les entreprises chinoises ou russes engagent des pirates informatiques pour nuire à leurs concurrents. C'est assez professionnellement organisé, c'est pourquoi les entreprises extorquées paient généralement sans réfléchir trop longtemps ou trop fort. Ils savent que leur électricité peut être coupée au bout de dix minutes.
C'est aussi simple que cela?
Marcel Steinkühler : C'est encore plus simple : un gestionnaire laisse son téléphone portable dans un taxi; le chauffeur le trouve et le vend à un criminel, qui l'utilise comme passerelle pour franchir le pare-feu de l'entreprise. Cela arrive plus vite que vous ne le pensez : le réseau entier de l'entreprise peut être détruit en l'espace de quelques minutes. Les téléphones portables sont actuellement le principal point d'accès. Cette escroquerie affecte actuellement le secteur bancaire londonien.
Les entreprises gèrent-elles leurs données avec négligence?
Bernd Steinkühler : Ils ne savent pas toujours ce qui peut arriver. La plus grande menace réside dans la connexion occasionnelle des dispositifs à l'internet. S'il y a une architecture sensible derrière un de ces dispositif, comme, par exemple, une station d'épuration, cette négligence peut avoir de graves conséquences. Si des pirates informatiques arrêtent les pompes, plusieurs milliers de personnes n'ont soudain plus d'eau. C'est pourquoi les tests de pénétration sont importants pour trouver les failles dans l'architecture. Pourtant, jusqu'à récemment, ces tests n'ont pas toujours été réalisés de manière cohérente. Cette pratique occasionnelle est progressivement remise en question dans un plus grand nombre d'entreprises, et la sécurité informatique gagne en importance. Pour les banques, c’est devenu le sujet le plus important. L'ensemble de l'architecture qui y est développée est sécurisée sur le plan informatique. En tant que fournisseurs de services, nous sécurisons les voies de transport des données en appliquant rigoureusement le chiffrement. Cela signifie qu'il n'y a pas de vecteurs d'attaque dans l'Internet ouvert.
Si quelqu'un le voulait, pourrait-il se protéger à 100 % contre les cyberattaques?
Bernd Steinkühler : Il faut être honnête : les pirates informatiques nous défient tous les jours et il n'existe pas de niveau de sécurité à 100 %. Chaque système a ses faiblesses, quelle que soit la qualité de sa construction. Cependant, si une entreprise met l'accent sur la cybersécurité et emploie une centaine de personnes pour l'assurer, alors les pirates ne réussiront qu'avec beaucoup d'efforts. Une personne, par contre, n'a aucune chance contre elle. Nous avons intégré de nombreux obstacles dans notre système de surveillance des fermes de serveurs : nous nous appuyons sur le chiffrement et la détection des intrusions, ce qui signifie que nous surveillons également le trafic dans notre réseau protégé. Si nous détectons des schémas suspects, les paquets de données sont rejetés et ne sont pas transportés plus loin. Cela nous aide également à savoir s'il y a des lacunes en matière de sécurité et où elles se trouvent. En outre, notre architecture est conçue de sorte que seuls certains serveurs, pas tous, peuvent accéder à l'infrastructure à surveiller. Les employés doivent se connecter en utilisant une identification à deux facteurs, et ils ne voient les choses que virtuellement. Ils ne sont jamais physiquement dans la même pièce que les ordinateurs. C'est essentiel : tout doit être dissimulé pour ne pas être attaqué.
Combien de temps faut-il pour établir un concept de sécurité?
Bernd Steinkühler : Il a fallu deux ans à Ernst & Young pour certifier notre architecture, et le processus d'optimisation se poursuit. Nous avons obtenu 51 résultats lors de la première attaque menée dans le cadre d'un test de pénétration d'Ernst & Young. Bien sûr, nous avons ensuite tenté d'y remédier, mais après la 13e découverte, aucune solution n'était possible, car il y avait tout simplement trop de lacunes et elles ne pouvaient pas être comblées. Nous avons dû admettre qu'il y avait trop de systèmes utilisés qui n'étaient pas protégés contre la pénétration. C'est pourquoi nous avons complètement repensé l'architecture. Pour simplifier, nous avons construit un mur élevé autour du site, avec un système de cryptage et un « netscaler » qui fait également office de pare-feu et de point de contrôle. Tous les sites web susceptibles d'établir un lien vers l'extérieur sont à nouveau contrôlés et protégés. Notre architecture de sécurité ressemble à un fort : seules quelques portes mènent vers l'extérieur – et elles sont surveillées de très près.
Vous avez pour clients des entreprises de différents secteurs. Existe-t-il une solution de sécurité unique qui puisse servir de modèle à toutes les autres?
Bernd Steinkühler : Il faut toujours vérifier cela individuellement. Le concept correct est finalement basé sur la façon dont les données sont censées émerger du centre de calcul. Les différentes possibilités doivent être intégrées avec le service de sécurité du client. En outre, plusieurs règles et normes s'appliquent. La protection de base BSI est considérée comme la bible de la cybersécurité. Lorsqu'on en tient compte, on atteint au moins un niveau de protection de base. Le reste doit être adapté aux besoins individuels.
Vous avez pour clients des entreprises de différents secteurs. Existe-t-il une solution de sécurité unique qui puisse servir de modèle à toutes les autres?
Bernd Steinkühler : Il faut toujours vérifier cela individuellement. Le concept correct est finalement basé sur la façon dont les données sont censées émerger du centre de calcul. Les différentes possibilités doivent être intégrées avec le service de sécurité du client. En outre, plusieurs règles et normes s'appliquent. La protection de base BSI est considérée comme la bible de la cybersécurité. Lorsqu'on en tient compte, on atteint au moins un niveau de protection de base. Le reste doit être adapté aux besoins individuels.
Quels rôles les contrôleurs WAGO jouent-ils dans votre concept de sécurité?
Bernd Steinkühler : Un choix décisif. Les systèmes d'exploitation basés sur des ordinateurs personnels doivent faire l'objet de mises à jour de sécurité hebdomadaires, faute de quoi ils n'offrent pas une cybersécurité suffisante. Les correctifs ne sont pas nécessaires pour les contrôleurs WAGO car ils sont basés sur un système d'exploitation Linux® renforcé – la sécurité est ainsi virtuellement intégrée. En outre, les contrôleurs de WAGO ont deux interfaces, de sorte que le niveau d'application et le niveau de gestion peuvent être séparés l'un de l'autre – ce qui est également une caractéristique de sécurité importante.
Marcel Steinkühler : Il ne faut pas oublier que les systèmes basés sur des ordinateurs personnels sont équipés d'interfaces USB. Du point de vue de la sécurité, ce sont les pires. Si vous insérez une clé USB infectée, le virus se propage immédiatement dans votre système. C'est difficile à croire, mais cela se produit régulièrement lors de visites de centres informatiques : quelqu'un accède aux serveurs, le rack de serveurs est ouvert et c'est fini. Le ver informatique Stuxnet s'est introduit dans le réseau par le biais d'une clé USB et a manipulé les ordinateurs de contrôle d'installations industrielles dans le monde entier. Ces types de problèmes peuvent être évités avec les bonnes fonctionnalités de sécurité.
Et maintenant, l'industrie 4.0 frappe à la porte.
Marcel Steinkühler : Les dangers posés par les pirates informatiques pourraient être immenses. Si nous combinons l'approvisionnement en matières premières, les usines et l'ensemble du processus de fabrication (ce qui est bien sûr l'objectif) et que nous ne développons pas simultanément la cybersécurité, des entreprises entières pourraient s'effondrer. C'est la raison pour laquelle nos applications de surveillance fonctionnent dans le nuage allemand. La sécurité est pratiquement intégrée par l'architecture.
Entretiens avec WAGO
Avis d'experts sur la cybersécurité
Les constructeurs de navires, les intégrateurs de systèmes et les compagnies maritimes sont enthousiasmés par les nouvelles possibilités qu'offre Maritime 4.0. Le professeur Karl-Heinz Niemann parle à WAGO des opportunités et des défis.
Le professeur Jörg Wollert explique quelles devraient être les premières étapes sur la voie de l'usine intelligente. Il indique également les domaines dans lesquels les entreprises ne peuvent pas se permettre de faire l'impasse.
